인터넷 접속이 용이해지고 IP 데이터의 디코딩이 간편하며 익명성이 보장되기 때문에 PKI 기술에 대한 요구는 지속적으로 증가하고 있다. 미국 푸르덴셜의 PKI 제안 요청에 따라 eWEEK 랩은 완벽한 PKI 설치 관리와 구현 테스트 계획을 수립했다.
이번에 실시된 이밸류에이션에서 제품 구분에 적용된 기준에는 CA(Certificate Authority)와 RA(Registration Authority), 벌크 키와 인증 생성, 인증 취소, 키 발효, 인증 갱신, 디렉토리 지원과 통합 등의 설정 기능이 포함돼 있다.
이번 테스트에서는 발티모어의 유니서트(UniCert) 3.5, 인트러스트의 인트러스트 5.01, RSA 시큐리티의 키온(Keon) 5.5, 베리사인의 온사이트 4.51 등을 살펴봤다. 마지막 제품은 유일한 아웃소싱 서비스였다.
또, CA가 다른 CA에서 발행한 인증을 승인할 경우 필요한 상호 인증 기능도 살펴보았다. 푸르덴셜의 요구에 따라 SMIME(Secure Multipurpose Internet Mail Extension) 프로토콜을 사용해 로터스의 노츠와 각 제품의 통합 기능을 테스트했다. PKI 벤더가 클라이언트 에이전트를 지원하는 경우 평가 작업을 수월하게 진행할 수 있었다.
모든 부문을 통틀어 탁월한 기능을 제공한 제품은 없었지만 엔텔리전스(Entelligence) 데스크톱 클라이언트를 지원하는 인트러스트가 가장 우수한 제품으로 평가됐다. PKI를 아웃소싱하려는 기업들은 베리사인의 제품을 일차적으로 고려해볼 만하다.
RSA의 키온 데스크톱은 프론트엔드 분야에서 매력적인 PKI 클라이언트이며 발티모어는 정책을 사용해 PKI 환경을 관리할 경우 탁월한 기능을 보여줬다.
발티모어의 유니서트 3.5
유니서트 3.5는 강력한 CA와 유용한 정책 기반 관리 기능을 지원하지만 데스크톱 클라이언트 지원이 미약하다. 따라서, 발티모어의 CA를 사용하려면 RSA의 키온 데스크톱과 같은 다른 클라이언트를 함께 사용하는 것이 유리하다.
클라이언트 지원이 미약해 하드웨어 토큰을 사용하지 않으면 다른 시스템에서 인증과 키를 사용하는 것이 어렵다. 또, 애플리케이션 통합이 클라이언트에서 처리되기 때문에 발티모어의 제품을 사용하는 사이트에서는 데스크톱 클라이언트를 추가할 필요가 있다.
그러나, 발티모어는 다른 제품들보다 강력한 CA를 지원한다. PKI를 처음 구현하는 기업들을 위해 CA는 윈도우 2000이나 유닉스와 같은 다양한 운영체제에서 실행이 가능하다.
또, 발티모어는 확장형 GUI를 지원해 CA와 RA의 전반적인 구조를 쉽게 파악할 수 있다. 강력한 정책 편집기에서는 인증 생성에 필요한 정보관리에 대한 강력한 제어권을 지원한다.
발티모어는 인증 갱신 과정을 완벽하게 제어한다. 유니서트는 사용이 간편하고 탄력적인 정책 인터페이스로 전체 인증의 30%만이 남아 있는 경우 이를 사용자들에게 통지한다. 또, 인증 설정이 쉽기 때문에 인증을 유효화하기 전에 사용자들이 인증에 서명해야 하며 서명자의 순위를 지정할 수 있다.
유니센터는 테스트에 참여한 다른 어떤 제품들보다 효율적으로 중앙집중식으로 개발된 정책을 활용해 관리 작업을 분산시키고 있다. 이 제품은 다른 CA를 신뢰하거나 발티모어의 CA가 아닌 또 다른 CA를 상호 인증할 경우 문제를 일으킬 수 있다.
