한국정보보호센터(원장 이철수)가 주최하고 전자신문사와 국가정보원·정보통신부가 공동 후원한 「제4회 정보보호 심포지엄(SIS 99)」이 15일 서울교육문화회관에서 성황리에 개최됐다. 「지식정보사회에서의 정보보호 기반구축」이라는 대주제로 16일까지 이틀간 진행되는 이번 행사는 정보보호산업 기반조성과 마인드 확산에 기여할 것으로 기대된다. 트랙별 주요 발표내용을 정리한다.
<편집자>
"지식정보사회와 정보보호 기반구축" 주제
<정보보호시스템 평가.인증정책-길인수 KISA 전문위원>
정보보호시스템 평가제도는 사용자에게는 올바른 선택기준을 제공하고 개발자에게는 일정 수준 이상의 연구개발능력을 확보할 수 있도록 도와준다.
국내에서는 정보화촉진기본법 및 시행령을 근거로 지난해부터 침입차단시스템(일명 방화벽)에 대한 평가제도를 시행해오고 있다.
현재 두가지 방화벽 제품이 공공기관용 등급을 획득하는 등 단기간에 나름대로의 성과를 거두고 있으나 개선점도 지적된다.
우선 공공용·민간용 등으로 평가제도가 이원화돼 평가기간이 지연되고 있다는 점이 대표적이다.
또 개발업체들이 민간용에 대한 평가신청을 기피하고 있으며 평가기관에서도 인력·시설 등이 턱없이 부족하다는 문제점이 존재한다.
이같은 미비점에 대해서는 우선 평가기관과 인증기관의 역할구분이 대안이 될 수 있다.
즉 평가는 한국정보보호센터로 일원화하고 국가정보원이 인증기관 역할을 수행함으로써 평가절차의 간소화를 꾀할 수 있다는 것이다.
두번째로 각급 공공기관의 보안수준을 평가해 등급별로 세분화, 위험분석 및 관리를 통해 정보보호시스템 설치시 비용 대 효용을 산출하는 방안도 생각해볼 수 있다.
이를 통해 적합한 등급의 정보보호시스템이 설치·운용되도록 하는 것이다.
마지막으로 업계·학계·정부 등 관계기관간의 긴밀한 협조를 통해 평가인프라를 구축해야 할 필요성이 제기된다.
이 과정에서 평가·인증기관은 자동화평가도구 등 기술역량을 확보할 수 있으며 과학적인 평가기법의 도입도 가능할 것이다.
<전자서명법 인증제도 정책방향-신용섭 정통부 정보보호과장>
전자문서의 이용으로 기업이나 정부의 업무생산성 향상은 물론 국민의 생활편익 증진도 기대된다.
그러나 전자문서를 통한 전자거래는 비접촉·비대면이 그 속성이어서 거래 당사자들간에 신원과 거래내용의 진정성 여부를 확인하기 어렵다. 타인으로 위장해 전자문서 등을 부정하게 사용할 위험성도 있다.
전자문서 및 전자거래가 지닌 이같은 문제점을 해소하기 위해서는 전자서명기술의 활용이 필수적이다.
신뢰할 수 있는 제3자인 인증기관(CA)이 거래당사자의 전자서명을 인증해주는 방식의 전자서명제도를 도입해야 하는 것이다.
전송내용의 기밀성을 유지하기 위해 암호기술도 사용될 필요가 있다.
올 2월 법률 제5792호로 제정된 전자서명법은 전자문서 및 전자거래의 신뢰성을 보장하기 위해 전자서명기술을 이용하자는 것이 주내용이다.
그 본질은 결국 국가 전체의 공개키 기반구조(PKI:Public Key Infrastructure) 구축을 위한 기본적 사항을 정한다는 데 있다.
정부는 현재 전자서명법에 기초한 국가 PKI의 구축 및 운영을 위한 세부 정책을 마련중이며 전자서명법의 시행령·시행규칙 등 하위법령을 제정중이다.
