한국인터넷진흥원 웹트러스트 인증을 환영하며
2월 국회에서 전자서명법 개정안의 처리를 촉구한다.
한국인터넷진흥원(KISA)은 오픈넷 측에서 제기한 웹트러스트 인증에 대한 정보공개청구 거부처분 취소소송 중 2014. 1. 8. 웹트러스트(Web Trust) 인증을 받았다고 밝혔으며 오픈넷은 한국인터넷진흥원이 뒤늦게라도 제3자의 감사를 받아 웹트러스트 인증을 획득한 것을 환영하는 바이다.
오픈넷은 2013년 과거 정보통신부에서 한국인터넷진흥원이 웹트러스트 인증에 준하는 감사를 받았으니 신뢰성을 인정해달라는 취지로 각 웹브라우저 사에 공문을 보냈다는 정보를 입수하였다. 이에 오픈넷 측은 미래창조과학부와 한국인터넷진흥원에 웹트러스트 인증 또는 이에 준하는 인증과 관련된 정보를 공개하라는 청구를 하였다. 그러나 해당 정보는 국가기밀에 해당하여 공개할 수 없다는 정보공개 거부처분을 받았고 이에 오픈넷은 2013. 7. 4.에 정보공개거부처분의 취소를 구하는 행정소송을 제기한 바 있다. (서울행정법원 2013구합17381)
본 행정소송의 주요 취지는 미래창조과학부와 한국인터넷진흥원이 그 동안 웹트러스트 인증과 관련하여 웹브라우저사에게 취했던 사실관계를 명확히 파악하고, 한편으로는 한국인터넷진흥원이 스스로 웹트러스트 인증을 받도록 하는 것이었다.
소송 과정을 통하여 미래창조과학부와 한국인터넷진흥원 측은 최초 원고가 청구한 웹트러스트 인증에 준하는 정보가 있지만 해당 정보는 국가기밀에 해당한다고 주장하다가, 판결을 앞두고 원고가 구하는 정보가 존재하지 않는다고 주장을 변경하였다. 결국 그 동안 각 웹브라우저 사에게 웹트러스트 감사 보고서에 준하는 성격이라고 고지했던 보고서는 웹트러스트 감사 보고서와 유사한 성격이 아니라는 점을 스스로 밝힌 셈이다. 더욱이 한국인터넷진흥원이 마침내 웹트러스트 인증을 획득하였기 때문에 오픈넷은 본 행정소송의 목표를 모두 달성하였다고 판단하여 본 소를 2014. 1. 28. 취하하였다.
이제 한국인터넷진흥원도 국제 수준의 인증기관으로 발돋움할 기틀이 마련된 셈이다. 그 동안 한국인터넷진흥원은 파이어폭스 웹브라우저와 다양한 인터넷 서비스에 사용되는 NSS의 신뢰를 받지 못함으로써 그 산하에 있는 국내 인증기관들이 서버인증서 발급업무를 현실적으로 수행할 수 없었다. 이런 열악한 환경에서 국내의 인증기관들은 “공인인증”이란 이름의 클라이언트 인증에 집착하는 안타까운 모습을 보여왔다. 이제는 이런 사태가 해소될 것으로 기대된다. 그렇게 되면 국내의 인증기관들도 전세계를 상대로 서버인증서 발급 영업을 할 수 있게 될 것이며, 국내의 인터넷 기반 서비스에서도 서버인증이 보다 보편적으로 행해진다면 유저들이 교신 상대방의 정체와 안전성에 대한 보다 높은 수준의 신뢰를 가질 수 있게 될 것이다.
파이어폭스나 크롬 브라우저 이용자들도 한국인터넷진흥원이 제공하는 서버인증서를 사용하는 홈페이지에서 더 이상 아래 그림과 같이 “본 연결은 신뢰할 수 없음”이라는 표현을 접하지 않아도 되는 것이다.
본 소송과는 별도로 오픈넷은 한국인터넷진흥원이 루트인증기관으로서 독립적 제3자의 전문적, 정기적 검증을 받아야 한다고 꾸준히 주장해왔고, 이러한 내용은 최재천 의원이 발의한 전자서명법 일부 개정안 제4조 에도 드러나 있다. 한국인터넷진흥원이 법 개정 이전에 스스로 개정 법률안의 취지에 맞게 제3자의 검증을 받은 이상 국회는 2월 국회에서 최재천 의원이 발의한 전자서명법 개정안을 통과시켜야 할 것이다.
[참고자료]
* 웹트러스트란?
