그냥 평범한 이 뉴스를 보세요...
뉴스 자체는 평범합니다. 뭐 여기에 오류는 딱히 없겠죠. 다만 그 내용이 걱정스러울 뿐이죠.
'끝내리시드' 소리까지 들어가며 반다이 배를 불려준 동인녀용 건담과 백합 성향(?) 학원물이 뭐가 문제냐구요? 우연인지 필연인지는 모르겠지만, 이 두 단어만 보면 KISA나 국정원에도 뭔가 애니메이션 마니아가 있다는 의심을 지울 수 없습니다만...(이름 한 번 참 멋지게 지었습니다.) 하지만 이 기사는 사실 그렇게 기쁜 소식은 아닙니다. 곡해해서 들으면 이렇게 들릴 수 있기 때문입니다.
"KISA-국가정보원, 우리나라 인터넷 세상의 ActiveX 종속화 확대를 위해 노력 합의'
도대체 무슨 소리냐구요? SEED와 ARIA는 만든 곳과 그 규격은 조금씩 다르지만 웹 브라우저와 서버가 주고 받는 데이터를 암호화하는 규격입니다. SEED가 민간 규격이자 국제 규격이며, ARIA는 정부 주도의 KS 규격이라는 점만 다를 뿐입니다. 그런데 이것과 ActiveX가 무슨 상관이 있냐구요? 상관이 있으니까 이야기를 꺼내겠죠.
암호화 수준이 커지면 그만큼 기본적인 보안 능력은 좋아집니다. 하지만 이러한 보안 기술은 국가 안보와도 관련이 있기에 컴퓨터와 인터넷 암호화를 시작한 미국에서 그 기술을 미국 이외의 나라에서 쓰지 못하도록 했습니다. 지금은 그런 것이 없지만, 미국에서는 128비트 암호화를 쓸 때 우리나라는 40비트같은 낡은 암호화 웹 기술만을 써야 했습니다.
하지만 약한 암호화는 해킹 위험성이 크기에 우리나라에서 인터넷 뱅킹을 만드는 시점에서 나름대로 고민을 할 수 밖에 없었습니다. 그래서 내린 결론은 '외국의 간섭이 없는 우리나라만의 128비트 암호화 규격을 만들자'였으며, 그 결과 1998년에 SEED가 태어났습니다.(ARIA는 그 이후 나온 규격입니다.)
문제는 SEED 암호화 규격은 웹 브라우저에 들어간 기본 기능이 아니라는 데 있습니다. 기본 기능이 아닌 것을 쓰게 하려면 따로 프로그램이 필요한 것은 당연한 법. SEED 지원은 별도 프로그램이나 IE의 플러그인인 ActiveX 컨트롤 형태로 들어가게 되었습니다. 안 되는 것을 되게 하려고 노력한 KISA나 업계의 노력인 SEED는 적어도 이 시점에서는 그렇게 잘못된 것은 아니었으며, SEED 자체가 태어나지 말았어야 한다는 주장은 어디까지나 결과론에 불과한 이야기입니다. iris 역시 SEED가 태어나지 말았어야 한다는 막나가는 주장은 하지 않습니다.
문제는 세상이 바뀌면 SEED 자체도 달라져야 했음에도 전혀 그렇지 못했다는 점입니다. 미국이 128비트 암호화 규격을 수출 금지 품목에서 빼면서 이제 우리나라에서도 검증된 128비트 암호화를 쓸 수 있게 되었습니다. SEED 자체가 미국의 128비트 암호화 금수 조치에 따른 반동 성격이 강했기에 이 시점에서 KISA나 정부, 업계는 SEED의 미래에 대해 진지하게 생각할 필요가 있었습니다. 정상적인 상황이었다면 SEED는 그 역할을 다하고 역사의 뒤안길로 사라지거나, 아니면 정부가 빌형기업이나 다른 웹 브라우저 개발사에 SEED 기본 내장이 이뤄질 수 있도록 노력을 다 해야 했을 것입니다. 하지만 결과는'그냥 방치'에 불과했습니다. SEED는 더 널리 퍼져 우리나라 인터넷 금융의 기본이 되었으며, SEED는 여전히 웹 브라우저의 주변인에 그쳤습니다. 나중에 OpenSSL이나 FireFox에 SEED가 들어가기는 했습니다만, 여전히 IE에서 SEED는 주변인입니다. 아직 나오지도 않은 IE8 역시 SEED나 ARIA는 들어가지 않습니다.
