자료실정보공유

한국정보보호진흥원 원장은 사퇴하라

By 2009/04/02 10월 25th, 2016 No Comments
오병일

* 오픈웹(http://openweb.or.kr) 활동을 하시는 김기창 교수님의 요청으로 3월 31일 보도자료를 발송한데 이어,
아래와 같은 보도자료를 추가 발송합니다.
* 문의 : 김기창 (keechang.kim@gmail.com)

[보도 자료]

한국정보보호진흥원 원장은 사퇴하라
– 그동안 공인인증제도의 파행적 실태를 은폐하고, 감독관청에 허위보고한 책임을 져야 한다.

1. 공인인증제도를 감독하는 행정안전부는 인증기술이나 전자서명 소프트웨어에 대한 전문지식이 없으므로, 최상위 인증기관인 한국정보보호진흥원(“진흥원”)의 기술 지원과 정기검사 보고서에 전적으로 의존할 수 밖에 없다.

2. 진흥원은 1000만장이 넘는 금결원 ‘공인인증서’가 비공인 소프트웨어로 발급, 갱신발급 되어온 명백한 사실을 은폐하고, “금융결제원은 … 심사를 받은 시설 및 장비를 이용하여 공인인증업무를 수행하고 있음을 확인함”이라고 감독관청에 허위보고를 해 왔다.

3. 이 사실이 드러나자, 진흥원은 인증 기술이나 소프트웨어에 대한 전문 지식이 없는 감독관청을 또 다시 기망하고자, “금융결제원의 소프트웨어는 심사를 받은 것”이라는 주장을 내세우고 있다. 그러나, 심사를 받은 금결원 소프트웨어로 발급/갱신발급된 ‘공인인증서’는 단 한장도 없다. 금결원의 ‘공인인증서’는 모두 사설 업체가 임의로 만든 소프트웨어로 발급/갱신발급 되어 왔다.

4. 진흥원은 또한, ‘공인 가입자 소프트웨어를 일괄 배포하면 사설 업체의 자유 경쟁을 저해하므로 바람직하지 않다’는 주장을 내세우고 있으나, 이런 주장은 “사설인증체제”에서나 통하는 주장이다. ‘공인인증제도’의 적법한 운영을 검사할 법률상 의무를 위반하고, 기망적 보고로 감독관청의 공무 집행을 방해해 온 진흥원이 이제와서 사설 업체의 이익을 대변하는 발언을 내세운다고 해서 그 죄책이 덜어지는 것은 아니다.

5. 오히려, ‘양심적 내부자’는 진흥원의 주장이 법리적으로는 물론이고, 기술적, 경제적/사업적으로도 전혀 근거 없다는 사실을 알고 있다. 공인인증용 가입자 설비(client software)를 사설 업체가 임의로 제공/판매할 경우, 서버측 인증 솔루션 마저 그 업체에 종속되므로, 보안/인증 솔루션 사업자들 간의 자유로운 경쟁이 불가능하며, 신규 업체가 도저히 넘어설 수 없는 시장진입 장벽이 조성된다. 반면에 심사를 받은 가입자 소프트웨어(client software)를 공인인증기관이 일괄 제공하면, 서버측 인증 솔루션과 인증용 클라이언트 소프트웨어 간의 종속관계가 생기지 않으므로, 인증 솔루션 사업자들 간의 자유로운 경쟁이 비로소 가능하게 된다.

6. 인증/전자서명에 대한 전문가들은 모두 ‘양심적 내부자’의 이러한 지적에 전적으로 동의할 뿐 아니라, 지금껏 이니텍, 소프트포럼 등 과점 사업자들이 국내 인증 솔루션 시장을 장악, 할거함으로써, 이 분야 기술이 심각한 정체와 퇴행을 거듭하는 사태에 대하여 개탄을 금하지 못해 왔다.

7. 특히, 고도의 안전성과 공신력이 요구되는 ‘공인인증’의 경우, 가입자 소프트웨어와 서버측 인증 솔루션의 ‘종속관계’는 모든 나라에서 금기(禁忌)시 되는 것이다. 사설 업체가 인증에 필요한 서버측 솔루션 뿐 아니라, 클라이언트 소프트웨어까지를 모두 공급할 경우, 객관적 제3자는 그 내막을 전혀 알 수 없고, 감독관청 역시 그 안전성을 통제할 방법이 없어진다.

8. 전자서명법이 공인인증기관에게 가입자 소프트웨어를 심사받고 제공하도록 하는 이유는 바로 여기에 있다. 가입자 소프트웨어를 심사하고, 이것을 일괄 배포함으로써, 서버측 솔루션과의 종속관계를 제거하면, 인증 솔루션 사업자들 간의 자유로운 경쟁이 보장됨은 물론, ‘공인인증제도’의 안전성에 대한 객관적 검증이 가능하게 되는 것이다.

9. 금융결제원과 “제휴관계’에 있는 이니텍과 소프트포럼이 지난 9년 동안 국내 금융기관들을 통하여 전국민의 컴퓨터에 과연 어떤 내막과 기능을 가진 클라이언트 소프트웨어를 수시로 깔았다, 지웠다 해왔는지는 누구도 알 수 없다. 최근 또다른 ‘양심적 내부자’의 제보로 표면화된 고객 PC 정보 유출 사건은 빙산의 일각에 불과하다.

10. 인증기술에 대한 전문지식이 있어, 이러한 파행적 사태가 초래하는 위험성을 누구보다 잘 아는 진흥원이 그동안 “금융결제원은 … 심사를 받은 시설 및 장비를 이용하여 공인인증업무를 수행하고 있음을 확인함”이라고 감독관청에 허위 보고를 거듭함으로써, 감독관청을 완벽히 기망한 것이다.

11. 한국정보보호진흥원 원장은 사태의 심각성을 이해할 것이다. 진흥원 원장은, 그 휘하 직원이 지금껏 금결원과 제휴 관계를 맺은 특정 업자들의 사업 편의를 위하여, 공인인증제도 감독관청에게 금결원의 공인인증업무 수행 현황에 대하여 허위보고를 반복함으로써 감독관청의 공무집행을 위계에 의하여 방해한 책임을 통감하고 용퇴할 것을 촉구한다.

2009.4.1

김기창
keechang.kim@gmail.com
http://openweb.or.kr

2009-03-31

Tags: