Mozilla 한국 커뮤니티

'* 현재 대민서비스를 위해 웹브라우저 중 IE를 제외한 타 브라우저에서는 행정전자서명인증(GPKI) 최상위인증기관(행정안전부)인증서가 미등록되어 대민서비스에 어려움을 격고 있습니다.
* 이에 따라 각종 대민서비스를 멀티 웹브라우저로 자유롭게 이용할 수 있는 환경 제공의필요성이 제기되어
- 행안부에서 멀티브라우저 지원을 위한 등록 가능한 Opera Software(Opera), Apple(Safari)에 최상위인증시스템 등록을 ‘09. 10월에 요청 하였습니다.
- 요청결과 최상위인증서 등록을 위한 브라우저社의 추가자료 제출 요청이 '10. 4 ~ 5
월에 있어 자료를 제출할 예정이며, 등록은 2010년 하반기에 있을 예정에 있습니다.
- FireFox의 경우는 오픈소스 프로젝트에 의해 개발되어 최상위인증서 등록을 위한 협의 주체가 없어 등록추진의 어려움으로 서비스가 되지 않고 있음을 양해바랍니다.
'

국민신문고에 EPKI에서 발행하는 SSL인증서를 FF3.6.4에서 쓸 수 없다고 민원을 넣으니 온 답변.

FF는 모질라재단이 주축이 되어 개발하고 버전업 하는 걸로 알고 있는데...제가 잘못 알고 있었나요?

모질라 재단도 있고 모질라 코퍼레이션도 있는데 뭔 개소린지?
귀찮아서 확인도 안해본 모양인데요?

ㅎㅎ 좀 웃기는 군요. 공신력있는 인증 기관 기준에
맞추어 달라는 요구를 거부하고 편법으로 넣어 달라고
하는 중입니다.

https://bugzilla.mozilla.org/show_bug.cgi?id=335197

이에 반해 일본 정부 루트 인증서는 이미 탑재되어
있습니다.

음......조금 잊고 있다가 방금 홈페이지를 돌아다니며 확인해봤는데...행안부 산하에 두 기관이 민간최상위 인증기관으로 되어있다고 표시가 되어 있더라고요(kisa홈피)
그러면 kisa 산하의 기관에서만 인정이 되고, 행정쪽(GPKI, EPKI등등) 계열에서는 인정이 안된다는 것으로 이해하면 되나요? 두 기관이 상호인정하는게 맞는 것 같은데;;;

저는 KISA의 LCA들의 전문성을 못믿겠고, KISA는 국정원 때문에 못믿겠기 때문에 사실 KISA의 루트인증서가 FF에 포함되는 것에 매우 꺼림직한 느낌을 갖고 있습니다만(만약 포함된다면 저는 수동으로 제거할 생각입니다),

그간 진행된 과정을 보면 KISA가 저렇게 반응하는 것도 이해할만 하다고 보입니다. FF측에서 요구하는 기준에 맞추기 위해 KISA는 (좀 어리버리하게 헤멜 때도 있었지만) 성실하게 하나 하나 필요한 것들을 제출하면서 FF의 요구에 응해왔던 반면, FF측에서는 (아마도 내부문제로) 몇차례나 담당자가 바뀌면서 몇개월씩 아무 답변 없는 일이 반복되다가 가장 최근 담당자로 바뀐 후로는 KISA가 아예 거의 처음부터 다시 절차를 진행하게 만들었으니까요. 안정적으로 일을 진행할 주체가 없다고 판단할 만도 합니다.

저는 그보다는 오히려 루트인증서를 포함하는 과정을 보면서, 이게 사실 실질적으로 보안을 담보하기엔 너무 형식적이라는 느낌을 받습니다. 가령 정통부(지금은 이름이 바뀌었나요?아무튼..)가 KISA에 대해 WebTrust 기준을 충족시켰는지 감사를 했느냐 하는 부분도 정통부가 홈페이지 어느 구석에 공개한 공식 문서 달랑 한장으로 처리가 되는데, 가령 그 문서대로 KISA에 대한 감사가 제대로, 실질적으로 진행되었는지 감사할만한 전문성/의지를 갖춘 주체가 있기나 할까요? 감사원? 국회? 글쎄요. KISA가 하위 LCA들에 대해 얼마나 제대로 감사할지, 또 LCA들이 인증서 발급신청자들을 얼마나 제대로 검증할지 하는 건 더 말할 필요도 없고요.

특히 해당 쓰레드 중에 나온 의문 중에 KISA CA 및 하위 LCA 들이 의도적으로 위조된 인증서를 발행할 위험이 있느냐 없느냐 같은 건 매우 중요한 문제이고 철저한 검증을 거쳐야할 부분일텐데, 잠깐의 공개 검증 기간 동안 그런 보고가 없으면 그냥 넘어가게 되는 시스템이네요.

물론 이런 건 FF가 더 이상 어떻게 할 수 없는, 국내 시스템의 한계라는 생각이 듭니다만(하지만 솔직히 소위 선진국들이라고 아주 많이 틀릴 것 같진 않네요), 참 위임에 위임을 거듭하는 PKI 시스템이라고 하는 것이 그것 참..

결론적으로 KISA가 글로벌 기준의 Web Trust에서만 auditing이 되어 있으면 이렇게 까지 시간을 끌 필요가 없는 것이었습니다. 그게 없다 보니 CPS와 프로세스를 하나하나 세세하게 검토할 수 밖에 없는 상태가 된 것이죠.

수년간 담당자가 바뀌면서 인수 인계가 안되어 커뮤니케이션 측면은 문제가 좀 있지만 Mozilla 재단 측면에서는 솔직히 KISA에 너무 많은 리소스를 투여한 것은 사실입니다. 일본의 정부 인증 기관이 Web Trust를 받아서 바로 등록된것에 비하면 말이죠.
https://bugzilla.mozilla.org/show_bug.cgi?id=474706

한명이 처리하고 검토 하는 업무는 산더미이구요. 파고들수록 허점이 나오는게 KISA의 인증 정책이라... KISA는 정부 기관도 아닌데 왜 Web Trust를 못 받는지 안 받는지 이해가 안갑니다.

어쨌든 지금도 KISA에서 반응이 없는 것으로 보아 포기한 듯 싶구요. 그건 전적으로 모질라의 문제는 아니라는 것입니다.

한가지 궁금한것이 있습니다. Web Trust라는 것이 어떤 것인지 제가 몰라서 드리는 질문인데요.

Web Trust라는 것에 대한 자세한 설명이 있는 Link등을 붙여주신다면 제가 본글을 이해하는데 도움이 될것 같아서 이렇게 질문 드립니다. ..

WebTrust.org를 참고하세요.
http://www.webtrust.org/