MWJ June 1, 2002

**It's a missing feature**

질문: 특정 웹 사이트에 접속하기 위해 윈도우즈 2000이나 XP에서 인터넷 익스플로러에 하는 것처럼 맥 오에스 텐 웹 브라우저에 왜 인증을 설치할 수 없나요? 그 이유 때문에(익스플로러는 물론 모질라나 옴니웹 등에도 안됩니다.) 고용주가 윈도우즈 2000 PC로 바꾸라고 하고 있습니다. 인증 사이트를 업무에 사용해야하기 때문이죠.

답변: 믿거나 말거나, 적어도 이 질문은 다섯 번 이상 다양한 모습으로 본지에 왔었다. 대부분의 웹서퍼들은 이런 문제들이 없긴 해도 말이다.

"보안" 웹 사이트에는 암호 외에도 다양한 형태의 보안이 존재한다. 모든 보안 웹 사이트에 쓰이는 Secure Sockets Layer(SSL)은 모든 열쇠가 퍼블릭 키와 프라이빗 키로 나뉘는 퍼블릭-키 인크립션에 기반하고 있다. 프로토콜을 단순화시켜서 생각하면, 퍼블릭 키와 프라이빗 키는 서로 다르면서도 암호 열쇠의 같은 부분이라 할 수 있다. 프라이빗 키로 암호화된 메시지는 퍼블릭 키로만 열 수 있으며, 퍼블릭 키로 암호화된 메시지는 프라이빗 키로만 열 수 있다. 이 논리로 PGP의 퍼블릭 키를 발행하거나 다른 암호 표준이 나오고 있으며, 알기 쉽게 말하면 누구나 데이터를 암호화할 수 있지만, 프라이빗 키를 가지고 있는 여러분만이 그 파일을 읽을 수 있다는 뜻이다.

보안 연결을 할 때, SSL 서버는 브라우저에게 서버의 보안 인증을 복사하도록 요구한다. 이 보안 인증은 서버의 정체를 확인하는 문서로서, 만약 여러분이 본지 구독을을 하기 위해 신용카드를 보낼 때, 해커가 트래픽을 돌려버리면 매우 곤란할 것이다. 서버의 정체를 확인하기 위해, 브라우저는 서버의 퍼블릭 키와 인증 시리얼 넘버, 유효 기간, 별도의 이름, 인증 사용자의 이름, 인증 사용자의 디지탈 사인 등의 인증을 얻게된다.

이 인증을 이용하기 위해, 인증 유효 기간에 오늘 날짜가 포함되어야 하며, 서버의 도메인 네임은 서버의 다른 이름과 일치되어야 하고, 인증 사용자는 이를 변경하지 말아야한다. 즉, 인증 사용자의 디지탈 사인이 유효해야하며, 사인한 이래로 바꾸지 않았다는 표시를 보내야한다. 이 브라우저가 인증을 받으면, 서버측의 퍼블릭키를 브라우저가 갖는 것이다. 여러분이 본지에 대해 유효한 디지탈 사인의 퍼블릭 키를 갖는 것이나 마찬가지이다.

디지탈 사인은 암호화된 프라이빗 키로서 데이터를 수학적을 구성해놓는다. 여러분의 브라우저는 인증을 받을 때, 이 데이터를 재계산해서 퍼블릭키를 제시하는 데 사용할 데지탈 사인을 해독하고 두 개를 비교한다. 이 두 개가 일치하면, 인증은 유효화되고 여러분은 보안 연결을 하는 것이다. 그 후에야 데이터가 서버와 브라우저 사이를 움직일 수 있으며, 이동하는 중에도 임의로 서버의 퍼블릭키를 이용해 암호화가 이뤄진다. 더 알기를 원하는 경우 넷스케이프의 사이트을 보기 바란다.

그렇다면, 브라우저는 퍼블릭 키를 어디에 저장할까? 이미 내장되어있다. 인증 기관(Certifying Authorities; CA)이라 불리는 조직이 여기에 대한 길다란 리스트를 여러분이 사용하는 모든 웹 브라우저에 이미 내장시켜놓은 것이다. 이를테면, 본지의 보안 인증은 현재 VeriSign의 하부 부서인 Thawte 컨설팅이 부여하였다. 마이크로소프트 인터넷 익스플로러 5.1.4에서 "Preferences"로 간 다음에 "웹 브라우저" 리스트의 "Security"를 보자. CA 리스트들에서, premium-server@thawte.com을 발견할 수 있을 것이다. 이 주소가 바로, 본지를 포함, 모든 Thawte 인증을 확인한다. 전혀 권장하지 않지만, 만약 이를 지울 경우, 인터넷 익스플로러는 본지의 보안 사이트 접속에 에러를 표시할 것이다.