로터스 노츠는 자체적인 보안 프로토콜을 지원하지만 다른 제품의 관리 체제로 들어가는 것을 쉽게 허용하지 않는다. 발티모어의 관계자들은 자사의 메일시큐어(MailSecure) 모듈을 사용해 노츠와 통합을 수행할 수 있으며 통합 과정이 완벽하지는 않지만 운영에는 별 문제가 없다고 말했다.
발티모어의 가격은 CA와 RA를 포함해 유니서트 기본 설정의 경우 3만 6000달러다. 그러나 2만 달러 상당의 고급 등록 모듈이 있어야만 인증 생성 작업을 처리할 수 있으며 1000명의 사용자일 경우 사용료는 1만 6000달러이고 사용자가 1만명일 경우에는 10만 달러다.
인트러스트의 인트러스트 5.01
인트러스트의 PKI는 엔텔리전스 데스크톱 클라이언트와 함께 사용할 경우 상당히 만족스러운 성능을 발휘한다. 클라이언트가 없는 경우 인트러스트 5.01 CA는 다른 제품과 차별화되지 않는다.
엔텔리전스는 시간대별로 감사 로그를 제공해 인증 취소의 날짜를 소급할 수 있다. 날짜 소급은 사용자가 인증에 대한 액세스에 손상을 가했지만 정확한 시간을 알지 못할 경우에 매우 유용하게 활용할 수 있다. 엔텔리전스 클라이언트를 사용하면 싱글 사인 온(SSO)과 로밍(roaming) 사인온을 지원할 수 있다.
엔텔리전스는 사용자가 쉽게 인증을 취소하는 것이 불가능하다는 약점이 있다. 이는 인증이 손상된 경우 사용자가 이를 먼저 파악할 수 있기 때문이다.
인트러스트와 여러 벤더들이 제공하고 있는 PKI 기술에서 반드시 살펴봐야 할 또 다른 기능으로는 스마트 카드 판독기나 생체 인식 장비와 같은 다양한 하드웨어 인증 장비와의 통합이 있다.
인트러스트는 발리서트(ValiCert)의 서비스를 사용해 OCSP(Online Certificate Status Protocol)를 지원하고 있다. OCSP는 베리사인이 개발해 실시간 인증 유효화에 널리 사용되고 있다.
또, 인증을 발행할 경우 여러 개의 승인을 안전하게 처리하도록 명령할 수 있다. 마지막으로 이 제품에서는 트루패스(TruPass)라는 컴포넌트를 사용해 웹 브라우저를 통한 깔끔한 로밍 액세스를 지원한다.
인트러스트의 가격은 사용자 라이선스를 제외하고 기본 설치일 경우 2만 5000달러다. 2년 간 5000명에서 1만명의 사용자에 대한 인증 비용은 인증 별로 75센트에서 1달러 50센트 수준이다.
RSA 시큐리티의 키온 5.5
RSA의 키온 5.5는 발티모어나 인트러스트 제품과 마찬가지로 자체 개발한 PKI를 관리하려는 기업들을 위해 설계됐으며 강력한 클라이언트를 지원한다. 클라이언트인 키온 데스크톱은 싱글, 보안 사인온, 데스크톱 파일 암호화, 비활성 보호, PC의 보안 신용 스토어 등과 같은 다양한 기능을 지원한다.
키온 데스크톱은 마이크로소프트의 인터넷 익스플로러 브라우저와 통합된 안전한 메일 기능을 지원하지만 넷스케이프의 내비게이터 브라우저와 동일한 코드를 사용하는 기업들은 추가 모듈을 설치해야 한다.
RSA 관계자들은 수동 작업을 통해 통합 작업을 진행했지만 노츠와의 통합 기능이 부족한 키온 시스템은 이번 테스트에서 통합 부문이 약한 것으로 밝혀졌다.
키온 데스크톱은 발티모어의 제품과 같은 다양한 시스템과 공동 사용이 가능하다. 푸르덴셜의 전문가들은 여러 벤더들의 PKI 제품을 관리하는 문제를 염려했다. PKI 솔루션을 함부로 수정하는 일은 피해야 할 것이다.
