<p class="cafe-editor-text">현재 5곳이 공인인증기관으로 지정받아 공인인증 서비스를 제공하고 있습니다. <br /><br />은행 등은 공인인증서 발급대행기관에 불과할 뿐이고 실제 발급기관은 아래 공인인증기관들이다<br /><br />①한국정보인증(주) <a href="http://www.signgate.com">http://www.signgate.com</a><br /><br />한국정보인증은 우체국을 등록대행기관으로 삼고 있습니다. 우체국 사이트에 가서 인터넷 뱅킹을 클릭하면, 공인인증서 처리에 필요한 가입자 소프트웨어가 제공됩니다. 그 소프트웨어는 한국정보인증이 코드사인을 하고 배포하는 것입니다. <br /><br />한국정보인증이 제공하는 가입자 소프트웨어는 “최상위 인증기관 인증서”의 설치에 대하여도, 이용자에게 그것을 신뢰할지 여부를 선택할 수 있도록 하고 있습니다. 이용자가 판단할 수 있도록 그 인증서의 해쉬값도 제공합니다. 자세한 설명을 곁들여. 이용자가 boss 라는 점을 분명히 느끼게 해 줍니다. <br /><br />한국정보인증은 리눅스 이용자를 위한 가입자 설비도 스스로 제공합니다.<br /><br />②(주)코스콤 <a href="http://www.signkorea.com">http://www.signkorea.com</a><br /><br />코스콤(Korea Securities Computer Corp.) 역시, 자신이 코드사인 한 가입자 설비를 제공하고 있습니다. <br /><br />코스콤의 등록대행기관들에 가서 “공인인증서 관리”를 클릭하면, 동일한 소프트웨어가 제공됩니다.<br /><br />코스콤이 제공하는 가입자 소프트웨어에는 KISA Root CA 만이 최상위 인증기관으로 등록되어 있습니다. <br /><br /><br />③한국전자인증(주) <a href="http://gca.crosscert.com">http://gca.crosscert.com</a><br /><br />한국전자인증도 가입자 소프트웨어를 자신이 배포자로 코드사인하여 제공하며, KISA Root CA 만을 “신뢰된 루트인증 기관”으로 등록해 두고 있으며, 최상위 인증기관 인증서의 해쉬값을 검증할 수 있는 수단을 친절한 설명과 함께 제공하고 있습니다.<br /><br /><br /><br /><br />④금융결제원 <a href="http://www.yessign.or.kr">http://www.yessign.or.kr</a><br /><br />이제 금융결제원을 봅시다. 금결원 홈페이지에서 제공하는 가입자 소프트웨어는 금결원이 코드사인 한 것은 분명합니다. 그러나, 그 소프트웨어를 내려받아 설치를 해도, 어떤 이유인지는 모르겠지만, 인증서 관리자 프로그램이 실행되지 않습니다.<br /><br />결국, 금결원의 홈페이지에서 제공하는 가입자 설비는 이용이 불가능한 것이고, 그 대신 금결원은 자신이 발급하는 인증서가 “공인인증서”라고 주장하면서, 은행(금결원의 등록대행기관)의 홈페이지에서 발급받으라고 안내하고 있습니다. <br /><br />은행들이 어떤 소프트웨어를 내려주는지는 우리가 잘 알고 있습니다. 소프트포럼, 이니텍 등이 코드사인을 하고, 온갖 잡다한 인증서들이 이용자들도 모르는 사이에 “최상위 인증기관 인증서”로 등록되어 있는 짝퉁 가입자 소프트웨어 입니다. 이 소프트웨어들은 KISA의 점검을 받은 적도 없고, 법이 정한 규격을 준수하는지도 알 방법이 없습니다. 오직 그것을 만든 회사만이 진실을 알고 있을 것입니다. 이니텍이 배포한 소프트웨어는 이니텍의 자기서명 인증서를 제거할 수도 없도록 해 두었습니다!<br /><br />정통부 김태완씨는 은행이 사용하는 보안 프로그램은 금융감독원의 심사를 받는다고 주장합니다. 그러나 금융감독원은 공인인증제도의 감독관청도 아니고, 공인인증서 발급에 사용되는 가입자 설비를 심사할 권한도 전문성도 없습니다. <br /><br />실제로 은행이 공인인증서 발급에 사용하는 私製소프트웨어에 대하여는 금융감독원은 그것이 어떻게 생겼는지도 모릅니다. 