슈마 : 복습하는 의미에서 PKI(Public Key Infrastructure)에 대해 다시 한번 정리해 볼까.

미돌양 : PKI는 공개키 암호시스템을 안전하게 사용하고 관리하기 위한 공개키 관리체계로, 인터넷에서 사용자들이 인증기관에 부여받은 한 쌍의 공개키와 개인키로 안전하게 정보를 교활할 수 있는 기반구조라고 배웠습니다.

슈마 : 잘 대답했다. 추가적으로 인증 관련 구성요소는 인증서를 이용하는 사용자와 인증서를 보관하는 디렉토리, 인증서를 발급하는 인증기관(CA), 인증기관 대신 사용자 신분을 확인하는 등록기관(ORA)으로 분류할 수 있지(그림 1). 자 이제 본론으로 들어갈까. 현재 정부와 기업간 전자상거래(G2B)의 일환으로 전자입찰을 하고 있는데 전자입찰을 하는 이유가 뭘까.

미돌양 : 인터넷과 PKI 인증을 통한 신속하고도 투명한 상거래가 목적 아닌가요 ?

슈마 : 맞아. G2B 전자상거래의 투명성을 높이기 위해 전자입찰이 등장했지. 수의계약 방식일 경우, 구매조건 중에서 금액이 가장 중요한 사항이 되는데, 이 정보가 사전에 누설되는 일이 종종 생겨서 참여 업체들이 불만을 토로하곤 했었지.

미돌양 : 그럼 전자입찰이 그런 폐해를 막을 수 있었나요?

슈마 : 당연하지. 전자입찰시스템은 공고부터 낙찰까지 모든 업무를 인터넷으로 수행하며 이 모든 과정을 공인 PKI 인증 서비스와 전자서명, 암호화로 보안을 강화할 수 있어. 수행 과정을 살펴보면 입찰 신청 업체는 국가공인인증기관에서 인증서 신청과 발급을 받은 후 전자입찰 시스템에 접속해서 필요한 서류나 금액을 입력하게 돼.

미돌양 : 수의계약시 금액을 번복하거나 견적서 지연 제출 등 문제가 많은 것으로 알고 있는데, 전자입찰로 하면 전자서명의 부인방지 기능을 통해 금액을 번복할 수 없고, 접수 날짜나 자료가 시스템에 보관, 관리되니 거래가 투명해지겠군요.

슈마 : 그뿐만이 아니라 전자입찰, 전자계약, 전자세금계산서 발행 시스템과도 연계할 수 있으니 업무 처리도 신속해지지. 향후에는 전자입찰과 유사한 업무인 경마, 경매 등에서도 적용할 예정이라고 하더군.

허접군 : 요즘 인터넷 뱅킹을 많이 이용하던데 믿을만 한가요?

미돌양 : 허접군은 시스템을 믿지 못하겠다고 아직 인터넷 뱅킹 신청도 안했어요.

슈마 : 인터넷 뱅킹은 은행거래 시간과 비용을 절약하는 가장 손쉬운 방법으로, 국내에서 2000만 명 이상이 가입 신청해서 사용하고 있지. 신청을 하기 위해서는 가장 먼저 공인인증서를 발급받아야 해.

허접군 : 공인인증서는 PC에서 그냥 받을 수 있나요?

슈마 : 인터넷 뱅킹을 이용하려면 최소한 한번은 통장을 갖고 은행 영업점을 찾아가, 서면으로 인터넷 뱅킹 회원 가입을 신청해야 해. 만약 여행자라면 공인인증서를 별도 디스켓에 담아 갖고 가는 것이 편리하겠지.

허접군 : 좀 더 자세히 과정을 설명해 주세요.

슈마 : 가장 먼저 금융사이트에 접속한 후 공인인증서 발급 메뉴를 클릭하고, 주민(사업자)등록번호, 출금계좌번호, 출금계좌 비밀번호 등 개인식별을 위한 기본정보를 입력한 후 확인 버튼을 누르면 돼. 이후 영업점에서 교부받은 보안카드 코드표의 해당숫자를 찾아 입력해야 해.
허접군 : 복잡하군요..

슈마 : 직접 해 보면 그렇게 어렵지 않아. 코드 입력이 끝났으면 새로운 패스워드와 이체비밀번호를 설정하라는 화면이 나오는데 이때 영문1자 이상을 포함해 6자리 이상으로 정해 입력해야 해. 마지막으로 발급받은 인증서 저장소를 선택한 후 확인버튼을 누르면 끝나.

미돌양 : 질문 있습니다. VPN에서도 인증서 발급을 한다고 들었는데, VPN은 그 자체에서 암호화와 터널링을 구현하기 때문에 인증서가 필요없을 만큼 안전한 기술 아닌가요?

슈마 : VPN 접속시 사용자가 적은 경우는 VPN 장비에서 계정 관리를 하지만, VPN 사용자가 많아지면 암호화키 분배 문제가 발생하기 때문에 키 관리가 어려워. 때문에 PKI와 연동해서 공인인증기관에서 공개키 방식의 인증서를 이용한 안전한 키 분배를 하지.

미돌양 : 최신 VPN 제품에는 VPN 전용 인증(CA)이 내장돼 있어서 별도의 CA 서버를 구축하지 않고도 인증서 기반으로 안전한 VPN을 구축할 수도 있던걸요.

허접군: 일부는 자체 사설 인증을 사용하는 경우도 있다던데 어떤 경우인가요? 안정성이나 신뢰성에서는 공인인증기관이 더 좋은 것 아닌가요.

슈마 : 인증 발급량이 많을 경우는 사설 인증을 사용하는 것이 비용도 절감되고, 기능적으로도 자유롭게 응용할 수 있다는 장점이 있어. 하지만 공인인증기관은 분쟁이 발생했을때 법적으로 사용자의 권리를 보호해 줄 수 있다는 것이 가장 큰 장점이야.

미돌양 : 인증기관에서 CA, RA와 더불어 LDAP을 이용하던데 LDAP의 역할은 무엇인가요?

슈마 : LDAP은 ‘Lightweight Directory Access Protocol’의 약어로, 우리말로 해석하면 ‘경량의 디렉토리 액세스 프로토콜’이라고 할 수 있지. 쉽게 말하면 인터넷 상에서의 디렉토리 서비스를 위한 공개된 표준 프로토콜로, 인터넷에 연결돼 있는 가입자 정보를 제공하는 것이지. (그림 4)는 인증을 적용한 예인데, 인증 적용 전에는 ID와 패스워드, VPN 인증으로 사내외 가입자 정보를 관리하고 있고, 파이어월 DMZ 구간에 있는 협력업체 시스템에 접속할 외부 협력사는 공인인증을 받게 했으며, 사내직원은 사설 인증으로 접속하도록 하고 있는 것을 알 수 있어.

허접군 : 휴대폰으로 메일을 발송할 때는 유선과 달리 어떻게 암호화를 하나요?

슈마 : (그림 5)와 같이 지금까지 배웠던 공개키와 별반 다를 것이 없어. 유선과 무선의 인증 방식의 차이는 왼쪽의 표를 보면 보다 쉽게 이해할 수 있을거야.

허접군 : 요즘은 휴대폰으로 결재도 하던데 이 것도 PKI와 연관이 있나보죠?

슈마 : 스마트카드 칩이 내장된 휴대전화를 이용해서 결재할 경우 PKI와 관련된 부분이 있지. 자세한 내용은 슈마 가이드를 참고하도록 하고, PKI 강좌는 여기까지야. 다음 시간에는 비교적 최근 등장한 기술인 서버 보안에 대해 2회에 걸쳐 알아보도록 하자.