Mozilla는 구글, W3C와 함께 웹 기반 인증 기술 확보를 위한 표준 기술 개발에 나섰다.
웹 기반 암호 기술을 적용할 수 있는 JavaScript API가 부재했기 때문에 많은 인증 기술들이 서드파티 플러그인에 의존할 수 밖에 없는 현실을 바꾸기 위해서다.
특히, 지난 1999년 부터 액티브X나 NP 플러그인 기반의 공인 인증 기술을 법적 테두리 안에서 강제했기 때문에 많은 사용자들이 인터넷 뱅킹, 카드 결제 및 각종 공공 업무를 볼 때, IE를 벗어나기 어려운 상태가 지속되고 있어 사용자들의 브라우저 선택이 사실상 불가능한 실정이다.
국내 PKI 업체나 KISA에서 공인 인증과 전자 서명과 같은 인프라를 글로벌 표준으로 만들려는 노력이 지지부진한 탓에 우리 나라는 최고의 인터넷 인프라와 사용자를 가지고도 갈라파고스에 걸맞는 상태가 되었다.
개인적으로 직접 W3C HTML W/G이나 WebApps W/G으로 계속적인 노력을 해오다가 (전자 서명 웹 표준화 안되나? 필독!) 그 뒤로 Mozilla에서 직접 관심을 가져 주도록 요청을 했다.
다행히 2008년 미첼 베이커 의장의 한국 방문 때 부터 이러한 문제를 인지하고 시작한 이후 2010년 보안 기술 총괄인 루카스 아담스키의 한국 방문 및 2011년 4월 안드레아스 갈 방문 이후에 지원 계획을 구체화 하여 Mozilla 내부에서 프로토타입 및 스펙 개발이 시작되었다.
데이비드 달 및 브라이언 스미스 중심으로 개발되고 있는 DOMCrypt API는 지난 5월 부터 프로토타입을 개발하기 시작하여, 일차적인 구현 및 테스트를 진행하였다 .이러한 움직임에 힘을 실어주기 위해 지난 8월에 W3C WebCrypto Community Group을 만들어 다양한 의견을 모으고 있다.
마침내 11월 W3C TPAC 회의에 상정되어 별도의 표준 워킹 그룹을 발족을 제안하고 만들기로 결정되었다. 이후에 국내 여러 PKI 전문가들과 실제 표준화 주도자들과 연결해서 의견을 나누고 있는 중이다.
DOMCrypt API를 기초로 W3C가 만들 Web Cryptography API는 매우 기본적 수준의 암호 및 복호화, 키페어 생성, 관리, 서명 정도를 지원하고 개인 인증서를 비롯한 브라우저ID 같은 신원 확인 기능, 웹 PKI 기반 인증 및 서명, 콘텐츠 암호화 등 다양한 곳에 사용될 수 있을 것으로 예상된다.
내년 초 새로운 W/G이 만들어지고, Firefox와 Chrome에 당장 WebCryptography API를 탑재하게 되면, 일단 NPKI 디렉토리에 있는 개인 공인인증서를 브라우저 키 저장소로 옮겨 전자 서명이 가능해 진다. (물론 브라우저 기반 서명에 대한 보안 가이드라인이 만들어 지면, 공인 인증 체계 자체가 플러그인이 아닌 브라우저에서 구현 가능해 질 것으로 예상된다.)
현재 많은 은행들이 비 IE에서 플러그인 공인 인증 서비스를 앞다투어 시작하고 있는데, 향후에는 플러그인을 걷어낼 수 있을 뿐 아니라 모바일에서도 별도 앱 없는 공인 인증 서비스 시대가 열릴 수 있다.
WebCryptography API 관련자료
본 글은 Mozilla AsiaCamp 후기로서 최근 Mozilla 커뮤니티의 웹 기술 혁신 시리즈로 연재할 예정입니다.
No comments yet
Post a comment