ETRI의 스마트서명(Smart Sign) 기술

이제 스마트폰에서도 인터넷 뱅킹/쇼핑 안심하고 하세요

– ETRI “스마트서명(Smart Sign) 기술 개발“

– 모든 스마트폰 웹브라우저에서 공인인증서 통한 안전한 전자상거래 가능

– 액티브엑스 등 플러그인 사용하지 않아 특정기술 종속성 탈피

이제 아이폰, 모토로이, T옴니아, 블랙베리 등 모든 스마트폰에서 웹브라우저를 이용한 인터넷 뱅킹 및 쇼핑 등의 전자거래가 가능하게 됐다.

ETRI(한국전자통신연구원, 원장 김흥남)는 스마트폰의 모든 웹브라우저에서 공인인증서를 이용하여 전자서명을 할 수 있게 해주는 “스마트서명(Smart Sign)기술을 개발하여 상용화를 추진한다”고 28일 밝혔다.

현재 아이폰의 사파리 등 스마트폰 웹브라우저에서는 공인인증서를 이용하여 전자서명을 할 수 없다. 이는 공인인증서 기반 전자서명이 주로 액티브엑스 등 플러그인 방식으로 구현되어 있는 반면 스마트폰 웹브라우저에서 이를 지원하지 않기 때문이다. 이러한 스마트폰 웹브라우저에서 공인인증서를 이용할 수 없는 문제는 스마트폰에서의 인터넷 뱅킹/쇼핑 등 웹기반 전자거래에 장애물로 지적되어 왔다.

ETRI에서 이번에 개발한 스마트서명 기술은 브라우저별 플러그인 대신 브라우저별 특성에 관계없는 공통의 스마트서명 애플리케이션(SmartSign앱)을 설치하기만 하면 이용 가능하다. 웹브라우저에서 웹 표준 프로토콜을 사용하여 전자서명 기능을 호출하므로 아이폰, 안드로이드 등 플랫폼에 상관없이 모든 브라우저에서 동일한 방식으로 공인인증서 전자서명을 이용할 수 있도록 해준다.

또한 스마트폰의 브라우저뿐만 아니라 모바일뱅킹앱과 같은 애플리케이션에서도 ‘SmartSign앱’의 전자서명 기능을 호출해 사용할 수 있다. 공인인증서 비밀키를 각 애플리케이션에 제공 후 전자서명을 수행하는 공인인증서 공통앱 방식과는 달리, ‘SmartSign앱’은 직접 전자서명을 제공하므로 비밀키 유출 위험이 없고 각 애플리케이션이 중복하여 전자서명 기능을 갖고 있을 필요도 없다.

ETRI는 이번 스마트서명 기술이 특정 플랫폼이나 특정 회사의 기술에 종속되지 않는 중립성을 확보하여 모든 환경에서 사용할 수 있는 높은 적용성을 갖는다고 밝혔다. 이러한 특성을 이용 ETRI는 PC 상의 모든 브라우저에서도 플러그인없이 공인인증서를 사용할 수 있도록 해주는 PC버전을 하반기에 발표할 예정이다.

ETRI 지식정보보안연구부 조현숙 부장은 “공인인증서는 많은 장점에도 불구하고 액티브엑스 등 특정 방식으로 주로 개발되어 사용자 불편을 초래하고, 스마트폰 웹브라우저에서 지원되지 않아 뱅킹/쇼핑 등 모바일 서비스 발전의 저해요소로까지 지목되었다”라면서, “이번 스마트서명 기술 개발로 스마트폰의 사용 및 개발 편의성이 크게 개선되고 안전한 모바일 서비스가 가능하게 되었다”고 말했다.

또한 ETRI 김흥남 원장은 “10여년 전 공인인증서 기술을 개발해 안전한 인터넷 서비스 발전에 기여했던 ETRI가 스마트폰 사용의 제약 요건이었던 공인인증서 기술을 개발함으로써, 안전한 모바일 서비스 발전에 다시금 기여할 수 있게 된 점을 매우 뜻깊게 생각한다”고 밝혔다.

ETRI는 현재 스마트서명 기술 검증과 특허 출원을 완료하였으며 조기 상용화를 추진하여 6월 중 아이폰용 ‘SmartSign앱’을 발표하고, 8월 중에 안드로이드 버전을 발표할 예정이다.

한편 ETRI는 스마트서명 기술에 머물지 않고 전자서명 비밀키를 USIM에 저장하고 USIM 내부에서 전자서명을 수행하여 비밀키 유출 가능성을 차단하는 USIM 저장 및 서명 기능을 개발하여 하반기 중 발표할 계획이다. 이 기능이 활성화되면 비밀키 유출 가능성에 따른 전자서명 부인방지 기능 효력 논란도 사라질 것이라는 게 연구원 측 설명이다.

