PKI 기술 이용한 웹 서비스 보안 최근 동향
장차법등으로 크로스 브라우징 기법 각광

유넷시스템 기술이사 hanth@unet.kr

PKI(Public Key Infrastructure) 즉, 공개키 기반기술은 네트워크상에서 송수신되는 정보에 대해 기밀성, 무결성, 인증성, 변조방지, 부인방지 등의 기능을 제공하는 보안기술이다.
우리나라는 2000년대 초반부터 웹 서비스의 본격적인 증가, 공인인증서 사용의 대중화, 각종 법제화(개인정보보호법, 정보통신망법, 전자금융거래법, 금융실명거래법 등)가 이루어지면서 각 기관들이 PKI 보안에 많은 투자를 해오고 있으며 현재는 웹 보안을 비롯해 전자우편, 원격접속, 전자문서, 전자상거래, 전자세금계산서, 전자계약, DB 보안 등등 업무시스템 전반에 걸쳐 PKI 보안기술이 적용되고 있다.
그 결과 PKI 보안 기술 및 환경은 세계 최상위 수준을 유지하고 있다고 볼 수 있으며, 신규 정보시스템을 구축할 때 PKI 보안은 필수적으로 도입이 검토되는 중요한 분야로 인식되고 있다.
최근 인터넷 웹 서비스 이용환경이 많이 변화됨에 따라 그에 맞추어 PKI 정보보안 분야도 진화하고 있고, 실제로 최근 1~2년 전부터는 이러한 환경에 대응하기 위해 새로운 PKI 보안 솔루션 도입이 늘어나고 있는 추세다. 특히, 서비스 이용자 측면에서 스마트 기기를 사용하는 모바일 부문과 PC를 사용하는 부문에 대해서 살펴보도록 하겠다.

PKI, 모바일 시장에서 폭발적 성장

2010년도에 국내 모 통신사를 통해 애플 아이폰이 도입되면서 국내 모바일 환경에 일대 변혁이 일어나기 시작했고, 다른 제조사 및 통신사에서 경쟁적으로 스마트폰을 출시하면서 모바일 시장이 폭발적으로 성장했다. 주로 iOS 와 안드로이드 운영체제를 탑재한 스마트폰, 스마트패드 제품이 국내 시장을 거의 장악하고 있는 상황인데, 다음 표는 최근 국내 모바일 운영체제 시장 점유율을 보여주고 있다.

모바일 사용자가 증가하면서 기존에 PC를 대상으로 웹 서비스를 제공하던 서비스 제공자들도 모바일 서비스를 병행 제공하게 됐다. 모바일 서비스가 크게 활성화됨에 따라 공공기관에 공급되는 모바일 서비스에도 PC 서비스에 상응하는 보안수준을 요구하고 있으며, 스마트 기기에 대한 보안 기술이 대두되고 있다.
서비스 제공자는 모바일 앱을 개발하면서 모바일백신, 보안키패드, 모바일 PKI툴킷, 앱 위변조 방지 솔루션을 함께 제공해 보안성을 높이고 있는 추세이며, 기업 업무 수행을 포함하는 스마트 오피스, BYOD(Bring Your Own Device) 환경일 경우는 MDM (모바일 기기관리), MAM(모바일 어플리케이션 관리) 솔루션까지도 도입하고 있다.

경량화 된 보안키패드 제공하는 추세

모바일 서비스는 일반적으로 다음과 같이 세 가지 방식으로 스마트 기기용 응용프로그램을 개발하여 서비스하고 있다. 아래 언급된 방식 중 하이브리드 방식이 가장 많이 사용되고 있는데 이것은 GPS 기능 같이 모바일 OS에서 제공하는 기본기능을 이용함과 동시에 웹 기반의 콘텐츠를 보여 줄 수 있다는 장점 때문이다.
앱 방식과 하이브리드 방식의 앱에서는 라이브러리 형태의 PKI 제품을 이용하여 암호화, 공인인증서 처리를 수행하고 있으며, 경량화된 보안키패드 기능도 같이 제공되는 추세이다.
웹 방식의 경우는 아직 전 세계적으로 거의 사용되고 있지 않으며, 국내의 경우도 극히 소수의 금융기관만이 이 방식으로 모바일 서비스를 하고 있다. 이 방식에서 암호화는 스크립트를 이용한 방식을 사용하고 공인인증서 처리와 경량 보안키패드는 별도의 전용 앱을 통해 해당 기능을 처리하는 방식을 사용하고 있다.

