국내 5개 공인인증기관 비교

2007.02.13 글쓴이 youknowit

현재 5곳이 공인인증기관으로 지정받아 공인인증 서비스를 제공하고 있습니다. 이들이 어떻게 하고 있는지 하나씩 살펴 봅시다.

한국정보인증(주) http://www.signgate.com

한국정보인증은 우체국을 등록대행기관으로 삼고 있습니다. 우체국 사이트에 가서 인터넷 뱅킹을 클릭하면, 공인인증서 처리에 필요한 가입자 소프트웨어가 제공됩니다. 그 소프트웨어는 한국정보인증이 코드사인을 하고 배포하는 것입니다. 스크린 샷

한국정보인증이 제공하는 가입자 소프트웨어는 “최상위 인증기관 인증서”의 설치에 대하여도, 이용자에게 그것을 신뢰할지 여부를 선택할 수 있도록 하고 있습니다. 이용자가 판단할 수 있도록 그 인증서의 해쉬값도 제공합니다. 자세한 설명을 곁들여. 이용자가 boss 라는 점을 분명히 느끼게 해 줍니다. 스크린 샷

한국정보인증은 리눅스 이용자를 위한 가입자 설비도 스스로 제공합니다.

(주)코스콤 http://www.signkorea.com

코스콤(Korea Securities Computer Corp.) 역시, 자신이 코드사인 한 가입자 설비를 제공하고 있습니다. 스크린 샷 코스콤의 등록대행기관들에 가서 “공인인증서 관리”를 클릭하면, 동일한 소프트웨어가 제공됩니다.

코스콤이 제공하는 가입자 소프트웨어에는 KISA Root CA 만이 최상위 인증기관으로 등록되어 있습니다. 스크린 샷

한국정보사회진흥원 http://sign.nca.or.kr

한국정보사회진흥원은 2008년 6월 30일부로 공인인증업무를 중단했고, 그 업무는 한국정보인증(주)로 이관되었습니다.

정보사회진흥원이 배포하는 가입자 소프트웨어는 KSign, Co. Ltd. 가 배포자로 서명하였습니다. 그러나, 소프트웨어의 이름은 NIASign (정보사회진흥원) ActiveX Control 이라고 제대로 표시되어 있습니다. 스크린 샷

정보사회진흥원이 제공하는 가입자 소프트웨어는 최상위인증기관 인증서의 해쉬값 검증 수단을 제공하고(스크린 샷), KISA Root CA 만을 “신뢰된 루트 인증기관”으로 등록해 두었음은 물론, 이용자가 원하면 그것도 삭제할 수 있도록 하고 있습니다. 스크린 샷

한국전자인증(주) http://gca.crosscert.com

한국전자인증도 가입자 소프트웨어를 자신이 배포자로 코드사인하여 제공하며(스크린 샷), KISA Root CA 만을 “신뢰된 루트인증 기관”으로 등록해 두고 있으며, 최상위 인증기관 인증서의 해쉬값을 검증할 수 있는 수단을 친절한 설명과 함께 제공하고 있습니다.

한국무역정보통신 http://www.tradesign.net

한국무역정보통신은 자신이 코드사인하지 않고, 보안 업체가 코드사인한 소프트웨어를 제공하고 있습니다(위법합니다). 다만, 소프트웨어 이름을 TradeInstaller 라고 표시하여, 자신을 명시하고 있습니다. 스크린 샷

[보충] 이 글이 게시된 후, 한국무역정보통신은 가입자 소프트웨어를 자신이 코드사인하여 배포함으로써, 적법하게 교정하였습니다. 신속한 조치에 감사드립니다. 2007.6.1. 스크린샷

무역정보통신이 제공하는 가입자 소프트웨어에는 공인인증기관만이 “중개인증기관”으로 등록되어 있고, KISA Root CA 만이 “루트인증기관”으로 등록되어 있습니다.

금융결제원 http://www.yessign.or.kr

이제 금융결제원을 봅시다. 금결원 홈페이지에서 제공하는 가입자 소프트웨어는 금결원이 코드사인 한 것은 분명합니다. 그러나, 그 소프트웨어를 내려받아 설치를 해도, 어떤 이유인지는 모르겠지만, 인증서 관리자 프로그램이 실행되지 않습니다.