ETRI의 스마트서명 기술은 지식경제부의 지원을 받아 수행 중인 “모바일ID 보안 및 프라이버시 보호를 위한 스마트지갑 개발” 과제를 통해 개발되었으며, BC카드, 비티웍스, 케이사인, 숭실대학교가 공동으로 참여하고 있다.

[배포번호 : 2010-036호]

http://www.etri.re.kr/bbs/view.etri?b_board_id=ETRI06&b_idx=11779

스마트폰 공인인증서 처리 기술개발, 이상한 경쟁구도

[IT 전문 블로그 미디어=딜라이트닷넷] 지난 3월 말 정부가 전자금융거래 공인인증서 의무화 규제를 풀기로 한 뒤, 민관 차원에서 공인인증서를 대체할 수 있는 사용자 보안(인증) 방안에 대한 활발한 조사 연구가 진행되고 있습니다.

명확하게 표현하자면 ‘동등한 수준의 안전성을 가진 공인인증서 대체수단’에 관한 가이드라인을 마련하고 있지요.(기밀성, 무결성, 부인방지, 인증 기능을 충족하는 기술)

그런데 다른 한편으로는 스마트폰에서 모바일 뱅킹 등 다양한 인터넷거래서비스를 이용할 때 사용자들이 공인인증서를 보다 편리하게 쓸 수 있도록 하는 기술도 활발히 모색되고 있습니다.

공인인증서가 지금까지 주로 마이크로소프트 인터넷익스플로러를 통해 ‘액티브X’라는 플러그인 방식으로만 제공되면서 지적됐던 특정 플랫폼 종속 문제와 이로 인한 사용자 불편을 개선할 수 있는 기술이 잇달아 개발되고 있는 것입니다.

한국인터넷진흥원(KISA)은 이미 스마트폰에서도 PC에서처럼 하나의 공인인증서로 자유롭게 이용할 수 있도록 인증서 저장소와 저장위치를 표준화하는 기술규격을 만들었습니다.

그리고 KT와 함께 하나의 공인인증서를 사용해 여러 뱅킹, 증권, 결제 서비스를 아이폰에서 편리하게 이용할 수 있도록 아이폰용 공인인증서 공용 앱(App)을 개발했습니다. 이름이 SHOW 인증서입니다.

원래는 4월 중순부터 애플 앱스토어를 통해 배포, 서비스한다고 했지만 아직 제공되지는 않고 있습니다.

그 이유를 확인해보니, 좀 지연돼 애플에서 현재 막바지 검수를 받는 단계에 있답니다. KISA와 KT는 조만간, 5월 초 앱스토어를 통해 서비스될 것으로 예상하고 있습니다.

그리고 KISA는 KT, SKT, LGT 등 이통사들과 안드로이드용 공인인증서 서비스, 대용량 USIM 기반 공인인증서 서비스 개발도 추진하고 있습니다.

민간 보안업체인 비티웍스는 최근 스마트폰 웹브라우저만 있으면 별도의 앱을 설치하지 않고도 공인인증서 기반의 전자서명을 처리하는 기술(‘BTW-SSLSign’)을 개발했습니다.

표준 웹브라우저가 제공하는 SSL(Secure Socket Layer) 프로토콜을 이용하기 때문에 스마트폰 플랫폼이나 웹브라우저 종류에 관계없이 공인인증서 전자서명을 처리합니다.

특정 웹 환경에 종속돼 있지도, 별도의 플러그인이나 앱을 설치할 필요가 없기 때문에 높은 사용자 편의성을 제공하고, 인터넷서비스 제공업체의 개발·관리 부담도 해소할 수 있다는 것이 비티웍스의 설명입니다.

아직은 특정 인터넷서비스에 상용화돼 있지는 않지만 은행, 증권사 등 금융기관을 대상으로 활발히 이 기술을 소개하고 있답니다.

얼마 전에는 한국전자통신연구원(ETRI)도 비슷한 기술을 개발했다고 발표했습니다. 지난 4월 28일 발표된 ‘스마트서명(Smart Sign)’인데요.

하나의 ‘스마트사인앱’을 설치하면 모든 스마트폰 웹브라우저에서 공인인증서 전자서명을 이용할 수 있도록 하는 기술입니다. 모바일뱅킹과 같은 서비스 앱에서도 ‘스마트사인앱’의 전자서명 기능을 호출해 사용할 수 있다고 합니다.

