* 오픈웹(http://openweb.or.kr) 활동을 하시는 김기창 교수님의 요청으로 아래 보도자료를 발송합니다.
* 문의 : 김기창 (keechang@korea.ac.kr)
“공인인증”인가, “사설인증”인가?
– 한국정보보호진흥원과 행정안전부는 조속히 해명하고, 책임자를 문책하라.
1. 공인인증제도를 감독하는 행정안전부, 그리고 공인인증기관의 업무수행이 적법하게 이루어 지는 지를 점검하고 감독관청에 보고할 의무가 있는 한국정보보호진흥원(KISA)은, 그동안 금융결제원 명의로 발급된 1000만장이 넘는 ‘공인인증서’가 모두 사설 보안업자들이 임의로 제작한 私製소프트웨어로 발급, 갱신발급 되어 온 사태를 방관, 은폐한 책임을 져야한다.
2. 공인인증서의 발급과 갱신 발급에 사용되는 가입자 소프트웨어는 공인인증제도의 안전성/신뢰성에 핵심적 중요성을 가지는 것이므로, 전자서명법령은 감독관청이 그 소프트웨어를 반드시 심사하도록 규정한다. 심사를 받은 소프트웨어에 변경이 있을 때에는 그 변경내용의 적절성, 안전성에 대하여도 감독관청의 심사를 받도록 규정하고 있다.
3. 그러나 금융결제원 명의로 발급된 공인인증서는 심사를 받은 바 없는 私製소프트웨어로 지금껏 발급, 갱신발급 되어 왔다. 공인인증서의 발급 및 갱신발급이 어떤 소프트웨어로 이루어지는지를 점검하고, 감독관청에 정직하게 보고해야 할 한국정보보호진흥원은 지난 9년간 "금융결제원은 공인인증기관 지정시 심사 받은 소프트웨어를 이용하여 공인인증업무를 수행하고 있음을 확인한다"는 허위 보고를 거듭해왔다.
4. 법령은 공인인증기관이 심사를 받은 가입자 설비(client software)를 자신의 등록대행기관(은행)들은 물론이고, 여타의 전자거래 당사자들에게도 제공하도록 정하고 있다. 클라이언트 소프트웨어가 이렇게 일괄 제공되고 나면, 다양하고 참신한 보안업체들이 서버측 인증 솔루션 시장에 자유롭게 참여하여 기술력으로 공평하게 경쟁할 수 있는 시장환경이 이루어질 수 있었을 것이다.
5. 그러나, 금융결제원은 심사를 받은 공인인증용 클라이언트 소프트웨어 제공을 이유없이 거절하고, KISA는 이 사실을 숨기고 감독관청에 허위로 보고해 왔다. 그 결과, 은행과 카드사, 결제대행사 등은 지금껏 이니텍, 소프트포럼 등 특정 보안업체들로부터 私製소프트웨어를 구입하도록 강제된 것이다. 이들 업체는 국내 금융권 인증 솔루션 시장을 장악하고, 새로운 경쟁자들이 아예 진입하지 못하도록 막아왔다.
6. 금융결제원이 이니텍, 소프트포럼과 "제휴 관계"에 있다는 사실은 금결원 홈페이지에 아예 공공연히 표시되어 있다(http://www.yessign.or.kr/biz/server_issue.php 참조). 공인인증기관인 금결원은 심사를 받은 공인 가입자 설비를 일부러 제공하지 않음으로써, 이들 사설 보안업체들이 국내 인증시장을 할거하도록 도와주고, 금융기관들은 모두 이들 업체들로부터 私製가입자 설비를 구입하도록 강요될 뿐 아니라, 서버측 인증솔루션마저도 이들 업체로부터만 도입하도록 종속관계에 놓이게 된 것이다. 이 사태를 KISA 는 눈감아 주고, 그동안 감독관청에 허위보고로 일관하였다.
