◆최근 무선인터넷 인프라 보급에 힘입어 무선인터넷을 통한 정보 교류나 전자상거래가 활발하게 이뤄지고 있다. 이는 이동 중인 차 안에서도 이동통신 단말기를 이용해 주식을 사고 팔거나 인터넷 쇼핑몰에 접속해 상품을 구입하는 일이 일반화되고 있다는 것을 말해준다. 하지만 무선망은 보안에 취약한 점이 문제다.◆
유선인터넷과 마찬가지로 무선인터넷이 안전한 전자상거래 서비스를 제공하기 위해서는 통신 정보에 대해 기밀성·개체인증 기능·부인방지 기능 등이 제공돼야 한다. 무선인터넷이 활성화되기 위해서는 유선인터넷에서와 같은 보안 기능이 뒤따라야 한다. 특히 무선 공개키기반구조(PKI)가 구축돼야 하고 이를 위한 기술 규격 및 표준, 관련 제도 및 절차, 평가기술·운용기술 등의 개발이 필수적이다.
여기서 고려해야 할 것은 무선 PKI와 기존 유선 분야 PKI의 연동문제 및 무선 분야의 특수성이다. 유선 PKI와의 연동을 위해서는 한국정보인증·한국증권전산·금융결제원·한국전산원 등 공인인증기관이 최대한 활용돼야 한다. 즉 유선인터넷에서 이들 공인인증기관들이 수행하는 인증업무가 무선인터넷 비즈니스에도 적용돼야 한다는 것이다.
최근 엔트러스트나 베리사인·볼티모어테크놀로지스 등 해외 인증업체들이 향후 제공할 무선인증서비스를 장점으로 내세우고 있는 것을 감안하면 경쟁력 강화 차원에서도 이들 기관의 무선 PKI 인증서비스 도입은 설득력을 지닌다.
무선 분야의 특수성이라고 한다면 이동통신 시스템에서 제공하는 정보보안 시스템은 유선에 비해 대역폭·CPU·메모리·전원·키보드·화면 등 단말기 자체의 성능 면에서 제한적이라는 점과 유무선 복합망 환경에서 운영되는 무선인터넷에 보안서비스를 제공하지 못한다는 단점을 극복해야 한다는 것이다.
이에 따라 무선통신사업자와 제조업체들을 중심으로 형성된 WAP포럼 등을 통해 무선인터넷을 위한 표준 제정이 한창이다.
무선망을 이용한 인터넷을 위한 PKI는 세 방향으로 현재 표준화와 제품 개발이 이뤄지고 있다.
첫번째 방식은 무선단말기의 제한점을 인정하고 무선인터넷 환경에서는 새로운 프로토콜을 개발·적용, 유선인터넷과 무선인터넷간에 게이트웨이를 따로 두고 서로 다른 두 프로토콜을 연동하는 방식이다. 이 방식을 통칭 WAP 방식이라고 부르는데 이는 무선망의 특성을 고려해 프로토콜을 다시 제정해서 사용했다. WAP 방식에서 비밀성을 제공하고자 하는 보안 프로토콜은 유선인터넷 보안 프로토콜을 무선망에 적합한 형태로 변경한 WTLS 프로토콜에 바탕을 두고 있다. 이 방식의 단점은 게이트웨이에서 정보가 평문 형태로 복구된다는 점이다. 따라서 게이트웨이를 서비스제공자 영역으로 이동해 종단간 보안서비스를 제공하자는 안이 WAP에서 대두되고 있으며 이를 위한 연구가 이뤄지고 있다. WAP 인증서는 기존 인증서를 단순화한 구조를 가진다.
두 번째 방식은 유선과 무선인터넷을 모두 하나의 인터넷으로 보는 데서 시작된 ME 방식이다. 이 방식은 무선인터넷도 유선인터넷과 동일한 프로토콜을 사용하자는 개념에서 시작됐다. 또 무선인터넷을 위한 정보서비스 제공 서버를 별도로 둬 무선 사용자를 흡수한다. 이 방식은 게이트웨이와 무선인터넷을 위한 별도의 새 프로토콜을 정의하지 않고 기존 인터넷 프로토콜로 무선인터넷서비스를 제공할 수 있는 장점이 있다.
세 번째는 일본의 이동통신사업자인 NTT도코모가 독자적으로 개발한 무선인터넷 서비스인 「i모드」다. i모드는 HTML의 부분집합에 해당하는 콤팩트HTML(cHTML)을 사용하도록 했는데 유선망과 무선망이 연결되는 곳에 i모드 게이트웨이가 존재해 완충 역할을 한다. 현재로서는 일본에서만 이 방식의 서비스가 전개되고 있다.
국내에서는 현재 정보통신부와 한국정보보호센터가 WAP과 ME 방식을 모두 수용한 무선 PKI를 위한 표준 및 기준을 마련했으며 이에 대한 정보보안업계의 의견을 수렴하고 있는 상태다.
업계에서는 무선인터넷서비스 활성화를 위한 최대 이슈로 떠오르고 있는 보안문제를 해결하고 해외 솔루션에 대한 대안으로 소프트포럼(대표 안창준)이 마이크로소프트의 방식을 따르는 MSSL(Mobile Secure Socket Layer)을 개발했다.
후발업체의 대표 주자인 드림시큐리티(대표 황석순)는 PKI의 핵심인 기밀성·무결성·신원 확인 및 부인방지 등의 보안서비스를 제공하는 WAP 기반의 무선보안 제품인 트러스트-M을 이미 개발한 데 이어 조만간 마이크로소프트의 방식을 지원할 수 있는 제품을 선보일 예정이다.
기존 유선인터넷 보안업체로서는 시큐어소프트·이니텍·케이사인 등이 제품 개발 경쟁에 뛰어들고 있다. 하지만 무선인터넷 보안 솔루션의 개발 및 보급은 여러 가지 과제를 남겨 두고 있다.
무선 구간과 유선 구간의 프로토콜 변환을 포함한 엔드투엔드(end to end) 보안체계의 완성과 소형 무선인터넷 단말기의 특성을 극복하고 전자서명 인증서비스를 완전히 구현하는 것이다.
더욱 중요한 것은 대면거래를 대체해 인터넷 비즈니스를 가능케 해주는 암호·인증기술을 고객에게 제공해야 할 통신서비스사업자·금융권·쇼핑몰 등이 보안 인식 수준이 아직 높지 않은 것도 PKI 등을 비롯한 무선인터넷의 인프라 구축에 지장을 주고 있다는 점이다. 따라서 각계의 보안 의식을 제고하기 위해서는 정부 차원의 제도화된 정책 시행이 필요하다고 할 수 있다.
<주문정기자 mjjoo@etnews.co.kr>