한국인터넷진흥원(KISA)이 드디어 공인 인증 서비스에 대한 국제 인증 규격인 웹트러스트(WebTrust)를 획득했다고 하네요.
이는 글로벌 인증기관(CA)이라면 기본적으로 인증 업무에 대한 프로세스 신뢰성을 확인하는 과정인데도, 2000년 공인 인증 서비스가 시작된 이래 14년만에 처음입니다.
늦었지만 일단 축하를 드립니다. 작년 8월에 공인 인증 제 3자 검증에 대한 이야기를 쓴 적이 있었는데, 다행히 그 때 준비를 시작하고 있어서 5개월만에 인증이 완료되었군요.
웹 트러스트 인증은 그야말로 인증 규정이 잘 기술되어 있는지, 인증서 운영 업무가 잘 처리되는지 또한 처리 기관이 회계적인 문제가 없는지에 대한 확인을 하는 아주 기본적인 첫단추를 끼운 것일 뿐입니다. 따라서, 우리 나라 (플러그인 기반의) 공인 인증 기술의 보안성이 높다는 것을 보증하는 것은 아닙니다. (앞으로 이런 식의 언론 플레이가 있을 가능성이 있을 것이 염려됩니다만…)
어쨌든 웹트러스트가 되고 나서 가능한 몇 가지를 말씀 드리면 다음과 같습니다.
(1) 애플, Mozilla, Opera 등의 신뢰된 루트 인증서 탑재 (빠르게) 가능- 마이크로소프트의 신뢰된 CA로만 되어 있어 오류가 나던 문제가 빨리 해결 가능합니다.
(2) 국제적인 인증서 판매 업무 가능- SSL 서버 인증서를 비롯 클라이언트 인증서인 공인 인증서의 해외 대상 서비스도 가능합니다. (하지만, 플러그인 방식을 수출해선 안되겠죠 ㅠㅠ)
(3) HTML5 웹 기반의 인증 서비스에 대한 기본 토대가 마련되어, 장기적으로 웹 표준 기반의 인증 서비스 구현이 가능합니다.
공인 인증 기반 서버/클라이언트 인증에서 생기던 많은 오류를 수정하고, 글로벌 시장에 진입하기 쉬운데다 향후 웹 표준 기반으로 인증 산업을 키울 수 있는 토대가 되니 좋은 일입니다.
하지만, 그 후속 과제도 만만하지 않습니다. 몇 가지 제언을 해 봅니다.
(1) KISA 최상위 인증 기관은 그 아래 5개의 공인 인증 기관을 보유하고 있고, 모두 영리 기관으로 사업을 하고 있습니다. 우선 하위 인증 기관들이 인증서 사고가 나지 않도록 잘 관리 감독을 해야 할 것입니다. 가끔 해외에서도 부정 발급 사고가 나기도 합니다. 또한, 그동안은 어땠는지 모르지만, 웹트러스트 인증을 매년 받는 이상 하위 인증 기관들의 인증 서비스 (특히, 인증 및 보안 기술 운영) 실태에 대해 국제 표준 및 규격을 준수하도록 좀 더 확실한 가이드를 해 주시길 바랍니다.
(2) 한국의 공인 인증 기술과 서비스는 국제적으로 아직 인정 받고 있지 못합니다. 특히 웹 기반으로 하는 플러그인 서비스는 국내에 과도한 사용자 부담과 보안에 대한 해이로 인한 비용을 증가하고 있구요. 따라서, 웹 표준 기반의 공인 인증 서비스가 연착륙할 수 있도록 많은 투자를 지속해야 합니다. 국내 관련 전문가들이 W3C Web Cryptography W/G에서 계속 논의를 진행하고 있으며, 일련의 서비스 모델도 마련 중입니다. 따라서, 공인 인증을 웹 표준 방식으로 제공 가능한 방법을 빠르게 구현 및 시도하여야 합니다.
(3) 해외 인증 기관(CA)들이 자체적인 인증 기슬과 보안 방식을 이용하여, 국내 시장에 진입하는 것을 허용하여 소비자를 대상으로 공정한 경쟁이 이뤄지도록 해야 합니다. 또한, 국내에서 다원화되어 운영되고 있는 플러그인 기반 공인 인증 클론 서비스(안전 행정부 GPKI, 법원 행정전자서명, 교과부 GPKI-나이스용)를 KISA로 통합하거나 아니면 전자서명법에 부합하는 사업자를 선택하도록 하는 것이 필요합니다. 다수의 레거시 클론으로 인해 사용자가 설치해야하는 플러그인의 갯수가 기하급수적으로 늘고 있습니다.
(4) 공인 인증을 단지 인증 키 방식의 전자 서명(과 부인 방지)에만 둘게 아니라 모바일 단말을 통한 서명, OTP 활용 서명 등 좀더 폭넓게 적용하는 것이 필요합니다. 홍채나 지문 인식 등 다양한 인증 기술이 나와서 꽃필 수 있도록 더 많은 경쟁 환경을 마련해 주어야 합니다.
그동안 국내 인증 산업이 작다고 보호해주고, 공인 인증 기관이 ‘샵메일’ 같은 공인 인증 클론 서비스를 자신감(?) 있게 할 수 있도록 놔두는게 아니라 적극적으로 경쟁 환경에 노출 시켜서 자생력을 갖도록 하는게 정말 국내 보안 산업을 돕는 길이라는 것을 인터넷 진흥원(KISA)이 깨닫고 바뀌는 계기가 되길 바랍니다.
아울러 정말 많은 국민들이 늘 고통 받고 있는 액티브X 문제… 다양한 시민 참여가 필요합니다.
(1) 오픈뱅크 지지 서명
(2) NOACTIVEX 지지 서명
※ Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. 본 채널은 광고를 비롯 어떠한 수익도 창출하지 않습니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on checking facts for your investments and prohibit your citations as commercial content or news sources. This channel does not monetize via any advertising.)