최신 보안 뉴스

보안 및 IT 분야의 최신 뉴스를 정확하고 신속하게 전해드립니다.

"보안수준 타협 없어도 노플러그인 결제·뱅킹 가능"

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

 "이용자에게 강제적인 플러그인 설치를 유도하는 사용자인터페이스(UI)를 개선해가는 노력이 필요하다. 기존 보안수준을 유지하며 플러그인 설치 없이 온라인 쇼핑 웹사이트의 결제 수단 등록부터 결제까지 가능하고, 인터넷 뱅킹 금융거래도 할 수 있다."

 

한국인터넷진흥원(KISA) 인터넷기반본부 인터넷기반단 최영준 인터넷기반조성팀장은 28일 오전 열린 '민간웹사이트 플러그인 개선 가이드라인(안) 설명회' 자리에서 이같이 말했다. IT운영 측면에서 온라인쇼핑몰 결제와 인터넷뱅킹 이용자에게 '보안' 명목으로 요구했던 액티브X 및 실행파일(EXE) 방식의 부가 프로그램 설치를 강제할 명분이 사실상 없다는 의미 얘기라 눈길을 끈다.

 

최 팀장은 이달말 최종 편집해 500대 민간사이트 운영사에게 배포할 가이드라인(안) 내용을 발표했다. 가이드라인을 수용해 노플러그인 사이트를 구축할 민간사이트 운영사 대상으로 추진중인 정부지원사업과 컨설팅 제공 서비스도 소개했다. 웹표준 진단도구와 통계정보를 갖춘 온라인 기술지원센터, 행정안전부 및 금융위원회와 협력해 진행 중인 대국민 브라우저 업그레이드 캠페인도 언급했다.

 


 

최 팀장은 인터넷쇼핑몰 온라인결제, 은행 웹사이트의 인터넷뱅킹 및 문서발급서비스에 적용된 플러그인, 그외 업종에서 활용되고 있는 플러그인기반 멀티미디어 콘텐츠 및 문서제공 서비스 모두 플러그인 무설치 방식으로 개선할 수 있다고 설명했다. 설명회에서 발표된 가이드라인 주요 내용을 아래에 정리했다.

 

■ 플러그인 설치 없는 온라인결제 가능하다

 

KISA에 따르면 민간 500대 사이트 중 200여곳이 온라인결제용 플러그인을 사용하고 있다. 이용자 구매 버튼을 눌렀을 때 전자결제 창이 뜨게 만드는 서비스다. 이 창에서 필요한 프로그램을 설치하게 한 뒤 카드사 결제 또는 현금결제 단계로 넘어간다. 여기에는 키보드보안, 방화벽, 백신, 소위 '보안3종세트'라 불리는 프로그램 동작을 위한 플러그인이 설치된다. 또 거래시 전자서명용 공인인증서 동작 프로그램과 결제사의 사기탐지시스템(FDS) 활용을 위한 이용자 시스템정보확인 프로그램도 깔린다. 대략 총 6가지 플러그인 설치가 진행된다.

 

그러나 이미 플러그인 없는 온라인결제 서비스를 구현할 수 있다. 결제시 인증 및 전자서명 프로그램은 웹표준 방식으로 해결 가능하다. 키보드보안 프로그램을 쓰는 대신 무설치로 구현 가능한 가상키보드를 쓰게 하면 역시 웹표준으로 구현된 솔루션을 쓰면 된다. 또 방화벽 프로그램은 강제가 아니라 설치 선택권을 제공하는 방식으로 프로세스를 바꿀 수 있다. PG사를 통해 온라인결제를 처리하는 쇼핑몰은 이런 솔루션을 이미 도입한 PG사에 요청해 쇼핑몰에 구축된 플러그인 기반 결제 페이지를 무설치 방식으로 전환할 수 있다.

 

최 팀장은 "PG사가 기술지원을 병행 안내 중이며 요청시 웹사이트 운영사에 추가비용 없이 전환이 가능할 수 있다"며 "키보드보안의 경우 가상키보드를 제공하되, 시각장애인 접근성 지원 등으로 필요하다고 판단하면 이용자가 쓸 수 있게 선택해 제공하는 방식으로 프로세스를 바꾸면 된다"고 설명했다.

