기술규격6.1 개정 제안

2010.02.06 글쓴이 youknowit

공인인증기관간 상호연동을 위한 사용자 인터페이스 기술규격

[version 2.0 초안]

I. 제안 이유

현행 규격은 웹브라우저가 고강도 암호화 교신 능력이 없던 시절(90년대 말), 별도의 플러그인(plugin)으로 128bit 암호화 교신 및 인증서 이용을 하던 사정을 전제로 마련된 것입니다.

그러나, 2000년 초부터 전세계에 배포된 웹브라우저는 128bit 암호화 교신 기능이 기본으로 장착되어 있고, 현재 주요 웹브라우저는 256bit 암호화 교신 능력을 제공하므로 이점을 반영하여 공인인증서 저장위치를 국제적 기술 관행에 맞게 수정하고자 합니다.

II. 제안 핵심내용

개인인증서(client certificate)는 다음 용도로 사용될 수 있습니다:

  • 인증서 로그인(client certificate authentication)
  • 웹 기반으로 이루어지는 거래 내역에 대한 전자서명(html form data 형태로 제출되는 내용에 대한 전자서명)
  • 이메일, pdf 파일, doc, odf 등 문서 파일에 대한 전자서명

현행 규격은 여러 매체(하드디스크, USB, 플로피, CD-ROM 등) 별로 NPKI 폴더에 인증서와 개인키를 저장하도록 하고 있습니다. 인증서를 이렇게 저장할 경우, 별도의 플러그인 없이는 위에 적은 어떠한 용도로도 공인인증서를 사용할 수 없게 됩니다.

세계 각국에서 안정적으로 사용되는 방식으로 인증서를 저장하면, 인증서 로그인은 별도 플러그인 없이 가능하고, 이메일, pdf 파일, 기타 문서 파일에 대한 전자서명도 메일 프로그램, 문서 처리 프로그램들이 이미 구비하고 있는 기능을 사용하여 할 수 있게 됩니다.

서비스 제공자의 입장에서는

  • 인증서 로그인만으로 충분한 서비스의 경우에는 별도 플러그인을 배포할 필요가 없게되고,
  • 거래 내역(html form data) 전자서명을 원하는 사업자는 플러그인을 배포하여 서비스를 제공하면 됩니다.

“무조건” 별도 플러그인을 사용해야만 하도록 공인인증서를 저장하는 현행 기술 규격은 합리적 근거가 없어 보입니다.

개정안의 핵심 내용은 다음과 같습니다. 구현 사례 예시는 여기 참조.

7.1 저장매체 및 방법

공인인증서는 가입자의 선택에 따라 하드웨어적 보안토큰에 PKCS#11 양식으로 저장하거나, 웹브라우저의 인증서 저장 장치(software security device)에 저장할 수 있게 해야 한다.

III. 최상위 인증기관 인증서 설치

현행 규격은 공인인증서를 발급받는 전제 조건으로서, 가입자(user)들이 최상위 인증기관(KISA) 인증서를 신뢰하도록 강요하고 있습니다. MS IE 외의 웹브라우저들은 KISA를 신뢰된 인증기관으로 인정하지 않기 때문에(여기 참조) 이런 규정을 넣어둔 것으로 보입니다. KISA가 웹브라우저들로부터 신뢰받는 인증기관이라면, 개인들이 KISA의 루트인증서를 일일이 자신의 컴퓨터에 설치해야 할 필요는 없었겠지요. 개인들에게 KISA를 믿으라고 강요할 것이 아니라, KISA가 웹브라우저에 의해서 신뢰받도록 노력했으면 좋겠습니다.

어쨋건, KISA의 루트인증서를 개인들이 자기 컴퓨터에 설치하는 과정은 별도의 소프트웨어가 필요한 것이 아닙니다. KISA의 홈페이지에 제공된 인증서 다운로드 링크[1]를 클릭하면 웹브라우저는 다음과 같이 그 인증서를 믿을 것인지 묻습니다..

