공개키기반구조(PKI:Public Key Infrastructure)솔루션의 가격은 고려해야 할 요인이 다양하기 때문에 복잡하다. 이러한 요인은 PKI를 설치하려고 하는 기업의 필요에 따라 달라진다. 예를 들면 PKI를 도입하는 데 필요한 것은 여러 개의 서버, 통신 네트워크, 백업 및 복구방법, 특별 보안제어장치 등이다. 여기에 소프트웨어, 브라우저 플러그인, PKI에 적합한 응용 프로그램의 툴키트, 교육 프로그램 등이 추가될 수 있다. 또 가격은 응용 프로그램, 인증형식 및 분량에 따라 결정된다. 과거에 PKI 가격은 일반적으로 솔루션이 지원하는 인증의 수를 기반으로 결정했으나 이제 업체들은 더 유연한 가격정책을 펴고 있다. 업체들은 인증건수, 사용자수 또는 서버의 숫자 등 가격산정 기반을 다양화하여 가격선택의 폭을 넓히고 있다. 따라서 가격은 웹상의 단순한 인증 한건당 불과 몇 센트에서부터 몇 달러에 이르기까지 다양하다.
PKI를 통해 신원을 확인할 수 있으면 전자서비스를 안전하게 할 수 있다. PKI는 전자주문을 하면 자동적으로 신원을 확인하며, 전자우편과 같은 전자전달 수단을 사용하면 그 우편이 목적지에 이상없이 도착했는지를 확인할 수 있다. PKI의 가격은 기존의 처리수단에 대해 개별적인 보안조치를 취하는 데 얼마의 비용이 들 것이지를 감안하여 산정해야 할 것이다. 비용을 절감하는 것은 응용 프로그램에 달려 있다.
대부분 현재의 IT전문인력은 PKI에 대한 경험이 별로 없기 때문에 값비싼 대가를 치러야 할 만한 실수를 저지를 위험성이 높다. PKI 경험이 있는 소수의 업체는 상당한 수준의 컨설팅 서비스와 시행 패키지를 제공한다. PKI를 구축하려면 제품 가격뿐만 아니라 컨설팅, 구축, 교육 등에 따른 비용도 계상하여야 한다.
기업 자체의 보안계획을 충분히 세운 다음에 PKI 업체, 제품 또는 접근방식 등을 선택하여야 한다. 보안계획에는 보안위험성 분석결과와 문서화된 보안지침이 포함되어야 한다. 기업이 PKI를 도입하는 근본목적이 보안이 허술한 네트워크를 통해 중요한 상거래를 안전하게 하려는 데 있는 만큼 이 인프라의 운영과 시행은 기업의 필요에 따라 결정하여야 할 것이다. 기업이 일반적으로 필요로 하는 주요 사항은 아래와 같다.
△인증기관은 인터넷, 인트라넷 및 엑스트라넷과 접속이 가능해야 함.
△인증기관이 사용자의 신분과 그와 관련된 기관을 어느 정도까지 확인해야 하는지를 나타내야 함.
△인증을 추가하는 빈도.
△인증을 무효화하는 빈도. 일부 전문가들은 인증의 ‘효력정지’ 빈도를 확인할 필요가 있다고 하지만 실제로 그러한 경우는 매우 드물고 이는 다분히 관념적이다.
△PKI의 다른 사용자들이 서버와 통신연결에 미치는 영향을 점검하면서 발급된 인증에 대하여 확인하는 빈도.
△인증과 관련된 법적 책임.
△PKI기술을 기업체의 사업응용 시스템과 통합하는 비용.
PKI 도입에 필요한 비용에 관한 논의는 주로 기업내에 직접 구축하는 차원에서 이루어지고 있지만 이의 호스팅이나 아웃소싱과 같은 대안도 있을 수 있다. 기업이 직접 구축하려면 장비, 컨설팅, 교육 및 실험 등의 경비가 소요된다. 하지만 시스템이 가동되기 시작하면 인증 건당 비용은 상당히 내려갈 것이다. 다른 부문의 아웃소싱과 마찬가지로 PKI의 경우도 아웃소싱하면 초기비용은 기업내에 구축하는 것보다 적게 들지만 몇 달, 몇 년이 지나면 결국 비용이 비슷하게 된다.
법적인 효력을 갖는 계약서를 디지털 인증했을 경우 인증의 발급자는 그 인증이 당사자에게 발급되었으며 적절한 절차에 따라 이루어졌는지를 확인해야 한다. 만일 그 계약이 무효화되었을 경우 그것이 적절한 방법으로 되었는지에 유의해야 한다. 또 인증이 아웃소싱된 것일 때는 아웃소싱 제공자가 그에 상응한 책임을 져야 한다.
PKI를 도입할 때는 단일 인프라가 기업내 전체의 수요를 충족시킬 수 있는지를 판단하여야 한다. 사업이 외부고객, 특히 일반 대중을 상대로 할 경우에는 전자우편이나 전자구매 응용시스템을 설치하는 데 필요한 요소들과 다르다. 밀접한 사업파트너나 그룹사들은 같은 PKI를 사용하지 않는다. 이처럼 여러 개의 PKI를 필요로 할 경우에는 이들이 상호운영을 가능하게 해주는 툴키트를 사용해야 개발과 관리비용을 절감할 수 있다.
PKI 전체를 아웃소싱할 경우와 이를 직접구축할 경우의 장단점을 비교는 표와 같다.
★PKI 아웃소싱의 장단점
◆장점
-추천권 인증지침에 따라 운영하게 한다.
-기업이 복잡하고 때로는 자금이 많이 소요되는 기술 인프라에 대한 투자를 할 필요가 없게 된다.
-기업으로 하여금 경험이 많고 체계화된 PKI와 기술전문직원들을 접하게 함으로써 값비싼 대가를 치를 만한 실수나 보안상의 오류를 줄일 수 있다.
-아웃소싱업체는 상호운영, 교차인증, 표준 및 프로토콜 등에 관해 정통할 것이다.
◆단점
-아웃소싱업체가 직원 및 고객에 관한 중요한 정보를 제3자에게 넘겨줄 가능성이 있다(아웃소싱업체가 데이터베이스를 자동적으로 확인하기 위해 방화벽을 통과해야 하는데 이로 인해 보안이 위험해질 수 있다. 많은 기업들은 보안유지를 위해 방화벽 통과를 허용하지 않고 있다).
-기업의 방침보다 아웃소싱업체의 실행지침에 따라 인증이 발급되는 경우가 가끔 있다.
-아웃소싱 기간중 기업의 인증서명용 전용키를 절충하면 실패할 가능성이 있다.
★인증기관을 기업안에 구축할 경우의 장단점
◆장점
-중요한 자산에 대하여 직접 통제한다.
-상호작용 문제가 별로 발생하지 않을 것이다.
-기업의 자산을 효과적으로 보호할 수 있는 응용 프로그램을 개발할 수 있게 된다.
-인증을 기업 자체의 직원과 고객 등 잘 아는 사람들에게 발급할 경우에는 아웃소싱하는 것보다 신원확인 절차가 신속하게 이루어지고 덜 복잡할 것이다.
-기업의 기존 보안인프라와 관련되어 있는 신뢰할 만한 직원들이 공개키시스템을 관리할 것이다.
◆단점
-IT기술 전문가와 관리자가 별로 없어 PKI기술을 관리하기가 어려울 것이다. 따라서 대부분의 기업은 직원을 늘리고 교육을 강화해야 할 것이다.
-기술인프라 구축과 직원의 충원이 예기치 않은 투자부담을 가져올 것이다.
(자료:가트너리서치)