7. 클라이언트 소프트웨어와 서버측 인증 솔루션이 모두 사설 업자의 손에 맡겨져 있을 경우, 이용자들은 엄청난 위험에 노출된다. 예를 들어, 이니텍이 판매하여 시중은행 다수가 그 고객에게 배포하는 클라이언트 소프트웨어에는 내막을 알 수 없는 여러 프로그램들이 수시로 추가되거나, 제거되거나 한다. 고객은 그런 프로그램이 자기 컴퓨터에 설치되는지조차 이해하지 못하고, 언제 새프로그램이 추가되었다가, 언제 사라지는지도 알 수 없고, 그런 프로그램들(예를 들어, 아래 그림의“XSafe”)이 과연 고객의 컴퓨터에서 무슨 일을 하는지, 고객PC의 어떤 정보에 접근하는지는 해당 업자외에는 아무도 모르며, 아무도 점검, 통제할 수도 없다. 누구의 검증도 받지 않은 私製 프로그램이 고객의 컴퓨터를 마음대로 주무르게 되는 것이다.
8. 감독관청의 심사를 받은 공인인증용 클라이언트 소프트웨어가 일괄 배포되었더라면, 클라이언트와 서버측 솔루션 간의 결합(lock-in) 관계가 제거되고, 설계 구조가 투명하게 되므로, 이런 음습한 일이 벌어질 수는 없다. 감독관청의 심사를 거친 공인가입자 설비는 위에서 말한 잡다한 정체 불명의 플러그인들이 그 속에 포함될 여지가 아예 없다. 私製가입자 설비가 초래하는 보안 위험은 누구도 그 위험의 실체와 규모를 정확히 파악할 수조차 없다는데 있다.
9. KISA 는 어째서 금융결제원 공인인증서의 발급, 갱신발급 업무(공인인증업무)가 " 공인인증기관 지정시 심사를 받은 소프트웨어를 이용하여 이루어지고 있다"고 감독관청에게 허위로 보고했는지를 조속히 해명해야 한다.
10. 감독관청인 행정안전부는 진상을 소상히 밝히고, 책임자를 문책하고, 앞으로는 공인인증업무가 적법하고, 안전하게 수행되도록 그 감독 책임을 철저히 이행해야 한다.
2009년 3월 31일
오픈웹(http://openweb.or.kr)
* 첨부: 한국정보보호진흥원 원장에 대한 질의 민원
———————
<첨부>
질의 민원
– 수신: 한국정보보호진흥원 원장
서울 송파구 중대로 135, IT벤처타워(가락동 78)
담당자: 김정희 (kimjh@kisa.or.kr)
– 참조: 장영환 (yhchang@mopas.go.kr)
행정안전부 정보보호정책과
– 민원인: 김기창 (keechang@korea.ac.kr)
서울 종로구 계동 32-8 (우: 110-800)
– 날짜: 2009.3.31.
2009.3.21자 질의 민원에 더하여, 다음과 같이 추가 질문을 드리오니, 신속히 회신해 주시기 바랍니다.
1. ‘공인인증서 갱신발급 업무’는 공인인증업무인지?
2. 금융결제원은 가입자들에게 다음과 같이 안내하고 있다는 사실을 귀 진흥원은 알고 있었는지? (http://www.yessign.or.kr/personal/fin_renew.php)
3. “해당 은행” 중 하나인 한국씨티은행은 다음과 같은 소프트웨어를 이용하여 ‘공인인증서 갱신발급 업무’를 수행하고 있다는 사실을 귀 진흥원은 알고 있었는지?
4. 금융결제원 공인인증서를 갱신 발급하는데 사용되는 이 소프트웨어는 금융결제원이 “공인인증기관 지정시 심사 받은 또는 변경시 행정안전부로부터 변경내용의 적절성을 확인 받은 시설 및 장비”에 해당하는지?
5. 한국씨티은행 뿐 아니라, 금융결제원의 모든 등록대행기관들은 이처럼 私製 소프트웨어를 이용하여 공인인증서의 발급 및 갱신 발급 업무를 지난 9년간 수행해 왔다는 사실을 귀 진흥원이 알고 있었는지?
6. “공인인증서의 발급 및 갱신발급이 어떤 소프트웨어로 이루어지는지”는 귀 진흥원이 전자서명법 제19조 제2항에 기하여 점검해야 할 사항이 아닌지? 귀 진흥원이 이를 점검하지 않으면, 누가 점검하는지? 아무도 점검할 필요가 없는지?
2009-03-30