키온의 CA는 자동 인증 발행, 키 발효, 인증 갱신 등과 같은 기능이 부족해 테스트한 제품 중에서 가장 낮은 점수를 받았다. 예를 들어, 키온 시스템에서는 인증이 만료된다는 자동 메시지 생성이 불가능했다.
키온이 OCSP를 직접적으로 지원하지는 않지만 발리서트의 서비스에는 액세스할 수 있다. 키온은 인증된 CA 지정은 허용하지만 상호 인증은 제대로 처리하지 못한다.
키온 고급 PKI를 키온 데스크톱과 함께 완전하게 구현하려면 사용자가 1000명일 경우 17만 5000달러가 소요되고 사용자가 1만명일 경우 99만 달러가 소요된다.
이 가격은 이번 테스트에 참가한 다른 제품들보다 비싸지만 엄격한 모듈 대 모듈 비교법을 기준으로 가격 정책을 평가해서는 안된다는 점을 명심해야 한다. RSA의 가격은 솔직한 것이며 IT 관리자들은 실제 PKI 구현에 소요되는 비용을 파악할 수 있다.
베리사인의 온사이트 4.51
아웃소싱에 있어서는 베리사인의 제품이 최고다. 온사이트 4,.51은 탁월한 인증 처리 기능을 갖고 있으며 베리사인은 호스팅 사이트에서의 보안과 중복 기능에서 좋은 평가를 받고 있다.
베리사인의 보안 기술은 온사이트 감사와 실제 활용 여부를 입증해야 하는 엄격하기로 소문난 AICPA(American Institute of Certified Public Accountants)의 회계 표준 70 기준(Statement on Accounting Standards 70) 레벨 2 감사를 통과했다.
베리사인은 인증 발행을 통해 만족스러운 기능을 지원하며 이번 테스트에서 예술적인 경지에 이르렀다는 사실을 알게 됐다. 인증 자동 발행과 갱신은 직접적이며 효율적이다.
온사이트는 강력한 인증 관리 기능을 지원한다. 예를 들어, 오블릭스(Oblix)와 같은 보안 제공 업체들과 디렉토리를 동기화할 수 있다. 또한, 온사이트는 베리사인의 OCSP를 활용해 실시간 인증 유효화를 수행한다.
온사이트 4.51은 새로운 컴포넌트인 퍼스널 트러스트 에이전트(Personal Trust Agent)를 사용해 이전 버전보다 탁월한 로밍 기능을 제공하고 있다. 이번 테스트에 참가한 PKI 제공 업체 중에서 베리사인은 노츠와의 제품 통합에 있어 최고이며 무료로 제공되는 '고 시큐어(Go Secure) 모듈'을 통해 이와 같은 통합이 가능하도록 했다.
베리사인은 다양한 제품과 온사이트의 통합 방법을 다룬 문서로 구성된 '고 시큐어 모듈'을 다수 보유하고 있다.
베리사인은 아웃소싱 형태의 PKI를 지원하기 때문에 인증 절차가 간단하고 베리사인을 통해 애플리케이션 통합이 이미 이뤄 진 경우에는 불과 몇 달만에 시스템의 운영이 가능해진다. 베리사인과 계약을 체결한 기업들은 유리한 조건으로 시험 프로젝트를 수행할 수 있다.
베리사인의 제품 가격은 매우 높은 편으로 연간 1000명의 사용자일 경우 7만 달러, 1만명의 사용자일 경우 22만 달러다. 이 가격은 인증을 기준으로 책정된 것이 아니다.
사용자들은 원하는 인증을 얼마든지 사용할 수 있다. 또한, 이와 같은 가격 정책은 전체 사용자 수가 아닌 동시 사용 라이선스를 기반으로 한다는 사실을 명심해야 한다.
PKI를 구현해 문제없이 수년 동안 운영됐다고 가정할 때 프로젝트가 수행되는 경우에도 베리사인의 고정 비용은 그대로 적용된다는 문제가 있다. 그리고 베리사인을 포기하기로 결정할 경우 실제 전문가들이나 관련 기술은 모두 베리사인의 소유가 된다. @
PKI 시스템 평가 비교표
3 4개 PKI 솔루션 '누가 더 센가'
