“차세대 웹표준 기술인 HTML5를 공인인증서에 적용해도 보안문제가 해결되는 것은 아니다.”
정보보호포럼(회장 염흥열)은 14일 서울 팔래스호텔에서 세미나를 열고 ‘W3C 정보보호 표준화 동향’을 설명했다. 김동준 순천향대학교 연구원은 “지난 10월 28일 나온 HTML5 표준 권고안에 따라 ‘웹 크립토’가 신규 API로 들어갔다”고 설명했다.
웹 크립토는 W3C의 표준 암호화 기술이다. 웹 애플리케이션에서 전반적인 암호화 작업을 수행한다. 이 기술을 공인인증서에 적용하면 보안에 취약한 액티브X 없는 환경을 만든다. PC 하드디스크 NPKI 폴더에 저장되던 공인인증서는 ‘키스토어(Keystore)’라는 영역에 저장된다.
김 연구원은 “HTML5로 웹 환경에서 액티브X 등 플러그인 없이 공인인증서 환경을 만들 수 있지만 메모리 해킹에는 여전히 취약하다”고 지적했다. 그는 “새로운 기술이 적용된다고 100% 안전한 것은 아니다”며 “보안을 생활화하는 사용자 인식 변화가 시급하다”고 덧붙였다.
염흥열 회장은 “HTML5 보안 표준을 적용하면 공인인증서를 PC 하드디스크가 아닌 브라우저 안에 저장하는 것”이라며 “해커가 공인인증서를 탈취해도 데이터를 볼 수 없다”고 설명했다. 염 회장은 “신기술 적용이 일정부분 보안 수준을 높이지만 안전한 전자금융거래를 위해 사용자 스스로 강력한 보안 방법을 선택해야 한다”고 덧붙였다.
김인순기자 insoon@etnews.com