보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

액티브X 뺀 공인인증서 기술 “스마트싸인이란?”

입력 : 2011-03-31 11:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
URL 프로토콜 핸들러 기반에서 보안 기능 추가


[보안뉴스 오병민] 국내에 스마트폰 시장이 활성화 되면서 인터넷익스플로러 외 브라우저 사용과 엑티브엑스 사용을 줄이는 이른바 '오픈 인터넷' 환경에 대한 개선방안이 속속 나타나고 있다.

 

특히 공인인증서 액티브엑스를 대체할 수 있는 기술로 ETRI에서 개발한 ‘스마트싸인’이 주목받고 있다.

 

이 기술은 금융결제원에서 개발한 ‘플러그인 없는 공인인증서비스’과는 액티브엑스를 사용하지 않는다는 점과 모든 웹브라우저에서 적용할 수 있다는 공통점을 가지고 있다. 그러나 기술을 구현하는 방식은 판이하게 다르다. 일단 스마트싸인은 웹브라우저의 기본기능을 이용한 기술인데 반해, 플러그인 없는 공인인증서비스는 스마트폰을 이용한 공인인증 서비스이기 때문이다.


스마트싸인 기술은 액티브엑스 전용 채널을 사용하지 않고 웹 채널 내에서 처리하기 위해서 ‘URL 프로토콜 핸들러(URL Protocol Handler)’라는 방법을 사용한다. URL 프로토콜 핸들러는 웹브라우저에서 ‘http://’나 ‘https://’, ‘ftp://’와 같이 ‘://’ 앞에 표시되는 문자열에 따라서 뒤따르는 URL과 파라미터들을 입력받는 응용프로그램을 호출해서 데이터를 넘겨주는 기능이다.


예를 들어 'ftp://*****.***'과 같은 FTP 주소를 입력하면 FTP 프로그램이 자동으로 실행되는 것과 같은 원리다. 따라서 이 기술은 'smartsign://'를 등록시켜 ‘smartsign://stringTosign=a6qwer…’과 같은 호출이 들어오면 공인인증 애플리케이션을 실행시키는 방식이다.


사실 URL 프로토콜 핸들러는 웹브라우저에서 기본적으로 구현되는 기술이다. 그러나 이 기술을 그냥 적용할 경우에는 인증키 관리와 더불어 중간에서 정보를 빼가는 문제, 애플리케이션을 바꿔 공인인증 정보를 갈취하는 등의 보안문제가 발생한다.


결국 스마트싸인 기술의 핵심은 이런 보안문제를 해결하는데 있다. 따라서 스마트싸인은 △URL protocol spoofing 방지 △스마트지갑과 웹서버 간의 상호인증, △전자서명문 기밀성/무결성 보장, △간단한 보안채널 형성 등의 보안기능을 갖추고 있다.


스마트싸인 개발을 담당했던 진승헌 ETRI 팀장은 “스마트싸인은 액티브엑스 없이 웹 브라우저에서 공인인증서를 이용할 수 있게 해주는 소프트웨어로 모든 플랫폼과 브라우저에서 동일한 방식으로 공인인증서 이용이 가능하다”면서 “그러나 스마트싸인 기술은 공인인증서 기반으로 공인인증을 가능하게 하는 기술이기 때문에 사용하고자하는 PC나 스마트폰에 공인인증서가 설치 돼 있어야만 한다”고 설명했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

비외원 2011.04.06 11:54

네 그렇죠. 별도의 어플리케이션이 필요합니다. 그리고 URL 핸들러로 그 애플리케이션을 호출하는 것이지요.


네모 2011.04.04 14:23

결국 ActiveX와 같은 플러그 인 대신 별도의 어플리케이션을 설치하는 방식으로 가는 건가요? URL Scheme을 이용, Pluggable Protocol Handler를 이용한다면, 브라우저 확장기능을 이용하는 방식으로 바뀐다는 건가요? 각 OS 및 브라우저마다 설치 프로그램은 다를수 있겠군요?


  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)