| sitelink1 | |
|---|---|
| sitelink2 | |
| sitelink3 | |
| sitelink4 | |
| sitelink5 | |
| sitelink6 |
cugain 曰 : XML보안과 자바가 무슨 관련일까?
두 언어는 모양도 다르고 관련도 전혀 없는것처럼 보여도 웹이라는 공통점으로 밀접한 관련이 있다.
자바와 XML은 그렇게 은근히 밀접하게 얽혀있다. 따라서 XML기술의 변화는 썬사의 자바정책에도 영향을 미친다.
전자상거래에 필요한 정보보호 기술은 Password기반, PKI(Public Key Infrastructure)기반,
SSL(Secure Sockets Layer)기반의 보안 서비스로부터 XML(eXtensible Markup Language)
에서 출발한 ebXML, Web Service를 기반으로 하는 XML 정보보호기술 기반의 전자상거래
지원 보안 서비스로 발전하고 있다.
XML 정보보호 기술 표준화 동향
XML 전자서명은 메시지 무결성 및 인증, 부인 방지의 보안 기능을 제공한다. 이외에도 보안
요구사항을 충족하기 위해서는 기밀성과 사용자 인증 및 승인을 위한 추가적인 보안 기술이
필요하다. 또한 이러한 보안 기술들은 PKI가 구축된 것을 전제로 수행되기 때문에 공개키의
등록 및 관리를 위한 표준 기술이 필요하다. W3C(World Wide Web Consortium)와 OASIS(Organization
for the Advancement of Structured Information Standards)는 이러한 요구를 만족하기 위해
XML Encryption, XKMS(XML Key Management System), SAML(Security Assertion Markup Language),
XACML(Extensible Access Control Markup Language)등과 같은 XML 기반의 표준 보안 명세를 개발하고
있다.
현재 인터넷 상에서 어떠한 데이터를 전송할 때 IPSec나 SSL만으로도 데이터에 대한 기밀성을
보장할 수 있으며 PGP(Pretty Good Privacy)나 S/MIME을 사용하면 메시지 송수신 및 저장시
암호화를 수행할 수 있다. 하지만, 이러한 방법은 데이터 전체에 대한 암호화를 수행하게 되므로
데이터의 일부만 암호화가 필요한 경우와 다중 홉 방식의 메시지 전송의 경우에는 부적절하다.
XML Encryption은 데이터 중 일부분 또는 전체를 암호화해 중간에 경유하게 되는 제 3자에게 특정 정보를
노출시키지 않으면서 최종 수신자에게 전달하 수 있는 방법으로, 현재 W3C에서 후보 권고 상태이다.
XML Encryption 명세는 XML문서뿐 아니라 이미지와 같은 2진 데이터도 암호화 할 수 있도록 하고 있따.
XKMS는 마이크로소프트와 베리사인, 웹메소드사가 2001년 4월 W3C에 제안한 XML기반의 공개키 관리 명세이다.
XKMS명세는 현재 드래프트(draft)상태이며 최초 설계 목적은 XML전자서명과의 연동시 기존 PKI 시스템에 대한
복잡성을 클라이언트에게 숨겨 키 관리 부담을 트러스트 서비스(Trust Service)에 위임해 그 구현을 용이하게
하는 것이다. XKMS는 X-KISS(XML Key Information Service Specification)와 X-KRSS(XML Key Registration Service
Specification)의 두 부분으로 구성된다.
SAML은 경쟁 관계에 있던 S2ML과 AuthXML을 통합하여 공통 표준으로 만들기 위해 OASIS의 STTC(Security Services
Technical Committee)가 제안한 것으로 XML 기반의 인증 및 승인 정보를 안전하게 교환하기 위한 프레임워크이다.
SAML은 기존에 업체별로 상이했던 각종 인증과정을 SAML명세를 통해 생서된 인증정보(또는 토큰)을 Single sign-on(SSO)
및 기타 인증 서비스 등에 이용함으로써 확장성 있는 표준 기법을 제공한다.
