웹서버 인증서 업계 공방의 원인은128비트 지원여부

닷네임코리아(대표 김준용 www. anycert.com)와 나인포유(대표 유충민 www. thawte.co.kr)간에 이뤄지는 소송 공방의 화두는 ‘128비트 암호화를 지원한다는 의미를 어떻게 볼 것인가’다.

닷네임과 한국정보인증 등은 ‘표준 SSL인증서’ 만으로 128비트 지원을 표기할 수 있다는 입장이다.

반면에 나인포유와 한국전자인증은 웹브라우저 수준에 관계없이 128비트를 지원하는 ’SGC 인증서’라야 정확한 의미의 128비트 인증서라고 강조하고 있다.

의견 충돌은 경쟁사 비방과 과장광고 혐의로 이어지기도 했다.

닷네임코리아는 나인포유 대표이사와 직원을 명예훼손 및 영업방해 등의 혐의로 경찰에 고발했으며, 나인포유는 공정거래위원회에 닷네임코리아를 과장광고 혐의로 신고한 것이다.

◆웹 서버 인증서의 암호화 강도는 이렇게 결정난다

국내에서 웹서버 인증서를 팔고 있는 곳은 한국전자인증, 나인포유, 한국정보인증, 닷네임코리아, 엔트러스트코리아 등이 있다. 대부분 외국제품인 사설 인증서 판매에 주력하고 있다.

한국전자인증은 베리사인 것을, 나인포유는 써트 것을, 한국정보인증은 밸리서트 것을, 닷네임코리아와 엔트러스트 코리아는 엔트러스트 것을 팔고 있는 것.

모두가 128비트 인증서(SSL 128비트 암호화 시스템)를 팔고 있다고 ‘홍보’한다. 이미 40비트 암호(SSL 40비트 암호화 시스템)는 보안에 구멍이 뚫렸기 때문이다.

웹서버 인증서 암호화 수준은 서버와 브라우저의 키 값이 결정한다. 서버가 만드는 공개키 값(412비트, 1024비트, 2048비트 등)과 웹 브라우저(익스플로러, 넷스케이프)에 포함된 SSL 모듈이 만드는 대칭키의 크기(40비트, 56비트, 128비트)에 따라 달라지는 것이다.

그런데 ‘표준SSL인증서’와 ‘SGC 인증서’는 다른 특징을 갖는다.

‘표준인증서’의 경우 브라우저가 128비트 암호를 지원해야 128비트로 암호화한다. 하지만 ‘SGC 인증서’는 브라우저에 관계없이(40비트, 56비트라도) 128비트 암호화를 지원하는 게 특징이다.

◆표준 인증서 만으로 가능..닷네임, 한국정보인증

닷네임코리아와 한국정보인증측은 ‘표준 SSL 인증서’만으로 128비트 암호화 지원을 말할 수 있다고 강조한다. ‘표준 인증서’의 경우 물론 사양이 낮은 브라우저(40비트나 56비트)를 쓰는 고객이라면 직접 브라우저를 업그레이드해야 하는 등 불편함이 따르지만, 128비트 지원은 기본적으로 맞다는 입장이다.

닷네임코리아 관계자는 “베리사인과 써트를 제외하고 볼티모어, 엔트로스트, 국내 공인인증기관 모두가 표준인증서만으로 128비트로 표시해서 영업하고 있는 상황에서 나인포유가 이를 문제삼은 것은 이해하기 어렵다”고 말했다.

◆베리사인과 써트만이 128비트 지원.. 나인포유, 한국전자인증

하지만 나인포유와 한국전자인증의 입장은 다르다. 나인포유는 써트 인증서를, 한국전자인증은 베리사인인증서를 팔고 있다.

나인포유 관계자는 “브라우저의 키 값에 관계없이 128비트를 지원하는 제품(써트, 베리사인)과 브라우저에 따라 암호화 수준이 다른 인증서(엔트러스트 등)를 어떻게 똑같이 128비트라고 할 수 있겠느냐”라고 밝혔다.

한국전자인증측도 “아직도 많은 사람이 128비트 암호화가 안되는 웹브라우저나 운영체제를 쓰는 만큼 보안이 중요한 쇼핑몰 등에서는 (비싸더라도) SGC 기능이 포함된 베리사인 것을 설치해야 할 것”이라고 강조했다.

◆공정위 닷네임 경고조치.. 어떤 의미 있을까

128비트 지원 표기 논란이 가열되고 있는 가운데, 공정거래위원회가 닷네임코리아에 경고조치해서 관심이 높아지고 있다.

공정위 관계자는 “SGC인증기능을 제대로 언급하지 않고 다른 회사(한국전자인증 등) 인증서와 일괄적으로 가격 비교를 한 닷네임코리아에 경고조치했다”고 말했다.

하지만 공정위의 이같은 조치에도 불구하고, 논란은 그치지 않고 있다. 시정명령이 아닌 (법적인 강제성이 없는) 경고조치여서 미치는 효과가 적기 때문이다. 공정위 경고조치만으로 “SGC 인증서라야 128비트 인증서라고 말할 수 있다”고 하기엔 무언가 부족하다는 평가다.

하지만 앞으로 각 쇼핑몰들은 합리적인 선택을 하는데 도움을 받을 수 있을 것으로 기대된다.

‘SSL 표준 인증서’와 ‘SGC 인증서’간 차이를 이해하는 속에서, 선택할 수 있게 됐기 때문이다.

쇼핑몰 업계 한관계자는 “128비트를 지원하려면 소비자가 브라우저를 업그레이드해야 하는 ‘SSL 표준인증서’는 연 50만원에서 최고 100만원이면 살수 있고, 편리한 ‘SGC 인증서’는 연 120만원이상 고가인 점을 충분히 고려해서 각 사 사정에 맞게 선택하면 될 것"이라고 말했다.