공인 인증 기술 체계, 후진국 수출 과연 올바른가?

전자 서명법과 공인 인증 기술 체계가 도입된지 13년이 지났습니다. 얼마전 3/20 사이버 테러에 공인 인증 기술 기반이 되는 ‘제큐어웹’ 플러그인이 악성 코드 배포에 활용 되고, 공인 인증서의 복제와 이를 통한 침해 사고가 빈번해지면서 오히려 기술 배포와 이용 체계의 보안성이 다시 도마에 오르고 있지요. 많은 사람들이 공인 인증 체계와 액티브X로 대변되는 플러그인 기반 기술을 없애달라고 청원하고 있습니다. 이건 어제 오늘의 일이 아니고, 이미 십여년 전부터 계속 하소연 해오던 이야기죠.

그런데, 이런 레거시 기술을 빨리 걷어내어야할 마당에 오히려 대한민국 국민 전체가 안전하게 사용한다는 자뻑에 빠져서 오히려 공인 인증 기술을 외국에 버젓이 수출을 하고 있습니다. 이게 말로는 수출이지 대다수가 후진국이나 개발도상국 등 제3세계 국가인데다 (수출이라기보다는) 국제 기구를 통한 개발원조 성격이 강합니다. 해외로 뻗어가는 공인인증서

공인 인증 업체 중 하나인 한국정보인증은 베트남, 카메룬과 필리핀 등지에 KOICA의 지원을 받아 공인 인증 기술을 완료했고, 파나마 및 코스타리카에서는 구축이 진행되고 있으며, 몽골과 이집트, 인도네시아 등지에서는 도입을 검토 중이라고 합니다( 한국정보인증, 공인인증시스템 잇따라 수출 ) 국내 PKI 업체인 드림시큐리티는 이디오피아, 아프가니스탄 등에 월드뱅크 지원 사업을 수주 받아 플러그인 기반의 공인 인증 기술을 제공하고 있습니다(드림시큐리티, 공인인증기술 아프리카로 수출 ).

근데 이런 모든 일이 정부의 후원 하에 이루어지고 있습니다. 전자 정부를 홍보한다는 미명아래 행정안전부와 KISA에서 꾸준히 진행해 오고 있는 것입니다.

게다가 국내 공인 인증 체계를 만들었던 어떤 분은 국제 기구의 정보보호 담당자가 되신 후, “이미 전자서명법 등 지문을 공인인증서와 결합해 사용 할 수 있는 조항이 있음에도 한국은 전혀 활용하지 못하고 있다면서… 한국의 주민등록체계는 40년 역사를 자랑합니다. 지문 등 국민 생체정보 데이터베이스도 자연스럽게 구축돼 있지요. (기존의 공인 인증서와) 이 둘만 결합해 보안 체계를 구축해도 해커들의 공격을 막을 수 있습니다.”라고 주장을 하시고 있습니다.(공인인증서에 주민등록 지문 더하면 해킹 90% 방지 )

@woohyung님이 말씀하신대로 “현재의 취약구조를 만들때 담당 주무관/사무관/과장은 지금 국장/관리관/차관보 혹은 산하기관장정도 하고 계실 것이고, 전임자이자 현 상위보직자의 실적을 잘못이라 하기 어려운 무오류의 정부 모델”이 끊임없이 이어진 잘못을 교정하지 못하고, 더 나아가 제 3국에 그 오류를 그대로 수출하고 있는 현실은 정말 큰일입니다.

새 술은 새 부대에 담아야 합니다. 기존의 우리 나라 정보 보안 체계는 실패했음을 인정하고, 완전히 새로 시작해야 합니다. 우리 공인 인증 기술과 체계를 수입한 나라에도 우리의 전철을 밟지 않도록 충고해야 합니다. 제발 이번에는 좀 바뀌었으면 좋겠습니다.

제발~

여러분의 생각

의견 쓰기

이름* 이메일* 홈페이지(선택)