향후 국가 PKI는 사회 전반의 생산력 향상과 국민의 편익증진에 크게 기여할 것으로 기대된다.
전자서명 인증제도는 바로 이같은 정보화 인프라 구축의 전초작업으로 새로운 천년을 준비하는 중차대한 역할을 수행하게 될 것이다.
<전자정부 PKI 추진전략-김경섭 행자부 전산서기관>
행정자치부는 지난해 9월 정부의 정보화 경쟁력 제고를 위해 「전자정부의 비전과 전략」을 수립, 세부 계획 마련을 추진중이다. 그러나 종전과는 달리 전자정부의 업무환경은 비대면 온라인 전자문서 기반으로 전환될 것으로 보여 이에 따른 정보 불법유출 및 변조·훼손 등의 역기능 또한 예상되고 있다.
이에 행자부에서는 전자정부의 안전성·신뢰성 확립을 위해 「정부 공개키 기반구조(PKI)」를 구축키로 하고 「행정정보공동이용센터(정부전산정보관리소)」를 「정부전자서명인증센터」로 지정, 운영할 계획이다. 정부 PKI는 정부 인트라넷, 인증기관(CA), 디렉터리, 등록기관 등으로 구성된다.
세부적으로는 정부 인트라넷의 경우 올해 안에 3곳의 청사와 단독청사, 시군구를 하나로 연계하는 「나라넷」으로 구현될 예정이다. 현재 5만개인 기관 및 공무원에 대한 디렉터리는 올해 안에 10만개까지, 오는 2001년에는 전체 행정기관 및 공무원으로 범위를 확대할 계획이다. 등록기관은 각지에 분산된 중앙행정기관과 지자체 본부로 지정, 운영키로 했다.
올 하반기에 구축될 예정인 CA 및 관련 시스템은 국제표준과 전자서명법상의 기술기준을 수용, 향후 민간분야는 물론 국가공통행정업무·민원업무·타부처업무 등과도 점차 확대 연계할 예정이다.
국가 PKI의 효율적인 구현을 위해서는 부처별로 추진중인 PKI 기반 시범사업들이 통합, 일원화돼야 하며 민간분야의 인증체계와도 연동돼야 한다. 이를 위해 부처간 정책협의의 채널로 「정부PKI운영위원회」 등의 구성도 고려해볼 만한 대안이다.
인터넷의 사용이 점점 일반화되고 전자상거래(EC) 시장도 크게 확대되면서 국내에서도 인터넷을 활용한 경제활동이 뜨거운 관심사로 등장하고 있다.
EC시장 참여를 위해서는 여러가지 선결과제가 해결돼야 하지만 그 중에서도 안전한 지불처리는 가장 중요하다고 볼 수 있다. 특히 지역구분이 없는 인터넷의 특성상 국제간 거래가 제대로 이뤄지기 위해서는 업계표준인 「SET(Secure Electronic Transaction)」 프로토콜의 사용이 필수적이다.
SET 프로토콜을 사용해 국내 상거래에 적합한 지불처리방법을 개발하기 위해서는 우선 이를 담당할 만한 책임 있는 단체·협회가 필요하다.
이같은 단체나 협회를 통해 국내 환경에서 지불처리를 수용할 수 있는 공통규약을 마련하고 국제적인 SET방식과도 호환성을 보장해야 한다.
이같은 방법의 하나로 일본에서 EC용 SET 프로토콜의 확장판으로 활용중인 「JPO(Japanese Payment Option)」와 유사한 한국형 전자지불 프로토콜 「KPO(Korean Payment Option)」를 고려할 수 있다.
또한 앞으로 발표될 「SET V2.0」도 국내 EC 환경에 적합하게 수용할 수 있도록 대비해야 한다.
이와 함께 신용카드를 통한 결제뿐만 아니라 은행·증권거래에도 적용할 수 있는 「SECE」 등 SET 기반의 지불 프로토콜 확장분야도 충분히 연구 검토돼야 한다.