결국, 금결원의 홈페이지에서 제공하는 가입자 설비는 이용이 불가능한 것이고, 그 대신 금결원은 자신이 발급하는 인증서가 “공인인증서”라고 주장하면서, 은행(금결원의 등록대행기관)의 홈페이지에서 발급받으라고 안내하고 있습니다. 스크린 샷

은행들이 어떤 소프트웨어를 내려주는지는 우리가 잘 알고 있습니다. 소프트포럼, 이니텍 등이 코드사인을 하고, 온갖 잡다한 인증서들이 이용자들도 모르는 사이에 “최상위 인증기관 인증서”로 등록되어 있는 짝퉁 가입자 소프트웨어 입니다. 이 소프트웨어들은 KISA의 점검을 받은 적도 없고, 법이 정한 규격을 준수하는지도 알 방법이 없습니다. 오직 그것을 만든 회사만이 진실을 알고 있을 것입니다. 이니텍이 배포한 소프트웨어는 이니텍의 자기서명 인증서를 제거할 수도 없도록 해 두었습니다!

정통부 김태완씨는 은행이 사용하는 보안 프로그램은 금융감독원의 심사를 받는다고 주장합니다. 그러나 금융감독원은 공인인증제도의 감독관청도 아니고, 공인인증서 발급에 사용되는 가입자 설비를 심사할 권한도 전문성도 없습니다. 실제로 은행이 공인인증서 발급에 사용하는 私製소프트웨어에 대하여는 금융감독원은 그것이 어떻게 생겼는지도 모릅니다. 물론 은행이 사용하는 정보보호시스템에 대하여는 전자금융감독규정 시행세칙 제32조(보안성심의) 제1항 제3호가 다음과 같이금감원의 심사 사항을 규정합니다:

보안장비 및 암호프로그램 등 정보보호시스템(외부통신망 접속을 위하여 사용되는 경우에 한한다)을 도입하는 경우. 다만, 별도로 보안장비 인증을 담당하는 국가기관 또는 감독원장이 인정하는 기관에서 평가․인증․개발․발표하였거나 이에 준하는 것으로 감독원장이 인정한 장비 및 프로그램의 경우에는 그러하지 아니하다”

보안 업체들의 관행은, 암호화 모듈만을 국정원에 제출하여 심사를 받습니다(사실은 그럴 이유도 없습니다; 국정원 심사는 정부기관이 사용하는 암호화 프로그램에 한합니다. 은행은 정부기관이 아닙니다.). 그런 다음 그 모듈을 사용한 암호화 프로그램은 “보안장비 인증을 담당하는 국가기관”에서 인증받았다는 이유로 금감원의 심사도 받지 않고 무사 통과합니다. 그러나 국정원 보안인증사무국은 전자서명제도가 무엇인지 조차 모르는 사람들입니다. 그들의 임무는 암호(encryption) 소프트웨어에 관한 검증이지, 전자서명(electronic signature) 제도에 관한 심사권한도 없고, 심사를 수행할 전문지식도 없습니다. 따라서 이니텍 등이 온갖 괴상한 루트인증서를 여기 저기 숨겨두었는지 전자서명을 어떤 알고리즘으로 생성하는지, 키관리는 어떻게 하는지, 아무도 심사하지 않습니다. 한마디로 “개판”입니다.

댓글을 다시는 어느 분은 이니텍, 소포에 대하여 “힘들게 버티는 벤처기업”이라 표현하셨지만, 더 힘들게 버티는 다른 보안업체들은 모두 제대로 된 가입자 소프트웨어를 제공하는데, 우리 나라 보안 솔루션 시장을 양분하다 시피 장악하고 있는 이들 두 회사들은 어째서 이용자의 동의도 구하지 않고 정체불명의 여러 인증기관인증서와 서버인증서를 무조건 믿도록 해둔 클라이언트 소프트웨어를 슬그머니 전국민의 컴퓨터에 깔아버렸는지 모르겠습니다. 그렇게 하시면, 앞으로 정말 “힘들게 버티어야” 할지도 모르겠습니다.

