[디지털데일리 이민형기자] 액티브X(Active-X)와 같은 플러그인을 설치하지 않아도 전자서명이 가능한 공인인증서 솔루션이 등장했다. 이를 개발한 예티소프트(대표 도진혁)는 올해 중 공인인증기관(CA)과 연동을 마친 뒤 본격적인 영업에 나설 계획이다.

30일 강효관 예티소프트 실장은 양재동 AT센터에서 열린 ‘인터넷 이용환경 개선 가이드라인 설명회’에서 HTML5 기반 공인인증서 솔루션과 기술을 소개했다. 이 회사는 지난 4월 한국인터넷진흥원(KISA)로부터 관련 용역을 수주해 솔루션 개발을 진행해왔다.

강 실장은 “HTML5 웹크립토API를 지원하는 웹브라우저에서 별도의 플러그인 없이 전자서명을 할 수 있는 솔루션 개발을 완료했다”며 “인증서 발급에서부터 폐기까지 가능하며, PKCS 라이브러리를 채택해 암호 기능도 갖췄다. 특히 로컬저장소외에 보안토큰, 인증서 지갑, 유심, NFC 등 공인인증서가 탑재되는 모든 저장소와 연동도 마쳤다”고 설명했다.

예티소프트는 지난 2012년 월드와이드웹 컨소시엄(W3C)에 표준으로 제안된 웹크립토API와 공인인증서관리프로토콜(CMP)을 기반으로 솔루션을 개발했다.

웹크립토API는 KISA, ETRI를 비롯해 한국모질라재단 등이 참여한 워킹그룹에서 만들고 있는 표준안으로 웹브라우저 자체에서 전자서명 기능을 구현한 API다. 웹크립토API는 마이크로소프트 인터넷익스플로러11, 크롬(37버전), 파이어폭스, 사파리(개발자버전) 등에 탑재된 상태다.

이번에 개발된 제품은 웹크립토API를 통해 만들어졌기 때문에 HTML5를 지원하는 모든 웹브라우저에서 별도의 개발없이도 사용이 가능하다.

◆“순수 웹기술, 소스코드 변조 위험은 존재”=이번에 개발된 HTML5 기반 공인인증서 솔루션은 별도의 네이티브 애플리케이션(앱) 없이 HTML5로만 구현돼 소스코드 변조에 대한 문제는 내포하고 있다.

공격자가 웹사이트를 해킹해 솔루션의 소스코드를 변경할 경우, 공인인증서가 공격자의 손에 넘어가는 것을 비롯해 비밀번호, 일회용비밀번호(OTP)와 같은 금융정보의 탈취도 가능해진다.

사용자 로컬에 설치돼 실행되는 공인인증서 모듈과 달리 웹사이트 변조만으로 이를 사용하는 모든 사용자들이 취약해질 수 있다는 의미다.

이와 관련 강 실장은 “웹콘텐츠를 안전하게 보호할 수 있는 수단은 반드시 필요하다. 따라서 스크립트 등 주요 코드에 대한 난독화를 해야한다”며 “공인인증서 모듈과 더불어 DOM, 스크립트에 대한 위변조 방지와 무결성 검증 절차를 도입해야 한다”고 말했다.

하지만 스크립트, 코드의 암호화는 사용할 수 없다. 웹브라우저에서 암호화된 코드를 복호화할 수 없기 때문이다. HTML5 기반 공인인증서 솔루션이 널리 확산되려면 소스코드를 보호하고 무결성을 점검하는 방법론도 고민할 필요가 있다.

◆“솔루션의 확산, 패러다임 변화가 필요”=HTML5 기반 공인인증서 솔루션이 출시됐지만 사용자들이 이를 사용하게 되기 까지는 다소 시간이 필요할 것으로 보인다.

우선 공인인증기관(CA)과의 연동이 아직 진행 중에 있으며, 솔루션 도입 수요가 아직까지 많지 않기 때문이다.

현재 금융회사, 오픈마켓, 전자정부 등은 여전히 액티브X 기반 솔루션을 채택해 사용하고 있다. 이는 액티브X를 걷어내라는 것이 정부의 권고사항일뿐 의무사항이 아니기 때문이다. 특히 신규 솔루션 도입에 대한 투자자본수익률(ROI)이 보장되지 않는 한 확산은 요원해 보인다.

강 실장은 “이러한 솔루션이 확산되기 위해서는 패러다임의 변화가 필요하다”며 “추후 경쟁사들이 등장하면 시장이 보다 빠르게 커질 것으로 기대하고 있다”고 설명했다.

일부에서는 신기술 도입에 정부가 앞장서야 한다고 지적했다. 업계 관계자는 “신기술의 확산을 위해서는 전자정부 등에 이 기술을 적용하는 등 레퍼런스 확보에 정부가 도움을 줘야 할 것”이라고 전했다.

이와 관련 임진수 KISA 전자인증팀장은 “신규 솔루션이 확산되려면 정부가 도와줘야 하는 것은 사실이다. 하지만 정부가 특정 기술을 사용하라, 사용하지 말라 라고 하는 것은 오히려 생태계를 해칠 수 있다”며 “다만, 최근 정부에서 HTML5 기술 확산을 위해 시범적으로 전자정부에 해당 솔루션 도입을 검토중인 것으로 알고있다”고 설명했다.

한편 KISA는 예티소프트 이외 보안업체에도 기술을 전파해 시장의 활성화를 꾀할 계획이다.

<이민형 기자>kiku@ddaily.co.kr