"웹 구조개혁의 제안"에 부쳐

공인인증서 소프트웨어를 다루고 있는 회사에 몸담고 있는 사람으로써 최근의 ActiveX와 공인인증에 대한 논의는 너무나도 민감한 사안이기 때문에 제 의견은 적지 않습니다. 다만, 김국현님의 웹 구조개혁의 제안에 있어서 바로잡아야할 '사실' 들과 제안의 현실화에 도움이 될 만한 내용들만 적습니다.



구조개혁 1에 대한 의견

• 대안1의 버츄얼 키보드는 안전하지 않습니다.
• 공인인증서의 안전성은 공인인증서와 한쌍을 이루는 개인키(전자서명키)를 보관하는 저장매체의 안정성에 의존합니다. 즉, 공인인증서라는 기술의 문제가 아니고 공인인증서 저장매체가 문제인 것입니다. HSM을 사용한다고 해서 공인인증서 기술을 사용하지 않는 것은 아니며, 개인키 저장방법이 변경되는 것입니다.
  
  
• 은행에서 공인인증서를 HSM에 담아서 제공하지 않았던 것은 비용문제였는데, OTP 하드웨어를 모든 인터넷뱅킹 사용자에게 보급하기 위해서는 마찬가지의 비용문제가 있습니다. 은행들이 안전카드는 공짜로 제공하지만, 암호생성기(OTP)는 유료로 제공하고 있는 이유가 여기에 있습니다.
• 안전한 하드웨어가 모든 전자금융/지불 사용자에게 보급되지 않는다면, 구조개혁 1의 현실성은 없어보입니다.
  
  

구조개혁 2에 대한 의견

• SEED는 2005년에 이미 RFC4009가 되었고, TLS(SSL의 IETF 표준화 버전)에 알고리즘으로 추가하는 방법도 RFC4162가 되었습니다. 그런데도 왜 브라우저 업체들은 구현하지 않았을까요? 진정한 대안이 되려면 오픈웹 운동 같은 곳이 나서서 이 표준들을 브라우저 업체들이 구현하도록 해야합니다.

OTP, 가장 선호하는 보안서비스

엔씨소프트에 ASP형태로 제공중인 OTP 서비스가 가장 선호하는 보안서비스로 선정되었습니다.
OTP를 핸드폰에 올려서 사용하는 것을 기획해서, 특허추진하고, 서비스를 오픈했고, 가장 선호하는 보안서비스가 되었네요.

2 월 초에는 OpenID와 OTP를 결합해서 새로운 서비스를 오픈하려고 합니다. OpenID를 채택하는 사이트가 많아질수록, Single Sign On 기능이 중요해질테고, 그렇게되면 패스워드만으로 OpenID를 사용하는 것이 좀 불안해지겠지요? 그래서, Mobile OTP로 로그인할 수 있는 OpenID 서비스를 제공할 것입니다.

NHN R2 OTP

NHN의 새로운 게임 R2의 로그인 시스템에 OTP 서비스를 제공하게 되었습니다.
올해 초에 엔씨소프트와 린OTP 서비스를 오픈한 후에 좀 오래걸렸네요..

참고로, OTP 서비스는 Two-factor 인증 아웃소싱 서비스입니다. 아직까지는 게임사들이 주로 사용하고 있지만, 언젠가는 금융계열도 핸드폰을 이용한 OTP 서비스를 사용할 것이라 믿습니다.

리니지 게임과 계정 도용 방지

그동안 블로그 포스팅할 시간도 주지 않고 저를 괴롭히던 린OTP 서비스의 대 고객 테스트 서비스가 시작되었습니다.



린OTP는 핸드폰에 일회용 비밀번호를 생성하는 프로그램을 탑재한 후, 리니지 로그인 시에 아이디, 비밀번호에 부가적으로 핸드폰에 탑재된 프로그램이 생성한 비밀번호를 입력함으로써 계정 도용을 방지하는 서비스입니다.



이 서비스는 기존 계정 방지 서비스/솔루션과 비교하여 다음과 같은 탁월한 장점을 갖습니다.

• 아이디/비밀번호를 알고, 린OTP가 탑재된 핸드폰이 있어야 하는 Two-factor 인증 방법이면서도 핸드폰을 이용함으로써 소지가 편리한 Authentication Service 이다.
• 소액결제에 사용되는 SMS를 통한 인증방법과는 달리 린OTP 프로그램은 서버와 통신하지 않으므로 통신 및 SMS비용이 발생하지 않는다.
• PC에 별도의 추가 프로그램(ActiveX류^^)이 필요없다.(린OTP가 생성한 8자리 비밀번호만 로그인 시에 입력하면 되므로)

오늘은 저희 회사가 솔루션 회사에서 서비스 회사로의 첫발을 내딛게 된 중요한 날이자, 개인적으로는 Service Product Manager로써의 첫 결과물을 내놓는 날입니다.