금결원에 대하여는 더이상 말할 필요를 느끼지 못합니다.

2 Pingbacks/Trackbacks

  • 자바 공부중…

    금결원의 문제는 온라인 보안에 대한 로드맵이 없는 것 같습니다.
    현재의 액티브 X 위주의 보안 솔루션은 가까운 미래에 퇴출을 피할 수 없습니다. 단순히 MS가 액티브 X를 당장 포기하지 않는다는 강변은 어쩌면 우리정부의 희망사항일 뿐일지도 모릅니다.
    내년 혹은 내후년에 비스타 서비스 팩으로 액티브X사용이 금지될 지도 모르는 것이죠. 만일 이런 사태가 온다면 그때도 정부가 비스타 서비스 팩을 다운받지 말라고 할 건가요?

    지금처럼 MS 내부에서 액티브X를 포기하는 흐름이 보인다면, 그에 대한 다른 옵션을 준비하는 것은 당연합니다.

    이를 회피한다면 그야말로 직무유기고요.

  • Yi Jong

    정통부, 금결원, 몇몇 회사….

    여기저기 잠 못드는 사람들이 늘어나겠군요. ^^;

  • 김상준

    저는 아이러니한 상황입니다.
    오픈웹 지지자 이지만,
    실제 업무는 X-Internet이라 불리는
    모 회사의 제품을 UI로 쓰고 있는데,
    이것 또한 (당연히?) Active-X 기반입니다.

    혹시나 해서 올리는 글이지만,
    일전에 그 회사에 인터뷰 하러 갔다가
    Vista UAC에 대해 물어봤었죠.

    대답은 대략,
    “Visual Studio 2005 상위 버전으로 컴파일하면
    UAC 통과한다.” 라고 하더군요.

    버전은 정확히 기억이 안납니다.(자바 개발자라, ㅎㅎ)
    여하간 약간의 코드 마이그레이션을 거치면
    문제 없다. 이런건데…

    저도 금융권에서 2년간 개발해 봤지만,
    우리나라 관행상, 이런 문제는 문제에 속하지도
    않을 겁니다. 서버가 다운되는거나 문제죠.

    뭐, 그런고로 제가 이 오픈웹의 움직임에
    상당히 관심을 보이고 있는 겁니다.
    악행의 단절이 이제 끝나야 할 것 같아서요.

    화이팅!

  • http://bluecity.tistory.com 푸른도시

    정보에 제일 취약한 단체가 어디냐고 한다면 단연 정부를 손에 꼽겠지요.
    다른 사람들이 다 알아도 그때까지 모르고 버팅기는게 정부이니…..쩝.

  • http://hirameki.blogspot.com JungWonYong

    아직도 금결원이 거의 확정된 미래조차 내다보지 못하는 조직이라는 사실에 경악입니다.
    보통 금융관련조직은 패턴에 의한 예측에 강하다고 생각해왔는데(증권같은걸 봐도), 혹시 패턴이 아니라면 예측불능인 걸까요?

    저한테는 금결원의 방식이 예측불능이라 매우 흥미롭습니다.

  • 이름 쓸 수 없음.

    모 프로젝트를 하던 중의 이야기 입니다.

    매일 같이 바닥이 보이지 않게 주가가 내려가고 있었던 시절이었죠.

    그 때 서버가 다운되어버렸습니다.
    복구는 두어시간 걸렸고,
    사용자들의 항의 전화가 폭주한대다,
    소송까지 걸겠다고 했습니다.

    결론은?
    증권회사가 이겼습니다.
    이유는?
    증권회사 법률팀은 개개인이 이길 수 있는가.

    금결원에도 법률팀이 있을까요?
    저희도 많은 준비가 필요하지 않을까요?

    그냥 써 봤습니다.

