정부가 대국민 서비스를 인터넷 기반으로 제공할 때 그 보편성과 신뢰성은 어떤 기준에 맞춰 운영돼야 할까. 전자정부 선도국가를 표방하고 있는 한국이 자체 기준으로 운영해 온 행정전자서명 인증체계(GPKI)가 특정 국가에 의해 통제되지 않는 인터넷을 만나 기로에 섰다.
GPKI에서 앞의 G는 '정부(Government)'를, 뒤의 PKI는 공개키 암호 기술을 사용하는 디지털인증서(digital certificate)를 발급 및 관리하는 인프라인 '공개키기반구조'를 뜻한다. 전자정부 소관부처인 행정안전부가 전자정부법, 시행령 등을 근거로 GPKI를 운영하고 있다.
행정안전부가 행정자치부 시절인 2015년에 최초로 획득하고 이후 갱신해온 국제공인 민간인증 웹트러스트(WebTrust)는 GPKI 체계를 따르는 G-SSL인증서 기반의 대국민 전자정부 서비스에 대한 '국민 신뢰성 향상'과 '전자정부 보안관련 해외수출 기반 마련' 근거이기도 했다.
하지만 전자정부의 기반을 이루는 GPKI에 흠이 하나 있었다. GPKI 체계를 따르는 G-SSL인증서를 통해 대국민 HTTPS 서비스를 제공하는 공공사이트의 '브라우저 차별' 문제였다. 국민이 쓰는 브라우저 종류에 따라 다른 결과를 보여 주는 현상을 수년째 해소하지 못하고 있다.
현재 모질라 파이어폭스, 리눅스와 안드로이드용 구글 크롬, 맥OS와 iOS용 애플 사파리 사용자에겐 G-SSL 인증서를 사용해 HTTPS 서비스를 제공하는 공공사이트 방문시 '보안경고'가 나오는 걸 볼 수 있다. G-SSL이 아니라 민간업체의 SSL인증서를 쓸 경우엔 문제가 없다.
각 브라우저의 인증서 저장소에 민간 최상위인증기관(Root CA) 사업자가 발급, 관리하는 SSL 인증서는 들어가 있지만, 행정안전부가 GPKI 기반으로 발급, 관리하는 G-SSL 인증서는 들어가 있지 않아서 이런 일이 벌어진다. 공공사이트 HTTPS 서비스 보안경고의 원인이다.
잠시 딴 얘길 해 보자. 아직도 많은 HTTP 기반 웹사이트가 운영되고 있다. HTTPS 서비스가 과연 대수일까 의문이 들 수 있다. 하지만 HTTPS 서비스는 웹서버와 브라우저간 통신 내용을 보호하는 기초적인 기술이다.
어떤 공공사이트가 국민에게 웹을 통한 정보 입력, 전송 등을 요구하려면 그걸 보안상 안전하게 처리해야 할 필요가 있다. 따라서 그 사이트를 운영하는 정부부처, 지방자치단체, 산하기관은 해당 공공사이트를 HTTPS 서비스로 제공하는 것이 바람직하다.
물론 아직 HTTPS 서비스가 완전한 보편성을 확보했다고 단정할 순 없다. HTTPS 서비스 트래픽 비중은 통계의 출처에 따라 제각각이다. 하지만 현재 수치보다는 장기적인 추세가 더 중요해 보인다. HTTPS 서비스를 기본으로 제공하는 웹사이트 비중은 계속 늘어나고 있다.
이런 흐름을 주류 브라우저 개발 업체가 나서서 독려하고 있다. 구글은 이미 HTTPS 미지원 사이트 방문시 크롬 사용자에게 보안 경고를 띄운다. 모질라는 파이어폭스 사용자에게, 애플은 iOS 및 맥OS 사파리 사용자에게 비슷한 경고 표시를 띄우거나 그런 변화를 예고한 상태다.
이런 주류 업체의 브라우저를 골라 쓰는 이들 가운데 한국의 대국민 전자정부 서비스 사용자가 있다. 정부가 대국민 공공사이트를 HTTPS 기반으로 제공해야 한다면, 가급적 다양한 환경에서 정상 동작하는 대국민 서비스를 제공하는 걸 목표로 삼아야 한다.
행정안전부도 이를 부정하지 않는 듯하다. 웹트러스트 인증 획득 이후 최근 3년간 모질라의 인증서 저장소에 GPKI 기반 G-SSL 인증서를 탑재하려고 애써 왔음이 이를 방증한다. 모질라 인증기관(CA) 인증서 프로그램에 이를 신청하고, 검증을 받아 왔다. 하지만 결과는 '실패'였다.
실패 원인이 뭐였다고 단정하기는 어렵다. 하지만 모질라의 G-SSL 인증서 검증 절차를 통해 파악된 GPKI 체계상의 제약과, 검증이 진행된 기간중 국내에서 발생한 일련의 G-SSL 인증서 발급 및 관리 실태상의 문제점이 복합적으로 작용했을 것으로 짐작된다.
