지금 세계는 인터넷 열풍 속에 숨가쁘게 움직이고 있다.
프로그래머나 대학교수, 연구원 등 전문가의 세계에서 사용되던 인터넷은 이제 세계 어느 곳에서나 누구나 쉽게 할 수 있는 환경으로 변했다.
인터넷은 ‘정보의 바다’라는 별칭처럼 많은 데이터베이스를 제공한다.
전자상거래는 물론 전자결제와 전자문서 등을 신속하고 편리하게 처리할 수 있도록 해준다.
인력과 자원 낭비를 막고 지역과 시간 제약을 무너뜨린다.
전자서명이 따라줘야 위변조 막아 하지만 문제점도 안고 있다.
‘정보보호’에 취약하다.
방화벽, 침입탐지, 접근제어, 취약성 분석부터 바이러스 백신에 이르기까지 대응책을 강구하고 있지만 막는 데도 한계가 있다.
특히 사이버공간에서 거래 상대방의 신원을 확인할 수 없다는 것이 전자상거래를 불안하게 만든다.
신용카드번호 같은 거래정보가 타인에게 누출될 우려가 있다는 점, 거래정보가 위조되거나 변조될 수 있다는 점, 상대방이 거래사실을 부인할 경우 이를 확인하기 어렵다는 점 등은 골치아픈 숙제다.
이런 문제점을 효율적이고 신뢰성이 검증된 메커니즘을 이용해 해결하려는 노력이 각국 정부기관을 중심으로 활발하게 펼쳐지고 있다.
그 가운데 가장 효과적인 방법이 바로 정보보호 서비스를 위한 보안 인프라 ‘PKI’(공개키 기반구조, Public Key Infrastructure)이다.
PKI는 정보시스템 보안, 전자상거래, 통신 등 여러 응용 분야에서 인증서 사용을 쉽게 하도록 돕는 정책, 수단, 도구를 총칭한다.
분산 데이터베이스, 인증 프로토콜, 전산망 보안, 정보시스템 보안, 전자상거래 보안 등 관련 분야의 기술을 한데 모아 인증서 기반의 공개키 사용이 편리하도록 정책을 세우고 설비를 갖추는 일이다.
PKI는 인증서 관리, 키 관리, 정책 관리 등을 통해 암호화, 전자서명 생성, 인증서 사용과 관리를 가능하도록 돕는다.
개방형 네트워크에서 안전한 서비스가 이뤄지도록 통신정보의 기밀성, 인증성, 무결성, 부인 방지 등 기본적인 보안 서비스를 제공한다.
현재 우리나라의 PKI 전자서명 인증체계는 지난해 7월 공시된 전자서명법과 더불어 공인 인증체계를 중심으로 이루어지고 있다.
최상위 인증기관인 전자서명인증관리센터와 공인 인증기관으로 지정된 한국정보인증, 한국증권전산, 금융결제원이 공신력을 갖는 인증 서비스를 제공하고 있다.
정부 중심으로 정부 PKI(GPKI) 구축을 위한 노력도 이어지고 있다.
전자서명이란 컴퓨터를 이용해 작성한 데이터를 작성자 신원과 데이터의 위조·변조 여부를 확인할 수 있도록 암호화 방식을 통해 만든 고유 정보이다.
기존의 수기 서명이나 인감 역할을 컴퓨터에서 대신할 수 있도록 개발된 기술로, 전자상거래 정보보호 기술의 핵심이다.
이런 전자서명의 안전한 운영을 위해 필요한 기반이 바로 PKI다.
전자서명은 공개키 암호기술을 이용해 구현하고 공개키 암호기술을 사용하는 사용자는 각각 비밀키/공개키 한쌍을 갖는다.
비밀키는 소유자만이 아는 정보이고 공개키는 공개키 디렉터리에 공개돼 있어 누구나 사용할 수 있다.
공개키 디렉터리는 신뢰성을 갖고 있지 않기 때문에 공개키가 변질되지 않고 제대로 공개됐는지 여부를 보장하는 문제가 남는다.
PKI는 제3의 인증기관이 전자서명한 인증서로 공개키를 대체함으로써 이 문제를 해결한다.
PKI의 구성요소는 인증기관(Certification Authority), 등록기관(Registration Authority), 가입자(클라이언트) 등 크게 3가지로 나뉜다.
인증기관은 신뢰할 수 있는 제3의 기관으로 사용자의 인증서를 생성, 발급, 관리하는 일을 맡는다.