  • sj

    http://www.zdnet.co.kr/news/network/security/0,39031117,39155338,00.htm
    ZDNet Korea의 기사입니다.
    결국은 우려하던 사태가 터지는 것으로 보입니다. 자세한 것은 경찰수사 결과가 나와야 알겠으나 만약 중국측에서 소포나 이니의 서버인증서를 해킹하여 이런 범죄행위를 한 것이라면, 피해자 여러분께는 죄송한 이야기입니다만 오픈웹의 소송이 더욱 더 강력한 힘을 얻을 수 있지 않을까 생각됩니다.
    그리고 만약에 인증서 유출경로가 ActiveX설치로 인한 것이라면 더욱 더 힘을 받을 수 있겠지요.
    어찌되었건 저 사건은 빨리 제대로 마무리 되었으면 하고 피해자분들을 위로해 드리고 싶습니다. 그래도 우리나라 경찰이 아직은 능력있는 편이라고 말이죠…

  • madmax

    제 소견으로는 공인인증서가 유출된 사람들이 소포나 이니텍 ActiveX를 썼거나, 한국정보인증의 ActiveX를 썼거나, 아니면 Applet을 썼거나간에 해당 상황이라면 동일하게 유출이 되었을 것이라 생각됩니다.
    공인인증서의 유출이라 함은 PC상에 저장되어 있는 개인키까지 함께 유출되었음을 의미합니다.
    서버인증서를 해킹했다고 하더라도 암호화된 통신 내용을 도청할 수는 있을 지언정 PC내에만 존재하여 절대 네트웍을 날라다니지 않는 개인키값까지 획득할 수는 없을 것으로 사료됩니다.

  • madmax

    추가적으로…
    소포나 이니텍의 PKI ActiveX의 신뢰된 루트 인증기관에 자기네 인증서가 들어가 있는 부분은 해당 업체에서 깊이 생각하지 못했던 부분이 있었던것 같습니다. (공인인증용 ActiveX와 사설인증용 ActiveX로 버전을 분리했었으면 좋았었을 것 같습니다.)
    다만, 그 자체가 보안적으로 무슨 문제가 있는지는 의문이 듭니다.
    A은행에 접속하면 PKI ActiveX가 내려오고 그 ActiveX가 A은행과 암호화 채널(SSL)을 맺기 위하여 A은행 서버인증서를 검증하게 되는데 그때 A은행 서버인증서의 Trust여부를 확인하기 위하여 금결원CA 인증서 및 KISA Root CA 인증서를 사용하게 되며(이때, 금결원CA인증서 및 KISA Root CA인증서가 신뢰된 인증서 목록에 있는지 확인) 그 이후에는 암호화된 채널을 통해서 거래데이터나 전자서명값이 전송되게 됩니다.
    이 Process상에서 사설CA인증서가 신뢰된 인증기관 목록에 있다고 해서 보안적으로 무슨 문제가 생길 수 있을지 모르겠습니다.(제가 해킹 전문가가 아니라서 모를 수도 있습니다.)
    실제 해당 문제점을 이용해서 해킹을 하는 사례를 재연할 수 있다면 확실히 Impact가 있을 듯 합니다.

  • http://openweb.or.kr keechang

    madmax/
    이 문제에 대하여는 이미 상당한 논의가 있었습니다. 그 내용을 저나름대로 요약한 글은 여기에 있습니다.

  • madmax

    keechang/
    교수님의 의견도 상당히 일리가 있다고 생각됩니다.
    다만, 전자서명법에 근거해볼때 MS IE에 Default로 하여 “신뢰된 루트 인증기관”으로 import되어 있는 Verisign이나 Thawte도 우리나라 NPKI Root CA와 상호인정(Cross Certification)이 되어 있지 않기 때문에 사설인증기관으로 봐야하는게 아닌가 합니다.
    즉, Verisign의 인증서로 코드사인된 것이나 쇼핑몰등에서 https통신을 위해 Verisign인증서를 Trust하는 것도 문제가 되어야 하지 않을까요?

  • Yi Jong

    madmax//
    우리나라의 금융실명제(은행거래)나 개인정보보호(국가 서비스)에 사용되는 게 아니기 때문에 Verisign이나 Thawte의 인증서는 좀 다르게 볼 수도 있을 것 같다는 생각이 듭니다.

  • youknowit

    madmax/
    Verisign, Thawte 등은 당연히 *사설인증*기관입니다.

    쇼핑몰 등에서 브라우저에 탑재된 클라이언트 모듈(소프트웨어)을 사용하여 ssl교신을 하고, 인증서를 처리하는 경우(CAPICOM dll 을 사용하여 서명부착도 가능합니다), 사설인증이고, 사설전자서명입니다.

