검수요청.png검수요청.png

제큐어웹

위키원
이동: 둘러보기, 검색
제큐어웹(XecureWeb)
제큐어웹(XecureWeb)
㈜한컴위드(HanCom With)
한컴그룹(HanCom Group)

제큐어웹(XecureWeb)은 ㈜한컴위드(HanCom With)가 개발한 웹 구간 암호화 솔루션이다. 원래 ㈜한컴시큐어 시절에 개발했고, 이후 회사명을 ㈜한컴위드(HanCom With)로 변경하고, 지속적으로 관리하고 있다.

개요[편집]

제큐어웹(XecureWeb)은 PKI 기반의 강력한 암호화와 전자서명 기능을 제공하는 웹 구간 암호화 솔루션이다.[1] 한국 내의 전자상거래(e-commerce)의 핵심인 은행, 증권, 보험 업계 등을 주축으로 한 동종업계 최고/최대의 시장점유율을 갖춘 검증된 솔루션으로, 12비트 이상의 암호화 알고리즘을 적용하여 엔드 투 엔드(End-to-End) 구간의 암호화를 가능하게 하는 웹 암호화 기능과 무결성, 부인 방지를 가능하게 하는 전자서명 기능, 그리고 국내 4대 공인기관 및 사설 인증기관과 연동하여 인증서의 유효성을 검증하는 인증기관 연동 기능을 제공한다.[2]

특징[편집]

제큐어웹 구성도

제큐어웹은 SEED, ARIA, AES 등 국내외 표준 암호화 알고리즘을 사용하여 보안 기술 표준을 준수하고, 주민번호, 민감정보 등에 대한 암호화, 공인인증, 서명 기능을 제공한다. 한 번의 모듈 설치로 다양한 브라우저를 지원하고, 다양한 타사 모듈과도 호환된다. 또한 통합된 스크립트를 통한 단일 소스가 적용됐으며, 그로 인해 솔루션 유지보수 시 관리의 편의성을 제공한다. 현재 제큐어웹은 국내 700개 이상의 레퍼런스를 보유하고 있다. 적용분야로는 금융기관-은행권 인터넷뱅킹, 증권사 사이버트레이딩 시스템, 공공기관-전자민원서비스, 인허가신청, 조세행정, 조달EDI, 수출입 통관, 일반기업-기업 인트라넷 보안시스템, 문서 및 데이터 암호화, 인터넷 서비스 분야-인터넷 포털사이트, 인터넷 쇼핑몰, B2B 마켓플레이스이다.[1]

  • 웹 표준화 지원 : 멀티 OS 및 브라우저를 지원하고, 웹 표준 기술을 사용해 웹 친화적인 사용자 인터페이스(UI)를 제공, 순수 HTML자바스크립트로 구성되어 있다. 뿐만 아니라, 인증서 기반 다양한 보안 기능을 제공하고, 사용자 인증, 데이터 암호화, 전자서명 등 보안 기능을 제공한다.
  • 법규 준수 : 전자정부 웹 표준 접근성 강화대책을 준수하고, 장애인차별금지 및 권리구제에 관한 법률(장차법)을 준수한다. 그리고, 국가정보화 기본법, 장애인복지법에 명시된 웹 접근성을 준수한다.
  • 최고 가치성 보장 : 원소스, 단일 모듈의 간편한 사용성을 보장하고, 주요 인증 취득 및 국/내외 표준기술을 준수한다. 또, 자체 보유한 특허 기술을 적용하여 최고 수준의 성능 보장과 동시에 효과적인 모듈 배포를 제공한다.[3]
  • 안전성 : 제큐어웹은 수년간 1000여 고객사에서 검증된 소프트포럼의 높은 기술적 신뢰성을 보장한다. 국정원과 금감원의 보안성 심사를 통과한 국산 솔루션으로 국가기관에서 공표한 국내 표준 암호 알고리즘을 사용한다. 국제 표준 기술을 지원하며 SSL 핸드쉐이크 프로토콜 규격 수행으로 높은 보안성을 제공한다. 공인인증서 암호체계 고도화 지원 솔루션 또한 지원한다.
  • 웹표준 지원 : 제큐어웹은 유닉스, NT 등 다양한 운영체제 및 플랫폼을 지원한다. 대법원, 행정안전부, 국세청, 국토해양부, 기업은행, 우리은행 등 다수의 웹표준화를 수행하였으며, IE, 파이어폭스, 사파리, 크롬 등 다양한 브라우저를 지원한다.
  • 편의성 : 제큐어는 언제 어디서나 편리하게 인증서를 사용할 수 있도록 인증서로밍 서비스와 연동되어 있다. 고객에게 투명하게 설치 및 동작하는 최소화된 클라이언트 모듈을 제공하고, 국내 5대 공인인증기관과 상호 연동되어 있으며, 정부인증관리센터(GPKI)의 연동 또한 지원한다.

