전자서명을 구현하는 데 필요한 핵심기술은 PKI(Public Key Infrastructure)라고 할 수 있다. PKI는 공개키 암호화 시스템을 이용해 향상된 보안 수준을 제공할 수 있는 기반 기술을 말한다. PKI 자체보다는 응용 프로그램에서 요구하는 보안 요구사항을 분석, 사용자의 편의성과 보안성을 동시에 만족시키면서 이를 기반으로 응용 시스템을 이용한다는 데 의미가 있다.
PKI 시스템은 인증기관(CA), 등록대행기관(RA), 디렉터리서버(DS) 등으로 구성되며 응용분야는 보안메일·전자상거래·싱글사인온·가상사설망·전자상거래·CALS/EDI·PC보안·m커머스·인터넷뱅킹·사이버트레이딩·그룹웨어 등 다양하다.
이 가운데 싱글사인온(SSO:Single Sign-On)은 최근 관심이 집중되는 분야다. 싱글사인온은 분산 환경에서 사용자가 추가적인 로그인 없이 한 번의 로그인만으로 다양한 서비스를 사용할 수 있도록 편리한 환경을 제공하는 시스템이다. 이를 이용해 관리자는 복잡한 시스템을 보다 쉽게 효율적으로 관리할 수 있으며 사용자는 각종 서비스를 이용할 때 각각의 서비스마다 개인정보를 중복 입력하는 불편을 없앰으로써 업무 효율을 높일 수 있다.
싱글사인온에서는 △한 번의 로그인만으로 접근 가능한 각종 서비스에 대한 권한 획득 △관리자 관점의 일관된 관리도구 △통합된 계정체계 및 권한체계 △보안성과 편의성 향상 △개발 방법론 및 도구(SDK) 등이 제공돼야 한다.
싱글사인온과 함께 또 하나 각광받는 솔루션이 PMI(Privilege Management Infrastructure)다. PMI는 인증서를 기반으로 사용자에게 특정 시스템 및 애플리케이션에 접근할 수 있는 권한을 차등 부여해주는 권한체계 관리 기반으로 PKI가 제공하지 못하는 부분을 보완해준다. PKI의 근간인 공개키 확인서는 소유자만을 전제로 한 것이며 결국 소유자의 식별(인증)에 이용하는 데 그치지만 실제 기업환경은 소유자에 대한 식별기능과 함께 소유의 대상이 되는 객체에 대한 접근통제 정책을 필요로 하는 것이다.
PMI 제품으로는 볼티모어사가 내놓은 롤 기반의 접근통제를 위한 ACS(Attribute Certificate Server), 펜타시큐리티의 PKI/PMI를 이용한 권한체계 및 SSO 솔루션 아이사인(ISign) 등이 있다.
<전경원기자 kwjun@etnews.co.kr>