한국의 정보보안 시장은 매년 ‘OO의 해’ 신드롬을 가져왔다. 이 신드롬은 방화벽에 이어 침입탐지시스템(IDS)·가상사설망(VPN), 그리고 공개키기반구조(PKI) 등의 순으로 진행돼왔다. 이 과정에서 ‘이 제품만 도입하면 보안문제는 걱정하지 않아도 된다’는 해당 벤더들의 주장과 이를 곧이곧대로 믿는 기업들로 인해 정보보안 시장은 매년 꾸준히 성장하고 있다. 그러나 보안 현실은 그렇게 간단하지 않으며, 특히 최근 주목받고 있는 PKI는 도입조차 쉽지 않은 기술이다.
공개키기반구조(PKI:Public Key Infrastructure)는 ‘공개키 암호기술’에 기반을 둔 ‘인증서(certificate)’를 생성·관리·저장·분배하며 나중에 말소하는 업무까지를 수행하는 하드웨어·소프트웨어·인력·정책 등의 집합체다. 또 개방형 네트워크 환경에서 인증서를 통해 안전하게 개별 사용자를 인증하고 암호화를 통해 전송 데이터와 거래를 외부 위협으로부터 보호하기 위한 중요한 기반기술이다. 그런데 이 같은 기반기술을 수립할 때 PKI를 도입하려는 기업들이 시스템과 벤더를 선정하는 과정에서 적절한 의사결정 과정을 거치지 않고 있어 도입 자체가 어려운 작업이 됐다. 이와 관련해 거액이 투입되는 PKI 프로젝트의 성공적인 도입을 위해 요구되는 몇 단계 지침을 제안해본다.
우선 기업들은 현재 자신의 환경에 대해 깊이 이해하고 궁극적으로 지향하는 사업 방향과 이 사업의 성공적인 운영을 위해 어떤 수준의 보안서비스가 필요한지에 대한 장기적인 비전을 세우고 이를 근간으로 자신의 요구사항을 명확하게 정의해야 한다. 여기에는 경영진의 지원, 충분한 예산, 상세한 구현 계획, 미래의 확장성, 현 시스템의 취약점, 법률과 규제 등에 대한 포괄적인 고려가 있어야 할 것이다. 물론 그 전에 지속적으로 PKI를 기획하고 도입·운영할 수 있는 내부 인력의 확보가 우선돼야 한다. 또한 모든 벤더가 기업의 구체적인 요구사항을 충족킬 수 있는 PKI 시스템과 서비스를 제공할 수는 없다는 사실도 염두에 둬야 한다.
따라서 자사에 가장 필요한 요건의 내용을 파악한 다음 그것을 만족시킬 수 있다고 판단되는 후보 벤더들의 목록을 작성해야 한다. 또 객관적 평가를 위해 동일한 형식의 제안서를 요청해 PKI에 대한 접근방식·사업관계·고객서비스의 내용을 평가 매트릭스를 통해 평가해야 한다. 이와 함께 벤더의 장기적 비전, 기술력에 대한 솔루션 비교와 경영진의 역량, 시장 현황과 마케팅 전략, 기술력과 발전 가능성, 재정 상태와 투자유치 현황, 서비스 이후의 지원 등도 알아봐야 한다.
미국 기가인포메이션그룹이 최근 PKI를 도입한 고객사를 대상으로 실시한 PKI 벤더 선택에 대한 종합적인 분석 결과를 보면 기업들이 장기적인 보안 투자를 위한 벤더 선택 과정에서 최우선으로 생각하는 요소는 기능이나 기술이 아니라 비용인 것으로 나타났다.
따라서 PKI 도입을 고려할 때는 기업이 추구하고자 하는 PKI 구현에 대한 명확한 정의와 함께 필요한 구축 범위를 정해 비용을 산출하고 이를 예산으로 확보해야 한다. PKI 구현 범위에 대한 정의를 얻지 못하거나 필요한 비용을 예산으로 확보하지 못해 비용에 맞춰 벤더를 정하게 되면 이 프로젝트는 당연히 어렵고 비용 소모적인 일이 될 수밖에 없다.
PKI는 이론상으로 전자상거래를 안전하게 수행할 수 있게 하는 가장 효과적인 보안기술임에 분명하다. 그럼에도 불구하고 PKI는 일반적으로 기반기술 자체의 복잡성이나 구현의 어려움에 관한 문제들로 그 특성이 호도되는 경향이 없지 않다. 이제 보다 중요한 것은 PKI에 대한 정확한 정의와 이를 뒷받침하는 경영자의 인식일 것이다. 여기서 정확한 정의란 PKI가 기업에 도입돼 현실과 실정에 맞게 구현됨으로써 어떻게 안정적으로 운영하고 관리하는가에 대한 것이다.
<김현준 트루시큐어코리아 컨설턴트 hjkim@trusecure.com>