남길현 통신정보학회장
지난 20세기에는 자동차·선박·비행기와 같은 교통수단의 발전이 인류의 활동영역을 점차 확대시켰고 제트비행기의 출현으로 세계를 1일 생활권으로 묶어주었다. 그러나 21세기를 맞이하는 현시점에서 컴퓨터와 정보통신기술의 급속한 발전과 폭발적인 인터넷의 확산으로 등장한 전자상거래(EC)는 세계를 시·분·초를 다투는 단일생활권으로 이끌고 있다. 이러한 정보화의 물결에 편승해 전자상거래는 다가오는 미래사회의 치열한 국제경쟁에서 살아남을 수 있는 국가적 생존전략으로 인식되고 있으며 정부에서도 역점사업으로 추진중이다.
이미 국내에서도 전자거래기본법과 전자서명법이 국회를 통과, 오는 7월 1일부터 시행을 앞두고 있다. 그러나 전자상거래의 활성화를 위해서는 개인의 사생활 보호와 통신망에서 유통되는 데이터의 도청과 위·변조 뿐만 아니라 신분위장과 같은 불법적 행위에 대한 해결책이 전제돼야 한다. 이같은 문제점의 해결방안으로는 암호방식이 가장 효과적이라는 견해가 대세를 이루고 있다.
암호방식 가운데서도 공개키암호는 송수신자 양측에서 똑같은 비밀키를 공유해야 하는 기존의 전통적인 관용암호시스템과는 차이가 있다. 암호화키와 복호화키가 서로 달라 암호화키를 공개하더라도 개인이 소지하는 복호화키를 통해 통신비밀을 보장할 수 있는 것이다.
공개키암호방식은 대칭키암호기술이 제공하는 기밀성·무결성기능 뿐만 아니라 인증·부인방지·전자서명과 같은 다양한 정보보호기능을 제공하고 키분배 문제를 해결할 수 있는 가장 효과적인 대안으로 인식되고 있다. 그러나 공개키암호의 상용화를 위해서는 무엇보다 키의 생성·분배와 안전한 관리를 위한 체계로 공개키기반구조(PKI)가 필수적이다.
PKI는 안전한 인증서 관리를 기본적으로 수행해야 하며 인증서의 발행·보관·폐기, 인증정책수립 등의 기능을 제공해야 한다. 또 부가적으로는 데이터 저장이나 사용자 및 인증기관의 명명과 등록기능을 지원해야 한다. 이같은 기능 외에도 PKI는 최근의 전산환경인 클라이언트서버(CS) 개념으로 운영될 필요가 있다. 이때 PKI클라이언트는 키의 생성 및 교환, 디지털서명 생성 및 검증 등의 기능을 구현하고 PKI서버는 인증서의 전송 및 공증, 보안 및 인증 관련 응용서비스를 제공한다.
기술적 바탕과 함께 PKI는 관리구조도 중요하다. 현재 명칭은 국가별로 다르지만 각국에서 국가 최상위인증기관으로서 정책승인기관(PAA)이 있고 그 하부에 인증기관(CA)을 두고 있다. 또 필요할 경우 조직등록기관(ORA)이 CA 하부에 존재하기도 한다.
PAA는 PKI 안의 CA·ORA 등 관리기관들에 대한 종합적인 운영감독과 조정역할을 수행하며 이를 위한 인증정책이나 지침·규칙을 수립, 시행한다. CA는 공개키 인증서의 발행·배포·취소·보관 등의 기본적인 관리기능과 CA들 사이의 상호인증을 하기 위한 디렉터리 서버를 운영한다. 해외에서는 현재 대체적으로 CA 하부에 별개의 CA를 두는 계층적인 인증구조를 선호하는 추세며, 독립적인 단위 CA들 사이의 상호인증이 가능한 네트워크구조나 이들을 절충한 혼합구조도 검토의 대상이 되고 있다.
PKI 관련 국제기구의 추진현황을 보면 UN은 세계무역기관네트워크(GPT
Net)를 통해 「전자인증연계(SEAL)」 프로젝트를 진행중이다. 유럽에서도 「ETS-Ⅰ,Ⅱ」 프로젝트를 추진하면서 다양한 인증서비스 제공과 PKI 환경구축에 박차를 가하고 있다.
OECD는 각국 인증체계의 상호 연계 운용을 위해 현재 선진국들을 중심으로 정책과제를 추진중이다.
한편 미국 등 선진국들은 기관명칭과 일부정책에서 자국의 특성에 따라 다소 차이를 보이고 있으나 PKI 환경구축에 최대한 역점을 두는 정책을 펴고 있다. 미국은 「FPKI 운영위원회」를 두고 그 아래에 기술·정책·산업 등 3개의 작업그룹을 만들어 활발한 연구를 진행중이다. 캐나다는 「GOCPKI」 구현팀을 구성했고 호주는 「PKAF」 전략을 국가차원에서 추진하고 있다. 특히 호주는 최상위인증기관으로 「PARRA」를 설립, 하부 CA들을 통제하고 상위 CA 역할을 수행하도록 하고 있다.
선진국들은 자국내 PKI 환경정비 뿐만 아니라 세계적으로도 유리한 위치에 서기 위해 국제기구에서도 영향력을 발휘하고 있다.
국내에서는 오는 7월 1일부터 전자서명법과 전자거래기본법이 발효됨에 따라 공인 CA설립을 서두르고 있으며 법·제도 정비와 관련 기술확보에 총력을 기울이고 있다.
이중에서도 한국정보보호센터가 국가 최상위인증기관의 역할을 담당할 것으로 예상되는 가운데 인증체계는 PKI를 중심으로 구도가 그려질 전망이다. 국가 PKI 환경구축을 위해서는 정부는 물론 학계·업계 등 다양한 전문가 집단의 참여와 협조가 절대적이다.
특히 기술적인 토대를 갖추는 것은 가장 시급한 문제로 볼 수 있다. PKI와 관련, 암호학을 중심으로 기밀성·무결성·인증성 등을 구현하기 위한 산·학·연 전문집단의 공동연구와 학술교류, 실제 구현방안 등에 대한 광범위한 논의가 필요하다.
정보통신기술의 발전과 인터넷 환경의 확산을 배경으로 전자상거래는 IMF체제를 극복할 수 있는 경쟁무기가 될 것이다. 여기서 또한 탄탄한 PKI 체계구축은 안전한 전자상거래 실현의 기반이 되는 당면 과제라는 점이 인식돼야 한다.
PKI 체계구축과 관련해 무엇보다 국내에서 필요한 것은 법·제도적 정비와 추진기관의 책임성을 명확히 해야 한다는 점이다. 두번째로는 암호·인증프로토콜·시스템보안·분산데이터베이스(DB)·표준화 등 기반기술의 확보가 시급한 문제다.
전문인력의 양성도 빼놓을 수 없는 과제다. 지금까지 정보보호분야는 국내 학계에서조차 생소했던 것이 사실이다. 당연히 체계적인 교육과정도 미흡해 국내 산업을 실질적으로 이끌어갈만한 인력이 태부족이었다. 네번째로는 산·학·연 협동과 연구투자가 지금보다 대폭 확대돼야 한다. 정보보호기술 가운데서도 기초분야에 해당하는 PKI·암호기술 등은 민간 기업체가 당장 수익성을 거둘 수 있는 분야가 아니므로 시장의 수요·공급원리를 초월한 국가적인 과제로 인식돼야 한다는 것이다.