[보안뉴스 오병민] 국내에 스마트폰 시장이 활성화 되면서 인터넷익스플로러 외 브라우저 사용과 엑티브엑스 사용을 줄이는 이른바 '오픈 인터넷' 환경에 대한 개선방안이 속속 나타나고 있다.

특히 공인인증서 액티브엑스를 대체할 수 있는 기술로 ETRI에서 개발한 ‘스마트싸인’이 주목받고 있다.

이 기술은 금융결제원에서 개발한 ‘플러그인 없는 공인인증서비스’과는 액티브엑스를 사용하지 않는다는 점과 모든 웹브라우저에서 적용할 수 있다는 공통점을 가지고 있다. 그러나 기술을 구현하는 방식은 판이하게 다르다. 일단 스마트싸인은 웹브라우저의 기본기능을 이용한 기술인데 반해, 플러그인 없는 공인인증서비스는 스마트폰을 이용한 공인인증 서비스이기 때문이다.

스마트싸인 기술은 액티브엑스 전용 채널을 사용하지 않고 웹 채널 내에서 처리하기 위해서 ‘URL 프로토콜 핸들러(URL Protocol Handler)’라는 방법을 사용한다. URL 프로토콜 핸들러는 웹브라우저에서 ‘http://’나 ‘https://’, ‘ftp://’와 같이 ‘://’ 앞에 표시되는 문자열에 따라서 뒤따르는 URL과 파라미터들을 입력받는 응용프로그램을 호출해서 데이터를 넘겨주는 기능이다.

예를 들어 'ftp://*****.***'과 같은 FTP 주소를 입력하면 FTP 프로그램이 자동으로 실행되는 것과 같은 원리다. 따라서 이 기술은 'smartsign://'를 등록시켜 ‘smartsign://stringTosign=a6qwer…’과 같은 호출이 들어오면 공인인증 애플리케이션을 실행시키는 방식이다.

사실 URL 프로토콜 핸들러는 웹브라우저에서 기본적으로 구현되는 기술이다. 그러나 이 기술을 그냥 적용할 경우에는 인증키 관리와 더불어 중간에서 정보를 빼가는 문제, 애플리케이션을 바꿔 공인인증 정보를 갈취하는 등의 보안문제가 발생한다.

결국 스마트싸인 기술의 핵심은 이런 보안문제를 해결하는데 있다. 따라서 스마트싸인은 △URL protocol spoofing 방지 △스마트지갑과 웹서버 간의 상호인증, △전자서명문 기밀성/무결성 보장, △간단한 보안채널 형성 등의 보안기능을 갖추고 있다.

스마트싸인 개발을 담당했던 진승헌 ETRI 팀장은 “스마트싸인은 액티브엑스 없이 웹 브라우저에서 공인인증서를 이용할 수 있게 해주는 소프트웨어로 모든 플랫폼과 브라우저에서 동일한 방식으로 공인인증서 이용이 가능하다”면서 “그러나 스마트싸인 기술은 공인인증서 기반으로 공인인증을 가능하게 하는 기술이기 때문에 사용하고자하는 PC나 스마트폰에 공인인증서가 설치 돼 있어야만 한다”고 설명했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>