한국 IT보안, 새출발이 필요하다

by | Apr 19, 2013 | 오픈블로그, 혁신과 규제 | 2 comments

1. 공인인증서, 어떻게 시작되었나?

1990년대 말까지 미국정부는 고강도 암호화 기술의 해외 수출을 금지하는 정책을 취했었다. 따라서 미국 외에 배포되는 웹브라우저들은 저급한 수준(40bit)의 암호화 교신 기능만을 가지고 있었다. 당시 정보통신부와 ETRI는 금융, 전자상거래 등 민감한 정보가 오가는 거래를 온라인으로 수행하기 위해서는 ‘고강도’ 암호화 기술이 필요하고, ‘독자적’ 암호 기술은 군사적 유용성도 있다고 판단하여 정부차원의 암호화 기술 개발 지원이 이루어졌다. 이런 노력의 결과 1999년 ETRI는 당시로는 높은 수준에 해당하는 128bit 길이의 키를 사용한 대칭 암호화 알고리즘(SEED) 개발에 성공하였다.
그러나 독자 개발한 SEED알고리즘을 이용한 고강도 암호화 접속은 웹브라우저와는 별도로 유저가 자신의 컴퓨터에 설치해야 하는 부가프로그램(플러그인)에 의존해야 했다. 웹브라우저 자체는 저강도 암호화만을 제공하고 있던 당시로는 이렇게 ‘별도 프로그램’을 유저들에게 나누어주고, 이것을 사용하여 고강도 암호화를 하면 된다는 식의 사고방식은 ‘간명한 해법’이라고 모두들 여겼었다.
하지만, 다음과 같은 두가지 사정은 이런 해법을 당장 무의미하게 만들 뿐 아니라, 매우 위험하게 만들었다.

  • 한국의 암호화 기술이 국제적으로 알려진 직후, 미국 정부는 암호기술의 미국외 수출 규제를 철폐하였고 2000년5월부터는 전세계에 배포되는 웹브라우저 자체가 128bit 암호화 교신 기능을 구비하기 시작했다(지금은 그보다 훨씬 더 강력한 256bit 암호화를 웹브라우저가 기본으로 제공하고 있다). 정보통신부의 지원으로 1999년에 개발된 128bit 암호화 기술은 보안 강도 면에서도 이제는 오히려 저급한 수준의 기술로 전락하였다.
  • 1990년대 말의 기술 수준으로는 웹서버가 유저에게 ‘별도 프로그램’을 나누어 주고 이것으로 암호화를 하면 된다고만 생각했을 뿐, 그것이 초래하는 보안 위험에 대하여는 별 문제의식이 없었다. 하지만 유저들에 대한 해킹 공격은 2000년대에 폭발적으로 증가했다. 따라서 유저들이 웹서핑 과정에서 웹사이트가 내려주는 어떤 프로그램을 자신의 컴퓨터에 설치하는 행위 자체가 엄청난 보안 위험을 초래한다는 사실을 깨닫게 되었다. 악성코드가 바로 이런 방법으로 전파되기 시작한 것이다.

한국 기술진이 ‘독자적’으로 개발한 고강도 암호화 기술을 사용해야 할 기술적, 사업적 이유는 전세계 모든 웹브라우저들이 같은 수준의 암호화 접속 기능을 ‘기본탑재’하기 시작한 2000년5월부터는 없어졌고, ‘별도 프로그램’을 유저의 컴퓨터에 설치해야 하는 기술은 매우 심각한 보안 위험을 초래하므로 오히려 사용하지 말하야 할 이유가 생겼지만, 한국 정부와 국내 최상위 공인인증기관인 KISA는 ‘별도 프로그램 설치’가 필요한 한국형 공인인증기술 규격을 고집했다. 128bit 암호화를 위해서는 쓸모도 없게 된 기술이지만, 암호화 기술에서 ‘한때’ 세계 수준에 도달했었다는 헛된 자부심이 작용했고, 공인인증기관이라는 제도를 법으로 만들면서 생겨난 여러 기득권 구조가 기술의 변화를 따라잡기는 커녕 기술 진전을 외면하면서 제도적 강제에 의존하기 시작한 것이다.

2. ‘한국형’ 공인인증 기술의 특징

[…]
월간 인물과 사상, 2013년4월호에 출간된 전문은 여기서 보실 수 있습니다:
새출발이 필요한 한국의 IT보안

2 Comments

  1. 김승주 (Seungjoo Kim)

    저는 고려대 정보보호대학원의 김승주라고 합니다. 가끔 눈팅만하다가 오늘 처음으로 댓글을 올려봅니다.
    “한국의 IT보안, 새출발이 필요하다”와 관련하여, SEED와 관련한 사항은 일부 오류가 있기에 SEED 개발 당시에 있었던 사람으로서 바로 잡아 드립니다. SEED가 왜 탄생하게 됐는지, 또한 현재 그 의미가 왜 외곡되어 있는지는 다음의 제 글을 참조해 주시면 감사하겠습니다. : ”SEED 탄생 비화 : 민간분야의 암호사용은 자율!” http://amhoin.blog.me/40172635907
    참고로 공인인증서 탄생과 관련한 히스토리는 다음 글을 보시면 됩니다. : “공인인증서 탄생 비화 : 사설과 공인의 공존이 필요할때…” http://amhoin.blog.me/40173114491
    감사합니다.

    Reply
  2. admin

    앗, 김교수님 댓글 감사합니다. 알고리즘 개발을 담당한 kisa를 빼먹었군요. 오류를 시정해주셔서 감사합니다.
    자주 글 남겨주시기 바랍니다.

    Reply

Submit a Comment

Your email address will not be published. Required fields are marked *

최신 글