    공인전자서명과 사설전자서명의 차이는 전자서명법 제3조에 설명되어 있습니다. *공인*전자서명은 당사자가 합의하지 않아도 서명, 날인과 같은 효력이 부여되고(제3조 제2항), *사설*전자서명은 당사자들이 합의해야만 서명, 날인과 같은 효과를 누릴 수 있습니다(제3조 제3항).

    코드사인이 반드시 *공인*전자서명되어야 하는 것은 아닙니다. 전자서명 인증업무 지침 제24조 제5항은 [공인인증기관은 가입자 소프트웨어 배포 시 당해 소프트웨어에 대하여 무결성을 보장할 수 있는 전자서명 또는 해쉬값 등을 관리하여야 한다]라고 규정되어 있습니다.

    *공인*전자서명으로 코드사인을 하라는 이야기는 아닙니다. 오히려 브라우저에 이미 등록되어 신뢰된 *사설*인증기관이 코드사인을 인증해 주어야 합니다. 그렇게 하지 않으면, 이용자의 브라우저에 보안 경고가 뜨고, 많은 이용자들은 어떻게 해야할지 모를 수도 있습니다.

    그리고, 우리법은 브라우저에 탑재된 인증 처리 모듈로 *공인*인증서를 처리하는 것을 허용하지 않습니다. 공인인증기관이 제공한 소프트웨어로 공인인증서를 처리하도록 강제하고 있고, 그 이유는 공인인증서 처리 프로그램의 신뢰성과 규격준수 여부 등을 정부가 통제하고, 감독할 수 있게하기 위함입니다.

    따라서 공인인증서 *파일*, 그리고 공인인증기관이 발급해준 비밀키 *파일*을 사용하더라도, 브라우저에 탑재된 인증 모듈로 그 파일을 이용하여 전자서명을 하면, 그것은 *공인전자서명*이 아니라 사설전자서명입니다(법 제3조 제3항의 효력밖에 없습니다).

    즉, 우리 법제에서 *공인*전자서명이 될려면, 공인인증기관이 발급한 공인인증서와 비밀키를 사용하는 것만으로는 안되고, 그 사용에 동원되는 소프트웨어도 공인인증기관이 제공한 소프트웨어를 사용해야 비로소 *공인*전자서명이 됩니다. 소프트웨어가 중요한 이유는 암호화의 종류와 강도가 그것에 의하여 결정되기 때문입니다. 60bit 길이의 암호화밖에 하지 못하는 IE4브라우저(미국외 수출용)로 생성시킨 전자서명이 *공인*전자서명으로 인정받을 수는 없습니다. 공인인증기관이 발급해 준 비밀키 파일을 사용했다 하더라도.

  • http://vishnu76.com 비누개발자

    김상준/ Visual Studio 2005로 개발하더라도 UAC를 피해가지 않습니다. 게다가 IE이 UIPI와 Protected Mode 에서는 ActiveX 개발하기가 많이 까다로워졌습니다.

    물론 비스타를 설치한 다음에 UAC를 비활성화 하면 만사 OK이지만, 대부분의 사용자들은 그냥 쓸 가능성이 많은데다가, MS가 이 방법을 권장하지 않습니다. 악성 코드의 위험이 크기때문에.

    지금 아직 Vista를 지원하는 인증 프로그램이 못나오는 이유가 IE7 Protected Mode 때문인 것 같습니다. 스탠드어론 소프트웨어의 경우 Manifest에 실행 레벨을 관리자 권한을 요청하는 경우 권한상승 확인창과 함께 쉽게 끝날 문제지만 ActiveX의 경우 Broker 모델로 프로그래밍을 따로 해야 하는데, 이럴러면 아마 기존에 만든 COM을 따로 떼어내고 브라우저에서 실행되는 모듈과 분리시켜야 하는데. 아무래도 이런식으로 될줄 몰랐으니 모듈화 되지 않은 코드 빼는데 시간이 걸리는게 아닌가 싶습니다.