XACML은 XML문서나 기타 자료에 대한 접근 제어 설정을 통해 보안이 요구되는 자원에
대해 미세한 접근 제어 서비스를 제공하는 XML기반의 언어이다. XACML은 SAML PDP(Policy Decision Point)의 일부로서
역할을 수행한다. XACML의 정의에 따라 각각의 사용자 별 XML문서 접근 정책을 수립하고 적용한다.
XACML은 크게 <object>, <subject>, <action>의 3가지 엘리먼트로 구성된든데 <subject>는 사용자의 ID나 그룹, 또는
역할 등을 나타낼 수 있으며, <object>엘리먼트는 <subject>가 접근할 데이터를 의미하며 그 데이터 참조로서 단일 XML
문서에서 개별 엘리먼트 수준까지 지정할 수 있다. <action> 엘리먼트는 읽기, 쓰기, 생성, 삭제 작업의 4가지
수행 가능 동작으로 구성된다.
XACML 명세는 현재 OASIS TC(Technical Committee)에서 워킹 드래프트 상태이다.
ebXML에서의 정보보호 기술
ebXML(electric business XML)은 하나의 글로벌 전자시장을 창조한다는 목표아래 그 동안 국제 EDI 표준을 추진해 왔던
UN/CEFACT(United Nations Center for the Facilitation of Procedures and Practices for Administration, Commerce
and Transport)과 OASIS의 주도로 1999년 11월부터 18개월의 짧은 기간 안에 작성되었으며, XML을 이용한 인터넷 기반의
e-비즈니스용 국제 표준이다. 현재도 UN/CEFACT와 OASIS를 통하여 세부적인 표준들이 제정되고 있다.
ebXML 역시 거래 절차상 거래 당사자간의 메시지 교환은 인터넷을 이용하므로 기존 인터넷에서 대두되었던 각종 보안
요구사항을 모두 만족해야만 신뢰성 있는 거래를 수행할 수 있다. 이를 위해 ebXML에서는 모든 메시지의 인증 및 무결성
보장, 부인 방지를 위해 ebXML Messaging Service(ebMS)명세에서 메시지 송수신 기능을 담당하는 MSH(Message Service
Handler)가 XML전자서명의 생성 및 검증을 수행하는 보안 서비스를 함께 제공하도록 규정하고 있다. ebXML은 현재 22개의
보안 프로파일을 정의하고 있으나 XML보안 기술의 미성숙으로 인해 0번째 프로파일인 보안 기술 미 적용과 1번째 프로파일인
XML전자 서명을 사용한 송수신 메시지 서명만을 권고하고 있다. 주의할 점은 ebXML의 모든 메시지는 SOAP(Simple Object
Access Protocol)을 사용함으로써 현재 W3C에 제안된 'SOAP-SEC:전자서명'명세에 따르는 메시지 전자서명을 수행할 수도
있다는 것이다. 따라서 ebXML을 사용하는 거래 당사자는 어떠한 방식을 사용할 것인지를 사전에 조율해야 할 것이다.
웹 서비스에서의 정보보호 기술
웹 서비스는 표준화된 XML기반의 메시지 및 전송 프로토콜을 통해 인터넷상의 실행 가능한 애플리케이션으로 접근하는
표준적인 기술들을 의미한다. 웹 서비스를 구성하는 각각의 구성요소는 W3C를 주축으로 표준화가 진행중이며, 대표적인
표준화 명세들로는 송수신 메시지를 구성하는 SOAP, 개발한 서비스의 명세를 표현하는 WSDL(Web Service Description
Language), 표준화된 방법으로 등록기에 접근할 수 있도록 하는 UDDI(Universal Description, Discovery, and Integration)가
있다. 이중 SOAP은 서비스간의 표준 통신 프로토콜로 사용됨으로 구현에 종속되지 않는 서비스 호출을 가능케 한다는
측면에서 다른 구성 요소보다 웹 서비스 내에서의 비중이 크며, 보안에 대한 요구가 높다고 할 수 있다.