물론 은행이 사용하는 정보보호시스템에 대하여는 전자금융감독규정 시행세칙 제32조(보안성심의) 제1항 제3호가 다음과 같이 금감원의 심사 사항을 규정합니다:<br /><br />보안장비 및 암호프로그램 등 정보보호시스템(외부통신망 접속을 위하여 사용되는 경우에 한한다)을 도입하는 경우. 다만, 별도로 보안장비 인증을 담당하는 국가기관 또는 감독원장이 인정하는 기관에서 평가․인증․개발․발표하였거나 이에 준하는 것으로 감독원장이 인정한 장비 및 프로그램의 경우에는 그러하지 아니하다”<br /><br />보안 업체들의 관행은, 암호화 모듈만을 국정원에 제출하여 심사를 받습니다(사실은 그럴 이유도 없습니다; 국정원 심사는 정부기관이 사용하는 암호화 프로그램에 한합니다. 은행은 정부기관이 아닙니다.). 그런 다음 그 모듈을 사용한 암호화 프로그램은 “보안장비 인증을 담당하는 국가기관”에서 인증받았다는 이유로 금감원의 심사도 받지 않고 무사 통과합니다. <br /><br />그러나 국정원 보안인증사무국은 전자서명제도가 무엇인지 조차 모르는 사람들입니다. 그들의 임무는 암호(encryption) 소프트웨어에 관한 검증이지, 전자서명(electronic signature) 제도에 관한 심사권한도 없고, 심사를 수행할 전문지식도 없습니다. 따라서 이니텍 등이 온갖 괴상한 루트인증서를 여기 저기 숨겨두었는지 전자서명을 어떤 알고리즘으로 생성하는지, 키관리는 어떻게 하는지, 아무도 심사하지 않습니다. 한마디로 “개판”입니다.<br /><br />댓글을 다시는 어느 분은 이니텍, 소포에 대하여 “힘들게 버티는 벤처기업”이라 표현하셨지만, 더 힘들게 버티는 다른 보안업체들은 모두 제대로 된 가입자 소프트웨어를 제공하는데, 우리 나라 보안 솔루션 시장을 양분하다 시피 장악하고 있는 이들 두 회사들은 어째서 이용자의 동의도 구하지 않고 정체불명의 여러 인증기관인증서와 서버인증서를 무조건 믿도록 해둔 클라이언트 소프트웨어를 슬그머니 전국민의 컴퓨터에 깔아버렸는지 모르겠습니다. 그렇게 하시면, 앞으로 정말 “힘들게 버티어야” 할지도 모르겠습니다.<br /><br />⑤한국무역정보통신 <a href="http://www.tradesign.net">http://www.tradesign.net</a><br /><br />한국무역정보통신은 자신이 코드사인하지 않고, 보안 업체가 코드사인한 소프트웨어를 제공하고 있습니다(위법합니다). 다만, 소프트웨어 이름을 TradeInstaller 라고 표시하여, 자신을 명시하고 있습니다. <br /><br />[보충] 이 글이 게시된 후, 한국무역정보통신은 가입자 소프트웨어를 자신이 코드사인하여 배포함으로써, 적법하게 교정하였습니다. 신속한 조치에 감사드립니다. 2007.6.1. <br /><br />무역정보통신이 제공하는 가입자 소프트웨어에는 공인인증기관만이 “중개인증기관”으로 등록되어 있고, KISA Root CA 만이 “루트인증기관”으로 등록되어 있습니다.<br /><br /><br />⑥한국정보사회진흥원 <a href="http://sign.nca.or.kr">http://sign.nca.or.kr</a><br /><br />한국정보사회진흥원은 2008년 6월 30일부로 공인인증업무를 중단했고, 그 업무는 한국정보인증(주)로 이관되었습니다.<br /><br />정보사회진흥원이 배포하는 가입자 소프트웨어는 KSign, Co. Ltd. 가 배포자로 서명하였습니다. 그러나, 소프트웨어의 이름은 NIASign (정보사회진흥원) ActiveX Control 이라고 제대로 표시되어 있습니다.<br /><br />정보사회진흥원이 제공하는 가입자 소프트웨어는 최상위인증기관 인증서의 해쉬값 검증 수단을 제공하고(스크린 샷), KISA Root CA 만을 “신뢰된 루트 인증기관”으로 등록해 두었음은 물론, 이용자가 원하면 그것도 삭제할 수 있도록 하고 있습니다. <br /><br /><br /><br /><br /></p>
<!-- -->
