<시리즈> 심층진단 정보보호산업 현주소 (30)

<정보보안의 인프라-키관리체계 구축(상)>

인터넷 사용의 일반화로 상징되는 정보화의 물결은 세계를 하나의 생활권으로 묶어준다.

그러나 반대로 어두운 면을 생각한다면 이는 또한 세계가 하루아침에 혼란의 도가니에 빠질 수도 있음을 의미한다.

보안의 중요성이 여기에 있다.

정보보안이 제대로 되기 위해서는 다양한 분야의 암호기술들이 필요하다.

우선 가장 기본적으로 사용되는 암호알고리듬이 안전해야 하며 또한 다양한 프로토콜들이 결합되어 구성되는 전체 시스템이 안전해야 한다.

범위를 더 넓혀 생각하면 다양한 시스템들이 상호연동하는 네트워크상의 보안이 가장 이루기 어렵다고 할 수 있다.

실제 구축되는 상품들의 안전도나 신뢰성을 위해서는 또한 구현상의 보안이 따라야 한다.

즉 고의든 과실이든 보안상의 헛점이 생기지 않았다는 확신을 줄 수 있어야 한다는 것이다.

보안기술의 실용화에 있어서 무엇보다도 중요하고 또한 가장 어려운 부분은 아마도 키관리 문제일 것이다.

특히 공개키 시스템에서의 공개키 관리체계는 인터넷과 같은 공개통신망 상에서의 보안을 위한 가장 기본적인 하부구조라 할 수 있다.

공개키 관리체계는 사용자의 공개키와 그 사용자의 ID를 묶어주는 공개키 확인서 및 폐기된 공개키 확인서의 관리(생성, 분배, 취소, 갱신 등), 공개키 확인서를 발행해 주고 디렉토리서비스를 제공해주는 CA(Certification Authority)의 관리 등을 포함하는 광범위한 영역을 다루어야 하므로 그 구축을 위해서는 기본적인 보안툴의 개발에서부터 시스템관리에 이르기까지 많은 시간과 노력이 필요하다.

공개키 확인서는 사용자의 ID와 그의 공개키를 CA가 디지털서명해서 발행하는, 통신망상에서 통용되는 그 사용자의 신분증명서에 해당된다고 볼 수 있다.

공개키 확인서가 제역할을 하는데 가장 중요한 것은 발행기관인 CA들 사이의 신뢰구조다. 한 CA의 관리하에 있는 사람이 다른 CA의 관리하에 있는 사람과 통신을 하려고 할 때 두 CA들간에 서로 신뢰관계가 구축되지 않는다면 두 사람의 공개키 확인서를 서로가 믿지 못하는 결과가 되기 때문이다.

각 단체나 국가들간에 이러한 신뢰관계의 구축이 쉽지 않다는 것이 널리 통용되는 공개키 인프라를 구축하지 못하는 가장 큰 이유라 할 수 있다.

공개키 관리체계는 공개키 암호시스템이 사용되는 특정 응용분야에 따라 보안정책이나 신뢰구조, 이해관계 등이 상이하므로 하나의 지역권 내에서도 하나의 공개키 관리체계가 통용되기는 어렵다.

예를 들어 비자와 마스터카드사가 공동개발한 신용카드 기반의 전자지불방식인 SET에서는 그 자체적으로 공개키 관리체계를 구축하려고 하고 있다.

반면 국가기관간의 보안을 위한 공개키 암호시스템에서는 보안정책이나 신뢰기반이 전혀 다른 새로운 공개키 관리체계가 필요할 것이다.

(임채훈 포항공대 정보통신연구소 연구원)