물론 여기서 무엇보다 선행돼야 하는 것은 「ASN.1 Encoder/Decoder」, 한국형 암호화 알고리듬과 같은 핵심 기반기술의 연구개발이다.
<국외 정보보호시스템 평가 현황-김석우 한세대 정보통신학과장>
정보사회에서 정보는 가장 중요한 자산이다.
이같은 정보자산을 보호하는 정보보호시스템을 개발·평가·사용하기 위해 지난해 국제 공통평가기준 「CC(Common Criteria)」가 개발됐다.
CC는 이제 국제표준화기구(ISO)의 표준으로 채택돼 세계적인 상호 인정 평가기준으로 자리잡아가고 있다.
실제로 CC에 의해 평가 완료된 제품도 상용화돼 사용중인 상황이며 국내에서도 CC를 바탕으로 한 정보시스템 평가기준을 마련중이다.
CC는 크게 5개 파트로 구분된다. 우선 파트1에서는 일반적인 평가소개와 모델을 설명하고 있으며 파트2에서는 시스템에 요구되는 11개 항목의 보안기능을 명기하고 있다. 파트3은 정보보호시스템이 보유한 보안기능에 대해 신뢰성을 보장하는 8개의 보증요구사항을 밝히고 있다.
파트4와 파트5는 각각 평가를 위한 보호 프로파일(Protection Profile)과 보안 명세서(Security Target)에 대해 기술하고 있다.
CC는 명실상부한 국제공통 평가기준으로 자리매김하기 위해 그동안 꾸준히 각국의 이견을 조율한 결실이다.
따라서 국내에서도 정보보호분야의 산업적 기반을 제대로 구축하기 위해서는 CC에 근거한 평가방법을 개발, 표준화하는 작업이 상당히 중요하다.
해외 정보보호시스템 평가기준의 정확한 현주소 파악과 이를 통한 국내 기준 개발, 적극적인 상호 협력노력은 국내 기술개발력 향상에도 크게 기여할 것이다.
<인증관리센터 구축과 운영계획-홍깅융 KISA 인증관리팀장>
국내에서도 오는 7월 전자서명법이 시행된다.
한국정보보호센터는 전자서명법 제8조 및 제25조에 의해 국가 인증체계의 최상위 인증기관(CA)인 「인증관리센터」를 구축·운영할 계획이다. 인증관리센터는 곧 공인CA에 대한 인증관리업무를 수행한다.
구체적으로는 국내 공개키 기반구조(PKI) 인증체계의 구축 및 운영관리를 위해 △공인CA의 지정·운영 및 인증업무 △공인CA의 안전운영 지원 △국가간 상호 인정 및 외국 최상위 CA와의 상호 인증 △인증관련 기술개발 및 보급 등의 임무를 추진한다. 이를 통해 전자서명 인증체계의 신뢰성을 확보하고 전자서명 인증제도 및 전자문서 활용기반 조성에 기여한다는 계획이다.
전자서명법 시행령·시행규칙에서는 공인CA의 지정요건을 가입자 신원확인 및 등록, 전자서명 키관리기술, 인증서 관리기술, 전자서명 알고리듬 및 시점확인기술, 보호설비, 운영인력, 인증업무관리 등의 분야로 세분화시켜 규정하고 있다.
기술적으로 인증관리센터 시스템은 키생성시스템, 인증서 생성·관리시스템, 디렉터리시스템, 시점확인시스템 등으로 구성될 예정이다. 여기에는 국내 업계의 기술수준 및 현황을 감안해 「RSA」 및 「KCDSA」 전자서명 알고리듬과 X.509 v3의 인증서 규격, X.509 v2의 인증서 폐지목록(CRL)규격 등을 주요 표준으로 채택할 계획이다. 인증관리센터의 실무운영준칙은 결국 공인CA의 기술적·물리적 자격요건과도 직결된다.
<정리=서한기자 hseo@etnews.co.kr>