-SmartSign앱을 설치하고 웹페이지에서는 SignText() 형태의 javascript을 호출하면 됨
-일부 브라우저에서만 제공되던 SignText()를 앱과 브라우저의 interaction을 통해 모든 브라우저에서 제공하게 된 셈
특징 2 : 플랫폼 중립성 확보
-SmartSign앱 자체는 물론 OS마다따로 개발되어야 함
-모든 웹브라우저에서 동일하게 동작
-웹페이지는 브라우저 및 OS마다 따로 구성할 필요 없음 : 가령한 은행이 SmartSign방식으로 웹페이지 구성해놓으면, SmartSign이존재하는 모든 플랫폼의 모든 브라우저에서 인터넷 뱅킹이 가능
특징 3 : 보안 모듈의 중복성 탈피
-뱅킹앱마다 인증서 모듈을 중복해서 갖고 있을 필요없음
-인터넷 뱅킹 웹페이지마다 새롭게 플러그인이 설치될 필요없음
특징 4 : 표준성
-전자서명 메시지는 PKCS#7 준용, 서버 쪽은전혀 바뀔게 없음
-클라이언트 쪽의 SmartSign방식의 국내/국제표준화 추진 예정
특징 5 : 세계최초
-이런 방식은 세계최초
특징 6 : 타분야에 적용가능
-전자서명 뿐만 아니라, 전자지불 및 기타 기존의 플러그인이 설치되어 동작하던 모든 응용에 대체적용 가능
특징 7 : 앱지원
- 브라우저 뿐 아니라 모든 앱에서도 별도 전자서명 모듈없이 동작
특징 8 : PC에서도사용가능
-SmartSign앱만 제공되는 환경이면 PC에서도모든 브라우저에서 플러그인 없이 공인인증서 이용 가능
특징 9 : 보안성
-전자서명이 일어날 때 마다 SmartSign 앱이 사용자 확인 및 PIN입력을 거침. -> 앱에 공인인증서 및 비밀키를 “갖다바치는” 방식과의 차이..
-Usim에 저장 및 usim내에서전자서명 생성으로 보안성 강화
특징 10 : 단일한 인증서 관리
-인증서가 각 앱마다 따로 중복 저장 및 관리되는 일 없음
-인증서를 각 브라우저의 keystore에 넣어서 중복 저장되는 일 없음
덧글
1. 요약하면 서명부분을 그냥 별도의 플러그인으로 빼내서 ETRI에서 플랫폼별로 개발하겠다는 말이 아닌지요?
(플러그인 방식에 대해 거부감을 가지고 있거나 한 것은 아닙니다. 그냥 요약하면 저렇게 되는게 아니냐는거)
2. 아이폰에서는 어떻게 구현되나요? 보도자료의 그림은 안드로이드 앱이던데요..
사파리 모바일용 플러그인을 설치하는 방법으로 동작하나요?
3. 결국 채널보안 솔루션은 별도로 구현되어야 PC용 인터넷 뱅킹에 준하는 수준의 보안성을 갖게 될텐데;
인증서 관리 작업이 따로 빠져나온 것 이상의 의미가 있는지요?
그냥 어떠한 의미를 갖는지가 궁금해서 문의드립니다.
2. 플러그인이 아닙니다. 1번에서 설명드린대로.. 브라우저 -> 앱 으로 호출됩니다.
3. 스마트폰 웹 브라우저에서 전자서명이 안되지 않느냐.. 이것이 최근 공인인증서 논란의 핵심적 요인이라고 생각합니다. 이부분에 대한 기술적 답이 의미입니다.
그외에 중복설치 배제 => 관리 및 보안 요소 단순화의 의미가 있습니다.
그런데 보도자료에 있는대로 브라우저에서 무엇을 하다가 특정 메소드를 호출했을 때 앱이 뜨는 식이라면, 어떤 형태로든 브라우저와 연결이 되어야 하지 않나요? 그렇게 욕먹는 ActiveX 컨트롤들도 사실상 컨트롤들은 프로그램 띄워주는 런처에 불과한 경우도 많은데요..
또한 아이폰 (자꾸 아이폰 언급해서 죄송합니다만 가장 정책이 뭣같은게 아이폰이다보니) 에서 한 앱이 다른 '독립된' 앱을 띄워주는 형태가 허용이 되던가.. 해서 문의드립니다. 그게 안되면 뱅킹앱이나 쇼핑앱마다 내부에 스마트사인 앱을 번들하는 형태가 되지 않을까 싶어서..
관련 보안업체에 균등하게 기술이전을 한다고 했지만 기술의 특성상 중복을 탈피하기 위해 각 업체에서 중구난방 배포하는것은 아닐듯 한데요...
한업체에서 선점하는 식으로도 아닐듯 하고...
KISA 등 중앙 기관에서 배포한다면 배포/유지보수를 관리하는 사례도 없고...
사실 보안업체에서는 대응에 대해서 애매한 상황이네요~~
어떻게 생각하시는지요?
2010/05/16 22:59 # 답글 
비공개 덧글입니다.만약 그렇게 못해주겠다면 운영체제 별로 프로그램을 설치해야 되는군요.
기존 플러그인 방식에서 뭐가 나아진 건가요.
인증서를 각 브라우저의 keystore 에 저장하는 것?
아무 의미없는 세계 최초?
특징 2의 플랫폼 중립성 확보가 안 되는거 맞죠?
MS, 리눅스, Mac, 안드로이드폰, 아이폰 용의 바이너리 파일 만들어내야 되는데...
플랫폼 중립성 확보라는 말이 이해가 안 됩니다.
스마트사인VM 에서 자바처럼 바이트코드라도 실행시키나요?
플랫폼 중립성이라는 말은 뭔가 착각하고 작성하셨을 듯.
세계최초도 마찬가지.
제가 이 시간에 이렇게 글다는 것은 세계 최초입니다. <== 이거슨 진리. 그러나 아무 의미 없는 세계 최초
그리고, 브라우저에서 signText()와 비슷한 함수를 자바스크립트에서 부를 수 있게 한다고 했습니다. 이것은 지금도 NPAPI 플러그인을 쓰면 브라우저 중립적/독립적인 방법으로 가능합니다. 우리은행이 하는 게 이 방법입니다. (IE만 제외하고요).
이해할 수 없는 것은 외부 애플리케이션을 웹 브라우저에서 자바스크립트로 불러 조종한다는 부분입니다. 무식한 탓인지 그게 어떻게 "현대적인" 브라우저에서 가능한지 모르겠군요.
글이 여러개입니다...
혹시, 스마트폰에도 보안 프로그램 떡칠하는 것은 아니겠지요?
안그래도 조루 빳떼리(표준어: 배터리)인데. ㅠㅠ
뭔가를 설치해야 한다는 것 자체가 마음에 안드는군요.
외국은 SSL 방식을 사용하던데... 차라리 이게 더 나은 것 같습니다..
그 전에 공인인증서가 폐지되야겠지요...
1년 뒤에 이 글이 인용된 이후에 또 많은 댓글(비판)이 달렸습니다. 이때는 블로그를 방치해 놓던 시절이라 댓글을 읽어보지도 않았습니다.
많은 비판 의견을 겸허히 수용합니다.
원 글은 제안/개발자의 마케팅 레토릭으로 이해해 주시면 감사.. (논문이 아니니..)