최초 SOAP명세는 어떠한 보안 요소도 포함하고 있지 않았으나, 최근 마이크로소프트와 IBM, 베리사인을 중심으로 웹 서비스
보안(WS-Security)명세가 제안됨으로써 새로운 SOAP메시지의 인증, 무결성 보장, 부인방지 등을 위한 보안 모델을 제시
하고 있다. 이명세는 기존의 'SOAP-SEC:전자서명' 명세를 대체하는 역할을 수행함으로써 향후 웹 서비스 메시지 보안
모델의 표준 기술로 채택될 전망이다.
웹 서비스 보안 명세에서는 SOAP 헤더 내에 <Security> 엘리먼트를 새롭게 정의해 수신측에서 요구하는 보안 정보를 포함
시킨다. <Security>엘리먼트는 <UsernameToken>엘리먼트를 통해 메시지 송신자를 식별하며 <Signature>엘리먼트로 XML
전자서명을 검증하는데 필요한 서명 정보를 포함하도록 규정하고 있다.
이처럼 웹 서비스 보안 영역에서 XML 전자서명은 핵심 요소 기술로 자리 잡고 있으며 이는 XML 보안 관련 기술들과 더불어
안전하고 신뢰성 있는 비즈니스 프레임워크 구축에 핵심 기능을 수행 할 것이다.
국내 추진 현황
몇몇 국내 기업을 중심으로 ebXML명세에 의한 보안 기술이 구현되었다. 그러나 적용된 기술은 ebXML 명세의 현 단계에서
제시하는 SSL, S/MIME, 전자서명의 수준이며 본격적인 XML 보안 기술은 적용하지 못하고 있는 상황이다.
현재 국내에서는 XML 보안 기술의 중요성에도 불구하고 이 분야에 대한 연구가 체계적으로 이루어 지지 않고 있다.
2001년에는 ETRI에서 XML 전자서명과 XML Encryption일부를 지원하는 XML시스템을 발표하였고, XML보안 Library 및 Toolkit
의 개발이 계속적으로 이루어 질 것으로 보인다. KISA에서도 각국의 XML보안 기술 동향 파악과 XML전자서명에 대하여
연구한 바 있다.
XML보안 표준을 전자상거래 환경에 적용하는 방안과 전자상거래 보안 표준화 방안은 시급히 이루어져야 할 과제이며, 2002년
도에는 한국전산원에서 ebXML에서의 보안 인증을 위한 XML 보안 인증 적용 방안 및 표준에 대한 연구가 진행되고 있다.
관련 산업의 향후 전망 및 제언
최근 ebXML로 대변되는 전 세계적인 XML 전자상거래 프레임워크 표준화에 있어 XML 전자서명으로 대변되는 XML보안 관련 표준
기술의 연구는 매우 중요하다. XML기반 전자상거래 프레임워크가 활성화 되는 시점이 곧 올 것이며 이때까지 국내에서
XML 정보보호 기술 관련 제품의 개발이 이루어지지 않으면, 외산 XML 정보보호 솔루션이 국내 시장을 지배하게 될 것이다.
단순한 상거래용이 아닌 정부나 기밀성이 요구되는 기관의 시스템이 상호호환성을 가지기 위하여 XML기술을 도입할 때 관련
정보보호기술의 국산화가 이루어 있지 않다면 XML 기술의 도입 자체가 어려운 상황이 도래할 것이다.
현재 XML 정보보호 기술을 기반 기술로 분류를 할 것이냐, 보안기술의 응용으로 분류할 것이냐가 국내에서는 논란이 되고 있다.
보안 기초기술이나 암호학의 측면에서는 응용 기술로 분류할 수 있겠으나, 전자상거래의 측면에서는 반드시 제공되어야 하는
기초기술로 인식이 되어야 하는 측면이 있다. 시스템 보안 기술은 방화벽을 시스템의 불법적인 침입을 막는 기술로 시스템
자체의 운용에는 영향을 않으나, 전자상거래 보안 기술이 제공되지 않으면 지불 결제 등 기초적인 전자 상거래 행위가 이루어질
수 없음을 인식하고 관련 시장의 확대상황을 계속 주시하고 기술의 개발을 서둘러야 할 것이다.
