공개키기반구조(PKI) 기술은 세계 각국에서도 활발히 이용되고 있다. 특히 아시아의 경우는 우리나라와 국가간 상호연동을 추진하고 있을 정도로 PKI에 대한 열기가 높다. 나라별로 보면 우리나라처럼 공인인증체제를 두고 있는 곳도 있고 지방별로 인증체계를 갖추고 있는 곳도 있다. 국가별 PKI활용 현황을 살펴본다.
<미국>
미국은 지난 2000년 전자서명법을 제정해 시행함에 따라 연방정부 차원에서 PKI 구축작업을 꾸준히 추진하고 있다. 또 대표적인 PKI 기업인 베리사인이 전 세계적으로 민간 차원의 인증서비스를 제공하고 있다.
미국에서는 지난 96년부터 유타주를 필두로 주정부 단위의 전자서명법 제정이 활발히 이뤄져 왔으나 연방정부 단위의 법 제정은 비교적 늦은 편인 2000년 6월에야 이루어졌다. 연방정부에서 전자서명의 효력을 인정한 법은 ‘The Electronic Signatures in Global and National Commerce Act(E-Sign)’로, 2000년 6월 30일 제정되고 같은 해 10월 1일부터 시행됐다.
미국은 전자정부를 구축하기 위해 ‘정부문서감축법(Government Paperwork Elimination Act)’을 공포하고 이를 뒷받침하기 위한 PKI 구축에 힘쓰고 있다. 또한 일반 민원서비스에 PKI를 응용, 범위를 확산시켜 나가고 있다.
미국은 서로 다른 도메인간 상호연동을 위해 브리지인증(Bridge CA) 체제를 도입했다. 이는 연방정부 차원에서 다양한 CA를 계층적 또는 수평적으로 구축하고 각각의 CA를 PCA(Principal Certificate Authority)가 연계해 주는 방식이다.
2000년 6월 연방 브리지CA 운영을 맡게 될 FPKIPA가 설립됐다. 여기에는 미 GSA(General Service Administration)와 OMB(Office of Management and Budget), 국방부, 재무부, 상무부, 법무부 등이 참여하고 있으며 연방 브리지CA 운영을 감독한다. 또 인증서에 대한 발급 권한을 갖고 있으며 상호인증의 참여자 및 등급을 결정하고 인증서 정책을 관리하는 역할을 담당한다.
GSA는 국민을 상대로 한 정부의 정보서비스를 안전하게 하기 위해 ‘전자서비스를 위한 접근인증(ACES)’ 서비스를 제공하고 있다. ACES 인증서를 이용하는 기관으로는 VA(Department of Veterans Affairs)와 FEMA(Federal Emergency Management Agency)가 있으며, 각각 재향군인을 위한 인터넷 교육신청과 연방·주·지방 정부기관의 재난 및 비상관리자의 중요 데이터베이스 접근통제에 적용하고 있다.
미국의 민간 인증기관으로는 베리사인을 비롯해 DSTC(Digital Signature Trust Company)·AT&T 등이 있다.
<아시아>
일본의 전자서명법은 2000년 5월에 제정, 시행되고 있다. 민간 및 정부 부문에 PKI를 구축, 운영하고 있으며 정부PKI(GPKI)는 브리지CA(BCA)방식으로 연계돼 있다. BCA는 경제산업성에 의해 통제되고 총무성이 관리 및 운영한다. 정부부처로는 현재 총무성 및 경제산업성·법무성 등이 CA구축을 마치고 운영중이며 내년말까지는 모든 부처가 CA구축을 마칠 예정이다.
중앙부처의 CA는 법인에 인증서를 발급할 수 있고 지방자치단체는 LGPKI(Local GPKI)를 구축해 국민들에게 인증서를 발급할 수 있다. 모든 법인은 법무성의 등록사무소 CA에 법인등록을 해야만 인증서를 받을 수 있다.
일본의 공인인증기관인 ‘JCSI(Japan Certification Service Inc.)’는 히타치·후지쯔·NEC 등 3개 회사에 의해 설립됐다. 현재 일본의 공인인증기관으로는 TDB(Teikoku Databank, Inc.), SECOM 트러스트넷 등 6개의 인증기관이 있고 7개의 인증서비스가 있다.
싱가포르는 지난 98년 7월 전자거래법을, 99년 2월 전자거래 시행규칙을 공포해 PKI를 전자거래상의 보안을 위한 주된 기술로 명시했다.
싱가포르의 공인인증기관인 ‘넷트러스트’는 2001년 6월 공인인증기관으로 지정됐다.
싱가포르의 인증서비스는 민간 및 정부를 구분하지 않고 전자거래법을 따른다. 넷트러스트는 6만5000개의 인증서를 정부 공무원에게 PS카드(스마트카드의 일종)에 넣어 발급했으며 공무원은 이를 이용, 급여 등의 개인정보 접근 및 정부내의 보안 e메일 교환용으로만 사용할 수 있도록 했다. 일반 전자상거래 용도로는 사용할 수 없다. 현재 싱가포르 일반 국민에게는 인증서가 거의 발급되지 않았지만 은행과 SME(Small and Medium Enterprise)간 B2B 거래용으로는 일부 사용되고 있다.
