ETRI Smart Sign 기술 특징 인증/지불/서명/피싱

SmartSign 기술 이란..


특징1 : 모든 웹브라우저에서 공인인증서 기반 전자서명이 가능해짐

-SmartSign앱을 설치하고 웹페이지에서는 SignText() 형태의 javascript을 호출하면 됨

-일부 브라우저에서만 제공되던 SignText()를 앱과 브라우저의 interaction을 통해 모든 브라우저에서 제공하게 된 셈

 

특징 2 : 플랫폼 중립성 확보

 

-SmartSign앱 자체는 물론 OS마다따로 개발되어야 함

-모든 웹브라우저에서 동일하게 동작

-웹페이지는 브라우저 및 OS마다 따로 구성할 필요 없음 : 가령한 은행이 SmartSign방식으로 웹페이지 구성해놓으면, SmartSign이존재하는 모든 플랫폼의 모든 브라우저에서 인터넷 뱅킹이 가능
 

 특징 3 : 보안 모듈의 중복성 탈피

-뱅킹앱마다 인증서 모듈을 중복해서 갖고 있을 필요없음

-인터넷 뱅킹 웹페이지마다 새롭게 플러그인이 설치될 필요없음

 

특징 4 : 표준성

-전자서명 메시지는 PKCS#7 준용, 서버 쪽은전혀 바뀔게 없음

-클라이언트 쪽의 SmartSign방식의 국내/국제표준화 추진 예정

 

특징 5 : 세계최초

-이런 방식은 세계최초

 

특징 6 : 타분야에 적용가능

-전자서명 뿐만 아니라, 전자지불 및 기타 기존의 플러그인이 설치되어 동작하던 모든 응용에 대체적용 가능

 

특징 7 : 앱지원

    - 브라우저 뿐 아니라 모든 앱에서도 별도 전자서명 모듈없이 동작

 

특징 8 :  PC에서도사용가능

-SmartSign앱만 제공되는 환경이면 PC에서도모든 브라우저에서 플러그인 없이 공인인증서 이용 가능

 

특징 9 : 보안성

-전자서명이 일어날 때 마다 SmartSign 앱이 사용자 확인 및 PIN입력을 거침. -> 앱에 공인인증서 및 비밀키를 갖다바치는방식과의 차이..

-Usim에 저장 및 usim내에서전자서명 생성으로 보안성 강화


특징 10 : 단일한 인증서 관리

-인증서가 각 앱마다 따로 중복 저장 및 관리되는 일 없음

-인증서를 각 브라우저의 keystore에 넣어서 중복 저장되는 일 없음



핑백

  • 또하나의 뻘짓 -스마트사인(Smart Sign)- « 김씨의 IT 이야기 2011-03-31 15:27:26 #

    ... 읽어보면 머리 아파지는 글들 http://www.delighit.net/link.php?id=8229 http://openweb.or.kr/?p=3550 http://decisive.egloos.com/5304726 Share this: Digg Facebook Email Print Written by moris Kim 2011/03/31 at 14:01 Po ... more

  • 방통위, ETRI, “스마트 사인”? | Open Web 2011-04-02 19:04:03 #

    ... 전문가들의 활발한 검증 노력이 있었으면 하는 생각이 더욱더 드는군요. 2011.3.31 보안뉴스 보도(오병민 기자님) 2010.4.28 ETRI 보도자료 2010.4.28, 개발에 직접 관여하신 최대선님 블로그 2010.5.3 이유지 기자님 블로그 Categories: 보안, 오픈웹, 정책제안 | View Comments http://moriskim.wor ... more

  • Something odd : 스마트사인 2012-09-17 20:19:35 #

    ... ETRI 스마트사인 기술 특징</a> 글에 걸려 있던 보도자료 링크가 깨져서..뒤늦게 나마 간단한 소개 자료를 올린다. 스마트사인이란 기술을 소개하는 글일 뿐, 공인인증서의 존폐에 관한 어떠한 주장도 담고 있지 않다. 한편, 지금 시점에서 스마트사인은 한물 간 기술이지만, 최초 제안/개발자 입장에서 평하면, 많은 후속 아이디어의 시발점이되었다고 생각한다. ) 최초 개발 목적 플러그인이 되지 않는 스마트폰의 모바일 웹 ... more

덧글

  • ?_?; 2010/04/29 18:22 # 삭제 답글

    보도자료를 읽고 좋은 글 잘 읽어도 이해가 안가는 점이 몇가지 있어서 댓글 남겨봅니다.