신동규(세종대학교 컴퓨터공학과 교수, shindk@sejong.ac.kr)
두 언어는 모양도 다르고 관련도 전혀 없는것처럼 보여도 웹이라는 공통점으로 밀접한 관련이 있다.
자바와 XML은 그렇게 은근히 밀접하게 얽혀있다. 따라서 XML기술의 변화는 썬사의 자바정책에도 영향을 미친다.
전자상거래에 필요한 정보보호 기술은 Password기반, PKI(Public Key Infrastructure)기반,
SSL(Secure Sockets Layer)기반의 보안 서비스로부터 XML(eXtensible Markup Language)
에서 출발한 ebXML, Web Service를 기반으로 하는 XML 정보보호기술 기반의 전자상거래
지원 보안 서비스로 발전하고 있다.
XML 정보보호 기술 표준화 동향
XML 전자서명은 메시지 무결성 및 인증, 부인 방지의 보안 기능을 제공한다. 이외에도 보안
요구사항을 충족하기 위해서는 기밀성과 사용자 인증 및 승인을 위한 추가적인 보안 기술이
필요하다. 또한 이러한 보안 기술들은 PKI가 구축된 것을 전제로 수행되기 때문에 공개키의
등록 및 관리를 위한 표준 기술이 필요하다. W3C(World Wide Web Consortium)와 OASIS(Organization
for the Advancement of Structured Information Standards)는 이러한 요구를 만족하기 위해
XML Encryption, XKMS(XML Key Management System), SAML(Security Assertion Markup Language),
XACML(Extensible Access Control Markup Language)등과 같은 XML 기반의 표준 보안 명세를 개발하고
있다.
현재 인터넷 상에서 어떠한 데이터를 전송할 때 IPSec나 SSL만으로도 데이터에 대한 기밀성을
보장할 수 있으며 PGP(Pretty Good Privacy)나 S/MIME을 사용하면 메시지 송수신 및 저장시
암호화를 수행할 수 있다. 하지만, 이러한 방법은 데이터 전체에 대한 암호화를 수행하게 되므로
데이터의 일부만 암호화가 필요한 경우와 다중 홉 방식의 메시지 전송의 경우에는 부적절하다.
XML Encryption은 데이터 중 일부분 또는 전체를 암호화해 중간에 경유하게 되는 제 3자에게 특정 정보를
노출시키지 않으면서 최종 수신자에게 전달하 수 있는 방법으로, 현재 W3C에서 후보 권고 상태이다.
XML Encryption 명세는 XML문서뿐 아니라 이미지와 같은 2진 데이터도 암호화 할 수 있도록 하고 있따.
XKMS는 마이크로소프트와 베리사인, 웹메소드사가 2001년 4월 W3C에 제안한 XML기반의 공개키 관리 명세이다.
XKMS명세는 현재 드래프트(draft)상태이며 최초 설계 목적은 XML전자서명과의 연동시 기존 PKI 시스템에 대한
복잡성을 클라이언트에게 숨겨 키 관리 부담을 트러스트 서비스(Trust Service)에 위임해 그 구현을 용이하게
하는 것이다. XKMS는 X-KISS(XML Key Information Service Specification)와 X-KRSS(XML Key Registration Service
Specification)의 두 부분으로 구성된다.
SAML은 경쟁 관계에 있던 S2ML과 AuthXML을 통합하여 공통 표준으로 만들기 위해 OASIS의 STTC(Security Services
Technical Committee)가 제안한 것으로 XML 기반의 인증 및 승인 정보를 안전하게 교환하기 위한 프레임워크이다.
SAML은 기존에 업체별로 상이했던 각종 인증과정을 SAML명세를 통해 생서된 인증정보(또는 토큰)을 Single sign-on(SSO)
및 기타 인증 서비스 등에 이용함으로써 확장성 있는 표준 기법을 제공한다.
