이석준* 원유재**

인터넷과 무선 이동통신의 만남으로 이루어진 무선인터넷은 무선환경의 한계로 인하여 유선망에서와 같은 프로토콜을 그대로 적용하기가 쉽지 않으며, 마찬가지로 보안 문제를 위하여 유선망에서 가지고 있는 해결책을 그대로 적용하는 것은 무리가 있다. 본 고에서는 무선인터넷 보안문제에 대해서 언급하고, 현재 이를 해결하기 위하여 연구되고 있는 보안기술의 동향과 표준화 방향, 향후 전망에 대해서 살펴보고자 한다. ▒

I. 서 론

최근 들어 우리의 주위에서 폭발적으로 활성화되기 시작한 두 가지 매체가 있다. 전세계에 널리 퍼져 있는 어떠한 정보도 손쉽게 다가갈 수 있도록 해준 인터넷과, 자신과 상대방이 언제 어디에 있든지 바로 연결을 시켜줄 수 있도록 해준 무선 이동통신이 그것이다. 이 두 가지 매체의 특징을 하나로 합칠 수 있는 새로운 매체의 탄생에 대한 요구가 계속 있었으며, 이 요구를 만족시켜주기 위해 무선인터넷이 새롭게 출현하게 되었다.

무선인터넷은 언제 어디서나 인터넷을 손쉽게 사용할 수 있도록 해준다. 차를 타고 가는 도중 점심 식사를 하고 싶다고 가정해보자. 근처에 근사한 식당이나 카페테리아가 어디에 있는지를 손쉽게 찾아낼 수 있다면 정말 편리할 것이다. 혹은 긴급히 증권 거래를 해야 하거나 은행 업무를 보아야 할 경우가 생기더라도 단순히 무선 단말기만 있으면 업무를 해결할 수 있게 된다고 생각해보자. 이처럼 기존에는 불가능했던 편리한 서비스를 가능하게 해줄 수 있는 것이 바로 무선인터넷이며, 이는 곧 현실로 다가오고 있다.

물론 다른 입장에서 보면 무선인터넷은 기존의 이동통신 사업자 입장에서는 이동통신 가입자가 포화상태에 이르러 더 이상 증가하지 않을 것이라 보고 새로운 부가가치를 창출하기 위한 서비스로서 앞 다투어 제공하려고 하는 것이고, 단말기 제조업자 입장에서도 새로운 기능을 가지는 단말기에 대한 수요를 창출하기 위해 필요로 한다고 할 수 있다. 그러나, 무선인터넷 서비스가 생기게 된 동기가 어디에 있든 매력적인 서비스임에는 틀림없으며, 잠재적인 시장 규모 또한 엄청나게 크다고 보여진다. 시장조사 전문 업체인 IDC에 따르면 2002년이면 이미 무선인터넷 인구가 유선인터넷 인구를 앞질러 7억 여명에 이를 것이라고 예상하고 있으며[1], 세미코 리서치는 2004년 인터넷 접속기기 시장에서 무선인터넷 접속용 전화기가 차지하는 매출 비중이 무려 42.1%에 달할 것으로 보고 있다. (그림 1)에서 무선 단말기를 이용한 무선인터넷 서비스가 이루어지는 전체적인 흐름을 보여주고 있다.

그런데, 만약 앞서 얘기한 것과 같이 무선 단말기를 이용해서 증권 거래나 은행 업무를 보는 도중 송수신하는 데이터, 특히 비밀번호 혹은 개인정보와 같은 중요한 정보가 다른 사람들에게 그대로 노출이 된다면 큰 문제가 아닐 수 없다. 마찬가지로 무선인터넷을 이용한 전자상거래가 구현되기 위해서도 보안 문제가 먼저 해결되어야 하는 것은 당연한 이치다.

본 글에서는 무선인터넷 서비스를 제공하도록 고안된 기술에 대해 간단히 살펴보고, 각 기술에서 어떻게 보안 문제를 해결하는지에 대해 알아본다. 그리고, 국내외 무선인터넷 보안기술의 현황과 동향, 표준화 방향을 살펴보고 ETRI의 입장과 국내 보안 업체들이 나아갈 방향을 제시한다.

