안전한 모바일 환경 구축 새로운 비즈니스 창출 기회

유·무선, 그리고 모바일 통합인증

스마트폰으로 대표되는 새로운 모바일 세상은 다양한 보안 요구사항을 만들어내고 있다. 기본적으로 멀티 디바이스, 멀티 운영체제, 멀티 브라우저 등 이전 환경에서는 고민하지 않았던 이러한 새로운 요구사항들은 상당히 당황스럽기까지 하다. 특히, 특정 기반 기술을 중심으로 보안체계를 만들어왔던 우리나라는 특히 더 그렇다. 인증체계만 따로 보더라도 표준 웹 논의의 중심에 있던 ActiveX와 별도 클라이언트 기반의 국내 PKI 인증 체계는 모바일 환경에 있어서 새로운 국면에 접어 들었다. 유·무선을 넘어서 모바일 환경까지 아우르는 통합 인증체계는 없는 것일까? 여기서는 대림산업에서 IBM Tivoli Access Manager for e-business(이하 TAMebiz)를 통해 구현된 유무선 + 모바일 통합 인증 체계에 대한 Case Study와 함께 차세대 모바일 인증체계에 대해 논의하고자 한다.

모바일 통합인증체계 구축사례

TAMebiz라는 제품은 2000년도부터 출시되어 현재까지 지속적으로 기술개발하여 신제품을 출시하고 있으며, 전 세계 싱글사인온(Single Sign On, 이하 SSO) 제품 중 유일하게 프록시 게이트웨이 아키텍처를 가진 솔루션이다. IBM이 전세계 SSO 제품의 범용 아키텍처인 플러그인 방식이 아닌 프록시 게이트웨이 방식을 채용하게 된 데에는 몇 가지 이유가 있다. 첫째는 클라이언트나 서버에 어떠한 모듈을 설치하지 않기 때문에 일찌감치 SSO 대상 시스템에 대한 멀티 디바이스, 멀티 운영체제, 멀티 브라우저를 지원할 수 있었다.

두 번째는 트랜잭션 중간에 관여함으로써 접근제어를 포함한 다양한 기능을 추가할 수 있다는 점이다. 현재 제공되고 있는 부가 기능은 선택적인 SSL/TLS 암호화 채널 제공, 웹 압축 및 가속 기능, HTTP/HTTPS 프로토콜에 대해 백엔드 대상 복제 서버들에 대한 부하 분산 기능 등을 제공하고 있으며, 차세대 로드맵에서는 웹 방화벽 기능까지 탑재할 예정으로 알려졌다. 세 번째는 게이트웨이 단에서 SSO 기능을 수행함으로써 백엔드 웹 서버에 대한 가상화를 통한 프로비져닝 지원과 클라우드 컴퓨팅 환경에서의 SSO 서비스로의 손쉬운 확장이 가능하다는 점이다. 네 번째는 기능 확장을 게이트웨이 단에서 쉽게 할 수 있어 백엔드 애플리케이션의 수정 없이도 단지 IBM Tivoli Federation Identity Manager(이하 TFIM) 제품 추가만으로 SAML(Security Assertion Markup Language)을 포함하여 다양한 웹 서비스 기반 인증 방식과 OpenID, CardSpace, OAuth 등 최신 인증 기술의 손쉬운 채용이 가능하며, EAI(External Authentication Interface) 인터페이스 제공으로 다양한 인증 방식과 함께 통합 및 연계가 가능하다는 점이다.

현재 대림산업에 구현된 모바일 통합인증 체계는 TAMebiz만으로 구현된 1세대 구축사례이다. TAMebiz로 구현된 1세대 모바일 통합 인증체계의 구성도는 그림 1과 같다.

앞서의 구성도에서 WebSEAL은 TAMebiz의 프록시 게이트웨이의 또 다른 이름이다.

모바일 환경에서의 보안이슈 해결

스니핑 대응

첫째는 공개된 인터넷을 통해 접근하는 사용자를 위해 TAMebiz 프록시 게이트웨이와 사용자 디바이스 간에는 서비스 종류에 따라 SSL/TLS 암호화 채널을 통해 데이터를 전송함으로써 네트워크를 통한 데이터 유출 위험인 스니핑(Sniffing)에 대응한다.

안정적인 방화벽 서비스 운영

두 번째는 사용자의 접근 시간대, 접근 IP/IP 대역에 따른 내·외부 위치, 혹은 접근하는 웹 브라우저 종류(모바일 웹 브라우저 대 일반 웹 브라우저) 등에 따라 서비스에 대한 접근을 프록시 게이트웨이 단에서 차단함으로써, 항시 외부에 시스템이 노출되면서 발생할 수 있는 정보 위험을 미연에 방지하게 된다. 또한, 모든 백엔드 웹 서비스에 대해 프록시 게이트웨이가 중계 서비스를 하기 때문에 대부분 웹 서비스 포트(일반적으로 80 혹은 443 포트)이긴 하지만 많은 백엔드 웹 서버들과 외부 방화벽 사이에 많은 IP의 서비스 포트를 공개할 필요가 없다. 외부 방화벽과 TAMebiz 프록시 게이트웨이 서버 사이의 웹 서비스 포트만 공개하면 되므로 훨씬 안정적인 방화벽 서비스 운영과 함께 모바일 서비스로 인해 보안이 약화되는 일이 없게 된다.

캐싱 서비스 제공

세 번째는 캐싱 서비스의 제공이다. 아이폰의 경우 캐싱 능력이 최대 4MB, 안드로이드폰인 경우에는 최대 2MB이고 대부분의 경우 전원을 끄면 캐쉬된 정보가 소멸되기 때문에 일반 웹 브라우저에 비해 서버로부터 콘텐츠를 호출하는 경우가 매우 빈번하다. 반면, TAMebiz 프록시 게이트웨이에서는 보다 빠른 모바일 서비스를 지원하기 위해 캐싱 서비스를 제공한다.