XACML은 XML문서나 기타 자료에 대한 접근 제어 설정을 통해 보안이 요구되는 자원에
대해 미세한 접근 제어 서비스를 제공하는 XML기반의 언어이다. XACML은 SAML PDP(Policy Decision Point)의 일부로서
역할을 수행한다. XACML의 정의에 따라 각각의 사용자 별 XML문서 접근 정책을 수립하고 적용한다.
XACML은 크게 <object>, <subject>, <action>의 3가지 엘리먼트로 구성된든데 <subject>는 사용자의 ID나 그룹, 또는
역할 등을 나타낼 수 있으며, <object>엘리먼트는 <subject>가 접근할 데이터를 의미하며 그 데이터 참조로서 단일 XML
문서에서 개별 엘리먼트 수준까지 지정할 수 있다. <action> 엘리먼트는 읽기, 쓰기, 생성, 삭제 작업의 4가지
수행 가능 동작으로 구성된다.
XACML 명세는 현재 OASIS TC(Technical Committee)에서 워킹 드래프트 상태이다.
ebXML에서의 정보보호 기술
ebXML(electric business XML)은 하나의 글로벌 전자시장을 창조한다는 목표아래 그 동안 국제 EDI 표준을 추진해 왔던
UN/CEFACT(United Nations Center for the Facilitation of Procedures and Practices for Administration, Commerce
and Transport)과 OASIS의 주도로 1999년 11월부터 18개월의 짧은 기간 안에 작성되었으며, XML을 이용한 인터넷 기반의
e-비즈니스용 국제 표준이다. 현재도 UN/CEFACT와 OASIS를 통하여 세부적인 표준들이 제정되고 있다.
ebXML 역시 거래 절차상 거래 당사자간의 메시지 교환은 인터넷을 이용하므로 기존 인터넷에서 대두되었던 각종 보안
요구사항을 모두 만족해야만 신뢰성 있는 거래를 수행할 수 있다. 이를 위해 ebXML에서는 모든 메시지의 인증 및 무결성
보장, 부인 방지를 위해 ebXML Messaging Service(ebMS)명세에서 메시지 송수신 기능을 담당하는 MSH(Message Service
Handler)가 XML전자서명의 생성 및 검증을 수행하는 보안 서비스를 함께 제공하도록 규정하고 있다. ebXML은 현재 22개의
보안 프로파일을 정의하고 있으나 XML보안 기술의 미성숙으로 인해 0번째 프로파일인 보안 기술 미 적용과 1번째 프로파일인
XML전자 서명을 사용한 송수신 메시지 서명만을 권고하고 있다. 주의할 점은 ebXML의 모든 메시지는 SOAP(Simple Object
Access Protocol)을 사용함으로써 현재 W3C에 제안된 'SOAP-SEC:전자서명'명세에 따르는 메시지 전자서명을 수행할 수도
있다는 것이다. 따라서 ebXML을 사용하는 거래 당사자는 어떠한 방식을 사용할 것인지를 사전에 조율해야 할 것이다.
웹 서비스에서의 정보보호 기술
웹 서비스는 표준화된 XML기반의 메시지 및 전송 프로토콜을 통해 인터넷상의 실행 가능한 애플리케이션으로 접근하는
표준적인 기술들을 의미한다. 웹 서비스를 구성하는 각각의 구성요소는 W3C를 주축으로 표준화가 진행중이며, 대표적인
표준화 명세들로는 송수신 메시지를 구성하는 SOAP, 개발한 서비스의 명세를 표현하는 WSDL(Web Service Description
Language), 표준화된 방법으로 등록기에 접근할 수 있도록 하는 UDDI(Universal Description, Discovery, and Integration)가
있다. 이중 SOAP은 서비스간의 표준 통신 프로토콜로 사용됨으로 구현에 종속되지 않는 서비스 호출을 가능케 한다는
측면에서 다른 구성 요소보다 웹 서비스 내에서의 비중이 크며, 보안에 대한 요구가 높다고 할 수 있다.