II. 무선인터넷 기술의 종류와 국내외 동향

무선인터넷은 유선에서의 인터넷과는 다른 여러 가지의 제약사항을 가지고 있다. 첫 번째로 데이터 전송 속도가 느리고, 두 번째로 패킷 전송 실패율(loss ratio)이 크며, 세 번째로 데이터를 전송, 처리하고 사용자에게 그 결과를 보여주는 무선 단말기의 화면, 메모리, 중앙처리장치 등 자원(resource)이 일반 PC에 비해 기능 면에서 현저히 떨어진다는 것이다. 이러한 제약사항으로 인하여 무선인터넷에서는 기존 유선망에서의 TCP/IP 프로토콜을 이용한 데이터의 송수신이 부적합하게 되었고, 무선에 맞는 새로운 프로토콜의 필요성이 생기게 된 것이다.

무선인터넷 서비스를 제공하려는 여러 회사들은 각각 독립적으로 만든 프로토콜 스택을 선보이기 시작했다. Ericsson, Motorola, Nokia, Unwired Planet의 4개 회사는 무선인터넷에 적합한 공통 규격을 만들기 위해 WAP Forum[2]을 결성하여 WAP 프로토콜 스택을 버전 1.2까지 공개하고 있고, 일본에서는 NTT DoCoMo사가 독자적으로 개발한 i-mode[3]라는 새로운 무선인터넷 서비스를 제공하여 큰 호응을 얻고 있으며, 무선인터넷 사업에 뒤늦게 참여한 Microsoft사는 기존의 TCP/IP와 HTTP를 그대로 사용하는 방향[4]으로 나아가고 있다. 국내에서는 삼성전자와 AI-net 등에서 HTML의 축소형인 s-HTML(small HTML)[5]을 개발하여 AnyWeb서비스를 제공하고 있다.

1. WAP

무선인터넷 서비스 시장을 선점하려는 시도는 특히 유럽을 중심으로 시작되었다. 스웨덴에 본사를 두고 있는 단말기 제조업체인 Ericsson은 ITTP(Intelligent Terminal Transfer Protocol)을 개발하였고, Finland에 본사를 두고 있는 단말기 제조업체인 Nokia사는 TTML(Tagged Text Mark-up Language)을, 미국의 Unwired Planet(현 Phone.com)은 HDTP(Handheld Device Transport Protocol)를 각각 개발하였다. 이렇게 각 업체마다 고유의 프로토콜을 개발하자, 각 프로토콜의 호환성에 문제가 생기기 시작하였다. 그리하여, Ericsson, Motorola, Nokia, Unwired Planet의 4개사는 무선인터넷을 위한 새로운 프로토콜을 개발하기로 하였고, WAP (Wireless Application Protocol) Forum[2]을 구성하였다. 이 포럼은 2000년 5월 현재 전세계에 있는 200여 개의 단말기 제조업체, 이동통신 사업자, 컨텐츠 제공자(Contents Provider)들이 회원으로 가입하고 있으며, 우리 나라에서는 ETRI를 비롯하여 SK Telecom, LG Telecom, LG 정보통신, 삼성 전자 등이 참여하고 있다. 현재 WAP 프로토콜 스택 ver 1.2의 규격을 공개하고 있으며, 이 프로토콜 스택은 (그림 2)와 같다.

WAP을 통해 기존의 유선인터넷에 접속하기 위해서는 WAP Gateway를 통과하게 되어 있다. 이 Gateway는 무선망과 유선망의 완충작용을 해주는 역할을 가지고 있으며, 각 망의 프로토콜을 적절히 변환해주도록 한다. 클라이언트가 유선상의 웹 서버와 통신을 할 경우, 클라이언트는 WAP 프로토콜 스택을 사용하게 되고 서버는 기존의 TCP/IP 프로토콜과 그 상위의 HTTP 프로토콜 상에서 운용이 될 것이므로, 이들 사이에 데이터를 전달하기 위해서 중간에 프로토콜을 적절히 변환시켜주는 장치가 필요하기 때문이다. WAP Gateway의 역할은 (그림 3)에 잘 나타나 있다.

