[디지털데일리 이민형기자] W3C 표준 웹크립토(Web Crypto) 애플리케이션 프로그래밍 인터페이스(API)를 사용해 공인인증서를 웹브라우저에 저장하는 형태의 전자서명 기술 개발이 추진된다.
염흥열 순천향대 교수는 14일 서울 팔레스호텔에서 열린 ‘정보보호포럼 조찬세미나’에서 웹크립토API를 사용해 공인인증서를 사용할 수 있도록 하는 프로젝트를 추진한다고 밝혔다.
이 자리에서 염 교수는 “웹크립토API에 포함된 암호화·복호화 방법(Method, 메소드)와 키 입출력 방법을 사용하면 특정 로컬폴더에 공인인증서를 저장하지 않아도 된다”며 “웹브라우저내 키저장소(Key Store)에 접근할 때도 암호를 입력하도록 설계할 수 있으며, 해당 웹브라우저에서 임의로 탈취한 키는 자동 폐기되는 형태로도 만들 수 있다”고 설명했다.
보안업계에서는 공인인증서가 로컬에 저장될 때 ‘NPKI’ 폴더에 저장되는 것을 개선해야 한다고 매번 지적해왔다. 임의의 폴더가 아닌 특정할 수 있는 폴더에 저장이 강제돼 있어 공인인증서 탈취가 더 수월해지기 때문이다.
당초 공인인증, 전자서명 업계에서 저장장소를 강제하지 않으려고 했으나, 금융회사나 솔루션 업체별 상이한 저장장소를 사용할 경우 호환성에 문제가 될 수 있어 현재의 형태가 된 것이다.
염 교수는 “최신 웹브라우저에는 키를 보관할 수 있는 저장공간이 있고, 이 역시도 암호화 등의 보호조치를 통해 안전하게 활용할 수 있다”고 말했다.
이 기술을 활용한 공인인증서 발급방식은 다음과 같다. 우선 웹크립토API를 통해 키(PKI)를 발급받은 뒤 해당 키를 웹브라우저의 키스토어에 저장한다. 공개키와 사용자 정보를 은행에 송신하면, 은행은 그 정보를 공인인증기관에 넘겨준다.
최종적으로 공인인증기관은 은행에서 넘겨받은 정보를 검증한 뒤 키(공인인증서)를 사용자 웹브라우저 키저장소에 보내주게 된다.
공인인증서를 사용할때는 사용자와 은행간 트랜젝션이 발생하는 사이에 웹브라우저 키저장소에 있는 키(공인인증서)를 호출하고, 그 키를 공인인증기관에 전송해 검증작업을 거친다. 인가가 완료된 키는 다시 은행에 전송되고 정상적인 거래로 이어질 수 있다.
이와 관련 염교수는 “이와 같은 방식에도 불구하고 여전히 발생할 수 있는 보안문제는 존재한다. 하지만 최악의 상황만은 가정해 비판만 한다면 새로운 기술은 등장할 수 없다”고 강조했다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
베일 벗은 이진욱…1차 메인포스터로 본 '오징어게임2'
2024-11-14 15:38:02“데이터 트래픽 증가의 종말"…6G 시대, 무엇이 달라지나
2024-11-14 15:28:06'누구·에이닷' 양립 구도…SKT, AI 전략 변화줄까 [IT클로즈업]
2024-11-14 14:11:36“새폰 어디서 살까”…통신3사, 수험생 겨냥 프로모션 실시
2024-11-14 10:55:00후후 "3분기 스팸신고 26.4% 줄었지만"…악성스팸은 17.3% 증가
2024-11-14 10:25:49통합요금제 출시·불법스팸 근절…과기정통부-통신3사 회담, 키워드는 ‘민생’(종합)
2024-11-13 21:05:32[지스타2024] ‘승부사’ 방준혁 “게임산업 미래, 멀티 플랫폼·트랜스 미디어가 핵심”
2024-11-14 15:40:11UDC 2024에 뜬 명품시계 거래 플랫폼 ‘바이버’…글로벌 진출 박차
2024-11-14 15:19:17[지스타2024] 넥슨 최성욱 본부장 “넥슨 30주년 콘텐츠 ‘풍성’, 오케스트라도 기대해달라”
2024-11-14 13:29:02[지스타2024] 웹젠 김태영 “서브컬처, 세분화된 유저 취향 충족해야… 웹젠 노력 봐달라”
2024-11-14 13:25:56[지스타2024] 하이브IM 정우용 “지스타, 지금이 전성기 같아… ‘아키텍트’ 기대해달라”
2024-11-14 13:24:43[지스타2024] 흐려진 향수 ‘환세취호전 온라인’...중후반 콘텐츠 어깨 무겁네
2024-11-14 12:00:00