◇개요=무선인터넷은 수년 내에 전세계적으로 큰 폭의 성장을 보일 것으로 예상된다. 가트너그룹에서는 2000년에서 2010년까지의 주도 기술로 블루투스(Bluetooth), e캐시(eCash), 웹톱(Webtop), ML, WAP 등 무선인터넷 관련 요소기술들을 그 핵심으로 선정하고 2002년에는 6억개의 단말기에서 무선인터넷을 이용할 것이라고 예상하고 있다. 이동통신사업자뿐만 아니라 유무선 통신사업자, 인터넷 솔루션업체, 콘텐츠업체, 단말기업체, 보안업체 등은 모두 무선인터넷 혹은 IMT2000이라는 명분 아래 나름대로의 무선인터넷을 준비하고 있다.
여기에 발맞춰 무선인터넷 환경에서도 모바일뱅킹·모바일증권·경매·전자복권 등 전자상거래 관련 서비스가 중요한 비중을 차지하고 전자상거래 및 모바일뱅킹 서비스가 일반화되기 위해 보안문제의 해결책으로 공개키기반구조(PKI:Public Key Infrastructure)가 각광받을 것으로 예상된다. 현재로서는 PKI기반의 기술을 사용해야만 지난번 D증권 사례와 같은 보안문제를 근원적으로 차단할 수 있다.
◇현황 및 이슈=무선인터넷 보안이란 유선에서처럼 정당한 사용자인지를 확인하는 인증, 데이터의 비밀전송 및 변조 여부 확인, 전자서명을 통한 거래부인방지 등이 이뤄지는 것을 말한다. 지금까지 국내 PKI업체들은 은행과 유선 공인인증분야에만 서비스를 주로 해왔지만 무선 PKI의 중요성으로 인해 한국증권전산·한국정보인증 등이 무선 공인인증시스템 구축을 거의 마무리한 시점이며 한국전자인증과 금융결제원이 구축을 진행중이다. 특히 드림시큐리티는 KTF의 ME방식 무선시스템을 세계 최초로 구축한 데 이어 세 곳의 공인인증기관 무선 CA를 구축함으로써 명실상부한 무선 PKI 선두업체로 각광받고 있다.
무선인터넷 PKI 구축시 고려해야 할 사항으로는 기존 유선분야 PKI와의 연동문제와 무선분야의 특수성을 고려한 보안문제가 있다. 이를 위해 가능한 기존 공인인증기관 및 유선분야 PKI가 최대한 활용돼야 하며, 특히 무선 PKI에서도 전자서명법에 의한 법적효력 부여가 사실상 공신력 확보에 가장 중요한 부분이 될 것이므로 기존 공인인증기관 체계 내에서 무선 PKI를 수용하는 것이 바람직하다. 또한 기존의 이동통신시스템에서 제공하는 정보보호시스템은 무선 인터페이스에 치중돼 있어 유선에 비해 대역폭·CPU·메모리·전원·키보드·화면 등 단말기 자체의 성능면에서 제한적이라는 점과 유무선 복합망 환경에서 운영되는 무선인터넷에 보안서비스를 제공하지 못한다는 단점을 극복해야 한다. 마지막으로 유선인터넷처럼 정당한 사용자인지를 확인하는 인증, 데이터의 비밀전송 및 변조확인, 전자서명을 통한 거래부인방지 등의 서비스가 무선환경에도 적용돼야 한다.
◇무선 PKI 표준규격 방향=무선 PKI에서는 다음과 같이 네 가지 방식의 규격으로 구현되고 있다. 먼저 WTLS(Short-Lived) 인증서 사용이다.
사용자 인증서에 대한 검증은 크게 인증서 자체에 대한 확인과 인증서 상태확인 등 두 가지로 나눠진다.
이것들은 이미 발급된 인증서에 대한 폐지·효력정지 등 트랜잭션으로 인해 발생하는 인증서 상태 유효성을 검사하는 과정으로 인증서폐지목록(CRL), 온라인상태확인프로토콜(OCSP), 간단한인증서검증프로토콜(SCVP) 등을 통해 이뤄진다. 그러나 제한된 환경에 있는 무선단말기에서는 인증서 유효성을 검사하는 것이 불가능하기 때문에 WTLS 인증서를 사용함으로써 인증서 상태확인 과정을 생략한다.
CRL이 게시되는 시점(1∼24시간)의 차이가 있고 또한 인증서를 사용하는 클라이언트나 서버에서 새로 게시된 CRL을 트랜잭션마다 다시 가져오는 것이 아니라 일정한 배치형식으로 가져오기 때문에 통용되고 있는 인증서의 상태검증이 어렵게 된다. 따라서 인증서 자체의 유효기간을 WTLS(24∼48시간) 단위로 발급함으로써 인증서 검증에 있어 상태확인 과정을 생략한다.
이 밖에도 WTLS 인증서는 인증서의 크기가 줄어들게 돼 실제적인 트랜잭션에서 전송되는 데이터의 크기도 줄어든다(X.509 인증서 크기-1K 이상, WTLS 인증서 크기-300바이트 정도). 또한 인증서 인코딩이 XDR이므로 디코딩이 용이한 장점이 있다(X.509 인증서는 BER로 되어 있으므로 ASN.1 LIB가 필요함).