현재로서는 WAP Gateway가 이동통신 사업자에 종속되어 있는 형태로 운용되는 것이 일반적이다. 그 이유는 대체적으로 무선인터넷 서비스가 이들 공급자 혹은 단말기 제조업자들에 의해 주도되고 있고, 무선인터넷 서비스를 통해 정보를 제공하는 컨텐츠 제공자들은 아직 활성화되지 않은 새로운 서비스를 위해 Gateway에 거액의 돈을 투자하는 것이 하나의 모험이 되기 때문이다. 그러나, 앞으로 무선인터넷이 활성화되고, 무선인터넷에 적합한 WAP 서비스를 독자적으로 제공하려는 컨텐츠 제공자가 많아질수록, 컨텐츠 제공자에 의해 WAP Gateway가 웹 서버와 같이 운용되는 형태로 발전될 것으로 예상할 수 있다.

2. Mobile Explorer(Microsoft)

Microsoft사는 WAP 진영에 비해 뒤늦게 무선인터넷 시장에 뛰어들어 퀄컴과 손을 잡고 Wireless Knowledge라는 회사를 만들었다. WAP 진영과는 다른 차별성이 있어야 했던 Microsoft는 WAP이 무선에 맞는 새로운 프로토콜 스택을 제시한 것과 달리 기존의 TCP/IP, HTTP를 무선에서 그대로 활용하는 방법을 제시하였다. 무선에서의 느린 전송 속도, 단말기의 한정된 자원 등 때문에 기존의 HTML 문서를 그대로 사용하는 것이 불가능하자, HTML의 부분 집합인 m-HTML이라는 새로운 Mark-up 언어를 발표하였다. 그리고 기존의 PC상에서 웹 브라우저로 사용하던 Internet Explorer에 해당하는 Mobile Explorer(MME)[4]를 단말기의 웹 브라우저로 채용하기로 하였다.

위에서 설명한 무선인터넷을 위한 여러 규격과 Microsoft가 가지고 있던 기존의 인프라를 포함하는 무선 Platform으로 공개된 것이 바로 AirStream[6]이며, Microsoft측에서는 Telecom 99에서 무선인터넷용으로 적합한 Smart Phone의 명칭으로서 Stinger를 선보였다. Microsoft 진영에서는 유선상에서의 프로토콜 스택을 수정하는 것이 별로 없으므로, 이 플랫폼에서는 응용 프로그램과 컨텐츠 개발에 관련된 내용을 주로 담고 있다. 현재 우리 나라에서는 이동통신 사업자인 한국통신 프리텔과 한국통신엠닷컴, 보안 소프트웨어 개발 업체인 소프트포럼 등이 Microsoft 진영에 포함되어 있다.

여기에서도 WAP에서 유무선 환경의 완충 역할을 해주던 WAP Gateway와 유사한 Gateway를 가지고 있다. 기존의 TCP/IP, HTTP를 그대로 사용한다고 해서 이 Gateway가 필요없는 것은 아니다. 왜냐하면 사용자가 단말기로 기존의 웹 페이지를 접속할 경우, 단말기상에서 그림을 보거나 대용량의 데이터를 전송받는 것 등이 현재로서는 불가능하므로, 이러한 데이터를 제어하고 무선 환경에 맞도록 수정할 수 있는 장비가 이동통신 사업자측에 필요하기 때문이다. Gateway는 이동통신 사업자측의 DB로부터 무선 단말의 정보를 받아(예를 들어, 단말기의 그림 파일 다운로드 가능 여부, 멀티미디어 파일 지원 여부 등) 컨텐츠의 내용을 수정하는 역할도 포함한다.

3. i-mode

i-mode[3]는 일본의 이동통신 사업자인 NTT DoCoMo사가 독자적으로 개발한 무선인터넷 서비스이다. 작년 2월 서비스를 개시한 이후 올해 5월말 현재 700만 가입자 유치라는 기록적인 성장세를 기록하고 있다. i-mode는 HTML의 부분 집합에 해당하는 c-HTML(compact HTML)을 사용하도록 하였다. 유선망과 무선망이 연결되는 곳에 i-mode Gateway가 존재[7]하여 완충역할을 해주도록 한다.