    1. 요약하면 서명부분을 그냥 별도의 플러그인으로 빼내서 ETRI에서 플랫폼별로 개발하겠다는 말이 아닌지요?
    (플러그인 방식에 대해 거부감을 가지고 있거나 한 것은 아닙니다. 그냥 요약하면 저렇게 되는게 아니냐는거)

    2. 아이폰에서는 어떻게 구현되나요? 보도자료의 그림은 안드로이드 앱이던데요..
    사파리 모바일용 플러그인을 설치하는 방법으로 동작하나요?

    3. 결국 채널보안 솔루션은 별도로 구현되어야 PC용 인터넷 뱅킹에 준하는 수준의 보안성을 갖게 될텐데;
    인증서 관리 작업이 따로 빠져나온 것 이상의 의미가 있는지요?

    그냥 어떠한 의미를 갖는지가 궁금해서 문의드립니다.
  • Sean 2010/04/29 19:27 # 답글

    1. 별도 앱으로 빼내는 것은 맞습니다. 플러그인은 브라우저별로 다른 방식이고, 저희 앱 방식은 모든 브라우저 공통이라는 차이가 가장 큰 차별점입니다. (플랫폼 중립성 달성)

    2. 플러그인이 아닙니다. 1번에서 설명드린대로.. 브라우저 -> 앱 으로 호출됩니다.

    3. 스마트폰 웹 브라우저에서 전자서명이 안되지 않느냐.. 이것이 최근 공인인증서 논란의 핵심적 요인이라고 생각합니다. 이부분에 대한 기술적 답이 의미입니다.
    그외에 중복설치 배제 => 관리 및 보안 요소 단순화의 의미가 있습니다.
  • ?_?; 2010/04/29 22:47 # 삭제 답글

    옙 답변 감사합니다. 별도 앱이라면 심의 통과에도 큰 문제는 없..을 것 같군요. 워낙 지들 ㅈ대로인 사과사이긴 하지만서도;

    그런데 보도자료에 있는대로 브라우저에서 무엇을 하다가 특정 메소드를 호출했을 때 앱이 뜨는 식이라면, 어떤 형태로든 브라우저와 연결이 되어야 하지 않나요? 그렇게 욕먹는 ActiveX 컨트롤들도 사실상 컨트롤들은 프로그램 띄워주는 런처에 불과한 경우도 많은데요..

    또한 아이폰 (자꾸 아이폰 언급해서 죄송합니다만 가장 정책이 뭣같은게 아이폰이다보니) 에서 한 앱이 다른 '독립된' 앱을 띄워주는 형태가 허용이 되던가.. 해서 문의드립니다. 그게 안되면 뱅킹앱이나 쇼핑앱마다 내부에 스마트사인 앱을 번들하는 형태가 되지 않을까 싶어서..
  • Sean 2010/04/30 10:13 # 답글

    아이폰에서 앱 <-> 앱 연동은 아주 쉽습니다. KT 의 쇼인증서가 이런 방식이죠, 하지만, 웹 <-> 앱 은 그동안 안되고 있었습니다. 그래서 쇼인증서는 앱만 지원하고 웹은 지원하지 못했죠..
  • 궁금 2010/05/10 10:20 # 삭제 답글

    ETRI 에서 표준 및 기술을 이전하게 된다면 과연 누가 이 모듈을 배포하게 될까요?
    관련 보안업체에 균등하게 기술이전을 한다고 했지만 기술의 특성상 중복을 탈피하기 위해 각 업체에서 중구난방 배포하는것은 아닐듯 한데요...
    한업체에서 선점하는 식으로도 아닐듯 하고...
    KISA 등 중앙 기관에서 배포한다면 배포/유지보수를 관리하는 사례도 없고...

    사실 보안업체에서는 대응에 대해서 애매한 상황이네요~~

    어떻게 생각하시는지요?
  • 2010/05/16 22:59 # 답글 비공개

    비공개 덧글입니다.
  • 걱정 2011/03/30 21:42 # 삭제 답글

    이번 기술로 인해 소외받는 브라우저가 적어지긴 하겠지만... OS의 측면에서 보자면 어떨지 모르겠네요. 우분투와 같은 리눅스용 앱이 잘 지원이 될지 걱정이네요.
  • 지나가다 2011/03/31 05:23 # 삭제 답글

    스펙을 공개해주면 오픈 소스로도 제작 가능하겠군요.
    만약 그렇게 못해주겠다면 운영체제 별로 프로그램을 설치해야 되는군요.
    기존 플러그인 방식에서 뭐가 나아진 건가요.
    인증서를 각 브라우저의 keystore 에 저장하는 것?
    아무 의미없는 세계 최초?
  • 나그네.. 2011/03/31 11:34 # 삭제 답글

    위의 글을 쭉 읽다보니.. 결국 기존의 ActivX 방식과 차이가 없는 것으로 보이는데요. 다만 모든 브라우저를 지원하겠다는 의도만 있을뿐인것 같습니다만...
  • 나그네 2011/03/31 11:37 # 삭제 답글