 

그는 "하나카드, 11페이, 스마일페이 등 전업카드사와 은행계열 카드사에서 제공하는 간편결제 수단을 이용하면 플러그인을 쓰지 않고 처리할 수 있다"며 "쇼핑몰과 웹사이트 운영사는 물론 기존 ISP나 결제수단을 제공해야겠지만, 플러그인 설치를 원치 않는 이용자에게 그런 간편결제나 모바일 앱카드를 결제수단으로 선택할 수 있게 제공하는 게 바람직하다"고 덧붙였다. 그는 11번가의 11페이나 교육사이트 '야나두'에 구현된 전자결제 창 모듈이 플러그인 설치 없이 결제수단 등록부터 앱카드 등 간편결제나 카드결제까지 되는 모범사례라 꼽았다.

 

■ 플러그인설치 없는 인터넷뱅킹도 가능하다

 

KISA에 따르면 500대 웹사이트 중 인터넷뱅킹을 제공하는 42곳의 웹사이트에서 240~250개에 달하는 플러그인을 사용중이다. 이는 앞서 언급된 보안3종세트는 물론이고, 전자서명용 공인인증서와 FDS용 이용자시스템정보 확인 프로그램, 금융사에서 제공하는 발급문서위변조방지 프로그램 등 7종의 플러그인을 포함한다. 발급문서위변조방지를 제외하면 모두 앞서 언급된 플러그인이고, 따라서 웹표준 기술로 전환하거나 기존 프로세스를 개선하는 방식으로 전환할 수 있다.

 

특히 공인인증서를 사용한 전자서명 프로그램은 웹표준으로 구현된 금융결제원 또는 코스콤의 브라우저인증서 솔루션을 쓰면 된다. 브라우저인증서는 HTML5에 대응하는 웹표준 브라우저가 지원하는 '웹스토리지' 영역에 발급, 저장된다.

 

최 팀장은 "인터넷뱅킹은 사람들이 온라인결제 다음으로 많은 불편을 느끼는 서비스인데, 결제와 마찬가지로 웹표준 전환이나 프로세스 개선을 통한 프로그램 무설치 서비스가 가능하다"며 "다양한 인증수단과 브라우저인증서 기술이 제공되는 환경이 만들어져 공인인증서 전자서명 부분을 충분히 개선할 수 있다"고 말했다. 이어 "특히 보안 측면을 중시하고 있는 인터넷뱅킹 등 금융서비스 운영환경에서도 기존 보안수준을 유지하면서 플러그인을 개선할 수 있다. KB국민은행, 대구은행, 삼성카드 등이 노플러그인 이용환경을 제공한다"고 덧붙였다.

 

전자문서 발급서비스 시나리오에서는 우리은행처럼 프로세스 개선과 대체솔루션을 함께 적용하는 접근이 가능하다. 우리은행은 문서발급단계에 위변조방지 프로그램 설치를 강제하는 대신, 서버단에 2차원 바코드를 생성해서 발급문서의 위변조여부를 확인하게 했다. 주민등록등본이나 학교의 졸업증서처럼 발급한 출력문서에는 일련번호가 부여되고, 사후 확인시점에 그 일련번호를 대조해서 진위확인을 하는 방식이다.

 

■ 플래시·멀티미디어·전자문서·기타 콘텐츠 제거도 가능하다

 

최 팀장에 따르면 아직 국내에는 플래시기반 콘텐츠가 광고 및 교육 시장에서 많이 쓰이고 있다. 500대 웹사이트에서 200여개 플러그인이 돌아가고 있다. 외국에선 인터넷광고협의회나 구글같은 대형사업자가 주도해 플래시 사용을 지양하거나 퇴출하고 있는 상황과 대비된다. 플래시 플러그인을 개발하고 제공하는 어도비에서도 웹콘텐츠플랫폼 주도권을 HTML5 표준에 넘긴 지 오래다.

 

최 팀장은 "플래시를 웹표준으로 전환하기에 (이유가) 충분한 상황"이라며 얼마간 개발 공수를 투입하면 웹표준 전환이 가능한 기술이라고 설명했다. 기본적으로 플래시를 웹표준으로 변환하는 도구를 쓰는 것부터 시작하지만 변환 이후 필요시 개발자가 결과물을 세세히 건드려야 할 여지도 있다고 덧붙였다. 그는 "이를 위해 기업들이 예산을 별도 책정하거나 정부의 500대웹사이트 대상 전환지원사업 안내를 참고해 활용하기 바란다"고 말했다.