기능[편집]

  • 보안 세션 수립 : 제큐어웹은 SSL 핸드쉐이크 프로토콜을 사용하여 보안 세션 수립 후 암호화 및 복호화에 사용될 세션키를 안전하게 분배한다. SSL 핸드쉐이크 과정에서 전달되는 서버 인증서의 유효성 및 서버 실체를 확인하고, 세션 수립을 위한 상호 인증 설정에 따라 인증서 기반과 익명 방식을 지원한다.
  • 사용자 인증 : 제큐어웹은 사용자 인증에 사용될 인증서 관련 인터페이스를 제공한다. 사설인증서, NPKI 인증서, GPKI 인증서를 모두 지원한다. 또한 USB 디바이스, 스마트카드, 인증서 로밍서비스, HSM 등의 인증서 이동성을 위한 다양한 이동 매체를 지원한다.
  • 웹 데이터 부분 암호화 : 제큐어웹은 HTTPS와 같이 페이지 단위로 암호화를 설정하는 것과 달리 기밀성이 요구되는 데이터에만 부분적으로 암호화를 적용한다.
  • 전자서명 수행 및 검증 : 제큐어웹은 식별번호(IDV)를 검증하는 기능을 한다. 또한 인증서에 포함된 식별번호를 이용하여 인증서 소유자의 신원확인을 지원한다.[4]

인증 현황[편집]

GS인증

소프트포럼이 PKI 솔루션 제큐어웹 GS인증을 획득하였다. 제큐어웹의 인증 획득을 통해 타사와는 차별화되는 기술력의 차별성과 우월성을 인정받게 됐다는 평가이다. 이순형 소프트포럼 소프트웨어사업본부장 전무는 "우리나라 인터넷뱅킹을 가능하게 만든 공인인증 솔루션인 제큐어웹이 공공시장은 물론 외산 제품과 비교해도 기술력으로 뒤지지 않는 우수한 제품임을 입증한 계기"라며, "뛰어난 기술력을 바탕으로 타사와의 차별화된 우수 제품으로 구매자를 만족시키는 동시에 기업 신뢰도도 높일 수 있어 기쁘다"고 말했다. 이 전무는 "오는 2010년 보안분야 매출 500억 달성을 목표로 하고 있다"며 "원천 기술을 바탕으로 보안이 필수적으로 요구되는 유비쿼터스 시대를 선도하는 보안 전문 기업으로 자리매김하기 위해 노력하고 있다"고 덧붙였다.[5]

구현적합성 인증

소프트포럼은 자사 공인인증서 소프트웨어(SW)인 '제큐어웹'이 한국정보보호진흥원(KISA)의 구현적합성 평가 인증을 획득했다. 구현적합성 평가를 통과한 공인인증서는 1등급 인터넷 뱅킹에 사용할 수 있는 보안토큰(HSM) 이용 기능이 포함되고, KISA로부터 관리를 받아 공인인증서비스의 안전성이 향상된다고 소프트포럼 측은 전했다. 이순형 소프트포럼 부사장은 "은행, 증권사 등 금융시장의 약 70%에 제큐어웹이 적용돼 있다"며 "이번 구현적합성 인증 획득으로 제품의 기술력을 입증받았다"고 다했다.[6]

논란[편집]

3·20 금융방송사 사이버 공격

2013년 3월 20일 문화방송, 한국방송공사, YTN 등 주요 방송사와 은행, 카드 회사 등의 전산망이 마비되었던 사건이다. 2013년 3월 20일 오후 2시 10분 경부터 주요 방송사들의 컴퓨터가 일제히 작동을 멈췄다. 뿐만 아니라 비슷한 시간, NH농협은행, 신한은행 서버에도 문제가 생기기 시작했고 얼마 지나지 않아 신한은행 모든 전산이 마비되며 창구거래, ATM 거래가 모두 중단되었다. 신한은행에 계좌를 둔 체크카드들의 결제도 멈췄으며, 신한은행의 계열사인 제주은행도 당연히 모든 거래가 멈췄다. 이외에도 국내 금융사, 주요 기업들의 전산망이 다운되었던 사건으로, 3·20 전산대란이라고도 불린다. 조사 과정 중, 소프트포럼(현 ㈜한컴위드)의 업데이트 서버의 관리자 계정이 탈취 당해 악성코드가 삽입되어 그것이 해킹사건 발생 원인 중 하나라는 설이 대두되었다. 특히, 소프트포럼의 제큐어웹 액티브-엑스 보안프로그램이 대표적이다. 2013년 6월, KISA에서는 제큐어웹의 보안취약점으로 인해 원격실행, 좀비PC에 악용될 수 있다고 경고했다. 게다가 "해당 취약점을 악용한 침해 사고가 발생하고 있어, 적극적인 대처가 필요하다"고 하였다. 하지만 이후 소프트포럼은 제큐어웹은 3.20 해킹과 무관하다고 입장 표명을 하였으며, 3.20 전산망 해킹 사건이 북한 소행이라고 밝혔다. 한국인터넷진흥원은 "북한 내부에서 국내 경유지에 수시로 접속해 공격을 준비한 정황을 포착했으며, 공격 경유지 49개 중 22개 과거에 사용했던 경유지와 동일한 것을 발견했다."고 말했다. 이어 "일부 매체에서 보도한 것과 달리 소프트포럼의 제큐어웹은 3.20 사건과 무관한 것으로 조사됐다" 고 덧붙였다. 소프트포럼은 "우선 전산망 해킹을 당한 6개 기관은 제큐어웹의 고객사가 아니다" 라며 "문제시되고 있는 제큐어웹 취약점에 대한 패치는 지난해 7월 이미 모두 완료된 상태이다. 이번엔 발견된 문제점은 보안패치를 내려받지 않은 몇몇 사용자들의 문제로 파악된다" 고 해명했다.[7]

