행정전자서명, 시도교육청의 무분별한 발급으로 보안성 훼손

행정기관 인증인 GPKI, 교육부 산하 기관에 무분별 발급
최상위인증기관이 ‘와일드카드’ 발급했다는 비판 높아져
교육부, “전국 17개 시·도 교육청 및 학교 전수조사 중”

[보안뉴스 오다인 기자] 우리나라 정부에서 인터넷 보안을 위해 공식 발급하는 인증서가 지금까지 무분별하게 발급돼 왔다는 사실이 드러나 파장이 커지고 있다. 인증서의 발급 이유인 인터넷 보안과 신뢰가 국가 최상위인증기관에서부터 한꺼번에 추락했다는 비판이 거세다.

[로고=교육부]

GPKI(Government PKI)는 전자정부법에 근거한 행정기관 간 인증체계를 말한다. 우리말로 간단히 ‘행정전자서명’이라고 부르는 GPKI는 행정안전부(장관 김부겸)가 최상위인증기관(Root CA)이며, 산하의 행정전자서명 인증관리센터에서 운영하고 있다.

최상위인증기관은 신뢰받는 인증기관으로서 타 기관에 대해 인증서를 발급한다. 이때 신뢰할 수 있는 기관에 한해 인증서를 발급하며, 발급되는 모든 인증서에 대한 유효성 검증도 최상위인증기관에서 이루어진다. 구글 크롬(Chrome)이나 모질라 파이어폭스(Firefox) 같은 개별 브라우저에서 최상위인증기관이 발급한 인증서를 신뢰하는 이유다.

그러나 최근 우리나라 GPKI 최상위인증기관이 교육부(장관 김상곤) 산하 교육기관들에 발급한 인증서가 신뢰할 수 있는 기관에 한해서만 발급된 것이 아니라는 사실이 드러났다. 애초 인증서는 발급을 신청한 기관 사이트에 한해서만 허용돼야 하나, ‘*.or.kr’(단체 도메인), ‘*.hs.kr’(고등학교 도메인), ‘*.ms.kr’(중학교 도메인), ‘*.gne.go.kr’(교육청 도메인) 등으로 발급됨으로써 이렇게 끝나는 모든 도메인에 대해 사실상 관리자 마음대로 어떤 사이트든 인증이 가능하게 된 것이다. 별표(*)는 해당 위치에 자릿수와 관계없이 어떤 문자도 올 수 있다는 의미다.

다시 말해 인증서 신청 자체의 의미가 없어졌다는 것. 이에 대해 보안전문가들은 우리나라 GPKI 최상위인증기관이 ‘와일드카드(wild card)’ 또는 ‘프리패스(free pass)’를 발급했다고 비판하고 있다. 이 같은 사실은 인평자동차고등학교 2학년에 재학 중인 이성재(트위터 아이디 ‘@_Hoto_Cocoa_’) 군이 최초로 발견한 뒤 자신의 트위터 계정을 통해 4일 오전 알렸다.

또한, 인증서 관리 소홀로 사이버 공격자가 이를 도난하고 악용할 경우, 이용자를 자신의 피싱 사이트로 우회시키거나 기타 시스템에 적용해 연결이 안전한 것처럼 꾸밀 수 있다. SSL 인증서를 도중에 바꿔놓는다 해도 이용자 선에서 파악할 방법이 없고, 브라우저 단에서도 안전하지 않은 연결을 검증할 방법이 없다는 우려가 나온다. 한국 정부가 발행하는 GPKI를 각 브라우저 측에서 신뢰할 수 있겠느냐는 의문도 제기되고 있다.

행정전자서명 인증관리센터의 위탁 운영을 맡고 있는 한국지역정보개발원(원장 손연기)은 이런 사실에 대해 5일 오전 6시 행정안전부(이하 행안부)에 보고했으며, 같은 날 오후 행안부에서 교육부 측에 사실 통보 및 조치를 요청하는 공문을 발송했다고 밝혔다.

이번 문제는 교육부 산하 경남교육청에서 웹사이트용 인증서를 기준대로 발급하지 않아 발생한 것으로 드러났다. 이에 교육부 정보보호팀은 전국 17개 시·도 교육청 및 학교에 공문을 발송해 전수조사를 진행 중이며, 신속한 조치가 필요한 부분에 대해서는 담당자와 직접 연락하면서 대응 요령을 설명한 상황이라고 밝혔다. 교육부는 문제가 된 인증서 폐기가 6일 중 완료될 것으로 보고 있다고 설명했다.
[오다인 기자(boan2@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)