짐작컨대 이제 행정안전부의 선택지는 다음 세 가지로 압축된다.
첫째는 글로벌 브라우저 업체 인증서 저장소에 G-SSL 인증서 탑재를 포기하고 모든 공공사이트의 HTTPS 서비스 보편성에 목매지 않는 것이다.
실행방법은 이렇다. 모질라, 구글, 애플 등 브라우저 시장을 과점하고 있는 소수 민간 기업의 까다로운 요구를 맞추는 것을 거부하고, 각국 정부의 요구에 관대한 마이크로소프트(MS)의 제품을 쓰는 사람들만 '국민'으로 모시는 것이다.
이 선택의 장점은 현행 GPKI 체계를 유지하며 G-SSL 인증서를 발급, 관리하기만 하면 되기 때문에 담당 공무원이 당장 별다른 스트레스를 받지 않아도 된다는 점이다.
단점은 GPKI 체계를 유지하는 데 드는 세금을 내는 국민들을 차별한 결과로 발생할 비판과, 문재인 대통령이 작년 이맘때 당부한 '전자정부 선도국가로서의 역할과 책임'에 손을 뗀 데 따라 발생할 리스크, 두 가지를 감수해야 한다는 점이다.
둘째는 브라우저 업체 인증서 저장소에 G-SSL 인증서 탑재를 포기하되, 공공사이트의 HTTPS 서비스 보편성을 위해 민간 SSL 인증서를 쓰는 것이다.
실행방법은 이렇다. 이미 모든 주류 브라우저 업체 인증서 저장소에 탑재된 SSL 인증서를 '유료로 판매'하거나 '무료로 발급'하고 있는 여러 최상위 인증기관이 있다. 행정안전부는 각 공공사이트 운영기관에 이런 인증서 활용 방법을 안내, 보급하는 것이다.
이 선택의 장점은 현행 GPKI 체계를 유지해 G-SSL 인증서를 발급, 관리하는 동시에 공공사이트의 HTTPS 서비스 보편성을 강화할 수 있어, 충분한 비용만 치른다면 가장 빠르게 대국민 전자정부 서비스의 수준을 높일 수 있다는 점이다.
단점은 각 공공기관이 G-SSL 인증서와 별개로 SSL 인증서를 도입해 써야 하는 부담을 감수해야 한다는 점, 앞서 언급한 전자정부 선도국가로서의 역할과 책임에 포함될 수도 있는 '전자정부 보안관련 해외수출 기반 마련'이라는 의미를 포기하는 길이 된다는 점이다.
셋째는 내년 이후 GPKI 체계를 정비하고 대외 투명성을 높여, 다시 모질라를 비롯한 글로벌 브라우저 업체의 신뢰성을 확보하는 데 더 많은 역량을 쏟는 것이다.
이 선택의 장점은 최종적으로 전자정부 GPKI 체계 기반의 G-SSL 인증서를 통해 대국민 공공사이트 HTTPS 서비스에 보편성을 갖출 수 있고, 나아가 진정한 전자정부의 보안관련 해외수출 기반 확보가 가능해 진다는 점, 문재인 대통령의 '당부'를 이행할 수 있다는 점이다.
단점은 담당 공무원과 산하기관이 이를 실현할 때까지 상당한 스트레스를 각오해야 한다는 점, 행정안전부를 비롯해 전자정부법이 규율하는 GPKI 체계의 설계를 현행과 다르게 뜯어고쳐야 할 수도 있다는 점, 성공 가능성을 보장받을 수 없다는 점이다.
셋 중 어느 길이 절대적으로 옳은지, 합리적인지 장담할 자신은 없지만, 앞으로 행정안전부가 어떤 길로 들어설지 대단히 궁금하다.
관련기사
- 정부, 공공사이트 HTTPS '보안경고' 못 없앴다2018.12.28
- 정부, 공공사이트 HTTPS 보안경고 없앤다2018.12.28
- 정부 "공공 사이트 HTTPS 보안경고 조만간 해결"2018.12.28
- ‘HTTPS’ 적용 공공사이트, 브라우저 차별 심하다2018.12.28
이미 행정안전부는 모질라 인증서 저장소에 G-SSL 탑재 신청이 기각된 후 현행 GPKI의 개정이나 변화를 검토 중인 분위기다. 지난 몇달간 한국지역정보개발원(KLID)에서 '차세대 행정전자서명 인증모델 수립 연구'라는 이름의 연구용역과제 공고가 나와 입찰 신청을 받고 있었다.
이 과제는 3차 재공고까지 유찰을 거듭한 끝에 11월초에야 수의계약을 통해 수행사업자를 찾았다. 이 수행사업자의 연구용역 결과를 바탕으로 행정안전부는 차세대 행정전자서명 인증모델을 마련할 것으로 보인다. 새해 이후 GPKI와 G-SSL의 변화를 지켜보고 싶다.