보다 안전한 모바일 서비스 지원

네 번째는 백 엔드 웹 애플리케이션에서 필요한 여러 권한 정보를 TAMebiz 프록시 게이트웨이에서 제공함으로써 모바일 브라우저 상에 직접 쿠키로 고정 정보를 보관할 필요성이 없어짐으로 해서 개발에 있어 보다 많은 유연성을 확보해 준다. 모바일 브라우저의 경우 일반 웹 브라우저와 같이, 저장할 수 있는 쿠키 정보는 사이트당 20개, 전체 300개까지 저장할 수 있다는 점에서는 동일하다. 그러나 일반 웹 브라우저의 경우 쿠키 사이즈는 4096Byte인 반면, 모바일 브라우저의 경우 512Byte로 제한되기 때문에 기존 웹 개발하듯이 사용자와 애플리케이션의 많은 정보(권한, 상태, 인증 정보 등)들을 쿠키에 담을 수 없다. 더구나 대부분의 모바일 브라우저의 경우, HTTPOnly와 SECURE 플래그와 같은 쿠키 보안 기능들을 지원하지 않으므로, 중요 인증이나 권한 정보를 쿠키에 담는 것은 보안상 매우 위험하다.

지금까지 논의한 모바일 브라우저와 일반 브라우저 사이의 차이점에 대해 아래와 같이 정리했다. 물론 모바일 웹 브라우저와 스마트폰은 지금도 발전하고 있기 때문에 경우에 따라서는 다소 차이가 있을 수 있다.

이와 같은 장점과 기능으로 모바일 서비스를 지원하는 TAMebiz를 이용해서 1차 구현한 유·무선 통합 인증 시스템은 현재 아이디/패스워드 기반으로 멀티 디바이스, 브라우저, 운영체제를 지원하고 있어 향후 대림산업은 백엔드 애플리케이션이 지원하는 한 애플 아이폰 이외에 다른 스마트폰 혹은 태블릿 PC 등 다양한 디바이스와 웹 브라우저의 이용이 가능하게 되어 훨씬 유연한 모바일 서비스를 제공할 수 있게 됐다.

차세대 표준 모바일 인증체계

다음으로 차세대 표준 인증체계 도입에 대해 검토해 보자. 현재 열풍이 불고 있는 모바일 오피스는 대부분 내부 사용자를 위한 서비스이다. 그러나 비즈니스로써의 모바일 서비스에서는 특정 기업에서 제공하는 인증 인터페이스를 다른 기업이 사용할 수는 없다. 물론 이것은 모바일 환경에서 뿐만 아니라, 일반적인 웹 서비스와 관련한 비즈니스에서도 똑같이 적용되는 문제이다. 현재 모바일 환경까지 아울러 상호 간의 인증 정보를 주고받는 표준 방식으로 권장되는 것은 앞서 얘기한 바와 같이 SAML, OpenID, OAuth이다. SAML은 XML 기반으로 보안 도메인 사이에 인증과 권한 정보를 주고받기 위한 표준 프로토콜로 IBM을 비롯한 전 세계 많은 기관과 기업이 지지하는 국제 OASIS(Organization

for the Advancement of Structured Information Standards)에서 2001년에 제정됐다. 가장 최근 버전인 SAML 2.0은 2005년도에 제정 발표됐으며, 모바일 환경에서 인증 수단으로써 뿐만 아니라, 인증 정보를 교환하는 표준 방안으로 많은 서비스 업체에서 고려되고 있다. 현재 OAuth를 위한 SAML 프로파일은 2010년도에 발표됐으며, OpenID를 위한 SAML 지원은 현재 진행 중이다. OpenID은 IBM을 비롯하여 총 13개 업체가 모여서 만든 산업 표준으로 사용자의 유일한 URI(Uniform Resource Identifier)를 식별자로 하여 인증수단을 제공하고, 인증정보를 주고받는 형태이다. OAuth는 2006년에 최초로 트위터 인증 API 구현으로 개발됐으며, 이후 구글 등 다수의 API 인증 방식을 구현하면서 API 접근을 위한 표준 인증 방식으로 발전시켜 2010년 IETF 국제 표준 RFC 5849로 인가됐고 현재는 트위터의 애플리케이션 인증에 널리 활용되고 있다.

윈도우 모바일 7에서는 위 방식 이외에 마이크로소프트사가 지지하는 CardSpace의 전자 지갑(Windows Mobile Cardspace Wallet) 방식이 추가로 지원된다. 지금까지 현재 이용이 가능하고 앞으로 더욱 활용도가 높아질 수 있는 모바일 환경에서의 인증과 인증정보 교환 방식에 대해 알아봤다. TFIM에서는 이 모든 방식을 지원하고 있어 TAMebiz와 함께 차세대 모바일 인증 및 인증정보 교환을 위한 인프라를 제공한다.

국내에서는 표준에 대한 인식이 아직 많이 부족하다. 표준 기반의 서비스 및 인터페이스의 개발은 유·무선을 떠나 모바일 환경에서의 많은 자유로움을 제공하며, 인터넷 공간상에 존재하는 많은 서비스를 활용한 새로운 비즈니스 세계를 열 수 있다. 보안 분야에서도 마찬가지이다. 보다 안전한 모바일 환경을 구축함으로써 새로운 비즈니스를 만들어 나가는데 도움이 되길 바란다.

<글 : 박 형 근 | 한국IBM Tivoli 솔루션팀 차장(@securityinsight, www.facebook.com/hyungkeun.park)>

[월간 시큐리티월드 통권 제167호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)