말레이시아의 전자서명법은 지난 97년 제정되고 98년 시행됐다. 정부에 의해 운영되는 CCA(Controller of CA)가 공인인증기관들을 관리하며 민간과 정부 모두를 총괄한다. 공인인증기관의 지정은 공인회계법인이 감사를 수행해 자격요건을 평가한 후 이뤄진다.
현재 말레이시아의 공인인증기관은 ‘디지서트(DigiCert)’와 ‘MSC트러스트게이트’가 있으며 이 가운데 트러스트게이트는 베리사인의 제휴사다. 정부와 민간영역의 구분은 없으나 정보 조달 프로젝트는 디지서트의 인증서가 사용된다.
중국의 전자서명법은 아직 제정되지 않았으나 향후 2∼3년안에 법적 체제가 마련될 것으로 보인다.
현재 중국에서는 기본적인 국가 PKI 구조로 우리나라와 같은 루트CA 운영방안과 미국 방식의 브리지CA 운영방안이 거론되고 있다. 민간 부문은 상하이CA·광둥(홍콩텔레콤)CA 등 5대 주요 CA가 루트CA로 연결돼 있는데, 이를 연합(United)CA라고 부르며 상하이CA가 관리한다. 이 가운데 대표적 CA인 상하이CA는 30만장의 인증서를 발급했으며 인증서 종류는 신분확인용·e메일용·웹서버용·코드사인용·VPN용 등이 있다. 이밖에 전국적으로 자치 정부별로 구축된 80여개의 CA가 운영되고 있다.
<유럽>
독일의 전자서명법은 지난 97년 6월에 제정돼 97년 8월부터 시행에 들어갔다. 독일의 PKI는 법무부와 연방경제기술부가 관여하는 2계층의 구조를 지닌다.
법무부는 독일의 전자서명법 및 하위법령을 제정·적용하고 있으며 독일 연방경제기술부(Federal Ministry of Economics & Technology)는 산하에 통신우편국(RegTP : Regulation of Telecommunication & Post)을 두고 통신·우편·전파 및 전자서명과 관련된 규제업무를 수행한다. 또 전자서명 인증정책 결정이나 인증기관 허가 및 최상위인증기관(루트CA)의 역할을 수행하고 있다. 독일 정보보호원(BSI)은 인증기관에 대한 평가를 수행, 인증기관을 허가하고 전자서명 인증체계를 구축한다.
독일의 첫번째 공인인증기관인 도이치텔레콤은 인증서 신청자에게 우편으로 전자서명 생성키와 수령증을 발송하고 신청자가 자필서명해 반송한 수령증의 서명과 인증서 신청서의 서명을 비교, 동일인임을 확인하는 신원 확인절차를 이용하고 있으며 전화국을 등록기관으로 이용하고 있다.
영국은 여러 PKI구축을 위한 계획을 진행중이며 이미 디지털서명을 법적 효력이 있는 서명방식으로 인정하고 이를 법안으로 제정하고 있다.
영국의 ‘t스킴(tScheme)’은 산업체가 주도하는 자발적 승인체계로 업체들이 참여하고 있으며 정부 대표자들도 위원회 위원직을 맡고 있다. 영국에서는 PKI가 비용이 많이 들고 복잡함에도 불구하고 필수적인 기반구조로 인식되고 있다. 정부와의 거래에서 인증서를 사용하게 될 경우 t스킴의 승인을 받도록 하고 있으며 민간부문에서도 t스킴의 인증서 사용을 장려하고 있다.
정부 내에서는 클라우드 커버라는 방안이 내부용 PKI를 제공하기 위해 채택됐다. 클라우드 커버의 목적은 정부기관이 안전하고 상호연동이 가능하며 비용효과적인 가장 광범위한 PKI 솔루션을 사용할 수 있도록 보장하는 것이다.
아일랜드 정부도 전반적인 전자서비스 제공에 초점을 맞추고 있다. 지난 99년 1월에 발행된 정부의 정보사회를 위한 실행계획은 전자정부 구현에 중점을 두고 있다.
정부는 ‘e브로커(electronic broker)’ 개념에 기반을 둔 전자서비스 모델을 승인했다. e브로커는 정부가 제공하는 모든 전자서비스들에 대한 단일 게이트웨이를 제공하는 포털이다. e브로커는 정부와의 전자거래를 가능케 해줄 것이며 정부부서 및 기관의 응용프로그램과 연동하게 되는데, 이러한 응용프로그램들에 인증 서비스를 제공해 사용자의 신원을 보증하자는 것이다. 따라서 일단 PKI가 채택되면 단일 인증기관이 정부의 모든 요구사항을 해결해 줄 것으로 예상된다.
<박영하기자 yhpark@etnews.co.kr>
★관련 그래프/도표 보기
관련 통계자료 다운로드 독일PKI 구성도