두 번째로 인증서 저장방식도 변화돼 무선단말기의 NV메모리에 대한 한계로 인해 인증 전체를 저장하는 방안과 인증서 URL만 저장하는 방안이 사용되고 있다. 또한 무선 PKI에서는 암호 알고리듬도 변화한다.
유선 PKI에서 주로 쓰고 있는 RSA(1024비트)를 사용할 경우 키 생성뿐만 아니라 개인키 연산에도 많은 시간이 걸리므로 같은 비도를 가지고 있는 ECC 계열의 알고리듬(ECDSA)을 사용함으로써 시간을 많이 줄일 수 있다.
마지막으로 인코딩 방법도 변화해 유선 PKI는 BER 또는 DER로 인코딩했으나 무선 PKI는 XDR를 주로 사용한다.
◇무선 PKI 구성요소 및 동작흐름=무선 PKI란 무선단말기를 통해 안전한 거래를 할 수 있도록 해주는 보안기술로 구성요소는 크게 △인증서를 발급하고 인증서의 유효성을 항상 게시하는 역할을 담당하는 인증기관(CA) △인증기관을 대신해 인증서 발급에 대한 등록을 대행해주는 등록기관(RA) △생성된 인증서 또는 CRL 저장·배포를 담당하는 LDAP △온라인으로 인증서의 상태를 확인하는 OCSP △시점확인을 해주는 TSA △단말기 및 CP·SP 서버용 프로그램 등으로 구성된다.
그림1은 무선 PKI시스템의 동작흐름을 설명하는 내용이다.
그림2는 실제 인증서를 발급받는 절차로 상세내용은 다음과 같다.
①참조번호와 인가코드 입력 후 키 생성
②생성된 키로 인증서 요청양식 생성
③인증서 요청양식 전송
④전송받은 인증서 요청양식을 CA에 OPP 통신을 통해 전송
⑤전송된 데이터의 이상 유무 및 인증서 발급가능 여부 등을 검증해 인증서 발급
⑥발급된 인증서를 LDAP 및 인증서 게시 서버에 저장
⑦인증서 게시 후 인증서 또는 인증서 정보를 전송
⑧CA가 되돌려준 URL을 무선 단말기나 CP에 재전송
⑨전송받은 인증서 혹은 URL 저장
⑩매일 인증서 게시 서버로부터 갱신된 인증서 수신
◇PKI 적용시장 및 향후전망=무선 PKI는 크게 다음의 네 가지 시장에 적용될 수 있다. △기업의 내부행정·전자결제·그룹웨어 등을 휴대폰 및 PDA로 처리할 수 있는 모바일오피스 △제조 및 도소매 유통에 필요한 업무 프로세스를 무선환경을 통해 구현한 물류정보 서비스 △무선환경에서의 시스템 관리 및 원격제어가 가능한 원격제어·검침서비스 △전자결제를 통한 무선 전자상거래 등의 기업정보보호 등이다.
또한 IMT2000 환경을 통한 최적의 무선인터넷 환경과 모바일 통신기기의 강력한 컴퓨팅 파워가 뒷받침되고 그에 따른 응용 애플리케이션의 개발과 적용시장도 크게 확장될 것으로 예상된다.
이같은 전망과 가능성에도 불구하고 무선인터넷 보안솔루션의 개발·보급은 여러 가지의 과제를 남겨두고 있다. 유무선 구간의 프로토콜 변환을 포함한 엔드 투 엔드(end to end) 보안체계의 완성과 소형 무선인터넷 단말기의 특성을 극복해 전자서명 인증서비스를 완전히 구현하는 것이다. 더욱 중요한 것은 대면거래를 대체해 인터넷 비즈니스를 가능케 해주는 암호·인증기술에 대해 인식이 높지 않은 통신서비스사업자·금융권·쇼핑몰 등을 포용할 제도화적 정책 시행이 필요한 시점이다.
또한 기술적으로 가장 바람직한 방향은 왑(WAP), 모바일 익스플로러 등 무선인터넷 프로토콜에 독립적인 무선인터넷 PKI 구축을 통해 프로토콜에 관계없이 무선 PKI가 적용될 수 있게 하는 것이다. 이러한 무선인터넷 서비스 활성화를 위해서 최대 이슈로 떠오르고 있는 보안문제의 해결을 위해 몇몇 보안업체들이 무선에서도 유선인터넷과 마찬가지로 적용될 수 있는 보안 프로토콜 개발에 주력하고 있다. cto@dreamsecurity.com
◇김학범
90년 8월 중앙대학교 대학원 전산학과 석사
91∼96년 한국전산원 표준본부 주임연구원 역임
96∼2001년 한국정보보호진흥원 기술표준팀장 역임
2001년 2월 아주대학교 대학원 컴퓨터공학과 박사
2001년∼현재 드림시큐리티 정보보안연구소장 겸 CTO 및 상무이사
관련 통계자료 다운로드 무선PKI 인증서 발급 절차