우리나라 뿐만 아니라 일본이 아닌 다른 나라에서는 i-mode 서비스가 이루어지는 곳이 현재로서는 없다. 따라서 지역적 기술(Local Technology)에 그칠 가능성이 크지만, 적어도 1년 남짓 만에 700만 가입자 유치 및 500개가 넘는 c-HTML 컨텐츠의 제공을 가능케한 i-mode의 사업 모델, 요금 부과 시스템 등은 참고할 만한 가치가 있다.

4. AnyWeb

AnyWeb[5]은 삼성전자와 AI-net 등이 공동으로 개발한 무선인터넷 솔루션이다. TCP/IP 프로토콜을 그대로 사용하며, HTTP상에서 HTML의 부분 집합에 해당하는 s-HTML(small HTML)을 사용하도록 하였다. 한솔엠닷컴(현 한국통신엠닷컴) 등에서 AnyWeb의 브라우저를 탑재한 단말기를 통해 서비스를 하고 있으며, 많은 수의 컨텐츠를 확보한 것으로 보인다. 다만, WML, m-HTML, c-HTML과는 달리 s-HTML의 규격을 공개하지 않는 것이 단점으로 작용하고 있으며, i-mode와 같은 폭발적인 인기를 얻지는 못하고 있다.

유무선 환경이 만나는 곳에 MProxy Sever라는 Gateway를 두고 있으며, 채팅이나 게임 등의 다양한 서비스를 위한 서버를 따로 두고 있다. 보안에 관련하여 MMS(Mobile Micro Security)라는 무선을 위한 새로운 프로토콜을 제시하고 있으며, 이에 대해서는 다음 장에서 다시 얘기하기로 한다.

III. 무선인터넷에서의 보안

무선인터넷은 무선 환경에서 유선인터넷을 이용하려고 하는 것인 만큼, 무선환경이 가지고 있는 제약 사항과 아울러 유선인터넷이 가지고 있는 보안에 관한 문제점을 그대로 가질 수밖에 없다. 유선인터넷이 보안을 염두에 두고 만들어진 것이 아닌 만큼, 단순히 TCP/IP를 그대로 사용하는 것은 보안에 문제가 있다.

일반적으로 얘기하는 보안 혹은 정보보호가 이루어지기 위해서는 기밀성, 무결성, 사용자 인증, 부인 방지 등이 해결되어야 한다. 유선인터넷에서는 TCP 계층과 Application 계층사이에 SSL(Secure Socket Layer)[8]/TLS(Transport Layer Security)[9] 계층을 두어 기밀성, 무결성, 사용자 인증을 해결하도록 하고(전송 계층의 보안), 부인 방지는 가급적 Application 계층에서 전자 서명 등을 이용하여 해결하도록 한다. 물론, 보안이 중요하지 않은 응용에서는 이들을 선택적으로 사용하는 것이 가능하다.

무선인터넷에서도 이와 유사한 방법을 사용하게 된다. 그러나 기존의 유선인터넷과 같은 방식을 전적으로 사용하는 것은 무선환경의 제약 때문에 어려울 수 있으며, 또한 유무선 환경의 차이를 위해 두고 있는 Gateway 때문에 단대단 보안(End-to-End Security)이 제공되는 것이 쉽지 않다. 무선인터넷에서 프로토콜을 제안하고 있는 각 그룹들은 이 문제를 어떻게 해결하고자 하는지에 대해서 살펴보기로 한다. 가급적 전송 계층의 보안을 위주로 설명하도록 한다.

1. WAP - WTLS

무선인터넷 프로토콜인 WAP에서 SSL(혹은 TLS)과 같이 전송 계층의 보안을 담당하고 있는 부분이 바로 WTLS(Wireless Transport Layer Security)[10]이다. WTLS는 (그림 2)에서와 같이, WDP(Wireless Datagram Protocol)과 WTP(Wireless Transaction Protocol) 사이에 위치하고 있으며, SSL을 기반으로 무선 환경에 적합하도록 구성되었다. 즉, 유선인터넷 구간보다 느린 속도와 낮은 전송률, 무선 단말기의 부족한 자원 등을 충분히 고려하였고, 하위 계층인 WDP상에서 동작할 수 있도록 만든 것이다. WTLS 프로토콜은 SSL과 마찬가지로 응용 계층의 필요에 따라 선택적으로 사용하며, 보안이 그다지 중요하지 않은 응용에서는 사용하지 않을 수 있다.

