19일 행정안전부에 따르면 보안 업계와 학계 전문가, 일반 사용자 등 각계각층에서 참여하는 ‘공인인증서연구반’(가칭)이 다음 달 13일 이전에 공식 출범한다. 행안부는 15명 안팎으로 연구반을 꾸릴 것을 염두에 두고 인선 작업에 들어갔다.
○ 물꼬 터진 개인보안 이슈
공인인증서연구반은 정부가 2013년부터는 하드디스크에 공인인증서를 아예 저장할 수 없게 하는 정책을 추진하는 과정에서 정책 연구 및 자문 역할을 할 예정이다.
행안부 관계자는 “기존 단체가 기술자 및 업계 종사자 위주의 폐쇄적 성격을 띠었다면 공인인증서연구반은 최대한 사용자 측면을 고려하기 위해 보안 전문가뿐 아니라 보안과 관계없는 사람들도 포함할 계획”이라고 말했다. 개방형 연구조직이라는 점에서 ‘PKI(Public Key Infrastructure·공개키기반구조) 포럼’ ‘한국CSO(Chief Security Officers·최고보안책임자)협회’ 등의 기존 보안 관련 단체와 다르다는 것이다.
현재 행안부가 섭외 중인 대상은 인문사회학 교수, 대기업 보안 담당자, 일반인 등 다양하다. 월 1회 정기 회의를 개최할 예정이며 정책이 시행되는 2013년까지 1기와 2기로 나눠 운영하는 방안도 검토 중이다.
행안부는 ‘공인인증서연구반’ 블로그를 만들어 일반 누리꾼들이 자유롭게 참여하는 방안도 마련했다. 누구나 연구 및 회의 결과를 열람할 수 있고 아이디어도 제안할 수 있게 하는 등 운영 자체를 ‘개방형’으로 하겠다는 것이다.
○ 사용자·업계 열띤 공방
정부가 보안 관련 연구조직을 개방형으로 운영하겠다고 나선 것은 공인인증서 관련 정책에 대해 “실효성이 없다”는 지적이 나오고 있기 때문이다. 최근 1, 2년 사이 크고 작은 인터넷뱅킹 관련 해킹 사건으로 대책 마련이 시급한 것은 사실. 그러나 휴대용 저장장치(USB)나 보안토큰 등 정부가 내놓은 대안에 대해서는 “공감할 수 없다”는 의견도 상당수다.
특히 새로 추진되는 정책이 기업의 기존 보안 관련 지침과 충돌하는 부분이 있다. LG전자는 지난해 초 보안을 강화하기 위해 전 사원을 대상으로 ‘저장매체 실명제’를 실시해 등록된 것만 들여올 수 있게 했다. 삼성전자도 대부분 출퇴근 시 개인 저장매체 반출입 검사를 철저히 하는 한편 회사 내에서 내려받은 파일은 밖으로 유출할 수 없게 했다. 기업들은 USB에 공인인증서를 내려받게 하면 이 같은 보안지침을 바꿔야 하는지 우왕좌왕하는 모습이다.
보안컨설팅회사 시큐베이스의 이경호 사장은 “새로운 시스템을 도입해도 그에 맞는 해킹 기술이 등장해 위협할지 모른다”며 “새로운 정책과 함께 취약한 한국 보안 상황을 근본적으로 뜯어 고칠 수 있는 연구가 필요하다”고 말했다.
한 보안업계 관계자는 “‘누군가 해줄 것’이라는 일부 사용자들의 수동적인 의식도 문제”라며 “사용자 스스로 바뀌지 않는 한 ‘땜질’식 보안 정책만 나올 것”이라고 말했다.
댓글 0