인증기관이 인터넷익스플로러(Internet Exploler)나 크롬(Chrome) 등과 같은 웹브라우저를 제공하고 있는 회사(마이크로소프트, 구글 등)들에게 최상위인증기관으로 신뢰받기 위해서는 각 웹브라우저 회사에게 자신의 인증업무가 안전하게 이루어지고 있음을 증빙하는 자료(국제적으로 통용되는 객관적인 감사기준에 의한 감사를 받았음을 증빙하는 감사보고서 등)를 제출하고 웹브라우저 회사의 심사를 통과해야 합니다. 최상위인증기관이 안전하게 인증업무를 수행하고 있는지를 검증하는데 사용되는 ‘인증기관 감사기준’은 현재 웹트러스트(WebTrust), 유럽 전기통신표준협회 (ETSI, European Telecommunications Standards Institute), 국제표준화기구(ISO, International Organization for Standardization)등 민간 단체들이 제정하여 사용되는 것들이 전세계에서 공신력을 인정받고 있습니다.
이 중 웹트러스트(WebTrust)는 미국회계사협회(AICPA)와 캐나다회계사협회(CICA)가 참여하여 결성된 민간 콘소시움으로서, 인증회사들이 안전하게 인증업무를 수행하는지를 전문적이고 상세하게 점검하는데 사용되는 점검기준을 개발하고, 상시로 업데이트하고 있습니다. 전문적인 보안감사 능력을 가진 감사주체는 자신의 전문성과 독립성을 소명하는 자료를 웹트러스트에 제출하고, 웹트러스트의 심사를 통과하면 ‘웹트러스트 기준에 따른 보안감사 업체(Licensed Practitioner, 이하 보안감사 업체라고 합니다)’로 전세계에서 인정받게 됩니다. 이러한 보안감사 업체가 웹트러스트가 제정, 관리, 업데이트하는 감사기준에 따라 인증기관을 객관적, 전문적으로 감사하고 그 업무수행이 만족스러운 안전성을 구비하고 있다고 판단하면, 인증기관으로서 적합 판정을 내리게 되고 감사보고서를 작성하여 공시하게 됩니다. 웹트러스트 기준에 따르면 회계감사와 마찬가지로 이러한 보안 감사를 ‘매년’ 받도록 되어 있습니다.
인증기관은 보안감사 업체에 의한 보안감사를 받아 적합 판정이 내려진 감사보고서가 공개되면, 이 감사보고서를 웹브라우저 회사에게 제출하면서 자신을 최상위인증기관 중 하나로 기본 탑재해 달라고 신청하게 됩니다. 웹브라우저 회사들이 공개된 감사보고서를 토대로 인증기관의 신청을 심사하여 신뢰할 수 있다고 결정하면 당해 인증기관은 당해 웹브라우저 내에서 최상위인증기관으로 포함되게 됩니다.
* NSS(Network Security Services)란?
모질라 재단이 운영하고 있으며 SSL, S/MIME, 등 인터넷 관련 보안 표준을 손쉽게 어플리케이션에 적용할 수 있도록 오픈 소스를 기반으로 하는 라이브러리 서비스입니다.
(https://developer.mozilla.org/en/docs/NSS)
* 전자서명법 일부개정안 제4조 제4항
④ 제1항의 인증업무수행기준은 국제적으로 통용되는 기준을 감안하고, 기기 및 소프트웨어의 호환성을 보장할 수 있는 범위 내에서 정하되, 다음 각 호의 사항을 포함하여야 한다.
1. 인증 업무의 기술적·관리적 측면에 대하여 충분한 전문성을 가진 독립적인 제3자의 점검을 정기적으로 받을 것
2. 해당 시점의 기술 수준에 비추어 충분한 수준의 암호화 알고리즘을 사용할 것
3. 「개인정보 보호법」을 준수할 것
4. 인증역무를 이용하거나 신뢰한 자에게 발생한 손해를 배상하는데 필요한 재원을 적절한 수준과 방법으로 확보할 것
* 이와 관련하여 보다 구체적인 내용은 한국인터넷진흥원의 인증업무 감사를 오래 전부터 주장해오신 오픈넷 김기창 이사의 아래 오픈 블로그 글을 참조해주시기 바랍니다
[관련 글]
- PBC 라디오, KISA 웹트러스트 인증 및 공인인증서 관련 인터뷰_김기창 교수 (2014.02.12.)
- 인터넷진흥원(KISA), 웹트러스트 보안점검 통과! (오픈블로그 2014.02.01.)
문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr
0 Comments