공인인증 기술 개발 히스토리 인증/지불/서명/피싱


l 
업체 방식

90년대 후반에 SSLeay 라는 오픈 툴킷이 있었다. 이게 현재 OpenSSL의 전신


S
사와 I사가 이를 바탕으로 인증 및 채널 암호화 솔루션을 만들어 팔았다. SSL 대신 자체 솔루션솔 쓴 것은 잘 알려진대로, 당시에는 SSL의 암호알고리즘이 40bit RC4로 제한되어있었기 때문이다. 인증 및 채널 암호화에 필요한 인증서는 은행마다 사설 CA를 구축해서 공급했다.


왼쪽에 있는 것이 채널암호화를 위한 클라이언트 모듈이고 이는 처음부터 ActiveX 또는 netscape plug-in 방식이었다. (당시에는 이 2가지 브라우저 밖에 없었다
)

<공인인증체계 이전 사설 PKI 솔루션 구성>


l  ETRI 개발 CA 시스템

1999년 당시 정부에서는 전자서명법을 기반으로 공인인증체계를 만들고자 했다.

은행들도 각자의 CA를 버리고 금융결제원에서 제공하는 공인CA 서비스를 받으려고 했다.

 

당시 ETRI SSLeay를 이용한 것이 아닌 자체 풀 솔루션을 보유하고 있었고, 공인인증기관이 되려는 금융결제원과 한국증권전산의 요청에 따라 공인 CA 서버 시스템을 개발, 구축하게 된다. 필자도 이 프로젝트에 연구원으로 처음부터 끝까지 참여하여 시스템 설계 및 개발을 수행했다.

 

업체가 이미 갖고 있던 사설방식의 CA대신 ETRI의 국제표준 방식의 CA 시스템이 채택된 것은 사설 방식에 보안상 결함이 있었기 때문이었다. 사설 방식에서는 클라이언트가 인증서를 요청할 때 PKCS#10방식을 사용했었는데 PKCS#10에서는 공격자가 이를 변조해서  자기의 키쌍을 집어 넣어도 알수가 없게 된다(Man in the middle attack).

 

개발된 공인인증시스템 클라이언트는 아래와 같은 모양을 띄었다. 클라이언트는 애플리케이션용 API, ActiveX, netscape plug-in 이렇게 3가지 방식으로 제공되었다. 당시에는 IE netscape밖에 없었기 때문이다.

 

금결원과 증권이외의 나머지 4 CA ETRI로부터 기술이전을 받은 업체가 CA서버를 구축 납품했고, 서버 및 클라이언트 모듈은 30여 개가 넘는 업체에 기술이전이 되었다.




<ETRI 개발 공인PKI 시스템 구조>

l  공인인증체계 출범 뒤

S사와 I사 같은 업체는 공인인증체계 출범과 함께 은행 CA시장을 잃어버리게 되었다. 그렇지만 그들은 여전히 인증 및 암호 채널 툴킷을 팔길 원했다. 따라서 공인인증시스템에 기존의 자신들의 인증 및 채널 암호화 솔루션을 결합하여 클라이언트와 서버 모듈을 판매하게 되었다.


<공인인증체계이후 PKI 솔루션구조>



모든 은행의 공인인증서 클라이언트 모양이 비슷한 것은 이 때문이다. (ETRI에서 이전한 클라이언트 틀 유지)



클라이언트는 HTS 등 애플리케이션용 API형태로 HTS에 결합되거나 ActiveX 방식으로 웹브라우저에 연동되어 구축되기 시작했다. ActiveX 위주로 구성된 것은 이렇게 시장이 흘러갔기 때문이며, 업체별로 타 플랫폼 지원 버전을 출시하기도 했다. 아무튼 이런 형태로 현재까지 흘러왔고, ETRI는 기술 개발 및 기술이전 후는 시장에서는 멀어져 PKI 고도화 기술 (OCSP, SCVP, VA시스템, 무선PKI 시스템)을 개발하게 된다. 원래 ETRI는 솔루션업체에 기술이전을 하고나면 시장과는 무관한 기관이다. 2003년부터는 연구소레벨에서 PKI관련해서 더 이상 개발할 것도 없었고 해서, SSO, ID 관리 기술 개발로 자연스럽게 전환하게 되었다.


핑백

  • Something odd : 스마트사인 2012-09-18 09:57:34 #

    ... 공인인증기술 개발 히스토리</a> (개발에 참여했던 공인인증 기술의 간략한 히스토리)기본 아이디어 독립적 App (SmartSign App)을 설치SmartSign App 에서 인증서와 비밀키를 가지고 전자서명을 수행웹브라우저에서 url protocol을 통해 SmartSign App을 호출 * url protocol : 브라우저와 애플리케이션이 통신하기 위한 표준 방식으로 모든 플랫폼에서 지원되는 방식구체적인 방법 공인인증 ... more

덧글

  • 김영훈 2015/08/05 10:30 # 삭제 답글

    국내 공인인증기술에 대한 스토리를 잘 보고 갑니다. 좋은 글을 써주셔서 감사합니다.
댓글 입력 영역