법제도/정책

“최상위인증기관 안전성 검증할 제3자 감사 필요”

이민형 기자
- 공인인증 단일 체계 문제점 지적, 사설인증체계도 사용 환경 만들어야”

[디지털데일리 이민형기자] 국내 공인인증제도를 전반적으로 관리하는 최상위인증기관(root CA)의 안전성과 신뢰성을 확보하기 위해 ‘공인 인증 정책 위원회’를 설치, 운영해야한다는 주장이 나왔다.

염흥열 순청향대 교수<사진>는 18일 서울 엘타워에서 열린 ‘전자인증서비스 발전을 위한 컨퍼런스’ 기조연설을 통해 “현재 우리나라 최상위인증기관 한국인터넷진흥원(KISA)은 제3자에 의한 감사를 수검하지 않아 안전성과 신뢰성의 의문점이 존재한다”며 “이를 보완할 방법으로 자체적인 ‘공인인증 정책위원회’를 운영하거나 제3자 감사를 통해 투명성과 안전성 우려를 불식할 필요가 있다”고 말했다.

최상위인증기관은 국내 공인인증기관들을 관리, 감독하고 각 기관들이 발급한 공인인증서의 상호연동성을 보장해주는 기관이다. 국내에서는 KISA가 유일하게 그 역할을 담당하고 있다.

일각에서는 KISA가 단일 최상위인증기관으로 지정돼 있어 공인인증 시장의 경쟁이 제한되고, 제3자에 의한 감사를 받지 않기 때문에 투명한 운영이 이뤄지지 않는다고 지적하고 있다.

이러한 지적을 근거로 지난 5월 국회서 발의된 전자서명법 전부개정안에는 ‘전자서명’과 ‘공인전자서명’의 차이를 두지 않고, 최상위공인인증기관인 ‘KISA’역시 매년 검증을 받아야 한다는 내용이 담겼다. 현재 전자서명법 전부개정안은 6월 임시국회서 제대로 심의를 시작하지도 못한 채 계류됐다.

또 염 교수는 공인인증체계와 사설인증체계를 구별해 사용할 필요가 있다는 점도 언급했다. 그는 “공인인증체계의 경우, 단일 루트인증기관으로 인증서의 상호 연동과 효율적 관리가 가능한 편리한 부분이 존재한다”며 “그러나 공인인증체계 위주로 시장이 흘러가는 것은 우려스러운 부분”이라고 말했다.

공인인증체계와 사설인증체계를 구별해 사설인증체계 기반시장이 활성화될 수 있는 환경을 구축해야 한다는 것이 염 교수의 주장이다.

이와 관련 오승곤 미래부 정보보호정책과장은 이날 기조연설을 통해 “공적영역의 수요기관이 아닌 민간영역에서의 인증수단은 사설인증 수단을 적극 수용해야 한다”며 “전자인증서비스는 국가경쟁력과 산업발전을 위해 고려돼야 하며, 궁극적으로 국민들이 더 안전하고 편리하게 사용할 수 있도록 개선돼야 하기 때문”이라는 입장을 나타냈다.

공인인증서 사용 강제화로 인해 다양한 인증 수단 도입이 저해되고 있다는 문제점도 제기됐다. 염 교수는 “여러 연관법에서 전자서명과 본인확인을 위한 수단으로 공인인증서를 사용할 것을 규정해 공인인증서가 유일한 수단으로 통용되고 있다”며 “전자서명법은 타 인프라 지원 법률로 공인인증서의 구체적 활용은 개별영역에서 결정할 사안이다. 다양한 인증수단이 활용될 수 있도록 관계부처와 협의와 규정 개정 등을 유도해야 한다”고 주장했다.

염 교수는 공인인증기관의 보안관리와 운영보안을 향상시키기 위해 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS) 인증을 의무화하는 한편, KISA에 의한 공인인증기관의 보안감사를 강화해야한다고 제안했다.

그는 “인증서비스의 침해사고 대응, 재해 대응 체계 개선을 위해 위기 대응 강화 등 보안에 신경써야 한다”며 “앞서 언급한 것 처럼 최상위인증기관의 투명성 확보를 위해 ‘공인인증 정책위원회’ 설치, 운영을 고려해봐야 한다”고 말했다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널