최근 공인 인증서 규제 철폐와 정부의 HTML5 기반 공인 인증서 대안 기술 개발에 대한 저의 입장을 이야기해보고자 합니다.
<기본 원칙>
1. 공인 인증 제도는 ‘부인 방지 기술’이라는 낡은 프레임을 벗어나서, 본인 인증 수단의 하나로서 일회용 암호, SMS 인증, 신용 카드 인증 등과 동등하게 취급되어야 한다. (즉, 전자 서명법은 민간에서 같은 수준의 다양한 대안 인증 기술을 신규 추가 및 상용화 할 수 있도록 개정되어야 한다.)
2. ‘플러그인 기반 공인 인증서 체계’는 과거의 낡은 기술 방식이며, 국민 전체의 보안 비용을 높히는 만큼 철폐되어야 한다. 또한, 그 대안으로서 HTML5 기반의 웹 표준 공인 인증서 기술을 적용하여야 한다.
3. 공인 인증서와 유사한 키 교환 방식의 강력한 인증 기술 상용화에 대해서 대안의 하나로서 검토하여야 한다.
4. 클라이언트 기반 인증에 대한 투자 보다는 서버 기반의 부정 사용 감지(Fraud detection), 결제 패턴 분석에 따른 차등화된 정책 제공을 통해 국내 보안 산업을 골고루 성장시키고 글로벌 경쟁력을 높혀야 한다.
<상세 설명>
2006년 부터 공인 인증 기술의 웹 접근성 확보를 위한 오픈(웹)넷 활동 및 최근 전자서명 및 전자금융거래법 개정 입안을 통해 공인 인증서의 부인 방지 기술은 한낱 환상에 불과하고, 법적으로도 기술적으로도 현실에서 실현되기 어려운 기술을 제도화로 통해 강제된 규제라는 점이 알려졌습니다.
따라서, 공인 인증서를 OTP 기기나 휴대폰 인증과 같이 오프라인 인증 수단 정도로만 보는 것이 타당합니다. ‘전자 서명’을 기반하는 법적 제도는 다양한 오프라인 인증 수단을 검토하고, 민간 사업자들에게 권한을 주는 방식으로 변화해야 합니다. 그리고, 공인 인증, 행정 전자인증, 교육 전자인증, 법원 전자인증 등 파생된 모든 분야는 민간으로 이관되어야 합니다.
[참고글]
* 전자서명의 보안효능에 대한 오해(김기창)
* 전자서명법/전자금융거래법 개정 법안(최재천/이종걸)
공인 인증서를 인증 수단으로서 기능을 인정하더라도, 기존 플러그인 기반의 기술을 계속 사용하면 할 수록 전 국민의 보안 비용을 높이고, 해킹에 취약해 지면 또다른 클라이언트 기반의 보안 규제만 계속 늘어나는 약순환을 걷게 되었습니다.
2006년 부터 웹 2.0 시대로 접어들면서 웹 애플리케이션 기술이 발전하고 있는데, 플러그인 사용을 지양하는 업그레이드 되는 운영 체제의 보안과 웹 브라우저의 보안 설정을 무력화 하는 방법을 편법으로 사용해서는 절대로 안될 것입니다. 따라서, 2010년부터 HTML5 기반의 신규 전자서명 기술을 이용해서 대체 사용법을 제공하는 것이 마땅합니다.
[참고글]
* WebCrypto API의 현재와 미래(윤석찬)
* HTML5 기술을 이용한 공인인증 이용환경 개선(이동산)
플러그인 없이 안전하게 키교환 방식을 이용하여 사용자 인증하는 다양한 기술들이 나오고 있고, 특히 Mozilla의 경우 대형 사업자(구글, 아마존, 페이스북)등에 인증 수단이 집중되는 것을 막기 위해 개인에게 편리하면서도 분산 인증을 추구하는 Persona라는 오픈소스 인증 프로토콜을 개발하여 멀티 디바이스 사용자 데이터 동기화에 적용 있습니다. 따라서, 기술적 변화에 맞는 다양한 인증 수단이 검토 채택 될 수 있어야 합니다.
[참고글]
* Mozilla Persona 소개
* Mozilla OnePW 프로토콜
클라이언트에다 보안 프로그램을 덕지덕지 붙이는 방법으로는 궁극적인 보안을 이룰 수 없습니다. 과거 보안에 취약한 운영 체제와 웹 브라우저에다 사용했을때는 유용할 수 있어도 지금은 구시대적인 상황에 왔습니다. 플러그인 기술에서 벗어나 사용자 편의성을 높히되, 다양한 인증 수단을 제공하면서 지속적으로 최신 웹 브라우저와 운영체제로 업그레이드 하도록 유도하는 것이 보안 비용을 줄이는 최선의 로드맵이 될 것입니다.
또한, 그동안 공인 인증과 백신, 키보드 보안 등 클라이언트 보안 기술에 집중된 국내 보안 산업을 다양한 인증 수단을 허용하여 창발된 인증 수단을 받아들여야 합니다.
뿐만 아니라 보안 투자 역시 실제 서비스 사업자 중심으로 변화하여 빅데이터를 활용한 금융 데이터 분석, 서버 기반의 부정 사용 감지, 웹 애플리케이션 보안, 개인 정보 보호 및 서버 데이터 보안을 위한 분야에 더욱 투자하여 개인 금융 정보 대량 유출 같은 사고가 일어나지 않도록 강력한 제재 수단과 법적 장치를 마련해야 할 것입니다.
이것이 바로 국내 보안 산업의 국제 경쟁력을 높히는 방법일 것입니다.
※ Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. 본 채널은 광고를 비롯 어떠한 수익도 창출하지 않습니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on checking facts for your investments and prohibit your citations as commercial content or news sources. This channel does not monetize via any advertising.)