Mozilla는 구글, W3C와 함께 웹 기반 인증 기술 확보를 위한 표준 기술 개발에 나섰다.
웹 기반 암호 기술을 적용할 수 있는 JavaScript API가 부재했기 때문에 많은 인증 기술들이 서드파티 플러그인에 의존할 수 밖에 없는 현실을 바꾸기 위해서다.
특히, 지난 1999년 부터 액티브X나 NP 플러그인 기반의 공인 인증 기술을 법적 테두리 안에서 강제했기 때문에 많은 사용자들이 인터넷 뱅킹, 카드 결제 및 각종 공공 업무를 볼 때, IE를 벗어나기 어려운 상태가 지속되고 있어 사용자들의 브라우저 선택이 사실상 불가능한 실정이다.
국내 PKI 업체나 KISA에서 공인 인증과 전자 서명과 같은 인프라를 글로벌 표준으로 만들려는 노력이 지지부진한 탓에 우리 나라는 최고의 인터넷 인프라와 사용자를 가지고도 갈라파고스에 걸맞는 상태가 되었다.
개인적으로 직접 W3C HTML W/G이나 WebApps W/G으로 계속적인 노력을 해오다가 (전자 서명 웹 표준화 안되나? 필독!) 그 뒤로 Mozilla에서 직접 관심을 가져 주도록 요청을 했다.
다행히 2008년 미첼 베이커 의장의 한국 방문 때 부터 이러한 문제를 인지하고 시작한 이후 2010년 보안 기술 총괄인 루카스 아담스키의 한국 방문 및 2011년 4월 안드레아스 갈 방문 이후에 지원 계획을 구체화 하여 Mozilla 내부에서 프로토타입 및 스펙 개발이 시작되었다.
데이비드 달 및 브라이언 스미스 중심으로 개발되고 있는 DOMCrypt API는 지난 5월 부터 프로토타입을 개발하기 시작하여, 일차적인 구현 및 테스트를 진행하였다 .이러한 움직임에 힘을 실어주기 위해 지난 8월에 W3C WebCrypto Community Group을 만들어 다양한 의견을 모으고 있다.
마침내 11월 W3C TPAC 회의에 상정되어 별도의 표준 워킹 그룹을 발족을 제안하고 만들기로 결정되었다. 이후에 국내 여러 PKI 전문가들과 실제 표준화 주도자들과 연결해서 의견을 나누고 있는 중이다.
DOMCrypt API를 기초로 W3C가 만들 Web Cryptography API는 매우 기본적 수준의 암호 및 복호화, 키페어 생성, 관리, 서명 정도를 지원하고 개인 인증서를 비롯한 브라우저ID 같은 신원 확인 기능, 웹 PKI 기반 인증 및 서명, 콘텐츠 암호화 등 다양한 곳에 사용될 수 있을 것으로 예상된다.
내년 초 새로운 W/G이 만들어지고, Firefox와 Chrome에 당장 WebCryptography API를 탑재하게 되면, 일단 NPKI 디렉토리에 있는 개인 공인인증서를 브라우저 키 저장소로 옮겨 전자 서명이 가능해 진다. (물론 브라우저 기반 서명에 대한 보안 가이드라인이 만들어 지면, 공인 인증 체계 자체가 플러그인이 아닌 브라우저에서 구현 가능해 질 것으로 예상된다.)
현재 많은 은행들이 비 IE에서 플러그인 공인 인증 서비스를 앞다투어 시작하고 있는데, 향후에는 플러그인을 걷어낼 수 있을 뿐 아니라 모바일에서도 별도 앱 없는 공인 인증 서비스 시대가 열릴 수 있다.
WebCryptography API 관련자료
본 글은 Mozilla AsiaCamp 후기로서 최근 Mozilla 커뮤니티의 웹 기술 혁신 시리즈로 연재할 예정입니다.
- Firefox 모바일 네이티브 UI 버전 개발 착수
- Mozilla B2G, 진정한 웹 OS가 온다
- Firefox 기반 오픈 웹앱스토어 대안될까?”
- 공인인증 ActiveX 걷어낼 웹 표준 만든다
- BroswerID, 신개념의 유저 중심 인증 기술
※ Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. 본 채널은 광고를 비롯 어떠한 수익도 창출하지 않습니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on checking facts for your investments and prohibit your citations as commercial content or news sources. This channel does not monetize via any advertising.)
‘Active-X 사라진다’식의 뉴스를 워낙 오랫동안 당해왔다보니, 이런 기뻐야 할 소식을 들어도 시큰둥해지네요. 그날이 빨리 오길 바랍니다.
왠지 공감됩니다.
한국이라면 굳이 별도의 암호화 보안 모듈을 붙일거예요.
