한국 정부 'MOIS SSL 루트인증서', 모질라 파이어폭스 신뢰목록 등재 추진...행안부·한국지역정보개발원 2년째 심사, 공개검토 문턱서 모질라 '과거 정부 PKI 이력' 추가 소명 요구...등재 반대 의견도

[한국정보기술신문] 한국 정부가 운영하는 SSL 루트인증서를 웹 브라우저 파이어폭스(Firefox)를 만드는 모질라(Mozilla)의 신뢰목록에 넣으려는 심사가 2년째 이어지고 있다. 행정안전부(MOIS)를 대신해 한국지역정보개발원(KLID)이 'MOIS SSL 루트 CA(MOIS SSL Root CA)' 인증서를 모질라 신뢰 저장소에 추가해 달라고 신청한 건으로, 모질라의 버그 추적 시스템 버그질라(Bugzilla)에 등록된 1845081번 안건이다. 이 신청은 최근 공개검토 직전 단계까지 진전됐으나, 모질라 측이 과거 한국 정부 공개키기반구조(PKI)와 관련해 제기됐던 우려에 대한 추가 소명을 요구하면서 다시 쟁점이 됐다. 비슷한 시점에 한 참여자가 등재에 반대하는 의견을 남기기도 했다.

루트인증서는 웹사이트가 안전한지 판별하는 신뢰의 출발점이다. 이용자가 접속하는 사이트 주소창에 자물쇠 모양이 뜨면, 해당 사이트는 SSL/TLS라는 암호화 기술로 보호되고 있다는 뜻이다. 이 암호화의 신뢰는 인증기관(CA·Certificate Authority)이 발급한 인증서로 보증되는데, 그 인증서들의 가장 위에 있는 것이 루트인증서다. 루트인증서를 운영하는 기관을 루트 CA라 부른다.

문제는 브라우저가 어떤 루트인증서를 믿을지 미리 정해 둔다는 점이다. 브라우저는 신뢰하는 루트인증서 목록을 자체적으로 갖고 있으며, 이 목록을 신뢰 저장소(루트 스토어)라고 한다. 목록에 들어 있지 않은 루트 CA가 발급한 인증서를 쓰는 사이트에 접속하면, 브라우저는 '안전하지 않다'는 경고를 띄운다. 따라서 한 기관의 인증서를 많은 이용자가 경고 없이 쓰게 하려면, 그 루트인증서가 브라우저 신뢰 저장소에 올라야 한다. 모질라의 신뢰 저장소는 파이어폭스뿐 아니라 여러 소프트웨어가 가져다 쓰기 때문에 영향력이 크다.

신청 측인 한국지역정보개발원은 행정안전부 산하에서 정부의 전자정부·지역정보화 기반을 운영하는 기관이다. 이번 신청의 목적은 정부가 제공하는 SSL/TLS 등 신뢰 서비스를 브라우저나 운영체제(OS)와 상관없이 모든 이용자가 경고 없이 쓸 수 있도록, 정부 차원의 루트인증서를 브라우저 신뢰 저장소에 등재하는 것이다.

신청 측에 따르면 한국 정부는 2023년 2월 새 SSL 인증 체계를 구축하고 루트인증서를 발급했다. 이 과정에서 모질라의 루트 스토어 정책과 국제 표준 협의체인 CA/브라우저 포럼(CA/Browser Forum)의 기본 요구사항(Baseline Requirements)을 따랐으며, 정보보호 체계와 루트인증서에 대해 국제 감사 기준인 웹트러스트(WebTrust) 인증도 받았다고 밝혔다. 웹트러스트는 인증기관이 정해진 보안·운영 기준을 지키는지 외부 회계법인이 점검해 부여하는 신뢰 인증이다. 관련 정보는 인증기관 공통 데이터베이스인 CCADB에 등록됐다.

신청 이후 심사는 모질라 측 담당자가 인증업무준칙(CPS)을 검토하는 방식으로 진행됐다. 인증업무준칙은 인증기관이 인증서를 어떻게 발급하고 관리하는지를 정한 운영 규정 문서다. 담당자는 도메인 검증 방식, 키 훼손 시 인증서 폐기 절차, 약한 암호키 차단, 인증서 발급 전 형식 검사 등 여러 항목에 걸쳐 보완을 요구했고, 신청 측은 이를 반영해 인증업무준칙을 1.3판에서 1.5판, 1.6판으로 거듭 고쳐 다시 제출했다.

