Code Signing : 서명된 ActiveX 배포하기

2008.10.24 10:51IT/보안

http://en.wikipedia.org/wiki/Code_signing

코드서명(Code Signing)이란 프로그램이나 스크립트 등을 개발한 주체가 임의의 사용자들에게 배포하려고 할 때 해당 프로그램의 배포자가 인증받은 기업(혹은 개인)임을 증명하기 위한 수단이다.

즉,
사용자 삽입 이미지

위 그림처럼 이 프로그램은 '누가' 만든 '어떤' 프로그램이다 라는 것을 명시해주는 방법을 말한다.
(실제 경고창과 헷갈려서 흑백 처리함;)

하지만 아무나 프로그램 이름과 게시자를 쓸 수 있게 한다면 문제가 발생한다. 예를 들어, 내가 바이러스 프로그램을 만든 뒤 '네이버'에서 만든 '보안 프로그램'으로 명시해서 배포하면 사람들은 아무 의심없이 설치 버튼을 누를 수 있다. 따라서 이러한 코드서명은 반드시 사업자등록증이나 신분증을 확인한 후에 발급받은 코드서명용 인증서(혹은 코드사인 인증서, ActiveX 인증서)를 통해서만 가능하고, 프로그램을 다운받는 웹브라우저가 해당 프로그램이 유효한 인증서로 서명된 것인지를 검증하게 된다.

코드사인 인증서는 VeriSign이라는 유명한 해외 업체에서 발급한 것을 주로 사용해왔으나 최근에는 국내 기관에서도 발급하고 있고, 이러한 기관들로부터 위임받아 판매만 전문적으로 담당하는 업체도 있다. 현재 VeriSign 홈페이지에서 판매하는 가격은 1년에 499달러. 높은 환율을 적용해보면 어마어마한 가격이다. 국내에서 판매대행을 하는 경우에도 40만원 선이다. 대신 국내 인증기관을 이용한다면 비싸도 20만원 선, 싸게 이용하면 10만원 선으로도 이용할 수 있다. 그리고,

사용자 삽입 이미지

https://www.yessign.or.kr/ssl 에서는 서비스 정식오픈(2008년 11월중)까지 무료 발급 이벤트를 진행하고 있다.
  • 프로필사진
    bro.Yobi2008.10.24 11:04 신고

    자기 '원' 홍보구만.. ㅋㅋ

  • 프로필사진
    Favicon of http://blog.sbnet21.com BlogIcon 조나단봉2008.10.24 12:16 신고

    쭌넷에 광고글이 올라올줄이야...!!
    그런데 확실히 우리나라는 ActiveX 사용을 좀 지양할 필요가 있을 듯...

    • 프로필사진
      zzun2008.10.24 13:11 신고

      광고글이 아니라 컴퓨터 보안에 관련된 글이다 ㅋㅋ
      ActiveX 문제는 해결될 조짐이 안보인다;;

  • 프로필사진
    현호군2008.10.28 19:17 신고

    아... 지난번에 내가 아는 스위스애가 Ssangyong 은 어떻게 읽어야하냐며 그러던데 너 홈피 주소 쓰면서 생각났다. "zzun.net"은 외국인들이 어떻게 읽을까? 훗~

    • 프로필사진
      zzun2008.11.02 19:54 신고

      쩐넷.. 이라고 읽는 사람도 봤다 ㅋㅋ(한국사람)