세상이 바뀌었어요. 감히 그런짓 못할 듯…
폐쇄형 인터넷 초 강대국의 행보가 기대됩니다
인증서 쓰려면 기업은 돈 내야 했는데요. 우리나라에 기업 엄청나게 많찮아요. 그런 돈벌이 인데 엎어질지 기대가 됩니다. ㅎㅎ
암호화 알고리즘인 SEED가 외부에 알려지자 ARIA라는 새로운 알고리즘을 만든 것처럼 이 기술도 표준화되면 또 새로운 기술 만든다는 뻘짓은 안 하길 빕니다 에휴….
키보드 보안 이딴건 안 사라지지 않을까요…
제가 알기론 인증서, 키보드보안, 방화벽 이 세가지를 설치하는 것이 의무라고 들었습니다. 말씀하신 인증서를 암호화하여 저장하는 방법이 나타난다 하더라도 키보드보안과 방화벽은 어쩔 수 없이 플러그인으로 제공되어야 하지 않을까요?
http://www.bloter.net/archives/77955
이번에 전자금융감독규정을 개정하면서 조항이 다음과 같이 변경된다고 합니다.
“해킹 등 침해행위로부터 전자금융거래를 보호하기 위해 이용자의 전자적 장치에 보안프로그램 설치 등 보안 대책을 적용할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램을 해제할 수 있다)”
특정 기술의 프로그램을 명시하는것이 아니라, 단순히 보안 프로그램이라고 포괄적으로 명시해서 은행 나름대로 제공할 수 있도록 개정된 것 같습니다. 이 정도면 사실상 자율이라고도 볼 수 있겠군요.
키보드 보안이나 방화벽이 왜 나왔는지를 살펴봐야 합니다. 공인 인증서 저장소(npki 폴더)가 안전하지 않고 언제든지 해킹에 무력화 되기 때문이죠. 그리고 우리 나라에는 인증서 암호라는 확장 기능이 있는데 이것 또한 같은 문제를 안고 있습니다. 우리 나라 실정에 맞게 확장하다 보니 생긴 보안 문제를 해결하려고 만들었다고 볼 수 있습니다.
저는 인증서를 로컬에 두어 신원을 확인하게 하는 방식은 근본적으로 찬성입니다. 하지만, 이를 원래 설계된 용도로 쓰지 않게 어쨌든 되게 하다보니 생긴 보안 문제는 쉽게 해결하기 어렵다고 봅니다.
이제라도 제대로 하려면, 브라우저 저장소에 인증서를 저장하고 이를 확인해서 서명할 때 OTP나 SMS같은 오프라인 방식을 써야 하겠죠.
좋은 소식이라고 해야할지, 나쁜 소식이라고 해야할지…
오묘하군요. 표준화되어 웹브라우저에 기본 탑제된다면 별도의 프로그램 설치 없이 다양한 브라우저에서 쓸 수 있게되서 좋을 수도 있긴하겠군요.
다만 PKI 기반 인증 기술은 해외에서는 거의 수요가 없어서, 표준화는 뒷전이고 거의 사용되지 않는걸로 아는데, 개인키를 보호하는데 어려움이 있어서 현실적으로 부인방지를 이루기 어려운걸로 아는데,
아예 브라우저에 기능이 탑제되어 버리면 오히려 기형적인 국내 인증시장이 글로벌화 되는게 아니라, 현재와 같은 상황을 그대로 유지할것 같아서 좀 걱정되는군요…
꼭 그렇지는 않습니다. 과거 모델의 인증서 기반만 새 시장은 아니구요. DOMCrypt는 BrowserID, 메시지 및 콘텐츠 암호화, DRM 등에도 활용범위가 넓습니다. 그래서 넷플릭스나 구글(wallet) 등에도 활용성이 있구요.
해외에도 국가 CA가 있는 나라들이 꽤 많습니다. 대개 동유럽, 아시아, 남미긴 한데 이곳도 여전히 중앙 집중식 국민 관리용 인증서(?) 남발을 원하는 국가이거든요.
선진국이라면 국민의 신원을 하나에 통일해서 관리는 (인증서나 주민번호 체계)같은 걸 가지고 있지 않지요. 다양한 신원 확인 방법을 제공하는게 훨씬 보안적으로도 이득이지요.
어쨌든 DOMCrypt가 단순히 한국의 문제를 해결하기 위한 건 아니고 많은 유즈케이스를 고려하고 있습니다.
공인인증 재발급 단말기의 제한을 최근 적용하고 있는데 이걸 하려면 또 어떻게 할까요. ㅜㅜ
시작하면서 현재 IT 프로그래밍을 보면 정말 배워야 할 것이 너무 많은 것 같습니다. Java 분야만 해도 JSP, Java, Struts, Spring, Hibernate, SiteMesh, iBatis, Google App Engine, Hadoop, NoSQL 등등.. 정말 나열해 보..