크로스브라우징(Cross-Browsing) PKI

과거에는 전통적인 PC를 대상으로 웹 서비스를 제공하기 시작하면서 서비스 제공자는 구간암호화, 공인인증서 처리 등의 기능을 위해 PKI 제품을 도입하기 시작했고, 대부분의 서비스 제공자와 보안 솔루션 개발업체에서는 윈도우 운영체제와 인터넷 익스플로러만을 지원했다.
보안측면에서는 공인인증서 이용이 크게 활성화되었고 이를 지원하기 위해 PKI 솔루션 개발업체에서는 웹브라우저에 특정 기능을 부여해주는 플러그인 기술을 이용해야 했는데, 윈도우 운영체제와 인터넷익스플로러만을 지원하는 ActiveX 플러그인 기술을 이용했던 것이 일반적이었다.
이처럼 서비스 이용자의 선택권이 제한됨에 따라 ‘오픈웹’ 운동과 같은 노력이 있었으나 큰 성공을 거두지는 못하다가 2~3년 전부터 웹 표준화가 대두됐다. 2013년 4월부터는 장애인 차별 금지법이 발효되면서 웹 접근성 개선이 화두가 되면서 금융기관과 공공기관을 중심으로 해서 크로스브라우징 환경을 지원하기 시작했다.
크로스브라우징이란 사용자가 다양한 운영체제에서 다양한 웹 브라우저로 웹 페이지에 접속하더라도 동일한 사용성과 접근성으로 동일한 결과를 볼 수 있도록 하는 것이다. 시장 점유율은 아직까지는 인터넷 익스플로러가 상당히 높은 상태이나 조금씩 점유율이 줄고 있는 데 비해 크롬 웹 브라우저의 점유율이 조금씩 지속적으로 상승하고 있는 추세이다.
크로스 브라우징은 다음과 같은 두 가지 개념으로 나눌 수 있으며, 현재는 이 두 가지 개념이 혼재되어 사용되고 있다. 서비스 제공자에 따라서 두 가지 방식 중 한 가지 방식으로 서비스를 확대하는 추세이다.
· 크로스플랫폼 + 크로스브라우저 지원 ? 주요 3개 운영체제(윈도우/리눅스/맥OS)에 대해서 주요 5개 웹 브라우저(인터넷익스플로러/크롬/파이어폭스/사파리/오페라 )를 지원
· 윈도우 + 크로스브라우저 지원 ? 윈도우 운영체제에 대해서 주요 5개 웹 브라우저(인터넷익스플로러/크롬/파이어폭스/사파리/오페라 )를 지원
PKI 솔루션 개발업체들도 이러한 환경 변화에 대처하기 위해 자바 애플릿, NP-runtime과 같이 다양한 운영체제, 다양한 웹 브라우저를 지원할 수 있는 플러그인 기술을 적용하여 제품을 공급하고 있다. 두 가지 방식을 비교하면 다음의 표와 같다.

서비스제공자의 투자와 관심 절실

크로스 브라우징 환경 초기에는 자바 애플릿을 이용하는 방법을 사용하였으나, 최근에는 NP-runtime 과 같이 네이티브 플러그인 방식을 많이 도입하는 추세이다.
PKI 보안은 서비스 제공자의 보안 인프라 측면에서 가장 기본적이고 중요한 부분이다. 이런 의미에서 최근의 업계 구축 동향을 이해하는 것은 서비스 제공자에게 있어서 향후 2~3년의 PKI 보안 인프라를 구축하는 데 중요한 밑거름이 될 것임에 분명하다.
인터넷 이용 환경이 점점 더 다양해짐에 따라서 서비스 제공자는 이전보다 정보보안에 더 많은 투자와 관심을 가져야 하는 상황이고 그 중심에 PKI가 자리잡고 있다. 서비스 이용자의 개인정보를 보호하고 서비스 제공자의 자산을 보호한다는 분명한 명제 하에서 PKI 보안은 과거, 현재, 그리고 미래에 있어서도 결코 간과할 수 없는 정보보안 분야이다.

한태현 유넷시스템 이사

순천향대학교 전산학과 졸업
숭실대학교 컴퓨터학과 대학원 졸업

1996년~2000년 청호컴넷
2000년~2001년 ASE Korea
2001년~2002년 프리랜서
2002년~2003년 시큐아이닷컴
2003년~현재   유넷시스템 연구소 PKI 총괄이사