| [ garbages ] in KIDS 글 쓴 이(By): cookie () 날 짜 (Date): 2011년 04월 04일 (월) 오후 01시 05분 27초 제 목(Title): 공인인증서, Smart Sign, 표준... 정부가 Active X를 폐지한다고 하길래 좋아 했더니 ETRI 에서 개발한 Smart Sign 으로 대체 하겠다길래 그게 뭔가 먹는 건가 입는 건가 좀 살펴 봤다. 공인 인증서을 쓴다는 것 까지는 받아들일 수 있다. 나름의 장단점이 있으니까 정책선택으로 받아들일수 있다. 하지만 또 별도의 새로운 fancy한 표준을 만들지 말라. 지금은 인터넷 뱅킹이 처음 시작되던 그리고 Window 를 포함한 대부분의 OS에 PKI API가 전혀 없던 1999년이 아니다. 윈도에는 이제 자체적 Crypto API가 있고 IE 는 그걸 사용하고 있다. Firefox 등도 Plugin API 등에서 Java Crypto 등 PKI 서명을 할수 있는 Portable 한 API가 있다. Apple OS X 나 iOS 에도 Cryto API를 가지고 있다. Linux 도 마찬가지이고 Android OS , Window Mobile 7도 마찬가지이다. 파폭에는 NSS (Network Security Services) 라는 게 있다. 이제 근대적 OS/브라우저 치고 PKI API가 없는 OS는 거의 없다. 이들은 모두 시스템에서 secure key storage 를 제공하고 인증서/키 관리에 필요한 도구들을 이미 제공하고 있다. 스마트 카드 API도 다 가지고 있다. 시장에 제품도 이미 많이 나와 있다. 이제 웹브라우저에서 서명하는 것도 Active-X 쓰지 않고 웹에서건 어플에서건 쉽게 할수 있다. 꼭 별도의 프로토콜을 만들어야 하는 게 아니다. 다시한번 말하지만 지금은 1999년 처럼 은행이 직접 보안 인프라 API를 만들어 써야 시대가 아니니 시스템이 제공하는 걸 그냥 써라. 그게 그 인증서을 다른 어플들도 똑같이 공용하게 하는 가장 자연스럽고 권장할 만한 방법이다. 기본적인 안전성을 보장하기위한 인증서 이용 (프로그래밍) 가이드 라인은 필요하겠지만 API로 특정 방식을 사용하도록 제한하지말라. 필요한 것은 (보안과 무관한) 뱅킹 트랜잭션 자체에 대한 표준화가 필요할 뿐이다. OFX over SSL도 괜찮다고 본다. 다만 각 플랫폼의 원래 인증서/키의 설치나 관리 프로그램이 컴퓨터 초보에게는 그렇게 편리 하지 않을 수도 있으니까 이를 좀 쉽게 하는 차원의 도우미 프로그램은 보급할 수 있다고 본다. |