한국 IT보안, 새출발이 필요하다

1. 공인인증서, 어떻게 시작되었나?

1990년대 말까지 미국정부는 고강도 암호화 기술의 해외 수출을 금지하는 정책을 취했었다. 따라서 미국 외에 배포되는 웹브라우저들은 저급한 수준(40bit)의 암호화 교신 기능만을 가지고 있었다. 당시 정보통신부와 ETRI는 금융, 전자상거래 등 민감한 정보가 오가는 거래를 온라인으로 수행하기 위해서는 ‘고강도’ 암호화 기술이 필요하고, ‘독자적’ 암호 기술은 군사적 유용성도 있다고 판단하여 정부차원의 암호화 기술 개발 지원이 이루어졌다. 이런 노력의 결과 1999년 ETRI는 당시로는 높은 수준에 해당하는 128bit 길이의 키를 사용한 대칭 암호화 알고리즘(SEED) 개발에 성공하였다.
그러나 독자 개발한 SEED알고리즘을 이용한 고강도 암호화 접속은 웹브라우저와는 별도로 유저가 자신의 컴퓨터에 설치해야 하는 부가프로그램(플러그인)에 의존해야 했다. 웹브라우저 자체는 저강도 암호화만을 제공하고 있던 당시로는 이렇게 ‘별도 프로그램’을 유저들에게 나누어주고, 이것을 사용하여 고강도 암호화를 하면 된다는 식의 사고방식은 ‘간명한 해법’이라고 모두들 여겼었다.
하지만, 다음과 같은 두가지 사정은 이런 해법을 당장 무의미하게 만들 뿐 아니라, 매우 위험하게 만들었다.

• 한국의 암호화 기술이 국제적으로 알려진 직후, 미국 정부는 암호기술의 미국외 수출 규제를 철폐하였고 2000년5월부터는 전세계에 배포되는 웹브라우저 자체가 128bit 암호화 교신 기능을 구비하기 시작했다(지금은 그보다 훨씬 더 강력한 256bit 암호화를 웹브라우저가 기본으로 제공하고 있다). 정보통신부의 지원으로 1999년에 개발된 128bit 암호화 기술은 보안 강도 면에서도 이제는 오히려 저급한 수준의 기술로 전락하였다.
• 1990년대 말의 기술 수준으로는 웹서버가 유저에게 ‘별도 프로그램’을 나누어 주고 이것으로 암호화를 하면 된다고만 생각했을 뿐, 그것이 초래하는 보안 위험에 대하여는 별 문제의식이 없었다. 하지만 유저들에 대한 해킹 공격은 2000년대에 폭발적으로 증가했다. 따라서 유저들이 웹서핑 과정에서 웹사이트가 내려주는 어떤 프로그램을 자신의 컴퓨터에 설치하는 행위 자체가 엄청난 보안 위험을 초래한다는 사실을 깨닫게 되었다. 악성코드가 바로 이런 방법으로 전파되기 시작한 것이다.

한국 기술진이 ‘독자적’으로 개발한 고강도 암호화 기술을 사용해야 할 기술적, 사업적 이유는 전세계 모든 웹브라우저들이 같은 수준의 암호화 접속 기능을 ‘기본탑재’하기 시작한 2000년5월부터는 없어졌고, ‘별도 프로그램’을 유저의 컴퓨터에 설치해야 하는 기술은 매우 심각한 보안 위험을 초래하므로 오히려 사용하지 말하야 할 이유가 생겼지만, 한국 정부와 국내 최상위 공인인증기관인 KISA는 ‘별도 프로그램 설치’가 필요한 한국형 공인인증기술 규격을 고집했다. 128bit 암호화를 위해서는 쓸모도 없게 된 기술이지만, 암호화 기술에서 ‘한때’ 세계 수준에 도달했었다는 헛된 자부심이 작용했고, 공인인증기관이라는 제도를 법으로 만들면서 생겨난 여러 기득권 구조가 기술의 변화를 따라잡기는 커녕 기술 진전을 외면하면서 제도적 강제에 의존하기 시작한 것이다.

2. ‘한국형’ 공인인증 기술의 특징

[…]
월간 인물과 사상, 2013년4월호에 출간된 전문은 여기서 보실 수 있습니다:
새출발이 필요한 한국의 IT보안