루트인증서 신뢰여부를 확인하는 창

인증서 “보기”를 누르면 다음과 같은 창이 나타납니다.

KISA 루트인증서 자세히 보기

여기 나타나는 손도장(SHA1 finger print)을 KISA 홈페이지에 게시된 손도장과 대조하면, 인증서 변조여부를 확인할 수 있습니다.[2]

IV. 인증서 관리자 UI

현행 규격은 인증서 관리자 UI 구현 예시를 자세히 제시하고 있는데, 사실 이것은 웹브라우저가 이미 제공하는 것입니다. 예를 들어, 파이어폭스의 인증서 관리자 UI는 아래 왼쪽 그림과 같이 생겼습니다. 공인인증기관이 별도 플러그인 형태로 제공하는 공인인증서 UI 도 별반 다를 바가 없습니다(아래 오른쪽 그림):

현행 공인인증 UI 관련 기술 규격은 웹브라우저의 인증서 UI보다 우월하거나 더욱 편리한 어떤 기능을 제공하겠다는 것이 아니라, 웹브라우저에 이미 있는 인증서 UI를 플러그인으로 한번 모방해 보는 수준입니다.

그것을 위해 온국민이 플러그인을 설치하느라 컴퓨터가 거덜날 지경에 이른 현재의 사태는 이제 좀 개선되었으면 좋겠습니다.

거래내역 전자서명

거래내역(html form data) 전자서명에 관해서는 이미 국제적으로 여러 전문가들이 참여하여 마련된 서명문 구문양식에 관한 표준이 있습니다(XML-DSIG). 이것보다 나은 어떤 기준을 제정하여 국제적으로 기여할 것이 아니라면, 굳이 한국에서만 별도의 기술규격을 채택할 합리적 이유는 없을 것입니다.

어쨋건, 기술규격6.1은 공인인증서의 저장 위치와 저장 방법에 관한 것일 뿐, 거래내역 전자서명에 관한 것이 아닙니다.

그러나, 웹브라우저가 인식할 수 있는 위치에 공인인증서가 저장되어 있으면 거래 내역 전자서명도 오히려 더 수월하게 구현 할 수 있고, 그런 프로그램은 외국에 수출할 가능성이라도 생기게 된다는 점도 고려할 부분입니다.

기술 규격6.1에 관한 제안은 거래내역 서명이 필요없다거나, 해서는 안된다는 주장이 아닙니다. 거래내역 서명을 원하는 사업자는 플러그인을 배포해서 내역 서명을 하고, 인증서 로그인만을 원하는 사업자는 플러그인을 사용하지 않아도 되도록 사업자의 선택권을 보장해 줘야 한다는 내용입니다.

++++++++++++

[1] 현재 이 링크는 http 접속을 하고 있는데, 루트인증서 다운로드를 http 접속으로 하는 것은 적절하지 않으므로 https 접속으로 수정하셨으면 좋겠습니다.

[2] KISA의 이 페이지를 MS IE 외의 웹브라우저로 접속하면 믿을 수 없는 웹페이지라는 경고가 뜹니다. 주요 웹브라우저가 모두 믿는 저명 인증기관으로부터 서버인증서를 발급받으면 이런 일은 없습니다.

  • 땡글마눌

    KISA에 제안할 때 꼭 하고 싶은 말은 “세계1위 전자정부”로서 수출기업에 지재권을 주는 식의 지원이 우선 될 것이 아니라, 세계 어디에나 이식할 수 있는 뛰어난 모범이 되도록 진정한 1위 다운 시스템이 되게 해줬으면 한다는 것입니다. 금년도 상반기에도 많은 전자정부 사업이 발주될터인데, 새로운 사업일수록 6.1, 6.6규격에 따라 제안을 하게 될텐데요. 이제부터라도 바로잡아야 하지 않겠습니까?