휴대폰이나 PDA를 가지고 다니며 언제 어디서나 인터넷에 접속해 정보검색은 물론 인터넷뱅킹·증권거래·쇼핑 등 다양한 서비스를 이용할 수 있는 시대가 열렸다. 무선 인터넷 환경이 구축된 덕분이다. 하지만 무선 인터넷도 유선 수준 이상의 보안이 뒷받침되지 않는다면 이처럼 이용분야가 다양하게 확산되기는 어려울 것이다.
무선 인터넷의 등장과 함께 대두된 것이 보안문제다. 무선 인터넷이 활성화되면서 개인 데이터 보호는 물론이고 거래내용에 대한 안전성을 보장받으려는 이동통신 사용자들의 요구가 급속히 확산되고 있는 것이다. 이같은 사용자들의 요구에 따라 이동통신 사업자들은 서비스의 질을 높이기 위해 뱅킹 등의 업무에 보안모듈을 탑재하기 시작했으며, 무선 공개키기반구조(WPKI)가 최적의 대안으로 떠올랐다.
무선공인인증서비스는 바로 무선 인터넷에 WPKI를 적용하고 이를 6개 공인인증기관이 인증해주는 시스템이다. 유무선 구별없이 공인인증기관이 제공하는 공인인증서비스는 전자서명법에 의해 법적 효력을 가지므로 무선공인인증서비스를 채택하면 보다 안전한 무선 인터넷 환경이 구축되는 셈이다.
유선 인터넷의 경우는 매체가 사회적 인프라로 인식돼 있고 매체보다는 응용분야의 영향력이 있기 때문에 공인인증서비스를 필요로 하는 응용분야를 중심으로 공인인증 사업이 추진됐지만 무선은 이동통신 사업자가 주도권을 쥐고 있어 사정이 좀 다르다. 무선공인인증서비스는 6개 공인인증기관이 제공하지만 이를 적용하고 상용화하는 것은 전적으로 이동통신 업체들의 의지에 달려있다는 얘기다.
이에 따라 무선공인인증서비스는 국내 이동통신 3사인 SK텔레콤과 LG텔레콤, KTF를 중심으로 추진되고 있으며 한국정보보호진흥원(KISA)과 PKI솔루션 업체들이 기술적인 부문을 관장하고 있다.
KISA는 지난 2000년 말부터 무선 공인인증서비스를 위한 협의체를 구성해 공인인증기관과 이동통신 사업자간의 기술적·정책적·사업적 협의를 진행했으며 그 결과 WPKI 기술기준 및 규격을 개발했다. WPKI에서의 인증서는 단말기를 사용하므로 유선환경에 비해 메모리·암호알고리듬 채택 등에 제한을 많이 받을 수밖에 없다. 따라서 KISA가 마련한 WPKI 기술규격은 유선에 비해 상대적으로 인증서 확장필드의 일부를 옵션으로 정의했으며 알고리듬을 ECDSA 알고리듬으로 정의해 RSA키 생성시간 등의 문제점을 해결한 것이 특징이다. 또 WTLS(Wireless Transports Layer Security) 인증서 프로파일을 적용함으로써 단말기의 인증서폐지목록(CTL) 검증의 부담을 줄였으며 무선단말기에 적합한 무선인증서 요청형식 및 관리프로토콜도 정의했다. ECDSA알고리듬은 엘립틱 커브를 이용한 알고리듬으로, 키의 길이가 160비트로 짧으면서도 보안강도는 1024비트의 RSA 알고리듬 수준을 갖는 전자서명용 알고리듬이다.
이같은 기술을 기반으로 한 무선공인인증 시스템은 유선 PKI와 마찬가지로 서명자의 신원확인은 물론 문서의 내용에 대한 위·변조 방지, 서명사실에 대한 부인방지 등의 기능을 제공한다.
KISA는 지난해 6월에 WPKI의 최상위기관으로서 루트CA를 구축했으며, 공인인증기관인 한국정보인증과 한국증권전산 등이 무선 공인인증서비스를 위해 지난해 9월 KISA에 실질심사를 신청했다.
한국정보인증의 경우 지난 3월 LG텔레콤의 인증시스템에 대해 KISA로부터 실질심사를 통과했으며 지난 6월에는 KTF인증시스템에 대해서도 KISA로부터 실질심사를 통과했다. 따라서 시험운영기간을 감안할 때 LG텔레콤과 KTF 가입자는 연내에 공인인증기관인 한국정보인증의 인증서를 사용해 휴대폰으로 인터넷뱅킹뿐만 아니라 인터넷쇼핑 등의 업무를 처리할 수 있을 것으로 보인다.
한국증권전산도 지난 8월 SK텔레콤의 인증시스템에 대해 KISA로부터 실질심사를 통과해 시험운영중이며, KTF시스템에 대해서도 이달 안으로 실질심사가 완료될 예정이다. 따라서 SK텔레콤과 KTF도 각 증권업체들이 서비스에 들어가는 대로 한국증권전산의 무선공인인증서비스를 이용해 가입자들에게 휴대폰을 통한 사이버 트레이딩서비스를 제공할 수 있을 전망이다.
금융결제원은 다소 늦게 시스템 개발에 착수했다. 하지만 이동통신 3사를 지원할 수 있는 통합된 형태의 WPKI솔루션을 적용해 KISA에 실질심사를 신청한 상태여서 내년 상반기에는 시험운영 및 사용서비스에 들어갈 수 있을 것으로 예상된다.
이밖에 한국전자인증도 KTF를 대상으로 한 무선공인인증시스템에 대해 실질심사를 받고 있는 중이다.
이처럼 대부분의 공인인증기관들은 무선 공인인증시스템을 거의 완료한 상태며 칼자루를 쥐고 있는 이동통신 업체들의 액션만을 기다리고 있다. SK텔레콤이 증권부문에 먼저 적용할 것인지, LG텔레콤이 지불결제 부문에 먼저 적용할 것인지 두고볼 일이지만 휴대폰이나 PDA에서 공인인증서를 이용해 안전하게 인터넷뱅킹·사이버트레이딩·인터넷쇼핑 등을 즐길 수 있는 날이 코앞으로 다가왔다.
<박영하기자 yhpark@etnews.co.kr>
★관련 그래프/도표 보기
관련 통계자료 다운로드 무선공인인증서비스 구성도