공인 인증 기관의 제 3자 검증에 대해서

얼마 전 있었던 공인 인증 끝장 토론 LIVE 토론을 보다가 공인 인증 기관 3자 검증에 대한 이야기가 나와서 한 마디 적으려고 합니다.

(박성기) 제3자 전문기관 검증 부분은 무정부주의 발상 아닌가요. 정부기관이 아니면 누구에게 검증을 받으라는 건가요? 6월 토론회에서 김기창 교수님이 제시한 게 이 자료입니다. (인쇄해 왔군요)
우리 같은 공인 인증 기관이 제3자 공인인증을 하는 겁니다. 전혀 다른 자료입니다. 아직까지 세계적으로 루트CA에 대해서 제3자 공인인증을 받는 경우 없습니다.

(김대영) KISA를 없애라고 한 적도 없습니다. 전혀 없습니다. KISA뿐 아니라 다른 루트 인증기관도 할 수 있게 문을 열어달라는 거죠. 왜 루트 기관은 한나라에 하나만 있으면 되지 왜 여러개냐고 말씀하시거든요. 물론, 금융만큼 심각한 게 아니지만, 내가 충대에서 와이파이를 깔면 그 아이디로 원키로 들어갑니다. 내 국가 서버, 글로벌이 페더레이션으로 뮤추얼 트러스트합니다.

KISA는 페더레이션 안 하는 거에요. 그건 한국에서만 유용한 거에요. KISA는 공인인증을 한다고 하고 루트 기관을 KISA 아닌 다른 곳에도 열어주면, 말씀은 사대주의다, 베리사인이 들어와 다 먹을 거다, 무정부주의다,라고 하는데요. 인터넷이 무정부주의 아니에요? 인터넷은 미국의 독점적인 인프라에요. 완전 공공의 적이네요?

한국 Mozilla 커뮤니티에 사용자 포럼에는 Firefox로 SSL 인증서 오류로 접속 안되는 사이트가 많다는 질문이 제법 올라옵니다. [1] [2] [3]

대부분 이유는 KISA와 행정안전부의 루트 인증서가 Firefox 인증 저장소에 신뢰된 인증기관으로 탑재되어 있지 않아서 그 하위의 SSL 인증서를 쓰는 웹 사이트들에서 접속 오류가 나는 것입니다. (사용자가 직접 루트 인증서를 설치할 수 있지만 매우 불편한 일입니다.)

그럼 어째서 IE나 Chrome, Safari 등에서 문제가 안나는데 Firefox에서만 문제가 일어나는 걸까요? 누가 정부에 질문을 했더니 다른 브라우저에는 다 우리가 잘 탑재를 했는데, Firefox 는 개발 주체가 없어서 어렵다는 답변을 보냅니다.

과연 그럴까요? 전 세계적으로 많은 기업 및 정부 기관들이 공인 인증 서비스를 운영하고 있고, 이를 통한 최상위 인증기관이 있습니다. 이들 인증 기관들은 Web of Trust라는 회계 감사와 인증 기관으로서 책임을 다하고 있는지, 제 3자 회계 법인의 검증을 받습니다. Web Trust는 모든 인증 기관들이 받는 보편적인 제 3자 검증 서비스입니다.

KISA에서도 Mozilla에 무려 2006년도에 ROOT CA 추가 신청을 했습니다. 제가 도움을 주기도 했지요.

하지만, 그간의 내용을 보면, (MS도 해줬으니) 정부 부처가 인증한 것으로 그냥 봐달라, 정통부가 지경부로 지경부가 미래창조과학부로 이름이 계속 바뀌니 그에 대한 정보의 부실, 인증 기관의 홈페이지와 인증 준칙(CPS)의 부실, 하위 공인 인증기관 CPS와 홈페이지 부실 등등으로 인해 계속 지연되고 있습니다.

하지만, 다른 정부 Root CA는 제 3자 검증을 받고 모두 Firefox 인증 저장서에 루트 인증서를 탑재했습니다. 스페인 정부 RootCA, 일본 정부 RootCA, 대만 정부 e등등

Mozilla 인증 기관 목록
에 가셔서 “Government”로 검색 해보시면 “Audit” 혹은 “EV Audit”항목에 모두 WebTrust 인증을 받으신 것을 보실 수 있습니다.

KISA의 NPKI와 안전행정부 GPKI 인증서로 SSL 인증서를 발급하면서 인증 서비스하려면, 이 정도의 글로벌 표준은 지켜줘야 합니다. 이들이 발급한 SSL 인증서 및 공인 인증서가 외국인에게도 쓰일 수 있는데, 당연하겠지요.

그렇다면, 왜 Firefox만 문제인것일까요? Microsoft는 정부의 Root CA에 대해서는 자신들만의 규정을 통해 “정부 편지”도 3자 인증과 같은 수준으로 처리를 해 줍니다. 그래서, KISA ROOT CA와 GPKI CA가 아주 나이스하게 윈도 인증서 저장소에 올라가 있습니다.

약 50여개국의 정부 Root 인증서가 탑재되어 있죠.

MS는 원래 정부 로비를 잘하는 곳이라고 치고, 그럼 크롬과 사파리, 오페라는 어떻게 된 걸까요? 제가 듣기로 KISA가 각 브라우저 업체에 공문을 보내 해결했다고 이야기한다고 합니다만 실제로는 그렇지 않습니다. 윈도에서 크롬, 사파리, 오페라 등은 자체 저장소가 아니라 윈도 저장소를 빌러 씁니다. 그러다 보니 윈도에서는 파이어폭스에서만 문제가 일어납니다. 하지만, 맥이나 리눅스로 가면 이야기가 달라지죠.

맥에서 애플 CA 인증 프로그램을 보면 WebTrust를 받지 않으면 등록을 못하게 되어 있고, 그래서 맥에서는 어떤 웹 브라우저에서도 ‘신뢰되지 않은 인증서’ 이슈가 그대로 뜹니다.

혹시 아이폰/아이패드/맥 가지고 계신 분 https://www.rootca.or.kr을 한번 접속해 보십시오! 여전히 이 문제는 해결되지 못한 이슈입니다.

KISA가 WoT 인증을 받아야 합니다. 그래야 공인 인증 기관들이 글로벌 시장 개척 가능합니다. 도대체 WoT도 안 받아서 믿기도 어렵고, 맥/리눅스에서 접속도 못한 SSL 서버 인증서를 한국 정보인증에서 공인 인증서라고 50만원에 파는게 말이 되나요?

수출로 먹고 사는 가장 글로벌한 나라가 가장 폐쇄적인 IT 환경인 상황입니다. 대한민국 IT가 글로벌로 못간다 이런거 할 이런 전봇대 부터 뽑고 이야기해 주세요!

여러분의 생각

의견 쓰기

이름* 이메일* 홈페이지(선택)