등록기관은 인증기관과 사용자를 잇는 인터페이스로 사용자가 인증서를 신청할 때 사용자의 신분 확인과 등록 처리를 대행해준다.
가입자는 PKI 기반 인증서를 사용하기 위한 객체로서 인증기관으로부터 받은 인증서를 갖고 전자서명 인증 보안서비스를 이용한다.
전자서명 인증 서비스는 네트워크 환경에서 발생하는 보안 문제점을 해결한다.
네트워크 보안을 위해 필요한 사용자 인증, 데이터 무결성과 비밀성, 부인 방지 등을 보장한다.
홈뱅킹과 사이버 주식거래에 이미 활용 PKI는 인터넷 환경에서 효과적인 보안 인프라를 제공한다.
일부 응용 서비스에만 적용하는 기술이 아니라 인터넷 환경에서 보안이 필요한 모든 서비스에 쓸 수 있다.
특히 중요한 문서나 거래 내용의 비밀이 보장돼야 하는 전자상거래, 홈뱅킹, 사이버 주식거래 등에는 필수적으로 쓰인다.
사용자의 신원 확인이 필요한 인감증명 발급 같은 민원 서비스나 기업의 내부 결제에서도 PKI 기술을 이용한 정보보호가 한몫한다.
현재 PKI 보안 기술을 당장 적용하려고 하는 곳은 정부와 전자상거래, 금융, 증권 분야이다.
가장 먼저 PKI 관련 기술을 적용한 곳은 고객의 편의성과 업무 처리의 효율화를 이루려는 금융 분야이다.
고객의 요구와 인터넷 인프라의 확대, 금융기관의 업무 최적화를 위해 인터넷 뱅킹 서비스가 이뤄지고 있고 거기에 PKI 기술이 적용된 것이다.
증권 트레이딩 서비스도 많은 고객을 확보하기 위한 수단으로 PKI 기술을 적용한다.
증권사를 방문하거나 전화로 매매 대행을 요청하던 고객들이 인터넷으로 거래할 수 있게 된 것도 이 덕분이다.
PKI 기술은 원격진료, 처방전 온라인 처리 등 의료 분야, 국민연금 분야, 각종 세금과 민원·병무 등 정부의 대국민 서비스 분야, 사내 전자결제나 물품 구매와 판매를 위한 전자입찰 등 기업 분야에도 두루 적용될 전망이다.
특히 정부는 민원, 세금, 자동차, 부동산 등 주민의 편리성과 행정의 효율성을 높이기 위해 정부 차원의 PKI를 추진하고 있다.
이를 통해 국민의 정보화 체감도를 높여 전자정부로 가는 발판을 다질 계획이다.
인증기관간 상호연동성 보장이 과제 선진국을 중심으로 PKI 구축 노력이 활발한 것은 21세기의 국가경쟁력이 ‘전자경제’라고 인식하기 때문이다.
세계화의 물결은 기업의 인터넷 비즈니스화, 정부의 전자정부화, 개인의 인터넷 활용 등 다양한 체질전환을 재촉했고 이로 인한 정보보호의 문제가 국가 차원의 노력으로까지 강조된 것이다.
현재의 PKI 기술이 짚고 넘어야 할 과제는 적지 않다.
가장 시급하게 해결해야 할 것이 인증 서비스 기관 사이의 ‘상호 연동성’이다.
국내의 다양한 인증 서비스 기관끼리 상호 연동은 물론이고 정부와 민간 인증기관, 나라와 나라끼리 연동성을 확보해야 한다.
국제간 상호 연동을 위해선 전자서명 알고리즘과 보안 API의 호환문제를 풀어야 한다.
PKI 활용의 극대화는 21세기 인터넷 시대를 이끌 초석이 될 것이다.
PKI 주요 구성요소 | ||
시스템 구성 | 역활 | 주요기능 |
| 인증기관 | 가입자의 인증서를 생성, 발급하고 인증서 효력 정지·폐지 목록을 발급하는 기관 | 인증서 생성과 발급 등 인증서 관리 |
| 등록기관 | 인증서 발급신청 접수 및 등록 관리업무를 위한 기관 | 인증요청서 정보 등록과 유지관리 인증요청서 검사 |
| 가입자 | 인증서 발급 신청과 전자서명 생성, 검증의 모듈 탑재 | 인증서 검증 |
저작권자 © 이코노미21 무단전재 및 재배포 금지