최초 SOAP명세는 어떠한 보안 요소도 포함하고 있지 않았으나, 최근 마이크로소프트와 IBM, 베리사인을 중심으로 웹 서비스
보안(WS-Security)명세가 제안됨으로써 새로운 SOAP메시지의 인증, 무결성 보장, 부인방지 등을 위한 보안 모델을 제시
하고 있다. 이명세는 기존의 'SOAP-SEC:전자서명' 명세를 대체하는 역할을 수행함으로써 향후 웹 서비스 메시지 보안
모델의 표준 기술로 채택될 전망이다.
웹 서비스 보안 명세에서는 SOAP 헤더 내에 <Security> 엘리먼트를 새롭게 정의해 수신측에서 요구하는 보안 정보를 포함
시킨다. <Security>엘리먼트는 <UsernameToken>엘리먼트를 통해 메시지 송신자를 식별하며 <Signature>엘리먼트로 XML
전자서명을 검증하는데 필요한 서명 정보를 포함하도록 규정하고 있다.
이처럼 웹 서비스 보안 영역에서 XML 전자서명은 핵심 요소 기술로 자리 잡고 있으며 이는 XML 보안 관련 기술들과 더불어
안전하고 신뢰성 있는 비즈니스 프레임워크 구축에 핵심 기능을 수행 할 것이다.
국내 추진 현황
몇몇 국내 기업을 중심으로 ebXML명세에 의한 보안 기술이 구현되었다. 그러나 적용된 기술은 ebXML 명세의 현 단계에서
제시하는 SSL, S/MIME, 전자서명의 수준이며 본격적인 XML 보안 기술은 적용하지 못하고 있는 상황이다.
현재 국내에서는 XML 보안 기술의 중요성에도 불구하고 이 분야에 대한 연구가 체계적으로 이루어 지지 않고 있다.
2001년에는 ETRI에서 XML 전자서명과 XML Encryption일부를 지원하는 XML시스템을 발표하였고, XML보안 Library 및 Toolkit
의 개발이 계속적으로 이루어 질 것으로 보인다. KISA에서도 각국의 XML보안 기술 동향 파악과 XML전자서명에 대하여
연구한 바 있다.
XML보안 표준을 전자상거래 환경에 적용하는 방안과 전자상거래 보안 표준화 방안은 시급히 이루어져야 할 과제이며, 2002년
도에는 한국전산원에서 ebXML에서의 보안 인증을 위한 XML 보안 인증 적용 방안 및 표준에 대한 연구가 진행되고 있다.
관련 산업의 향후 전망 및 제언
최근 ebXML로 대변되는 전 세계적인 XML 전자상거래 프레임워크 표준화에 있어 XML 전자서명으로 대변되는 XML보안 관련 표준
기술의 연구는 매우 중요하다. XML기반 전자상거래 프레임워크가 활성화 되는 시점이 곧 올 것이며 이때까지 국내에서
XML 정보보호 기술 관련 제품의 개발이 이루어지지 않으면, 외산 XML 정보보호 솔루션이 국내 시장을 지배하게 될 것이다.
단순한 상거래용이 아닌 정부나 기밀성이 요구되는 기관의 시스템이 상호호환성을 가지기 위하여 XML기술을 도입할 때 관련
정보보호기술의 국산화가 이루어 있지 않다면 XML 기술의 도입 자체가 어려운 상황이 도래할 것이다.
현재 XML 정보보호 기술을 기반 기술로 분류를 할 것이냐, 보안기술의 응용으로 분류할 것이냐가 국내에서는 논란이 되고 있다.
보안 기초기술이나 암호학의 측면에서는 응용 기술로 분류할 수 있겠으나, 전자상거래의 측면에서는 반드시 제공되어야 하는
기초기술로 인식이 되어야 하는 측면이 있다. 시스템 보안 기술은 방화벽을 시스템의 불법적인 침입을 막는 기술로 시스템
자체의 운용에는 영향을 않으나, 전자상거래 보안 기술이 제공되지 않으면 지불 결제 등 기초적인 전자 상거래 행위가 이루어질
수 없음을 인식하고 관련 시장의 확대상황을 계속 주시하고 기술의 개발을 서둘러야 할 것이다.
신동규(세종대학교 컴퓨터공학과 교수, shindk@sejong.ac.kr)