공인인증서 보안취약점 첫 발견..제도적 해결책 없나

인터넷뱅킹 등에 쓰이는 공인인증서의 PC프로그램에서 보안 취약점이 발견되었다. 국민은 인터넷뱅킹을 할 때 공인인증서를 쓰기만 하면 안전하다고 생각할 수 있지만, 소프트포럼사가 은행에 납품한 ‘제큐어웹 액티브엑스’에서 취약점이 발견되었다고 한국인터넷진흥원 측이 밝혔다. 또한 공인인증서와 직접적인 관련은 없지만 금융권이 인터넷뱅킹 시 키보드 보안 프로그램으로 보급한 ‘엔프로텍트’역시 취약점이 발견돼 우려가 증폭되어 논란이 있었다. 한국인터넷진흥원(KISA)은 홈페이지 보안공지를 통해 제큐어웹 7.2.6.5 및 이전버전 사용자는 해커가 특수하게 제작한 웹페이지를 방문할 경우 악성코드에 감염되니 쓰고 있는 버전을 삭제하고 업데이트를 하라고 밝혔다. 업데이트를 하지 않으면 악성코드에 감염돼 개인의 금융정보가 유출되거나 다른 컴퓨터를 공격하는 좀비PC로 악용될 수 있다는 것이다. 또, 은행, 증권사 등에서 보안 목적으로 배포되는 엔프로텍트(nProtect Netizen v5.5)에서 외부 공격에 의해 원격코드가 실행되는 취약점이 발견됐다며, 취약점이 없는 버전으로 재설치하라고 권고했다. 이중 더 심각한 것은 ‘제큐어웹’에 대한 취약점을 꼽았다. 우리나라식 공인인증서를 내 PC에 설치해 처리하려면 자동으로 다운 받아야 하기 때문이다. 이 취약점은 2013년 3월 20일 발생한 방송국과 금융권 해킹의 경로가 되기도 했는데, 해당 버전을 설치한 이용자가 날씨 웹사이트를 방문해 악성코드에 감염된 뒤 좀비PC 역할을 하기도 했다. 이후 소프트포럼사는 2013년 3월 20일 발생한 해킹 사건은 북한 소행이라고 하면서 제큐어웹 취약점에 대한 패치는 2012년 7월 이미 모두 완료된 상태라며 해명하였지만, 우리나라식 공인인증서와 액티브 엑스에 대한 보안 취약점은 꾸준히 제기되어 왔다. 전응휘 오픈넷 이사장은“KISA에서 보도자료도 아닌 홈페이지 보안공지 정도로 은근슬쩍 넘어갈 문제가 아니다”라면서 “우리나라의 공인인증체계는 국제기준과 다른 독자 방식이어서 필요할 때마다 사설 업체의 프로그램을 다운 받아야 하기 때문에 위험할 수 밖에 없다”고 비판했다.[8]

동향[편집]

