보안 서버 유감

‘제 버릇 개 못준다’고 옛날 하던 일에 여전히 관심이 가나 보다. 정통부에서 내년 부터 개인 정보를 수집하는 웹 사이트에서는 보안 서버(Secure Server)를 사용하도록 의무화 한다고 한다. 그렇지 않으면 과태료등 행정 처분을 한다고. (보안 서버란 국내 포털의 ‘보안 접속’ 체크 처럼 https로 아이디 및 비밀번호 등을 암호화 하거나, 인터넷 뱅킹처럼 ActiveX 같은 응용프로그램 보안을 하는 것을 말한다. 양쪽 모두 데이터를 암호화해서 제공해 준다.)

한국정보보호진흥원(KISA)에서는 보안 서버 전문 협의회를 만들어 계몽(?)까지 하고 있다. 갑작스런 정부의 결정에 많은 회사들 특히 중소 규모 웹 사이트까지 새로 비용을 들여야 하니 꽤나 혼란 스러워 하는 것 같다. 왜 이런 일이 갑자기 벌어진걸까? 아래 인용 기사를 보자.

범정부 차원에서 현재 세계적으로 43위 수준에 머물고 있는 우리나라의 보안 서버 보급률을 5위 수준까지 획기적으로 높이는 방안이 추진된다….(중략)…정통부와 한국정보보호진흥원(KISA)이 올 7월 국내 4만여 웹사이트를 대상으로 실시한 보안서버 보급 실태조사에 따르면 개인정보를 취급하는 공공기관의 5.7%, 민간업체의 6.0%만이 보안서버를 구축한 것으로 확인됐다.


3월 세계경제포럼(WEF)에서 세계 115개국을 상대로 보안서버 보급률을 조사하여 발표한 자료에 따르면 우리나라는 조사대상국 중
43위를 기록해 세계 최고의 정보인프라 수준에 비해 정보보호에 대한 관심과 투자는 상대적으로 미흡한 것으로 나타났다. 인터넷 보안서버 대폭 확대… 범정부 대책 마련 (inews24)

한 마디로 국제 조사에서 한국 내 SSL 서버 보급률이 최하위로 나오자, 갑자기 그 숫자를 끌어올려 등수를 높이려는 정부의 조치인 것이다. 이게 어제 오늘의 일도 아니고 KISA가 그걸 모르고 있었던 것도 아닐것이다. 명색이 인터넷 강국인데 이런 조사를 꼴찌하기 싫어 하는 것일 것이다. 그런데, 왜 우리 나라에서 갑자기 이런 문제가 나온 걸까?

SSL 보안 서버(https)는 웹이 처음 시작될 때 부터 나온 표준 암호 통신 방식으로 전 세계적으로 이름 있는 거의 대부분의 웹 사이트와 쇼핑 및 결제 심지어 인터넷 뱅킹 사이트에서까지 사용하고 있는 아주 일반적인 기술이다. 모든 웹 서버와 웹 브라우저가 지원하고 있으며 설치나 운용에 대한 기술 장벽도 매우 낮다. 2000년 초반 까지만해도 베리사인이나 써트같은 국제 인증 업체들이 선점하고 있던 SSL 인증 시장도 다수의 경쟁으로 인해 발급 과정도 간편해 지고 가격도 매우 저렴해졌다.

그간 우리 나라에서는 상대적으로 웹 사이트 보안에 대한 계도는 등한시 한 채, 국내 보안 업체 살리기를 위해 PKI 보안이나 공인 인증에 치중해온 바 크다. 그래서 세계 유래 없는 (IE에서만 되는) 공인 인증 대표 국가가 되었지만 글로벌 표준을 따르는 데는 미흡한 결과가 나온 것이다.