‘스마트사인 앱’은 공인인증서 비밀키를 각 애플리케이션에 제공 후 전자서명을 수행하는 공인인증서 공통앱 방식과는 달리, 직접 전자서명을 제공하므로 비밀키 유출 위험이 없고 각 애플리케이션이 중복하여 전자서명 기능을 갖고 있을 필요도 없다는 것이 특징입니다.

ETRI는 이번 스마트서명 기술이 특정 플랫폼이나 특정 회사의 기술에 종속되지 않는 중립성을 확보해 모든 환경에서 사용할 수 있는 높은 적용성을 갖는다고 밝혔습니다.

아직은 이 기술은 프로토타입만 개발된 상태랍니다. 6월 중 아이폰용 ‘스마트사인앱’을 내놓고 8월 중에는 안드로이드 버전을 출시한다고 합니다.

또 ETRI는 이미 이 기술에 대한 특허를 출원했고, 국내외 표준화기구를 통해 표준화도 추진할 예정이라고 하네요. 당연히 민간업체에 이 기술을 이전하겠지요.

이 뿐만 아닙니다. ETRI는 전자서명 비밀키를 USIM에 저장하고 USIM 내부에서 전자서명을 수행해 비밀키 유출 가능성을 차단하는 USIM 저장 및 서명 기능을 개발해 하반기 중 발표할 예정이라고 합니다.

이렇게 스마트폰 웹 기반 전자거래를 안전하고 보다 ‘편리하게’ 이용할 수 있는 공인인증서 관련 기술이 활발히 연구개발되고 그 결과물이 나오고 있다는 점, 그 자체는 참 긍정적인 일입니다. 더 나은 기술이 개발되고 있으니 말이지요.

그런데 보기에는 그리 좋지는 않다는 생각이 드는군요. 결과적으로 인터넷과 정보보호 업무를 담당하는 정부 산하기관, 출연연구기관인 KISA와 ETRI가 동시에 같은 목적을 가진 앱을 경쟁적으로 내놓게 되는 형국이 됐기 때문입니다.

그간 공인인증서 관련 논란의 중심에는 KISA가 있었고, 그 때문에 KISA에서는 스마트폰 공인인증서 이용 표준 기술규격을 만들고, 아이폰 공인인증서 공용 앱 등도 개발했습니다.

그래서인지 갑자기 ETRI가 ‘스마트사인’을 개발했다고 발표한 뒤, KISA도 적잖이 당혹스러워하는 눈치입니다.

이미 KISA가 하고 있는 일인데, ETRI가 이 기술을 왜 개발했는지 모르겠다는 겁니다. KISA 관계자 사이에서는 “(공익적으로 제공해야 하는 기술을 개발해) 특허까지 출원한 것은 적절치 못하다”는 반응까지 나왔습니다.

ETRI 발표 이전까지 KISA는 이를 개발한다는 사실을 전혀 알고 있지 못했다고 합니다.

그러나 ETRI는 당연히 해야 할 일을 했다는 입장입니다.

ETRI 관계자는 “원래 공인인증서를 개발한 것이 ETRI이고, 10여 전에 개발한 공인인증서가 최근 사용 환경이 변화함에 따라 새롭게 업그레이드하는 차원에서 작년 말부터 개발을 진행한 것”이라며, “(KISA가 개발한) 공인인증서 공용 앱 등과는 서비스가 다르다”고 설명했습니다.

보도자료를 통해 김흥남 원장은 “10여년 전 공인인증서 기술을 개발해 안전한 인터넷 서비스 발전에 기여했던 ETRI가 스마트폰 사용의 제약 요건이었던 공인인증서 기술을 개발함으로써, 안전한 모바일 서비스 발전에 다시금 기여할 수 있게 된 점을 매우 뜻깊게 생각한다”고도 이미 밝혔습니다.

앞서 이야기한 비티웍스와 ETRI와의 관계도 남다릅니다. 비티웍스는 ‘ETRI연구소기업’입니다.

더욱이, 아주 공교롭게도 이 ETRI의 스마트서명 기술은 비티웍스와 BC카드, 케이사인, 숭실대학교가 공동으로 참여하고 있는 지식경제부 지원 과제인 ‘모바일ID 보안 및 프라이버시 보호를 위한 스마트지갑 개발’ 과제를 통해 개발됐다고 합니다.

국가(정부) 예산이 들어간다는 점에서 기관끼리 머리를 맞댔다면… ETRI가 육성하는 ETRI연구소기업이면서 관련 과제를 함께하는 민간기업과 협력했다면… 하는 생각을 지울 수 없습니다.