WTLS 프로토콜의 구성은 (그림 4)와 같다.

WTLS 프로토콜을 구성하고 있는 각 프로토콜의 역할과 보안이 이루어지는 과정은 SSL과 유사하므로 생략하도록 하겠다. WTLS를 쓰는 구간에서는 기밀성, 무결성, 사용자 인증 문제가 해결된다. 즉, 통신을 하는 중간에서 악의의 사용자가 메시지를 도청하거나, 위조, 수정하는 것이 불가능한 것이다.

그러나, 무선 단말이 유선인터넷상에 있는 웹 서버와 통신을 하고자 할 경우 (그림 3)에서 볼 수 있는 WAP Gateway를 통과해야 하는데, 이 때 유선인터넷에서는 존재하지 않는 문제가 발생할 수 있다. 보안을 위해 무선 단말에서부터 Gateway까지는 WTLS를 이용하고, 유선인터넷망인 Gateway부터 웹 서버까지는 SSL을 이용하게 되며, Gateway안에서 WTLS와 SSL의 상호변환이 이루어지는데, 문제는 바로 변환이 이루어질 때 데이터의 원본이 노출된다는 점이다. 만약 Gateway가 해킹을 당하거나, Gateway에 합법적인 접근이 가능한 시스템 관리자가 악의로 데이터의 원본을 훔쳐보려고 할 경우에 문제가 발생하게 된다. 즉, 무선 단말과 웹 서버 사이에 단대단 보안이 이루어지지 않는 것이다.

이 문제는 WAP Gateway가 무선인터넷 서비스 제공자에 종속되어 있는 한, 현재로서는 별다른 해결 방법은 없다. 그러나 2.1에서 언급한 바와 같이 앞으로 Gateway가 기존의 웹 서버와 통합되어 있는 형태로 되어 간다면, 단대단 보안 문제는 점차 해결이 될 것으로 보인다. WAP Forum에서는 단대단 보안을 보다 더 쉽게 해결하도록 규격이 제안(Proposed Specification)되어 검토 중에 있으며, 내부적으로 여러 업체들이 많은 아이디어를 제안중에 있다. 이 부분에 있어서 ETRI에서도 기존의 인프라를 최소로 변경하는 범위안에서 단대단 보안을 해결할 수 있는 솔루션을 개발 중에 있다.

Application 계층에서의 부인 방지는 WMLScript Crypto Library에 있는 전자 서명을 이용하여 해결하도록 하고 있다.

2. Microsoft - SSL

Microsoft는 기본적으로 TCP/IP상에서 HTTP를 사용하므로 기존의 SSL을 사용하는데 있어서 프로토콜 상으로는 무리가 없다. Microsoft 진영에서는 WAP에서 현재 단대단 보안이 지원되지 않는다는 점을 WAP의 약점으로 공격하고 있다.

Microsoft측에서는 무선 단말과 웹 서버상에서 모두 SSL을 사용하므로 단대단 보안이 가능하다고 얘기를 하고 있다. 그러나, 여기에서도 무선 단말과 웹서버가 통신을 하기 위해서는 WAP과 마찬가지로 Microsoft측에서 제공하는 Gateway를 통과해야 한다. 앞서 얘기한 바와 같이, 이 Gateway의 역할 중에는 컨텐츠 중 무선 단말이 수용할 수 없는 데이터(그림, 멀티미디어 등)를 걸러주는 것이 있다. 이는 곧 컨텐츠의 내용을 들여다보고 수정해야 함을 뜻한다. 그러기 위해서는 SSL로 전송 계층에서 암호화된 메시지의 원본을 보기 위해 복호화해야 하므로 결국 Gateway에서는 메시지의 원본이 노출되어 WAP처럼 단대단 보안이 지원되지 않는 것이다.

