암호알고리듬
정보보호정책에서 암호문제는 「뜨거운 감자」다. 강력한 암호화기법은 이제 각종 보안제품의 「약방의 감초」로 자리잡아 당연히 안기부의 보안지침 규제도 암호 프로그램에 집중돼 있기 때문이다.
보안지침은 공공기관에 대해 누설될 경우 국가안보에 막대한 지장을 끼칠 수 있는 2급 비밀의 경우 안기부장이 승인한 암호 알고리듬만을 써야 한다는 점을 명시하고 있다.
◇현행 보안지침의 암호화 정책방향=암호규제의 대상은 「공공기관」이다. 하지만 실은 2급 비밀과 상관없는 기관 및 업무 정보에 암호제품의 적용이 규제를 받고 있을 뿐더러 민간에서 개발된 암호제품도 안기부의 「외압」을 받고 있는 실정이다.
이같은 안기부 암호규제는 국내에 유통되는 암호 데이터에 대해 안기부가 열람 또는 관장해야 한다는 논리를 내포하고 있다고 전문가들은 지적한다. 모든 공공기관의 암호제품은 안기부만이 제공할 수 있고 소스코드, 비밀키 등은 안기부가 관장해야 하는 정책방향이 이를 입증한다는 것이다.
이에 대한 근거로 안기부는 암호 프로그램 사용시 규제를 하지 않을 경우 국가안보, 범죄수사 등에 위해성을 가할 우려가 있다는 점을 들고 있다. 또 민간의 자율적인 암호사용이 보편화될 경우 키의 분실, 도난 등으로 인해 암호내용의 유실, 사장 등의 결과를 초래할 수도 있다고 주장한다.
◇암호 알고리듬의 공개성 여부=암호제품의 경우 상용제품을 채택하느냐 비공개제품을 사용하느냐는 각각 장단점을 지니고 있지만 민간부문의 경우 상용제품, 국가기밀분야의 경우 비공개제품을 쓰는 「이원화정책」이 대세라는 게 전문가들의 진단이다.
이와 관련, 안기부는 상용 암호제품의 경우 「공개」돼 있으므로 안전성을 믿을 수 없다는 논리다. 하지만 공개된 상용 암호제품은 그동안 안전성에 대해 검증을 거쳐왔다는 점에서 비공개제품에 비해 안전성이 탁월할 수밖에 없다는 게 전문가들의 지배적인 견해다.
특히 국경을 초월한 전자상거래(EC)의 활성화 논의가 국제협력 아래 이뤄지고 있는 가운데 금융 등 분야에 대해 국내 독자적인 비공개 암호 알고리듬을 강제하는 것은 결국 인터넷에서 호환성을 배제하게 됨은 물론 보안산업 분야도 위축되는 결과를 초래한다는 지적이다.
이에 비해 비공개 암호제품은 접근 자체가 원천적으로 봉쇄돼 외교, 국방 등 국가기밀 정보를 다루는 데 적당하지만 일단 유출되기만 하면 언제든지 공격당할 가능성이 있으므로 안전성을 신뢰할 수만은 없다는 게 일반적인 인식이다.
◇외국의 사례=대부분의 정보선진국은 암호제품을 군수물자로 간주하는 「바세나르 협정」에 의거, 일정 비도 이상의 암호제품에 대해 외국으로의 수출만을 통제할 뿐 외산제품의 수입이나 국내 사용에 관한 통제는 거의 이뤄지지 않고 있다.
이와 관련, 경제협력개발기구(OECD)에서 지난해 3월 내놓은 암호 정책지침 기본원칙은 시사하는 바가 크다. 이에 따르면 OECD 암호지침은 △암호수단에 대해 개인은 선택권을 가지며 △암호수단의 개발은 개인, 기업, 정부의 필요와 책임에 의해 이뤄지는 게 원칙이며 △국가기관에 의한 암호자료의 합법적인 접근을 허용하더라도 프라이버시에 대한 기본권을 존중하는 차원에서 적용돼야 하며 △암호서비스 제공자나 암호키 관리자의 책임은 계약이나 법률에 의해 명시돼야 하며 △암호정책은 국가간 협력에 의해 표준규약이 정해지고 무역에 대한 부당한 장벽을 제거하는 것 등을 골자로 하고 있다.
◇전문가들의 견해=전문가들은 가상의 개방형 인터넷 환경에서 일일이 규제를 집행하기는 사실상 불가능할 뿐더러 각국의 협력이 전제되지 않는 한 실효성도 없다는 관점에서 안기부의 암호규제는 불필요하다는 입장이다. 이와 함께 국내에만 암호규제가 존재할 경우 암호기술의 발전이 저해돼 외국기술에 종속되는 부정적인 결과를 초래함으로써 국가안보에 오히려 해악이 된다는 주장이다.
특히 법률 전문가들은 안기부 암호규제는 기본권 침해의 논란을 불러올 소지도 크다는 우려를 나타내고 있다. 국내에 유통되는 모든 전산정보를 안기부가 열람할 수 있어야 한다는 논리는 사생활 침해와 함께 사이버 공간에서 표현의 자유를 제한할 가능성도 있기 때문이다.
<서한기자>