SSL 프로토콜은 따라서 선택적인 클라이언트 인증을 허용한다. 서버 인증은 클라이언트가 인증을 바랄 때 이뤄질 수 있으며, 서버는 여러분 자신의 정체와 CA로부터의 디지탈 사인을 확인한다. 만약 서버가 클라이언트 인증을 요구하도록 되어있다면, 여러분은 브라우저 안에 유효한 개인 인증을 갖지 않는 한, 보안 연결을 이룰 수 없다.

자, 이제 질문으로 돌아가보자. 넷스케이프 커뮤니케이터와 모질라, 그리고 오페라, 맥 오에스 텐용이 아닌 마이크로소프트 인터넷 익스플로러에서는 새인 인증이나 새로운 CA 인증을 원하는데로 추가할 수 있다. 보안 강화를 위해 개인 인증을 요구하는 은행 서비스가 있는데, 이들 서비스는 회사 내부 웹사이트 접속을 위할 때에도 쓰이곤한다. 여러분과 다른 이들의 질문은, 맥 오에스 텐용 마이크로소프트 인터넷 익스플로러에 왜 CA 인증, 혹은 개인 인증을 추가할 수 없는 지로 요약할 수 있다.

하지만 이문제는 생각만큼 심각하진 않다. 마이크로소프트 인터넷 익스플로러 5.0과 그 이후 버전은 맥 오에스, 맥 오에스 텐에서 인증을 입수할 수 없도록 만들어졌다. 맥 오에스 텐 버전은 전혀 개인 인증 인터페이스가 없는채, 클래식 버전을 네이티브로 재구현한 것 뿐이다. 마이크로소프트는 매우 찾기 어려운 KnowledgeBase에서 이문제를 적어도, 개인 인증에 한해서 인정하고 있다. 비록 CA를 더할 휴먼 인터페이스는 갖춰져있지 않지만, 여러분은 MIT 인증과 같은 것을 브라우저에 표시함으로써 더할 수 있다.

개인 인증을 더할 수 있는 맥 오에스 텐 브라우저를 이용하는 방법도 있다. 넷스케이프 7 PR1과 모질라 1.0rc3는 인증 매니저가 있으며, "Certificates"의 "Privacy & Security" 섹션에서 볼 수 있다. 넷스케이프 6.2.3도 같은 기능이 있으며, 두 브라우저 모두 인터넷 익스플로러처럼 CA 인증을 브라우저에 더할 수 있지만 매우 쓰기 불편한 대화상자를 다뤄야한다. 맥 오에스 텐용 최신 오페라도 마찬가지이다.

하지만 인증에 대해서 MSIE 5를 공유하고 있는 iCab에는 사제 인증을 더할 방법이 없다. 독자들에 따르면, 옴니웹은 유효한 한, 받아들이는 어떠한 종류의 인증도 허용한다고 알려져있다(하지만 본지의 실험에서 옴니웹은 MIT 인증을 읽을 수 없었다). 사실이라 하더라도, 옴니웹에도 역시 인증을 관리할 휴먼 인터페이스는 존재하지 않는다. (충실하지 못한 도움말도 인증에 대해서는 거의 아무런 언급이 없다. 하지만 원할 경우 편집할 수 있는 방대한 양의 코코아 구조의 텍스트 디스크립션은 존재한다.)

이 주제에 대한 많은 질문들은 애플, 혹은 마이크로소프트에서 나온 음모론을 저변에 깔고 있다. 바로 브라우저의 기능 제한이다. 넷스케이프와 오페라는 이 실수가 애플의 실수가 아님을 보여주고 있으며, 마이크로소프트의 놀리지베이스 기사 또한, 2년 전 마이크로소프트 인터넷 익스플로러 5가 나온 이래 알려진 문제라는 점을 시사하고 있다. 누락된 기능이자만 더도, 덜도 없다는 사실. 여러분은 오페리나 넷스케이프, 모질라를 사용할 수 있다. 설사, 주요 브라우저가 이들 브라우저가 아니라 하더라도, 별도의 애플리케이션을 구동시키는 것이 별도의 PC를 사용하는 것보다는 훨씬 저렴하고 쉬울 것이다.

Copyright (c) 2002 GCSF, Incorporated. All rights reserved. All
trademarks are the property of their respective holders and
owners.

GCSF, Incorporated.
P.O. Box 1021
El Reno, OK 73036-1021
(405) 262-1399


위민복님의 글입니다.
http://casaubon.tv