내가 SSL 인증 서비스 사업을 시작했던때가 1999년 이었다. 그때 부터 무려 6년이 넘는 지금까지 시장도 잘 성장해서 국내  웹 보안도 국제적인 수준까지 올라가길 바랬건만…결국 등 떠밀려서 하는 처지가 됐다. 왜 갑자기 이러는지 작은 웹 사이트 운영하시는 분들도 꽤나 혼란 스러울텐데…

인터넷은 글로벌 표준이다. 우리끼리만 만들면 코리안 웹(Korean Web)이 되버린다. 우리 나라의 공인 인증 역시 세계적인 표준으로도 올라설 수 있는 것인데, 다른 웹 브라우저에서는 구동도 안되는 뭐같은 것으로 만들어 버렸다. 제발 등 떠밀려서 하지 말고 우리 것을 세계적인 것으로 만들어 보자.. 제발.

여러분의 생각

  1. -_- 처음엔 ‘오 저런 것도 개발해?’ 하고 호기심을 가졌었는데 였는데 시간 조금 지나니까 ‘우리가 만든거 안따르면 뒤진다’ 하고 강제성을 띄는 황당함…

    돈까지 내라니 ㅡ,.ㅡ; 피식

  2. 칭찬받기 힘든 동기로 시작하는 정책이지만
    정책 자체는 찬성합니다.
    이 번 정책으로 개인정보를 요구하는 사이트가
    줄어들기를 희망합니다.

  3. 정말 많은 업체들이 보안에 대해 무관심한 상태에서..
    이렇게라도.. 한번쯤.. 보안에 관해 관심을 갖게 되는 것이..
    전 아무래도 괜찮지 않을까? 라는 생각을 해봤었는데..
    역시 작은업체나.. 개인사업자급의 웹사이트에서는..
    조금은 부담스러운게 사실일 것 같습니다.

    “인증서도~ 웹표준을 지켜라~ “

  4. 보안서버 인증서 제도가 시행되는 과정을 지켜보면 우리나라
    법/제도 수립과정의 폐해가 그대로 드러난다.
    위정자들의 좁은 시야에서 야기된 잘못된 판단에 의한
    국민의 손실은 그 누구가 책임질 것인가??

    보안서버 제도 수립 과정의 문제점

    1) 외부 전문가의 의견이 철저히 배제된 정책 수립
    – MicroSoft 제품이 국산인증서를 신뢰하지 않기 때문에 아직 보안서버 제도를 시행할 단계가 아니라고 했지만 의견은 철저히 무시되고 두리뭉실하게 “보안서버전문가협의회”가 만들어지더니 국정보고까지 되는 상황에 이르렀다. 2007년 7월 현재 국산인증서는 거의 보급되지 않고 외산인증서만 판을 치는 모양새가 되었다.

    2) 전문가의 조언을 무시/잘못된 제도 방향을 고칠수 없는 구조적 병폐
    – 우리나라 공무원들의 의사결정 구조는 전세계적으로 후진성을 빠져나오지 못하고 있다. 시장을 활성화/확대 하고 국민삶의 질을 향상시키는 것이 공무원이 할 일임에도 불구하고 공무원 자기들의 이익을 옹호하고 권리를 내세우는 일에 혈안이 되어 있다.. 정작 필요한 제도는 사고가 터져야 허둥지둥 만드는 꼴.. 소 잃었으니 외양간이라도 제대로 고치어야 한다.

    3) 제도 시행에 앞선 시장 조사 미흡
    – 보안서버의 가치는 인증기관의 인지도, 재무적 안정성, 손해배상한도, 인증서발급과정의 신뢰성, 기술지원 등에 따르며 가격이 정해진다. 정보통신부의 부실한 제도 시행에 따라 제도 시행 이전에 100만원 수준에서 형성되어 있던 인증서 가격이 현재는 4만원~10만원 수준으로 떨어졌고 보안서버(SSL) 인증서의 수준도 형편없이 떨어졌다. 일부 인증기관은 신원확인도 없이 인증서를 발급하고 있다.

의견 쓰기

이름* 이메일* 홈페이지(선택)