2020년 12월 10일 공인인증서 폐지

2020년 12월 10일부터 정부가 공인인증서에 부여했던 우월적 지위가 사라진다. 공인인증서는 인터넷상에서 신원을 확인할 수 있도록 한 증명서로, 1999년 개발됐다. 그간 정부는 한국정보인증·금융결제원 등 6개 공인인증기관을 선정, 이들만 공인인증서를 발급할 수 있도록 했다. 이들 기관이 보유하던 독점적 지위가 소멸하면 앞으로 공인인증서와 민간업체에서 발급하는 전자서명 서비스는 모두 '공동인증서'가 된다. 공인인증서가 독점적 지위를 잃는다고 해서 공인인증서를 사용하지 못하는 것은 아니다. 기존 공인인증서를 발급받았다면 유효기간이 끝날 때까지 계속 쓸 수 있다. 유효기간이 끝나면 공동인증서로 갱신하거나, 민간인증서를 발급하면 된다. 앞으로는 공공기관이나 은행 등에서도 여러 민간인증서를 쓸 수 있다. 기존 대면으로 신원을 확인하고 인증서를 발급받아야 했던 체재도 바뀐다. PC나 휴대전화 등 비대면으로도 인증서를 받을 수 있다. 10자리 이상의 복잡한 비밀번호도 사라진다. 홍채, 지문 등 생체 정보나 간편 비밀번호(PIN) 등을 이용할 수 있다. 금융기관을 이용할 때는 공동인증서 또는 은행별로 발급하는 인증서를 활용하면 된다. 민간인증서는 업체별로 제휴한 보험사나 은행 등 금융기관에서 사용할 수 있다. 금융결제원이 개발한 금융인증 서비스도 대부분의 은행에서 발급받을 수 있다. 금융인증서를 내려받고 금융결제원 클라우드에 저장하면 컴퓨터나 모바일 기기에서 이용할 수 있다. 이후 연말정산에서도 민간인증서를 활용할 수 있다. 연말정산에 활용할 민간업체 후보 5곳은 카카오·KB국민은행·NHN페이코·패스·한국정보인증 등이다. 정부는 이달 말 시범사업자를 선정한 뒤 이후 연말정산에 민간인증서를 활용할 계획이다. 카카오페이와 패스 등 민간업체는 공인인증서와 동일하게 공개키기반(PKI) 구조나 가상식별방식(Virtual ID) 등 보안 기술을 사용한다. 이들 업체는 이를 근거로 안전성을 보장한다.[9]

㈜한컴위드, 웹기반 간편인증 솔루션 '애니핀' 출시

㈜한컴위드는 웹기반 간편인증 솔루션 ‘애니핀(AnyPIN)’을 출시해 공인인증서 대체 인증솔루션 시장에 진출하기로 했다고 밝혔다. 애니핀은 사용자가 등록한 기기에서 간편 인증 코드를 입력해 인증을 처리할 수 있는 솔루션이다. 사설인증서 연동으로 부인방지 기능을 지원하고 사용자가 별도 관리하지 않아도 자동 갱신할 수 있도록 갱신절차를 개선했다고 ㈜한컴위드 측은 강조했다. 사설인증서 연동 외에도 패스트아이덴티티온라인(FIDO) 표준 생체인증과 서버기반 인증 연동기능도 개발 중이라고 덧붙였다. 노윤선 ㈜한컴위드 대표는 "공인인증서 폐지에 따라 대체 인증 솔루션에 대한 관심이 커지고 있다"며 "다양한 대체인증솔루션을 구축하고 고객사 IT환경에 맞는 맞춤형 서비스를 제공하겠다"고 말했다. ㈜한컴위드는 사설인증솔루션 제큐어PKI(XecurePKI), 생체인증솔루션 제큐어패스(XecurePass), 무설치 공인인증솔루션 애니사인라이트(AnySign Lite), 클라우드기반 사용자인증솔루션 제큐어프리사인(XecureFreeSign) 등을 보유했다.[10]

각주[편집]

  1. 1.0 1.1 ㈜한컴시큐어 홈페이지 - http://www.softforum.com/
  2. BNF파리바 카디프손해보험 공식 홈페이지 - https://www.cardifcare.co.kr/html/security/web_service.jsp
  3. 어떤 OS에서도 구동되는 웹 구간 암호화 솔루션〉, 《한국데이터산업진흥원》
  4. Xecure Web 정책 준수사항 브로슈어〉, 《소프트포럼》
  5. 김혜원 기자, 〈소프트포럼, PKI 솔루션 제큐어웹 GS인증 획득〉, 《아시아경제》, 2008-01-30
  6. 서소정 기자, 〈소프트포럼 제큐어웹, KISA 구현적합성 인증 획득〉, 《아이뉴스24》, 2008-05-13
  7. 3.20 전산망 마비사태〉, 《나무위키》
  8. 김현아 기자, 〈공인인증서 보안취약점 첫 발견..제도적 해결책 없나〉, 《이데일리》, 2013-07-17
  9. 이송렬 기자, 〈내일부터 공인인증서 폐지된다〉, 《한국경제》, 2020-12-09
  10. 임민철 기자, 〈한컴시큐어, 웹기반 간편인증 솔루션 '애니핀' 출시〉, 《지디넷코리아》, 2018-04-17

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 제큐어웹 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.