지난달 말 예정됐던 정부 ‘공공기관 모바일 가이드라인’ 발표가 차일피일 미뤄지고 있다. 보안을 강조하는 국정원과 실질적인 모바일 서비스를 추구하는 행정안전부 간의 의견 차이 때문이다. 가이드라인 발표를 기다리며 모바일 서비스 개발을 늦춰온 지자체들은 정부의 일정 지연으로 관련 사업이 ‘올스톱’되고 있다며 볼멘소리다.
행안부는 애초 지난 6일 가진 ‘미래정보화 추진전략 세미나’에서 모바일 전자정부 ISP사업 각종 성과를 발표하며 ‘모바일 전자정부 보안정책’을 함께 공개할 계획이었다. 하지만 국정원과 의견조율 실패로 막판에 정책 공개 계획을 취소했다.
행안부와 국정원 의견이 엇갈리는 부분은 모바일 보안서비스의 중점 논의사항인 가상사설망(VPN) 서비스 제공 방식이다. 국정원은 “보안성을 고려해 현재 전자정부에 제공하는 G-VPN과 같은 방식인 IPSec VPN을 모바일 서비스에도 적용해야 한다”는 입장이다. 하지만 행안부는 “IPSec VPN을 모바일 서비스로 확대하기가 쉽지 않고, 이를 지원할 업체도 없다”며 난색을 표하고 있다.
VPN은 조직 내부사용자 혹은 외부사용자와 통신에서 암호화·터널링 등 보안성을 제공해 안전한 통신채널을 보장하는 기술이다. VPN은 IPSec와 SSL 방식으로 구분된다. SSL VPN은 4·5계층에서 암호화되므로 익스플로러·파이어폭스 등 웹브라우저를 지원한다. 구축이 간편하고 투자비가 적게 든다.
반면에 IPSec VPN은 보안성은 높지만 3계층에서 암호화되면서 IP계층 확장 헤더가 필요하므로 별도의 하드웨어 장비가 필요하고, 이용이 불편하다는 단점이 있다.
행안부 관계자는 “국정원 권고대로 IPSec VPN을 스마트폰 등 다양한 모바일기기에 적용할 계획을 세우고 지원 가능한 업체를 물색했지만 국내에선 적합한 보안업체를 찾기 어려웠다”고 말했다. 또 “기술 특성상 IPSec VPN이 너무 무거워 모바일기기에는 적합하지 않다”는 설명이다.
국정원 측은 “행안부가 구상하는 SSL VPN 방식 도입이 웹브라우저 방식이라 맨 인 더 미들(Min in the Middle) 공격에 취약하며, 세션 하이재킹 공격 등 보안 위협에 약점을 보인다”고 지적한다.
보안 성능을 놓고 국정원과 행안부가 대립하는 사이 서비스 도입이 시급한 지자체들의 속은 타들어간다. 창원시 등 지자체들은 가이드라인 발표 이후 사업을 추진하라는 정부의 지시에 따라 모바일 관련 사업 일정을 늦춘 상태다.
행안부 측은 “모바일 행정서비스용 VPN은 △스마트폰 OS 및 버전에 관계없이 지원 가능해야 하고 △송수신 전체 암호화 △국산암호화 표준인 아리아(ARIA) 지원 △스마트폰 OS 및 버전 관계없이 지원 △표준규격 준수해 타 장비와 호환성 확보 등 기본 기준을 준수해야 한다”며 “신속한 서비스 도입도 중요하지만 한 번 결정되면 향후 10년, 20년을 사용해야하는 만큼 신중한 결정이 요구된다”고 설명했다.
관련 지자체들은 “지난달 발표된다던 가이드라인은 속시원한 대답 없이 일정만 지연되고 있다”며 “표준화와 플랫폼 통합, 중복투자를 방지한다는 정부의 입장도 이해가 가지만 보안 가이드라인에 관한 부처 간 이견 때문에 스마트워크사업 전반이 후퇴하고 있다”며 하소연했다.
모바일 행정서비스용 VPN 구축 기술 비교
<자료:행정안전부>
장윤정기자 linda@etnews.com