적어도 기술을 각각 개발하는데 들어가는 비용이나 시간, 인력 등을 효율적이면서도 더 신속하고 보다 나은 결과를 가져오지 않았을까요?

이로 인해 앞으로 혼란이 가중될까 우려됩니다.

조만간 KT와 KISA는 애플 앱스토어를 시작으로 안드로이드 마켓에서 관련 앱을 등록해 제공할 겁니다.

ETRI가 개발한 기술도 조기 상용화해 민간에 기술이전하게 되면 정식 출시되겠지요.

모바일 전자거래 서비스 제공기관은 어떤 방식을 채택하고 지원해야 할 지 고민하게 될 겁니다. 업체별로 선택해 제공하게 되면 또 여러 방식의 스마트폰 공인인증서 처리 기술을 사용자들이 쓰게 되는 결과가 빚어질 수도 있겠습니다. 적어도 경쟁에서 이겨 하나가 대세로 굳어지기 전까지는요.

앞으로 허용했으니 공인인증서를 대체할 다른 보안 기술도 제공될 텐데요.

여러 웹이나 앱 방식의 스마트폰 공인인증서 처리 기술이 채택된다면 너무 과도한 다양성으로 인한 사용자 혼란을 줄 수 있지 않을지 우려됩니다.

‘전자금융거래시 공인인증서 사용의무 규제완화 방안’을 마련한 국무총리실과 금융위, 방통위 등 관계부처, 그리고 민·관 협의체에서 스마트폰 공인인증서 처리기술에 대한 대책도 논의가 이뤄져야 할 수도 있겠습니다.

http://yjlee.delighit.net/entry/KISA%C2%B7ETRI-ETRI%EC%97%B0%EA%B5%AC%EC%86%8C%EA%B8%B0%EC%97%85-%EA%B3%B5%EC%9D%B8%EC%9D%B8%EC%A6%9D%EC%84%9C-%EC%B2%98%EB%A6%AC-%EA%B8%B0%EC%88%A0%EA%B0%9C%EB%B0%9C-%EA%B2%BD%EC%9F%81

ETRI Smart Sign 기술 특징

보도자료 이외의 이야기

특징1 : 모든 웹브라우저에서 공인인증서 기반 전자서명이 가능해짐
-SmartSign앱을 설치하고 웹페이지에서는 SignText() 형태의 javascript을 호출하면 됨
-일부 브라우저에서만 제공되던 SignText()를 앱과 브라우저의 interaction을 통해 모든 브라우저에서 제공하게 된 셈

특징 2 : 플랫폼 중립성 확보
-SmartSign앱 자체는 물론 OS마다따로 개발되어야 함
-모든 웹브라우저에서 동일하게 동작
-웹페이지는 브라우저 및 OS마다 따로 구성할 필요 없음 : 가령한 은행이 SmartSign방식으로 웹페이지 구성해놓으면, SmartSign이존재하는 모든 플랫폼의 모든 브라우저에서 인터넷 뱅킹이 가능

특징 3 : 보안 모듈의 중복성 탈피
-뱅킹앱마다 인증서 모듈을 중복해서 갖고 있을 필요없음
-인터넷 뱅킹 웹페이지마다 새롭게 플러그인이 설치될 필요없음

특징 4 : 표준성
-전자서명 메시지는 PKCS#7 준용, 서버 쪽은전혀 바뀔게 없음
-클라이언트 쪽의 SmartSign방식의 국내/국제표준화 추진 예정

특징 5 : 세계최초
-이런 방식은 세계최초

특징 6 : 타분야에 적용가능
-전자서명 뿐만 아니라, 전자지불 및 기타 기존의 플러그인이 설치되어 동작하던 모든 응용에 대체적용 가능

특징 7 : 앱지원
– 브라우저 뿐 아니라 모든 앱에서도 별도 전자서명 모듈없이 동작

특징 8 : PC에서도사용가능
-SmartSign앱만 제공되는 환경이면 PC에서도모든 브라우저에서 플러그인 없이 공인인증서 이용 가능

특징 9 : 보안성
-전자서명이 일어날 때 마다 SmartSign 앱이 사용자 확인 및 PIN입력을 거침. -> 앱에 공인인증서 및 비밀키를 “갖다바치는” 방식과의 차이..
-Usim에 저장 및 usim내에서전자서명 생성으로 보안성 강화

특징 10 : 단일한 인증서 관리
-인증서가 각 앱마다 따로 중복 저장 및 관리되는 일 없음
-인증서를 각 브라우저의 keystore에 넣어서 중복 저장되는 일 없음

http://decisive.egloos.com/5304726