    이럴바엔 결제시 SSL과 휴대폰 또는 이메일 확인 절차를 두는 편이 낫지 않을까요? 은행이나 카드사에 등록된 휴대전화나 이메일을 이용하여 결제를 확인시키고 승인을 받도록 하는게 지금 같은 별도의 프로그램을 설치하는 것보다 훨씬 안전한 방법이 될것 같은데요..
  • 2011/03/31 13:35 # 삭제 답글

    이 보도자료가 ETRI에서 나온 건가요? ETRI 사이트에도 있나요? 이게 ETRI의 공식보도자료 맞나요?
  • nyxity 2011/04/01 12:50 # 삭제 답글

    브라우저에 내장된 인증서 관리 기능을 쓰면 되는 거 아닌가요? 왜 별도로 빼내서 별도 프로그램에 관리하고 호출하게 하는 거죠?
  • 지나가다 2011/04/01 15:04 # 삭제 답글

    프로토콜, 스펙이나 소스가 공개되지 않으면
    특징 2의 플랫폼 중립성 확보가 안 되는거 맞죠?
    MS, 리눅스, Mac, 안드로이드폰, 아이폰 용의 바이너리 파일 만들어내야 되는데...
    플랫폼 중립성 확보라는 말이 이해가 안 됩니다.
    스마트사인VM 에서 자바처럼 바이트코드라도 실행시키나요?
    플랫폼 중립성이라는 말은 뭔가 착각하고 작성하셨을 듯.
    세계최초도 마찬가지.
    제가 이 시간에 이렇게 글다는 것은 세계 최초입니다. <== 이거슨 진리. 그러나 아무 의미 없는 세계 최초
  • 직장인 2011/04/01 18:19 # 삭제 답글

    결국 Native Application? ActiveX와 차이는 브라우져 차이군요. 기술적으로 월등한지는 잘모르겠군요 ... ㅜㅜ 제가 보기엔 PC의 경우 방통위에서 말하는 위험성은 여전하군요ㅎㅎ 누구아시는분 설명좀....
  • ph 2011/04/03 13:45 # 삭제 답글

    플랫폼 중립성이라는 말을 이상한 의미로 쓰시는군요. 그리고, 플러그인이 브라우저마다 다르다는 얘기는 별로 맞지 않고요. 플래시 플러그인을 예롤 들자면, 하나의 플랫폼에서는 모든 브라우저가 공통으로 사용합니다. (예외는 IE용 플래시 플레이어입니다. IE가 NPAPI를 지원하지 않기 때문에 엑티브엑스로 만들어져 있습니다.) 님이 말하는 것은 하나의 플랫폼 안에서 브라우저 중립적/독립적이라는 얘기겠지요.

    그리고, 브라우저에서 signText()와 비슷한 함수를 자바스크립트에서 부를 수 있게 한다고 했습니다. 이것은 지금도 NPAPI 플러그인을 쓰면 브라우저 중립적/독립적인 방법으로 가능합니다. 우리은행이 하는 게 이 방법입니다. (IE만 제외하고요).

    이해할 수 없는 것은 외부 애플리케이션을 웹 브라우저에서 자바스크립트로 불러 조종한다는 부분입니다. 무식한 탓인지 그게 어떻게 "현대적인" 브라우저에서 가능한지 모르겠군요.

  • cp 2011/04/03 21:02 # 삭제 답글

    http://blog.daum.net/blueori/20
    글이 여러개입니다...
  • 지나가다 2011/04/06 15:08 # 삭제 답글

    중계서버와 스마트폰 사이의 보안은 어떻게 하나요?
    혹시, 스마트폰에도 보안 프로그램 떡칠하는 것은 아니겠지요?
    안그래도 조루 빳떼리(표준어: 배터리)인데. ㅠㅠ
  • 독도2005 2011/04/12 18:27 # 삭제 답글

    혹시나 했더니 역시나군요..
    뭔가를 설치해야 한다는 것 자체가 마음에 안드는군요.
    외국은 SSL 방식을 사용하던데... 차라리 이게 더 나은 것 같습니다..
    그 전에 공인인증서가 폐지되야겠지요...
  • Sean 2012/09/17 20:40 # 답글

    2년 전에 글을 올렸는데, 그 때 잠깐 댓글 달리고, 응답해 드렸는데

    1년 뒤에 이 글이 인용된 이후에 또 많은 댓글(비판)이 달렸습니다. 이때는 블로그를 방치해 놓던 시절이라 댓글을 읽어보지도 않았습니다.

    많은 비판 의견을 겸허히 수용합니다.

    원 글은 제안/개발자의 마케팅 레토릭으로 이해해 주시면 감사.. (논문이 아니니..)
댓글 입력 영역