그러므로, Microsoft 진영이 이를 해결하기 위해서는 무선 단말을 위해 최적화된 m-HTML 문서를 제공해주는 서버와 기존에 유선인터넷상에서 웹 서비스를 해주던 서버를 이 Gateway가 판단할 수 있어야 하거나(이 경우에도 기존의 웹 서비스에 단대단 보안은 지원되지 않는다), 무선 단말이 기존의 웹 상에서 존재하던 HTML 포맷을 모두 지원할 수 있어야 하는 숙제를 안고 있다.

3. i-mode - SSL

i-mode에서는 유선인터넷상에서 사용하는 SSL을 사용한다고 하지만, 이는 Microsoft 진영과 다른 방식으로 이루어진다. i-mode에서는 i-mode Gateway와 서버사이에서만 SSL 통신이 이루어지고, i-mode Gateway와 무선 단말사이에서는 전송 계층의 보안 방식이 전혀 이루어지지 않는다. 무선망에서는 도청의 가능성이 희박하다고 알려져 있으므로, 이를 이용한 방법이다. 물론, 얼마 안 있어 무선 단말에서도 SSL를 지원하여 Gateway와 단말 사이에 전송 계층의 보안을 이룰 것으로 보인다.

이를 볼 때 현재로서는 단대단 보안이 전혀 이루어지지 않음을 볼 수 있다. i-mode Gateway를 불법적으로 침입할 수 있는 공격자가 있어서 무선 단말과 웹 서버사이에 주고 받는 메시지의 원본을 볼 수 있다면 매우 위험하므로 무엇보다도 i-mode Gateway가 안전하게 운용되고 있음을 사용자와 컨텐츠 제공자가 믿을 수 있도록 해야 한다(믿는다는 것과 보안이 완벽하게 이루어지는 것과는 다른 문제로 볼 수 있다). 후에 무선 단말에서도 SSL을 지원하더라도 Gateway를 통과하게 되므로 여전히 Microsoft 진영과 같이 단대단 보안은 해결되기 어려운 문제로 남는다.

4. AnyWeb - MMS

AnyWeb에서는 Microsoft 진영, i-mode와 마찬가지로 TCP/IP, HTTP를 그대로 사용하면서도 전송 계층의 보안을 위해서는 이들 계층 사이에 SSL대신 이들이 독자적으로 무선 환경에 알맞도록 개발한 MMS(Mobile Micro Security)를 사용하고 있다. MMS는 무선 환경과 중간에 존재하는 MProxy Server를 고려하여 설계한 것으로 보인다.

서버측에서 MMS가 깔려 있어야 단대단 보안이 가능하며, 만약 기존의 웹 서버와 같이 서버측에서 전송계층의 보안을 위해 SSL이 설치되어 있다면 단대단 보안이 실질적으로 어렵다. AnyWeb측의 주장과 같이 단대단 보안이 지원이 되기 위해서는 단말기에서도 결국 SSL이 구현이 되어 있어야 하며 이러한 점은 MMS의 최대 약점으로 꼽힌다. 금융감독위원회의 승인을 받은 무선인터넷 전송 계층 보안 프로토콜이기는 하나, 규격을 공개하지 않고 있어 보안성의 강도를 알 수 없는 단점이 있다.

5. 무선 PKI

앞서 얘기한 WTLS, SSL, MMS 등에서 사용자 인증을 위해 인증서 포맷 등을 포함하는 무선 PKI가 정의되어야 한다. 유선상에서 정의되어 있는 PKI와 그의 인증서(x.509)를 그대로 사용하는 것은 무선환경에서 부적합한 것으로 보인다.

그러나 아직까지 무선 PKI 시스템과 인증서 포맷 등이 정해진 예가 없으며, WAP 포럼에서도 여기에 대한 규격을 정의하고 있지 않고, 내부적으로 논의가 진행중이다. 다만 어느 정도 유추할 수가 있는 점은 가급적 유선 PKI와의 변화를 최소화 할 것이며, 인증서와 CRL Profile은 기존의 유선 PKI와 동일하게 유지할 것으로 생각된다. 또한, WTLS 규격상에서 사용하고자 하는 대체적인 인증서 포맷을 어느 정도 유추할 수가 있으며, 곧 WAP 포럼에서 이에 대한 규격을 발표할 것으로 보인다.

