한국전자통신연구원(ETRI, http://www.etri.re.kr) 인증기반연구팀(팀장 진승헌)은 정보통신부가 지원하는 선도 기반기술 개발 과제인 통합형 Global PKI 기술 개발 사업의 일환으로 공인전자서명인증서를 비롯한 공개키 인증서의 검증 대행 서비스를 제공하는 통합형 인증서 검증시스템(CVS, Certificate Validation System)을 개발했다. 이 시스템은 그 동안 PKI(공개키 기반구조, Public Key 실시간 상태확인을 효율적으로 해결할 수 있는 시스템으로 인증서 검증 대행 서비스 개념을 적용한 시스템을 세계 최초로  개발하였다는데 의의가 있다.

ETRI 인증기반연구팀은 현재 공인인증기관에서 사용되고 있는 인증서관리시스템을 개발한 팀이기도 하다.

● PKI 현황 및 문제점

최근 전자상거래 보안을 위해 공인인증서를 비롯한 공개키 인증서의 보급 및 사용이 확산되고 있다. 이에 따라 공개키 인증서의 실시간 상태확인과 PKI간의 상호 연동이 매우 중요한 이슈로 부각되고 있으며 국가간 금융거래등에 있어 그 중요성이 매우 크다.

인증서 수신 즉시 폐지 여부를 확인하는 것을 공개키 인증서의 실시간 상태확인이라고 하며, 현재 서비스되고 있는 공인인증 서비스는 이를 지원하지 못하고 있다.

한편 PKI간 상호연동은 국가간이나 인증기관간에 서로 인증서를 유통하는 것을 의미하는데 이를 위해 제시된 기존 방법론들은 연동주체가 서로 연동방법을 합의하고 이에 따라 클라이언트 시스템을 수정 해야하기 때문에 시간과 비용이 많이 소요된다. 또한 다른 PKI와 새로운 방법을 사용하여 연동할 경우 클라이언트의 추가 수정이 요구되어 클라이언트 유지보수 비용이 증가하게 된다. 특히 현재 주로 고려되고 있는 방법인 CTL(인증서 신뢰 목록, Certificate Trust List)은 CTL 배포, 갱신 등 관리의 문제점과 정책 매핑 등을 반영할 수 없는 한계를 갖고 있기 때문에 향후 확장성이 떨어진다. 또한 상호연동 환경에서는 인증서 실시간 상태 확인 문제도 더욱 어렵게 된다.

● 인증서 검증 서비스 개념 제시

이를 해결하기 위해 ETRI에서는 인증서 검증 대행 서비스라는 개념을 제안하였다. 이는 인증서 검증 주체가 인증서 검증기관(CVA, Certification Validation Authority)에게 인증서의 검증을 의뢰하면 인증서 검증기관이 인증서 검증을 수행하면서 인증서의 실시간 상태확인과 상호연동 문제를 중앙 집중형으로 해결해주는 서비스 개념이다. 인증서 검증기관이 상호연동과 관련된 복잡한 관리 기능을 대행함으로써, 사용되는 상호연동 방법에 관계없이 즉시 상호연동을 가능하게 할 수 있다. 또한 인증기관과 연계하여 실시간 인증서 상태확인을 대행함으로써 효율적인 서비스를 제공할 수 있다. 이렇게 검증을 대행하게 되면 검증과 관련된 정책설정 및  신뢰관리를 중앙집중적으로 제어할 수 있는 이점도 생긴다. 한편 인증서 검증 주체는 인증서 검증을 의뢰함으로서 복잡한 인증서 검증 모듈을 보유할 필요가 없어 매우 단순해지며 유지보수 비용도 크게 축소될 수 있다.

 ● 통합형 인증서 검증 시스템

ETRI는 이러한 인증서 검증 대행 서비스 개념을 실현하는 통합형 인증서 검증 시스템(CVS, Certificate Validation System)을 개발하였다.  통합형 인증서 검증 시스템은 검증 대행 서비스 서버인 CVA(인증서 검증기관) 서버시스템과 서비스를 요청하는 CVA 클라이언트로 구성된다. CVA서버 시스템은 CVA 클라이언트의 요청에 따라 인증서 검증, 인증서 경로 제공, 인증서 상태 제공 등 선택적인 서비스를 제공할 수 있다. CVA 서버시스템은 인증경로의 구축/검증/관리 모듈과 정책관리 모듈, 상태확인 및 CRL관리 모듈을 포함하고 있다. 또한 다른 CVA 나 CA(Certification Authority, 인증기관)와 정보를 교환하여 정확한 서비스를 제공하며 캐슁과 분산처리를 통해 강력한 성능 및 확장성을 갖는다. 또한 국제 표준 프로토콜인 OCSP(Online Certificate Status Protocol)와 SCVP(Simple Certificate Validation Protocol)를 사용하여 서비스가 이루어지므로 완벽한 연동성을 보장한다.

●활용분야

현재의 인증 서비스에 추가적으로 CVA서버 시스템을 구축하고 클라이언트를 배포해 인증서 검증 대행 서비스를 실시하면 다양한 구조의 타 PKI와 상호연동이 즉시 가능하게 된다.  조직 내에서 인증서 검증 대행 서비스를 실시하면 중앙 집중적인 인증서 검증 정책관리를 통해 효율적인 보안 정책 운용이 가능해지며, 클라이언트 유지·보수 비용을 크게 줄일 수 있게 된다. 또한 실시간 인증서 상태 확인이 가능해 보안성을 높일 수 있다.

클라이언트에 탑재되는 인증 시스템의 용량이 크게 줄면서 IMT-2000등의 이동통신 단말기, 각종 정보가전기기 등에 보다 완벽한 인증기능을 탑재하는 것이 가능해진다.

● 시장 반응

현재 몇몇 공인인증기관이 인증서 검증 대행 서비스를 실시하기 위해 통합형 인증서 검증시스템 기술이전을 협의하고 있으며 정보보호산업체들이 기술이전에 관심을 보이고 있다.  세계 최초의 기술이므로 해외 업체의 관심도 증가할 것으로 보인다.

● 의의 및 향후 계획

ETRI 인증기반연구팀 진승헌 팀장은, 세계 최초로 통합형 인증서 검증시스템이라는 인증시스템의 신개념을 창출하고 이를 시스템으로 구현함으로써 보다 안전한 전자상거래 환경을 조성할 수 있는 발판을 마련한 점에 보람을 느낀다.며, 선진기술을 국산화하는 수준에서 벗어나 세계 최초로 새로운 검증 대행 서비스 개념을 제시하고 이를 개발함으로써 국제적인 기술을 선도해 나갈 수 있는 초석을 마련한데 의의가 있다고 생각한다.  향후 인증 및 권한관리 분야에 지속적인 연구개발과 국내외 기술이전을 통하여 정보보호 분야에서 우리 나라가 선도적인 위치를 차지하도록 노력하겠다고 말했다.