| 전자서명 인증체계 보안수준 향상 위한 신기술 개발 지원해야 | 2013.07.18 |
염흥열 교수, 다양한 인증 기술 적격 심의 위한 ‘심의위원회’ 필요 미래부, ‘전자인증 서비스 발전을 위한 컨퍼런스’ 개최 [보안뉴스 김태형] 미래창조과학부가 주최하고 한국인터넷진흥원이 주관하는 ‘전자인증 서비스 발전을 위한 컨퍼런스’가 18일 오후 2시부터 서울 양재동 엘타워 매리골드홀에서 개최됐다.
이어서 첫 번째 강연을 맡은 오승곤 미래부 정보보호정책과 과장은 ‘전자인증 서비스 발전을 위한 고려 사항’을 주제로 발표했다. 오 과장은 “전자서명법은 공인인증서 발급요건과 발급기관에 대한 관리·감독, 그리고 그에 대한 책임과 의무 사항을 규정한 것이다”면서 “전자인증 서비스의 발전 대책으로 전자인증 선택의 폭 확대 등 전자인증을 필요로 하는 수요기관(은행, 증권거래, 전자금융거래법, 전자상거래법, 신용정보이용 관련법) 등에서 공인인증서 외에 기타 전자인증 수단이 될 수 있도록 선택권을 확대할 필요가 있다”고 말했다. 또한 그는 “전자정부법 전자조달관련법, 행정심판관련법 등 공적영역의 수요기관이 아닌 민간영역에서의 인증수단은 사설전자인증 수단을 적극 수용할 필요가 있으며 개발자 등의 산업체에는 더 안전하고 편리한 전자인증 수단을 개발·공급 필요가 있다”고 덧붙였다. 오 과장은 “보다 안전하고 편리한 공인인증서 발전 및 진입 촉진을 위한 방책으로 △공인인증발급기관 진입을 허가제에서 등록제 형태로 전환, 추진해 모바일 기반 등 신기술 기반의 공인인증기관 진입 활성화 △보안취약점 분석 및 개선 기술 개발, 안전한 저장매체 사용 강화 △발급 및 사용에 따른 본인 확인 강화 등 이용 안전성 제고 추진 등을 통해 국가경쟁력, 국민편익, 산업발전 등을 고려해 국민에게 더욱 안전하고 편리한 수단이 무엇인지를 고려해 발전시켜야 할 것”이라고 강조했다. 이어서 염흥열 순천향대학교 교수는 ‘국내 전자인증기술의 나아갈 발향’이란 주제 발표에서 “최근 ICT 환경의 변화로 보안 위협도 다양화·지능화되고 있어 국내 전자금융거래의 보안도 위협하고 있다”면서 “특히 최근엔 지능형 지속 위협인 APT의 증가로 보안 인프라 자체가 공격받고 있는 상황이다. 지난 RSA2013 컨퍼런스에서 A.Shamir는 APT 환경에서는 더 이상 암호가 적절한 데이터 보호 수단이 되지 못할 수도 있다고 언급했다”라고 말했다. 염 교수는 “우리라나의 전자인증 체계는 전자서명법에 의한 공공 및 민간 ICT서비스를 위한 인프라로 전자민원과 온라인 뱅킹 등 다방면에서 활용되고 있다. 이러한 인증체계는 국제 표준 인증 프레임워크를 사용하고 있다”라고 설명했다. 또한 그는 “우리나라의 전자서명 인증체계 보안 수준 향상을 위해서 새로운 환경에 적합한 신기술 개발 지원과 전자서명인증체계 보안성 향상, 새로운 인증 기술 적격성 심의를 위한 별도의 심의위원회를 구성해 운영할 필요가 있다”고 말했다. 염흥열 교수는 “인증서 및 전자서명 관리를 위한 하드웨어 기반 인증 체계로 유도해야 할 필요가 있으며 액티브엑스 대체수단으로 HTML5·애플리케이션방식·자바기반 플로그인 등의 확산이 필요하다. 그리고 사용자 보안 인식 강화도 중요하다”라고 덧붙였다. 염 교수는 이외에도 “인증체계 보안성과 투명성을 위해 공인인증 기관의 보안관리 및 운영보안을 향상시키고 루트인증 기관(KISA)의 투명성 확보를 위해 ‘공인인증 정책 위원회’ 등을 고려해야 한다”면서 “인증 과정 보안 향상을 위해서는 인증 수단의 다양화 및 보안 수준의 고도화(멀티팩터+멀티채널인증)와 관련 부처와 협의를 통해 다양한 인증수단의 도입과 적용을 위한 법·제도 개선, 그리고 리스크 기반의 인증 수준에 적합한 다양한 인증수준에 따른 방식을 선택해야 한다”고 강조했다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