이런 과정을 거쳐 모질라 담당자는 약 9개월 전 이 안건이 공개검토에 부칠 준비가 됐다고 판단하고, 안건의 우선순위를 한 단계 높였다. 공개검토는 루트인증서 등재의 핵심 관문으로, 신청 내용을 공개 목록에 올려 보안 전문가와 일반 참여자가 자유롭게 의견을 내고 검증하도록 하는 절차다. 표면적으로는 마지막 문턱을 앞둔 셈이었다.

그러나 공개검토를 앞두고 모질라 담당자는 추가 소명을 요구했다. 과거 공개 논의에서 한국 정부가 운영하던 옛 PKI 체계를 둘러싼 우려가 제기된 만큼, 충분한 정보를 바탕으로 평가가 이뤄지도록 다섯 가지 항목에 답해 달라고 한 것이다. 구체적으로는 과거 한국 정부 PKI와 관련된 문제·우려를 인정하는지, 이번 체계가 옛 체계와 구조·운영·발급 정책 면에서 어떻게 다른지, 관리·감독·준수 체계에 어떤 변화가 있었는지, 잘못된 발급(오발급) 위험을 어떻게 평가하고 통제하는지, 그리고 부당하거나 강요된 인증서 발급을 막을 안전장치는 무엇인지 등이다.

이런 요구의 배경에는 한국 정부 인증기관의 과거 전력이 있다. 앞서 한국 정부의 옛 루트인증서 등재 신청(버그 1377389번)은 2018년 다수의 인증서를 잘못 발급한 사실이 확인되면서 '처리하지 않음(WONTFIX)'으로 종결된 바 있다. 당시 모질라 측은 새로 만든, 처음부터 정책에 완전히 부합하는 루트로 다시 신청하라고 안내했고, 이번 신청은 그 연장선에 있다. 이 안건 초기에도 한 참여자가 한국 정부의 부적절한 인증서 발급 이력을 들어 신중한 검토가 필요하다는 의견을 낸 적이 있다.

최근에는 한 참여자가 등재에 명확히 반대하는 의견을 남겼다. 그는 전체 공개접미사(public suffix)에 대한 와일드카드 인증서를 발급하는 중대한 오발급을 반복해 신뢰를 잃고 제외됐던 정부 운영 루트 CA가 다시 등재된 전례가 없다며, 행안부 루트 CA의 재등재에 반대한다고 밝혔다. 공개접미사란 여러 사이트가 공통으로 쓰는 상위 도메인 영역을 말하며, 여기에 폭넓게 적용되는 인증서를 잘못 발급할 경우 광범위한 사이트가 위조 위험에 노출될 수 있다는 점에서 심각한 사안으로 여겨진다.

다만 신청 측은 2년에 걸쳐 모질라의 지적을 반영해 운영 규정을 거듭 보완하고 국제 감사 인증을 확보하는 등 요구 조건을 충족하려 노력해 왔다는 입장이다. 모질라 역시 이 안건을 일방적으로 거부한 것이 아니라 공개검토 단계까지 끌어올린 만큼, 과거 이력과 현재 체계가 어떻게 달라졌는지가 앞으로의 핵심 쟁점이 될 전망이다. 정부가 운영하는 인증기관은 보안 서비스의 편의를 높이는 동시에, 국가가 인증서 발급에 개입할 수 있다는 우려도 함께 따르는 만큼, 공개검토 과정에서 신뢰성과 안전장치를 둘러싼 논의가 이어질 것으로 보인다.

정부 운영 루트 CA에 대한 엄격한 잣대는 한국에만 적용되는 것은 아니다. 모질라는 과거 일본 정부 PKI의 루트 등재 신청도 검토 끝에 받아들이지 않고, 새 루트로 다시 제출하도록 한 사례가 있다. 브라우저 신뢰 저장소에 한번 오른 루트인증서는 전 세계 수많은 이용자의 통신을 보증하게 되는 만큼, 어느 기관이 운영하든 발급 통제와 거버넌스에 높은 수준의 검증이 요구된다는 것이 보안업계의 일반적인 시각이다. 이번 안건의 향배는 한국 정부가 과거의 신뢰 문제를 어떻게 극복했는지를 국제 사회에 입증할 수 있느냐에 달린 셈이다.