보안정책의 방향 (상)
정보화 사회가 진전됨에 따라 정보의 수집, 분석 및 활용 능력은 한 나라의 국익이나 경쟁력을 좌우하게 될 정도로 중요한 자산이 되고 있다.
여기에는 중요한 정보의 비밀유지, 수집가공된 정보의 안전한 관리 및 이용 등 정보보안이 중요한 과제가 된다.
일반적으로 정보보안이라고 하면 데이터의 암호화를 통한 비밀유지만을 생각하기 쉬우나 암호화는 가장 초보적인 보안서비스의 하나일 뿐이다.
시스템을 불법적인 접근으로부터 보호하거나 정보의 불법변경이나 파괴에대한 대책을 마련하는 것 등이 실제로 시스템 운영자들에게는 훨씬 중요한과제다.
따라서 국내의 정보보호산업 육성을 위해서는 무엇보다 암호화 정책에 대한 법·제도적인 정비가 무엇보다 시급하다.
제대로 된 정보보안 서비스의 구현이 어려운 가장 큰 이유는 통신망을 사이에 둔 사용자와 사용자 사이의 모든 시스템들에서 보안이 제대로 유지돼야만 정보가 제대로 보호된다는 사실이다. 즉 어느 한 곳에서 구멍이 생기면다른 모든 곳에서 아무리 완벽한 보안체계를 갖추었다고 해도 전체 시스템은허점이 생기게 된다. 해커들이 노리는 것이 이와 같은 시스템의 허점을 찾아내는 것이다.
이런 면에서 국내의 법·제도상 공중통신망에서 암호화된 데이터가 전송될수 없게 한 조항들은 국내의 정보보안산업의 활성화를 막는 가장 큰 요인의하나로 보인다.
예를 들면 금융계통에서는 그 특성상 타분야에 비해 보안기술이 일찍이 도입돼 시행되고 있으나 다른 모든 보안기능을 무색하게 하는 것이 공중통신망상의 암호화 규제다. 즉 ATM과 은행 사이에는 비밀번호가 암호화돼 보호가된다지만 일단 이들이 금융공동망에 들어갈 때는 법규상 암호화된 데이터가모두 풀려서 지나가게 돼있어 보안기능이 있다고 말할 수 없다.
각 은행들이 경쟁적으로 보안상품 개발에 열을 올리고 있으나, 그 실상을들여다 보면 이들은 모두 단순한 광고효과를 노리는 것일 뿐 실제로 보안기능이 제대로 된 상품은 근본적으로 나올 수가 없는 것이 현실이다.
세계적인 추세를 좇아 국내에서도 전자지갑이나 전자상거래를 위한 서비스들이 개발되고 있으나 이들 새로운 서비스가 제대로 제공되기 위해서는 우선이러한 규제를 포함한 법·제도적 정비가 무엇보다 시급한 실정이다.
그렇다면 과연 이러한 규제를 풀었을때 정보기관의 업무수행에 얼마나 차질을 줄 것인가를 한번 짚어볼 일이다. 모든 일에 양이 있으면 음이 있듯이정보보안의 경우도 대다수 국민들의 프라이버시 보장이라는 측면과 이를 악용하는 집단으로부터 국가이익의 보호라는 상충되는 면들이 존재한다.
미국의 새로운 암호표준 EES가 발표되면서 암호학계에서도 이슈가 되었던것이 이러한 상반되는 두 입장 사이에서 적절한 타협점을 찾는 파이어 크립토시스템(Fire Cryptosystem)에 관한 연구다.
우리나라의 경우도 규제를 푸는 것이 진정으로 국가의 업무수행에 지장을준다고 판단된다면 EES에서와 같은 키 에스크로(Key Escrow) 방식을 통해서라도 대안을 마련해 민간부문의 정보보안 산업을 활성화시키는 것이 바람직할 것으로 보인다.
<임채훈 백두정보기술 암호기술연구센터>