이 문제는 꽤 심각한데, SEED나 ARIA를 쓰려면 누군가가 관련 플러그인이나 프로그램을 만들어주기를 기다려야만 합니다. 이런 플러그인과 프로그램이 없는 운영체제 및 웹 브라우저/네트워크 어플리케이션은 SEED/ARIA를 전혀 쓸 수 없습니다. 현재로서는 SEED/ARIA 지원이 철저히 ActiveX 중심으로 이뤄져 있기에 FireFox나 다른 웹 브라우저를 쓰면서 인터넷 뱅킹/기타 보안 작업을 하는 것은 사실상 불가능합니다.
물론 '돈이 된다면' 특정 업체가 서드 파티 웹 브라우저나 Linux 등 다른 운영체제용으로 SEED/ARIA 플러그인을 만들어 줄지도 모릅니다. 하지만 국내 기업들은 '돈이 안 된다'는 이유로서 이런 작업에 소홀하며, 정부기관 역시 이 부분에 손을 놓고 있습니다. '이론적으로 다른 웹 브라우저 및 운영체제에서도 작동하니 문제가 없다'는 말만 되새김질할 뿐입니다. 이론적으로 안 될 것이야 없겠죠. 하지만 '업계 자율'이라는 핑계로 사실상 '안 되도록' 방치하고 있다는 책임에서는 자유롭지 못할 것입니다.
그 때문에 KISA와 국정원이 SEED와 ARIA 보급에 적극적으로 나서겠다는 뜻은 '사실상 Windows 및 IE 독점화에 기여하겠음'을 의미합니다. 직접 타 운영체제와 웹 브라우저용 SEED/ARIA 플러그인을 만들어 줄 생각도 없고 업체들에게 개발을 장려할 것도 아니면서 말만은 우리나라의 보안을 확실히 책임져 주는 것인 양 있는 폼을 다 잡습니다.
물론 SEED나 ARIA만 어떻게 한다고 우리나라의 인터넷 뱅킹이 편해지는 것은 아닙니다. SEED/ARIA는 보안의 기본인 암호화만 담당하지, 인터넷 뱅킹의 전부는 아닙니다. 국가정보원이 정한 인터넷뱅킹 보안 규격에는 '오픈 소스가 아닌' 키보드 해킹 방지 툴과 방화벽, 그리고 바이러스 백신이 필요합니다. 이런 것은 빌형기업 Windows에서나 필요한 것이지 바이러스 걱정이 거의 없는 Linux나 OS/2, MacOS에서 생각할 것이 아님에도 강제화한 결과 'Windows 아니면 꺼져' 상황을 만들어 버렸습니다. 더군다나 공인 인증서 역시 Windows 전용이며, 법원마저도 이것이 불공정거래가 아니라고 해버린 만큼 국가정보원이나 방송통신위원회의 생각이 바뀌지 않는 한 우리나라는 '빌형기업이 ActiveX의 목을 쥐고 흔드는 것에 벌벌 떠는' 상황이 이어질 것입니다.
이런 상황 개선의 의지를 전혀 담지 않고 있는KISA와 국정원의 SEED와 ARIA 보급 합의를 보며 별 능력도 없으면서 온 세상에 자기 하나만 잘났다고 주장하는 '찌질이' 신 아스카가 떠오르는 이유는 뭘까요? 겉보기에는 폼은 다 재고 자랑은 다 하면서 점차 수렁으로 밀어 넣는 무능한 존재... IE 의존이라는 구덩이로 우리나라 인터넷 환경을 더 밀어 넣으려고 하는 두 조직의 합의를 이렇게 보는 것이 너무 SEED같은 발상인가요?
추신: SEED와 ARIA의 이름으로 말장난을 조금 쳤습니다만, 이들은 실제로 무개념 건담, 그리고 백합 학교와 관련이 없습니다.^^
SEED: KISA가 개발한 TTA(정보통신 단체 표준) 128비트 암호 규격. 국제 표준 규격이기도 함.
ARIA: 기술표준원이 만든 KS(국가 표준) 128비트 암호 규격. 64비트 프로세서에 최적화된 암호화 규격.
출처 - http://myiris.egloos.com/
'Security > Cryptography' 카테고리의 다른 글
| 암호학 - 고전암호 :: 치환암호 (0) | 2011.05.07 |
|---|---|
| 암호학 - Block Cipher :: 운영모드 (0) | 2011.05.07 |
| 암호학 - Block Cipher :: ARIA C# Code (0) | 2011.05.07 |
| 암호학 - Block Cipher :: AES S-Box, GF(2^8) 의 x^-1 Table (0) | 2011.05.07 |
| 암호학 - Involutional SPN (0) | 2011.05.07 |