[e테크]PKI 기술-정보사회 지키는 `사이버파수꾼`

◆PKI 개요

　

　공개키기반구조(PKI)는 공개키 암호해독(PKC:Public Key Cryptography)과 디지털 서명서비스를 가능하게 하는 보안 인프라다. 키를 관리하고 디지털 인증기능을 생성·분배하는 일체의 과정을 처리한다.

　PKI 중심에는 공개키 암호해독 개념이 자리하고 있다. 이것은 지난 70년말까지만 해도 주로 사람이 직접 비밀키를 갖고 다니면서 분배하던 여러가지 불편한 전통적인 암호해독시스템을 대체한 새로운 기술이다. 공개키 암호해독 기술은 지난 76년 휘트필드 디피, 마틴 헬먼 및 랠프 머클이 ‘비밀키’ 또는 ‘동기키’ 기반 전통적인 암호체계에서 키 관리의 어려운 문제를 해결하기 위해 개발했다. 비밀키 암호는 한동안 금융계에서 지점간 거래와 구내 네트워크에 사용됐다. 이것은 공개키를 사용한 비동기 암호보다 속도가 훨씬 빠르지만 인터넷과 같은 분산 네트워크에는 적합하지 않다는 것이 드러났다. PKI라는 용어는 80년대에 캐나다의 벨 노던 리서치 연구소가 패킷 데이터교환기에 공개키 암호를 채택하면서 처음 사용했다.

　인터넷을 통한 전자상거래가 증가함에 따라 상대방의 신원을 확인하고 민감한 정보를 보호하기 위한 안전하고 효율적인 방법이 필요하게 됐다. 25년의 역사를 가진 공개키 암호화 기술이 상거래 상대방의 신원을 확인하고 암호를 관리할 수 있는 방법을 제시해 줄 것으로 기대된다. PKI는 사이버 세계의 안전을 확보해 주는 기술로 떠오르고 있다. 강력한 서버는 대규모 인증서비스의 처리를 지원하고 가속장치는 소프트웨어 패키지가 필요로 하는 디지털 서명을 처리해 준다. 통신서비스는 인증업무가 폭주하면 그에 적절한 대역폭을 지원하며 관련기술 표준도 채택되는 등 공개키를 시행하는 데 필요한 모든 인프라가 구축됐다.

　인터넷을 통한 전자상거래 때문에 거래 상대방의 신원을 확인하는 문제가 처음 대두된 것은 아니다. 인터넷이 확산되기 훨씬 전부터 이런 문제가 있었다. 가령 외국을 여행하려면 여권이 있어야 하고 어느 경우에는 상거래 서류에 공증을 받아야만 한다. 이런 경우 제3자가 입증한 것이므로 문서 소지자나 서명자의 신원이 확인된 것으로 인정되는 것이다. 특히 여권을 신청하려면 발급기관이 신원을 확인하는 데 필요한 구비서류를 작성하고 공증인의 확인이 있어야 한다. 공증을 받을 때에는 신청자 본인이 직접 공증인 사무실에 가야 한다. 우수한 PKI안에서도 이와 동등한 수준의 인증이 가능하다. 인증기관이 제공하는 디지털 인증은 기업 내외에서 소비자, 공급업체, 사업 파트너 등과의 관계를 확인시켜 준다. 이처럼 PKI는 전자상거래를 가능케 해주는 중요한 기술이다.

　PKI는 광범위한 서비스, 제품 및 시설 등으로 구성된 하나의 시스템이나 구조다. 그 인프라는 어느 곳에나 있지만 눈에 잘 띄지 않으며 정보·상품·서비스·사람 등을 이동시킨다. 실제로 대부분의 최종 사용자들은 인프라 기능에 문제가 발생했을 때만 그 인프라를 보게 된다.

　가장 효과적인 인프라는 눈에 보이지 않는다. 예를 들어 고객이 인터넷을 통해 상품을 구입한다면 여러가지 PKI 구성요소가 작동하게 된다. 즉 보안소켓계층(SSL:Secure Socket Layer) 세션이 생성되고 인증이 서버에서 고객에게로 다운로드되면 고객의 PC는 인증을 확인한 다음 그 키를 서버로 되돌려 보내 세션을 암호화하게 된다. 이러한 모든 과정은 사용자가 모르는 상태에서 일어나는 것이다. 그러므로 고객은 인터넷을 통해 상품을 구입할 때 그 인프라를 의식할 필요가 없다.

　디지털 인증의 필요성을 이해하기 위해서는 공개키 암호해독의 기본 원칙을 알아볼 필요가 있다. 전화번호와 마찬가지로 고용키는 누구나 소유할 수 있다. 개인의 키는 이를 발급받은 사람만이 알아야 하고 공개나 전송되어서는 안된다. 따라서 공개키 암호를 해독하는 데는 고용키 사용자의 신원을 확인하는 것이 중요하다. 공개키는 누구든지 원하면 소유할 수 있기 때문에 공개키의 소유자라고 주장하는 사람이 실제로 소유자인지를 확인할 필요가 있다. 그래서 인증서비스가 필요한 것이다. 가령 한 회사가 인터넷을 통해 목재를 주문할 경우 상대방이 실제로 공급자인지 또는 해커인지 확인하기를 바랄 것이다. 목재를 공급하는 업체도 마찬가지 입장이다. 이처럼 양측은 서로 상대방의 신원을 확인할 수 있는 인증이 필요한 것이다.

　디지털 인증은 공개키와 그 키의 소유자의 연결을 확인할 때 사용되는데 이러한 디지털 인증을 ‘공개키 인증’이라고도 한다. 인증기관이 그 기관 고유의 키를 사용해 디지털로 서명한 디지털 인증을 발급한다는 것은 그 공개키가 그 소유자의 것이라는 사실을 확인하는 것이다. 인증내용에 포함되는 사용자에 관한 정보의 분량은 어느 시스템을 사용하느냐에 따라 다르다. 디지털 인증은 흔히 운전면허증이나 여권과 비교되지만 그러한 비교는 정확한 것이 아니다. 운전면허증이나 여권은 개인의 신분을 확인시켜 준다. 하지만 공개키 인증은 인증 주체가 그 공개키의 소유자인지만 입증한다.

　디지털 인증은 그 자체로서 안전한 상거래를 확인시켜 주거나 인증 또는 시인을 해주지는 못한다. 그것은 객체(사용자)의 신원을 공개키 가치와 일치시킴으로써 인증과 인정을 처리하게 해준다. 여기에서 유의해야 할 것은 디지털 인증의 시인기능은 객체가 통신사실을 부인하더라도 이를 방지할 수 없다는 사실이다. 디지털 인증을 사용하면 그 기록을 저장했다가 추후에 관련 객체가 통신사실을 부인함으로써 일어나는 분쟁을 해결할 수 있는 증거로 제시하도록 해준다.