KISA의 웹트러스트 인증 획득 목적은 루트 인증서를 파이어폭스에서 사용할 수 있도록 하기 위해서였다. 하지만 모질라측에서 루트 인증서 탑재를 보류함에 따라 KISA만 답답해진 형국이다.
모질라는 웹트러스트 인증을 받은 공인인증기관의 인증서만 탑재해주는 방식을 고수하고 있다. 신뢰할 수 있는 사업자만 들어와야 소비자들의 피해가 줄어들 것이라고 판단했기 때문이다.
충분히 이해할 수 있는 조치다. 하지만 정작 웹트러스트 인증을 받은 KISA의 인증서 탑재가 보류되고 있었는데, 그 이유를 알아봤다.
한국모질라재단과 KISA 취재결과 모질라가 KISA의 루트 인증서 탑재를 보류하고 있는 이유는 KISA 하위에 있는 5개의 공인인증기관이 웹트러스트 인증을 받지 않았기 때문으로 보인다.
코모도(Comodo), 베리사인(Verisign) 등과 같은 해외 인증기관들은 하위 인증기관을 따로 두고있지 않다. 자신들이 인증서와 같은 모든 업무를 관장하기 때문에 탑재에도 문제가 없다.
하지만 KISA는 루트 인증기관으로의 역할만 수행하고 실제 인증서 발급과 같은 기능은 하위 인증기관인 금융결제원, 한국정보인증, 한국전자인증, 한국증권전산, 한국전산원, 한국무역정보통신 등에서 수행하고 있다.
(이 중 한국전자인증만 웹트러스트 인증을 보유하고 있다.)
KISA측은 최상위 인증기관인 자신들이 웹트러스트 인증을 획득했으므로 모든 하위 인증기관들도 이를 적용시켜줘야 한다고 주장하고 있다.
모질라측은 KISA가 웹트러스트 인증을 보유하고 있는 것은 인정하나, 이 인증을 하위 인증기관까지 적용해도 될지 여부를 논의 중인 것으로 알려졌다.
윤석찬 한국모질라재단 리더(제주대 교수)는 “하위 인증기관에 대한 해석을 놓고 KISA와 모질라간의 의견차가 있는 것 같다”고 전했다.
이에 대해 임진수 KISA 전자인증팀장은 “모질라측에서 하위 인증기관에 대한 논의가 필요하다는 지적을 전해왔다”며 “모질라가 이에 대해 동의해주지 않는 한 파이어폭스에서 ‘유효하지 않은 인증서’와 관련된 메시지는 노출될 수 밖에 없다”고 전했다.
한편 웹트러스트는 기업이나 기관의 개인정보보호, 트랜잭션 무결성 등 전반적인 보안상태를 점검하고, 그 상태가 일정 수준 이상일 경우 부여되는 인증이다. 이를 획득할 경우 신뢰성 확보와 더불러 다양한 인증서 발급사업을 추진할 수 있다.
KISA는 지난해 9월 딜로이트 안진회계법인과 계약을 맺고 인증 획득을 추진했으며 지난 1월 인증 획득을 완료했다.
댓글 쓰기