순천향대 이임영 교수
정보화 사회가 도래함에 따라 개인의 프라이버시를 보장하면서 동시에 편리하고 자유롭게 정보를 교환할 수 있는 통신기반 시설에 대한 요구가 높아지고 있다.
이같은 요구를 충족시키기 위한 노력의 일환으로 암호화 및 복호화에 사용되는 키를 어떻게 관리하느냐가 중요한 이슈로 부각 되고 있다.
특히 국가기관이나 기업 등의 조직에서 암호를 이용할 경우에는 암호사용자의 불의의 사고로 인한 키의 분실 등을 대비한 대책이 마련돼야 할 것이다. 이러한 키 관리 문제를 해결하기 위한 방법과 관련하여 지난 93년 4월 16일 미국 클린턴 정부에 의해 발표된 클리퍼(Clipper)프로젝트는 큰 흥미를 끌만하다.
이 프로젝트의 구상은 다음과 같다. 고성능이고 값이 싼 암호 제품의 보급에 따라 범죄조직이 암호를 사용하기 쉽게 되고, 이 결과로 범죄의 도청 조사에 지장을 줄 우려가 생기게 되었다. 따라서 암호를 처음부터 전화등의 통신기기에 도입하고 법원의 허락이 난 도청에 대해서만 복호에 필요한 키를 조사기관이 입수하는 방식을 그 암호 장치에 장착한다. 이렇게 함으로서 합법적인 도청의 기술적 어려움을 극복해 강력범죄나 테러행위에 대항할 수 있게 된다.
클리퍼라고 통칭되는 이 방식은 94년 2월에 에스크로드인크립션스탠다드(EES:Escrowed Encryption Standard)로서 발표되었다. 에스크로(위임 혹은 위탁, 공탁)는 일정 조건이 성립한 때에 효력을 발휘하는 증서 혹은 기탁금을 의미하고, 키 위임이라 함은 법원이 허가하였다는 조건하에서 복호화용 키를 얻을 수 있게 됨을 뜻한다.
이 키위임 방식의 장점으로는 첫째 암호제품의 사용에 필수적인 키관리 기반을 이용하여 비교적 저렴하고 손쉽게 조사기관의 도청을 가능하게 한다는 점이다. 둘째 사용자가 부주의 혹은 사고로 인해 자신의 비밀키를 분실하였을 경우 키위임 기관으로 부터 본인의 비밀키를 얻을 수 있어 데이터 복구(혹은 키복구)가 가능하다는 점이다. 셋째 향후 정보화 사회에서 디지털 계약서 등을 이용한 전자 상거래를 실현할 경우 키위임방식은 분쟁 발생시의 분쟁 해결수단으로 활용할 수 있다. 반면 키위임의 단점으로는 첫째 키위임 기관에서의 비밀키 보관의 어려움이다. 사용자의 비밀키가 노출되었을 때의 피해는 상상하기 어려울 정도로 크다는 점에서 비밀키는 안전하게 보관되어야 하는데 기술상의 어려움이 수반한다. 둘째 범죄 집단이 아닌 일반 사용자 입장에서 본인의 비밀키를 정부기관에 보관한다는 사실에 대한 거부감이다. 정부가 의도적으로 혹은 부주의로 인한 실수로 일반 사용자의 통신 도청이 가능하기 때문에 개인 프라이버시 보장에 의구심을 갖을 수 있다.
이와 같은 단점에도 불구하고 미국 정부 및 유럽, 캐나다 등에서는 날로 늘어나는 범죄 조직과 대응하기 위하여 키위임을 정책적인 차원에서 적극적으로 추진하고 있다. 한 국가 내에서의 키위임을 다른 국가와 연계하여 추진하고자 하는 노력도 아울러 진행되고 있어 미래에는 전세계에 걸친 키위임 정책이 실현될 가능성도 배재할 수 없는 상황이다. 미국의 경우 현재에는 암호제품의 수출을 철저히 통제하고 있지만, 위임된 키를 가지는 암호제품의 경우에 수출에 대한 통제를 완화한다는 정책이 발표된 바 있다.
키위임 정책은 국내 현실을 고려해 볼때 매우 설득력을 갖는 정책이라 할 수 있다. 지금까지 정부가 허락한 기관에서만 암호제품을 사용하게 한 큰 이유는 통제의 어려움 때문이라 할 수 있는데 키위임은 이와 같은 문제를 해결할 수 있는 대안이 되고 있다. 사용자의 입장에서는 증대되고 있는 암호에 대한 필요성을 충족시키며, 정부의 입장에서는 안전이 보장된 키위임 기관을 구축, 사용자의 요구에 어느 정도 부응하면서 통신에 대한 통제를 계속 수행할수 있기 때문에 키위임 방식이 매우 매력적이라 할 수 있다. 더욱이 하드웨어 혹은 소프트웨어에 의존적인 키위임 방식에서 벗어나 공개키 인증을 기반으로 한 키위임 방식은 비용 및 서비스 상의 이점을 가지기 때문에 고려해 볼 가치가 있을 것으로 여겨진다.