올 9월 14일부터 18일까지 서울에서 국내에서는 처음으로 ISO 총회(38th ISO General Assembly)가 개최된다. 이로써 표준화 활동에서 우리나라 역할과 위상을 강화하고 우리 기술의 우수성을 전 세계에 전파하는 계기가 될 것이라는 기대를 갖고 있다. 그리고 이를 위해 상당히 많은 정부 예산을 할애하고 또한 많은 기업의 후원금을 요청하고 있는 상황이다.
물론 이러한 행사가 의미 있는 일이고 이것으로 우리나라가 얻을 수 있는 이득이 적지 않다.
그러나 이 행사에 예산을 할애하는 것 때문에 정작 ISO 국제표준 에디터를 하는 전문가들이 표준회의에 참석하는 출장비용을 지원받지 못하는 사태가 일어나고 있다.
ISO 총회에 들어가는 만찬비용 10%만 들여서라도 기업이나 기관 지원 없이 자신의 시간과 열정을 들여서 표준을 개발하고 에디터 역할을 하는 많은 전문가를 지원하는 것이 더 의미 있는 일일 것이다.
2년 전 이 행사 유치 성공을 전하는 한 언론매체는 ISO에서의 국가순위는 분담금 평균, 정회원 가입 수, 기술위원회 간사 수로 정해진다며 한국순위는 2011년 9위로 올랐다고 했다.
그러나 진정한 의미에서 국가순위는 그 나라에서 기여한 표준의 양과 질이다. 즉, 아무리 분담금을 많이 내고 임원을 많이 배출하더라도, 그 나라에서 기여해 만든 표준이 적거나 국제적으로 별 영향을 미치지 못한다면 의미가 없다는 말이다.
그런 표준을 직접 만드는 표준전문가 지원에 보다 큰 비중을 두기 바란다.
우리나라는 한국형 인증서 기반 전자서명(KCDSA)을 개발해 1998년 TTA에서 국내 표준화했고, 이어서 타원곡선 이용 KCDSA(EC-KCDSA)를 개발해 2001년 국내 표준화했다.
그리고 EC-KCDSA를 2002년 ISO/IEC 15946-2에 처음 표준화했고, 이어서 KCDSA와 EC-KCDSA를 2006년 ISO/IEC 14888-3(부가형 전자서명-이산대수기반기법)의 수정본에 추가했다.
이 KCDSA 및 EC-KCDSA는 미국 표준으로 같은 ISO/IEC 14888-3에 들어가 있는 DSA 및 ECDSA에 비해 속도도 약간 빠르고, 키대치공격(Key Substitution Attack)에 영향을 받지 않는 등 안전도에서는 훨씬 좋다. 그럼에도 불구하고 국내 전자정부 관련 제품에만 사용되는 이외에는 별 다른 활용이 없는 것 같아 안타깝다.
국내에서 공개키 기반구조(PKI)가 처음 만들어질 때부터 나는 KCDSA를 사용했으면 하는 희망을 갖고 있었으나, 가장 흔하게 사용됐던 RSA서명을 기반으로 만들어졌다. 근래에 들어 보다 높은 안정성이 필요해 다시 만드는 PKI 2.0에서도 RSA와 더불어 ECDSA는 고려하면서도 EC-KCDSA는 고려하지 않는 것으로 알고 있다.
그 이유는 국제호 환성이란다. 물론 국제 호환성도 중요하다. 그러나 우리나라의 PKI가 국제적 호환이 꼭 돼야 할 필요가 있는지 궁금하다.
오히려 국산 알고리즘을 사용하는 것이 외국 업체들로부터 국내 산업체를 보호하는 역할을 할 수도 있다. 또 EC-KCDSA도 ECDSA와 꼭같이 ISO/IEC 14888-3로 표준화돼 있는바 외국 업체들이 불평을 할 여지도 없을 것이다.
표준 행사보다는 좋은 표준을 만드는 것이 중요하다.
그리고 만든 것은 활발한 사용으로 그 표준의 영향력을 높이는 것이 더 중요하다.
이필중 포스텍 교수·한국정보보호학회 명예회장 pjl@postech.ac.kr