    게다가 공인인증 밖에 안하는 소프트웨어에 권한상승을 띄우는 소프트웨어를 사용자들이 얼마나 믿을지도 의문이기도 합니다만. 이것도 무감각해지면 큰일이긴 합니다만.

  • youknowit

    소송 준비로 *초췌*해진 제 모습이 나오는 동영상을 보시려면 여기에 있습니다.

    “웹은 여전히 공평하지 않다, 제1부”

    http://www.kmobile.co.kr/contents/news/vod/vod_news_view.asp?board_type=6&num=72&page=1&search_tag=

    제2부도 준비 중입니다.

  • 불새

    그러네요. 권한상승에 무감각해지는 것이 큰일이죠.
    정부가 스스로 그러한 경향을 조장하는 것은 참 안좋은 일이죠.

  • 불새

    그런데 아직까지 얼마전의 인터넷 뱅킹 해킹의 원인이 안밝혀졌다네요. 그런데 인터넷 뱅킹을 하려면, 인증서 뿐만 아니라 보안카드 번호까지 입력해야 하는데, 이것이 어떻게 해킹이 됐을지가 궁금하네요.

    보안카드까지 유출되어야 해킹이 가능하지 않나요? 보안카드번호 같은 경우 3번만 틀리면 인터넷 뱅킹이 아예 중지되는 걸로 알고 있습니다만.

    간단한 인증서 유출로 인한 해킹 같지는 않습니다.

    혹시 사설 인증 액티브 X 소프트웨어에 버퍼오버플로우 구멍이라도 있는 거 아닐까요? 액티브 X 인증서 프로그램을 역어셈블러리하면 그런 구멍 찾는 거는 그리 어렵지 않으니까요.

  • 논점이뭔가요

    가입자 소프트웨어에 관한 사항은 소송의 논점과는 좀 다른 부분이 아닌가 하는 생각이 드는데요, 손해배상청구의 본질에서 벗어난 주장이 오히려 본래의 논점을 흐릴 우려는 없을 런지요…

    물론, 뭔가 문제가 있다면 문제제기를 하는 것은 필요하겠으나 가입자 소프트웨어 문제가 비MS 사용자 차별과는 근본적으로 다른 사항이 아닌지???

    비MS 시스템에서의 인증서 저장위치 등을 규정한 기술규격은 2003.12월자 개정된 사항인데, 그 이전부터 비MS를 지원하지 않았던 경우에 대하여 소급적용이 가능한지도 궁금합니다. 통상 법규 개정시 소급적용에 대하여 특별한 언급이 없으면 이전의 행위에 대하여는 강제할 수 없는 것 아닌가요.

  • Pingback: 파란마음, 파란공간 » 공인전자서명과 사설전자서명의 차이

  • Pingback: 파란마음, 파란공간 » 국내 공인인증기관

  • 몽몽이

    불새 / 일전에 라디오에서 들었는데, 보안카드의 번호도 일종의 패턴이 있었는데 중국에서 그 패턴을 연구한 놈이 있었던 모양입니다. 썩을 놈… 지네 나라 것이나 연구하지?

  • DS

    한국무역정보통신 http://www.tradesign.net

    한국무역정보통신은 자신이 코드사인하지 않고, 보안 업체가 코드사인한 소프트웨어를 제공하고 있습니다(위법합니다) 다만, 소프트웨어 이름을 TradeInstaller 라고 표시하여, 자신을 명시하고 있습니다. 스크린 샷

    >>글을 하나씩 읽어보고 있는데요
    >>위법합니다. 라고 지적하신 부분이 김기창 교수님 뎃글에 따르면 위법하지 않은 것 같습니다.
    >>스크린샷의 주소를 따라 갔는데 이미 수정이 된것 같습니다.
    >>오픈웹에 포스트를 작성한 시점이 나와있지 않아서 정확한 시간을 확인하기 어려운데 작성된 날짜와 작성자는 표시가 되면 좋을 것 같은 생각이 듭니다.

  • http://openweb.or.kr youknowit

    DS/ 감사합니다. 지적하신 바를 반영하여 수정하였습니다. 이제 한국정보사회진흥원(NIA)과 금융결제원만이 천덕꾸러기로 남아있는 셈입니다.