전자서명법 상의 공인인증기관(CA)을 둘러싸고 잡음이 끊이지 않고 있는 가운데 최근에는 기술적 호환문제가 도마 위에 올랐다.
관련업계·기관에 따르면 최근 한국정보보호센터(KISA)·금융결제원·한국증권전산·한국정보인증 등 CA관련기관과 한국전자통신연구원(ETRI)·삼성SDS·소프트포럼·이니텍 등 솔루션 개발업체들 간에 CA 호환성 문제를 둘러싼 논란이 거세지고 있다.
CA간 상호연동은 앞으로 인증서비스가 확산될 경우 각 CA의 가입자들이 서로 다른 인증서비스를 이용하기 위해 필수적으로 해결돼야 하는 과제로 특히 공인CA들은 국가 공개키기반구조(PKI) 구축의 핵심요소여서 더욱 중요한 문제다.
호환공방의 핵심은 민간업계에서 기존에 상용화한 CA솔루션들과 ETRI가 기술과제로 개발중인 CA간의 인증서 관련 프로토콜이 서로 다르다는 것. 현재 업계가 상용화한 CA솔루션은 「PKCS」 규격을 따르는 데 비해 ETRI는 「RFC」 규격의 제품을 개발중이다.
이에 따라 삼성SDS(PKCS) 규격으로 CA를 구축중인 한국정보인증과 ETRI(RFC 규격)와 공동 개발중인 금융결제원·한국증권전산간의 상호 연동이 불가능해지는 문제점이 발생할 수 있다는 것이다.
ETRI 관계자는 『이미 상용화한 PKCS 규격은 최근 안전성에 문제가 있다는 지적이 나오고 있다』면서 『이에 비해 국제 표준화가 진행중인 RFC는 훨씬 향상된 기술규격』이라고 CA 상호연동 문제를 제기했다.
이에 대해 KISA측은 『세계적으로도 특정 인증서 프로토콜을 확정해 놓고 PKI를 추진중인 국가는 없다』면서 『RFC가 표준으로 확정되려면 아직도 수년을 기다려야 하는데 후발주자인 우리가 선진국 등에서 아직 검증받지 못한 「표준안」을 섣불리 채택할 수는 없다』고 신중한 입장을 취했다.
정보보호 업계에서는 ETRI가 최근들어 CA 호환문제를 갑자기 들고 나오자 그 의도에 대해 비판적인 시각이 팽배하다. 업계 관계자는 『ETRI와 같은 정부출연기관이 대표적인 민간 보안제품인 상용 CA를 개발, 보급하겠다는 것은 연구기관이 「영업」을 목적으로 제품을 내놓겠다는 뜻 아니냐』고 말했다.
이와 함께 예비 공인CA들도 PKCS와 RFC 두가지 규격으로 CA 개발을 진행하는 등 혼란이 가중되고 있다. 공인CA를 준비중인 한 관계자는 『CA 구축기술을 무엇으로 택하느냐에 따라 개발 및 서비스 준비에 상당한 차질을 빚을 수도 있다』면서 정통부 등 정부차원에서 확실한 입장을 밝혀줄 것을 요구했다.
KISA는 최근 관련기관 및 업계 관계자들을 대상으로 CA 관련 기술표준화 문제에 대한 간담회를 열고 △CA 기술규격 채택은 공인CA들의 자율에 맡겨야 하며 △PKCS와 RFC 두 규격간의 호환을 위한 협의를 계속 진행하겠다고 밝혔다.
<서한기자 hseo@etnews.co.kr>