오픈넷, 미래부에 정보공개 청구..왜?

“KISA가 루트인증기관(ROOT CA) 자격이 있느냐” 문제제기

일반입력 :2013/06/03 11:27    수정: 2013/06/03 16:22

전하나 기자

사단법인 오픈넷이 미래창조과학부에 한국인터넷진흥원(KISA)에 대한 보안감사 실시여부를 확인하는 정보공개청구를 했다. 국가 공인인증제도의 정점인 KISA가 과연 루트인증기관(ROOT CA·최상위인증기관)으로 자격이 있느냐에 대한 문제제기다.

3일 관계부처 및 업계에 따르면 오픈넷은 지난 주말 “공인인증업무의 기술적, 관리적 측면에 대한 웹트러스트 기준(또는 이에 준하는 기준)에 따른 보안 감사를 수행할 지식과 경험이 있는지 확인할 수 있는 서류를 공개하라”는 내용의 공문을 미래부 정보화전략국 정보보호정책과에 발송했다.

미래부가 웹트러스트 기준에 준해 KISA에 대한 보안감사를 수행했다면 감사 결과를 담은 감사보고서를 공개하라는 것이다.

웹트러스트란 웹에서 이뤄지는 거래와 관련해서 보안을 비롯해 문제가 없다는 것을 회계법인에서 객관적으로 입증해주는 일종의 확인서다. 미국회계사협회(AICPA)와 캐나다회계사협회(CICA)가 공동 개발, 전세계적으로 통용되고 있다.

이 기준에 따라 전문적인 보안감사 업체가 적합 판정을 내린 인증기관은 웹브라우저 회사들에게 루트인증기관으로 기본 탑재해 달라고 신청하고, 웹브라우저사들이 해당 요청을 받아들이면 바로 루트인증기관이 된다.

김기창 고려대학교 법학전문대학원 교수(오픈넷 이사)는 “웹트러스트에 따른 보안감사가 이뤄졌다면 그 감사보고서는 당연히 공개돼야 한다”고 말했다. 웹트러스트 기준 자체가 감사보고서의 투명한 공개를 필수 요건으로 하고 있어 감사보고서가 공개되지 않는다면 그 자체로 웹트러스트 기준에 어긋난다는 설명이다.

오픈넷은 또 만약 루트인증기관으로서 KISA에 대한 보안감사가 이뤄졌다고 해도 이를 검증하는 곳이 제3의 기관이 아닌 정부부처라는 것은 말이 안된다는 입장이다. 김 교수는 “인증서비스는 전세계적으로 있는 것이나 어느 나라에서도 정부가 인증기관을 지정하거나 감독하지는 않는다”며 “미래부의 어느 직원이 감사 주체로의 경험과 전문성을 가지고 있냐”고 지적했다.

관련기사

이와 관련 미래부 정보보호정책과 관계자는 “아직 구체적으로 검토한 것은 아니나 내용에 대해 파악하고는 있다”며 “조만간 회신 여부를 정할 것”이라고 밝혔다.

오픈넷은 이번 정보공개청구 외에도 공인인증서 사용강제에 대해 국민감사청구운동 등을 펼쳐왔다. 또 지난달 말 발의된 최재천 의원의 ‘전자서명법 전부 개정안’에도 참여했다. 이 개정안은 “정부가 인증기관을 지정하지 않으며, 인증기관이 준수해야 할 업무수행 기준 핵심요건 4개를 법에서 규정한 다음 나머지 세부적인 사항은 민간 자율에 맡기는 것”을 골자로 하고 있다.