[디지털데일리 이민형기자] W3C 표준 웹크립토(Web Crypto) 애플리케이션 프로그래밍 인터페이스(API)를 사용해 공인인증서를 웹브라우저에 저장하는 형태의 전자서명 기술 개발이 추진된다.

염흥열 순천향대 교수는 14일 서울 팔레스호텔에서 열린 ‘정보보호포럼 조찬세미나’에서 웹크립토API를 사용해 공인인증서를 사용할 수 있도록 하는 프로젝트를 추진한다고 밝혔다.

이 자리에서 염 교수는 “웹크립토API에 포함된 암호화·복호화 방법(Method, 메소드)와 키 입출력 방법을 사용하면 특정 로컬폴더에 공인인증서를 저장하지 않아도 된다”며 “웹브라우저내 키저장소(Key Store)에 접근할 때도 암호를 입력하도록 설계할 수 있으며, 해당 웹브라우저에서 임의로 탈취한 키는 자동 폐기되는 형태로도 만들 수 있다”고 설명했다.

보안업계에서는 공인인증서가 로컬에 저장될 때 ‘NPKI’ 폴더에 저장되는 것을 개선해야 한다고 매번 지적해왔다. 임의의 폴더가 아닌 특정할 수 있는 폴더에 저장이 강제돼 있어 공인인증서 탈취가 더 수월해지기 때문이다.

당초 공인인증, 전자서명 업계에서 저장장소를 강제하지 않으려고 했으나, 금융회사나 솔루션 업체별 상이한 저장장소를 사용할 경우 호환성에 문제가 될 수 있어 현재의 형태가 된 것이다.

염 교수는 “최신 웹브라우저에는 키를 보관할 수 있는 저장공간이 있고, 이 역시도 암호화 등의 보호조치를 통해 안전하게 활용할 수 있다”고 말했다.

이 기술을 활용한 공인인증서 발급방식은 다음과 같다. 우선 웹크립토API를 통해 키(PKI)를 발급받은 뒤 해당 키를 웹브라우저의 키스토어에 저장한다. 공개키와 사용자 정보를 은행에 송신하면, 은행은 그 정보를 공인인증기관에 넘겨준다.

최종적으로 공인인증기관은 은행에서 넘겨받은 정보를 검증한 뒤 키(공인인증서)를 사용자 웹브라우저 키저장소에 보내주게 된다.

공인인증서를 사용할때는 사용자와 은행간 트랜젝션이 발생하는 사이에 웹브라우저 키저장소에 있는 키(공인인증서)를 호출하고, 그 키를 공인인증기관에 전송해 검증작업을 거친다. 인가가 완료된 키는 다시 은행에 전송되고 정상적인 거래로 이어질 수 있다.

이와 관련 염교수는 “이와 같은 방식에도 불구하고 여전히 발생할 수 있는 보안문제는 존재한다. 하지만 최악의 상황만은 가정해 비판만 한다면 새로운 기술은 등장할 수 없다”고 강조했다.

<이민형 기자>kiku@ddaily.co.kr