 

플래시같은 동적콘텐츠 외에 동영상, 음악, 화상회의 등 멀티미디어콘텐츠 역시 웹표준으로 전환 가능한 영역으로 꼽혔다. 음악과 동영상 단순재생은 태그를 웹표준으로 사용해 구현하면 가능하다. 화상회의는 양방향 실시간 멀티미디어 스트리밍과 화상회의를 구현하기에 알맞도록 개발된 웹표준 '웹RTC' 기술을 도입하라는 조언이 이어졌다. 디지털저작권관리(DRM) 기술에 의존하고 있는 유료 콘텐츠서비스는 지난해 넷플릭스 사례처럼 '암호화미디어확장(EME)'을 적용할 수 있다고 한다.

 

이밖에 그리드컴포넌트, 리포팅, 웹에디터 등 웹에서 전자문서 콘텐츠를 다루는 기술 역시 다양한 오픈소스 프로젝트와 상용 솔루션 제품이 존재해 필요에 맞게 선택할 수 있는 상황이다. 모범사례로 서울과학기술대학교, 국토교통부, 행정안전부 등이 꼽혔다. 또 파일 업로드 및 다운로드 서비스에서 플러그인 설치는 다중파일 다운로드 및 이어받기 등 고급기능을 원하는 경우에만 제공하고, 일반적으로는 웹표준 파일API 기능을 쓸 수 있다. 통신데이터암호화 프로그램은 SSL인증서를 통한 HTTPS 접속으로 바꾸면 필요 없다.

 

■ "가이드라인 일률적 적용 한계…전환 컨설팅 신청하라"

 

최 팀장은 정부가 민간 500대 사이트의 플러그인제거를 위해 수년간 지원사업을 추진해왔다고 밝혔다. 웹사이트 운영사가 플러그인 제거를 목적으로 지원사업을 신청하면, 운영사가 배정한 예산에 따라 매칭펀드 형태로 지원할 수 있다고 설명했다. 그는 KISA측에 문의시 세부 지원사업 안내를 받을 수 있다고 덧붙였다. 또 운영사가 자체 현황 파악 차원에서 플러그인을 어떤걸 써야할지, 전환시 유용한 기술이 무엇인지 등을 구체적으로 알려면 KISA가 제공하는 컨설팅 신청을 하라고도 안내했다.

 

최 팀장은 "플러그인 설치에 의존해 온 웹사이트 운영사들에게 저마다 보안수준을 유지하되 강제적인 플러그이 설치 UI를 개선하려는 노력이 필요한 상황이고, 여기 참석자 가운데 내년 용역발주나 제안요청서를 받고 있는 분들은 유지보수업체에 플러그인 제거 내용을 포함하도록 요구하면 좋을 것"이라고 언급했다. 이어 "웹표준 기술을 통한 플러그인 무설치 방식 서비스로의 전환은 최신 웹기술을 쓰지 못하는 구버전 브라우저 사용자의 업그레이드 안내 공지와 병행해 진행돼야 한다"고 덧붙였다.

 

설명회 현장에선 최 팀장의 발표에 이어 'NHN한국사이버결제'와 'KB국민은행' 및 '금융결제원' 등의 노플러그인 기술 전환 구축 사례 발표가 진행됐다. 각 발표자들은 공통적으로 온라인 결제 및 뱅킹 서비스 환경에서 액티브X를 비롯한 부가프로그램 설치 환경을 웹표준 방식으로 효과적으로 전환하면서 종전 방식대비 보안수준을 유지하거나 개선한 측면도 있다는 입장을 제시했다. 다만 KB국민은행 측은 설치프로그램을 통한 단말거래수집을 대신해 FDS에서 참조할 이상거래탐지 근거를 확보할 방안을 발전시켜나갈 여지가 있다고 봤다.

 

이밖에 마이크로소프트(MS) 측 발표자가 참석해 윈도10에 엣지 및 인터넷익스플로러(IE) 두 브라우저가 공존하고 있다는 사실의 함의를 설명했다. 그에 따르면 엣지 브라우저는 향후 꾸준히 HTML5 및 차세대 웹표준 기술을 수용해 발전해 나갈 운영체제 기본 브라우저다. IE11은 기존 IE7 및 IE8 기반으로 구축된 솔루션을 여전히 쓰고 있는 환경에 호환성을 제공하는 수단일 뿐 후속 기능 추가나 메이저 업그레이드는 예정돼 있지 않은 브라우저로, 여기서만 동작하는 액티브X 및 비주얼베이직스크립트(VBscript) 등에 의존하지 않는 편이 현명하다.

  • ZDNet Korea 로고
  • 임민철 기자
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.