IT/보안

Code Signing : 서명된 ActiveX 배포하기

zzun 2008. 10. 24. 10:51
반응형
http://en.wikipedia.org/wiki/Code_signing

코드서명(Code Signing)이란 프로그램이나 스크립트 등을 개발한 주체가 임의의 사용자들에게 배포하려고 할 때 해당 프로그램의 배포자가 인증받은 기업(혹은 개인)임을 증명하기 위한 수단이다.

즉,
사용자 삽입 이미지

위 그림처럼 이 프로그램은 '누가' 만든 '어떤' 프로그램이다 라는 것을 명시해주는 방법을 말한다.
(실제 경고창과 헷갈려서 흑백 처리함;)

하지만 아무나 프로그램 이름과 게시자를 쓸 수 있게 한다면 문제가 발생한다. 예를 들어, 내가 바이러스 프로그램을 만든 뒤 '네이버'에서 만든 '보안 프로그램'으로 명시해서 배포하면 사람들은 아무 의심없이 설치 버튼을 누를 수 있다. 따라서 이러한 코드서명은 반드시 사업자등록증이나 신분증을 확인한 후에 발급받은 코드서명용 인증서(혹은 코드사인 인증서, ActiveX 인증서)를 통해서만 가능하고, 프로그램을 다운받는 웹브라우저가 해당 프로그램이 유효한 인증서로 서명된 것인지를 검증하게 된다.

코드사인 인증서는 VeriSign이라는 유명한 해외 업체에서 발급한 것을 주로 사용해왔으나 최근에는 국내 기관에서도 발급하고 있고, 이러한 기관들로부터 위임받아 판매만 전문적으로 담당하는 업체도 있다. 현재 VeriSign 홈페이지에서 판매하는 가격은 1년에 499달러. 높은 환율을 적용해보면 어마어마한 가격이다. 국내에서 판매대행을 하는 경우에도 40만원 선이다. 대신 국내 인증기관을 이용한다면 비싸도 20만원 선, 싸게 이용하면 10만원 선으로도 이용할 수 있다. 그리고,

사용자 삽입 이미지

https://www.yessign.or.kr/ssl 에서는 서비스 정식오픈(2008년 11월중)까지 무료 발급 이벤트를 진행하고 있다.
반응형