OCSP시스템 도입 공인인증업체 `울며 겨자먹기`

　오는 9월 공인인증기관간 인증서 상호연동을 앞두고 있는 가운데 최근 공인인증 업계가 심각한 고민에 빠졌다. 상호연동을 위해서는 각 인증기관들이 표준화된 인증서상태 확인 시스템을 구축해야 하지만 비용이 만만치 않은데다 수요처도 냉담한 반응을 보이고 있어 대책마련에 부심하고 있다.

　공인인증 기관들은 인증서상태 확인시스템 구축에 대한 당위성은 인정하면서도 지금까지 공인인증서 사업부문에서 수익을 올리지 못하고 있는 상황에서 ‘울며 겨자먹기식’으로 수억원대의 투자를 해야 한다는 점에 대해 강한 불만을 드러내고 있다.

　

◇OCSP 도입배경=현재 공인인증기관들이 인증서상태 확인을 위해 채택하고 있는 인증서폐지목록(CRL:Certificate Revocation List) 방식은 6시간 또는 12시간마다 주기적으로 CRL을 체크하는 것이어서 실시간 상태 확인에 문제가 있다. 또 금융결제원과 한국증권전산이 적용하고 있는 전문메시지 교환방식은 국제적으로 안전성이 검증되지 않았고 앞으로 실시될 국제간 상호연동에도 불리하다. 이에 따라 정통부는 지난 3월 국제적인 호환성이 보장되고 안전성도 검증받은 실시간인증서상태확인프로토콜(OCSP:Online Certificate Status Protocol) 방식을 적용키로 결정하고 공인인증기관들에 이 방식의 인증서상태확인 시스템을 구축하도록 했다.

　이에 따라 한국정보인증을 비롯한 6개 공인인증기관들은 일제히 OCSP 시스템 구축을 추진하고 있다. 정통부가 상호연동 시기를 오는 9월부터로 잡고 있기 때문에 이들은 늦어도 8월까지는 시스템 구축을 마무리해야 한다.

　

◇문제점=지난달 공인인증기관 가운데 가장 먼저 OCSP 시스템을 구축하고 한국정보보호진흥원(KISA)에 실질심사를 신청한 한국정보인증은 이 시스템을 구축하는데 5억원 가량의 비용이 소요될 것으로 보고 있다. 서버를 최저 사양으로 해도 이중화 시스템으로 꾸며야하기 때문에 하드웨어 비용만 2억여원 가량이 필요하고 소프트웨어 및 운영비를 감안하면 적어도 5억원은 투입될 것으로 보고 있다.

　문제는 적지않은 이 비용을 어떻게 충당할 것인가다. 가뜩이나 인증서 발급으로 아무런 수익도 못거두고 있는 마당에 수억원의 투자를 해야하는 것에 대해 공인인증기관들은 이러지도 저러지도 못하고 있다.

　이에 대한 대책으로 정통부는 수요처가 OCSP서비스를 이용할 경우 일정액의 수수료를 받는 방안을 내놓았지만 은행권이 이에 반발하고 있고 조달청 등도 기존의 CRL방식을 고집하고 있어 수수료로 투자비를 회수하기는 어려울 것으로 보인다.

　

◇대책과 전망=공인인증 기관들은 공인인증시스템 자체가 전자상거래 활성화를 위한 사회적 인프라이므로 시스템 구축에 따른 비용의 일정 부분을 정부가 부담해야 한다는 입장을 보이고 있다.

　한 공인인증기관 관계자는 “시장도 성숙되지 않은 상황에서 인증기관을 6개씩이나 허가해 놓고 투자는 업체들에게만 강요하는 것은 불합리하다”고 하소연했다.

　공인인증기관들은 수억원대의 투자에 대한 회수방안이 수립돼야 하며, 이의 일환으로 수수료에 대한 정부의 정책적 결정이 시급하다고 주장하고 있다. 정통부가 OCSP서비스를 부가서비스로 분류하고 수수료를 부과할 수 있도록 했지만 현재로서는 기대에 불과하다는 것이다.

　이같은 문제점에도 불구하고 늦어도 오는 8월말까지 각 인증기관들은 OCSP시스템 구축이 불가피하다. 수억원대의 투자를 하면서도 별다른 수익이 없는 현재의 상황을 공인인증 기관들이 어떻게 헤쳐나갈지 주목된다.

　<박영하기자 yhpark@etnews.co.kr>