IV. 국내 무선인터넷 보안 기술 현황

국내에서 무선인터넷을 위한 보안 프로토콜 모듈을 개발하는 움직임이 현재 활발하게 이루어지고 있다. 그러나, 이러한 보안 프로토콜의 근간이 되는 암호 알고리즘에 대한 기술을 직접 보유하고 있는 업체가 적고, 많은 업체들이 외국의 암호 알고리즘 라이브러리를 가져와 개발하는 경우가 많은 것으로 보인다. 또한 보안 관련 모듈을 개발했다고 발표를 하더라도 그 제품에 대한 공개적인 성능 평가 내지는 같은 규격의 다른 제품과 상호 연동 테스트가 거의 없어 그 제품에 대한 정확한 평가가 어렵다.

이와 같은 상황에서, ETRI는 현재 삼성전자, SK Telecom, LG Telecom, 팬텍, 서울이동통신 등과 손을 잡고 WTLS와 WAP Gateway, 무선 PKI 등을 포함하는 WAP 통합 솔루션을 연구, 개발 중에 있다. 현재 WTLS를 제외한 다른 프로토콜 계층은 완성단계이며, WTLS도 현재 제작 중에 있다. WTLS, 무선 PKI와 관련하여 무선 환경에서의 스마트 카드를 이용한 보안도 함께 연구 중이며, 올해 안에 이들 모두를 포함한 WAP 솔루션을 제작할 것이다. ETRI가 이러한 연구를 하는 목적은 국내 무선인터넷 보안 업체들이 나아갈 방향을 제시하고, 표준화와 국가의 정책에 기여를 하기 위한 것이다.

국내 업체들 사이에 무선인터넷용 보안 제품의 개발이 많이 이루어지는 것은 매우 바람직한 현상으로 보여진다. 많은 제품의 개발이 이루어져야 업체간의 선의의 경쟁도 이루어지고, 제품의 공개적인 성능 평가 혹은 상호 연동 테스트가 자연스럽게 이루어질 것이기 때문이다. 더군다나 보안 기술이 외국 업체에 종속됨으로써 생길 수 있는 문제를 피할 수 있다는 것도 매우 고무적인 일이다.

앞서 이야기한 바와 같이, Microsoft 진영에서 ME의 SSL부분을 개발한 소프트포럼이 있으며, AnyWeb에 탑재되는 보안 프로토콜 MMS의 개발에 참여한 AI-net이 있다. 그 밖에도 시큐어소프트, 쌍용정보통신, 대상정보기술, 인젠, 넷시큐어, 펜타시큐러티 등도 무선인터넷을 위한 보안 솔루션을 개발 중이거나 개발에 들어갈 계획인 것으로 알려졌다.

그러나, 아직까지 몇 개 업체를 제외하고는 완벽한 기능을 제공하는 제품을 출시하고 있는 것 같지는 않다. 이는 업체들이 무선인터넷 보안 시장의 선점과 회사 외형 부풀리기 등을 위해, 개발이 완료되지 않았거나 상품화하기에 부족한 제품을 부풀려 발표하는 경향이 있음을 뜻한다. 그리고 보안 문제는 기술적인 문제로만 해결되는 것은 아니며, 아무리 기술이 뛰어나다고 하더라도 국가의 표준과 정책에 맞지 않으면 그 제품은 아무런 의미를 얻지 못할 수 있다. 물론, 무선인터넷에 관한 여러 가지 정책과 표준화가 빨리 이루어져야 할 것이다. 따라서 ETRI는 우리 나라 보안 관련 업체들이 세계적으로 유수한 보안 관련 기업과 어깨를 나란히 하여 경쟁할 수 있도록, 정보통신부와 KISA 등과 긴밀히 협조하여 무선인터넷 보안 표준 및 정책을 개발하고 있으며, 앞서도 밝혔듯 관련 기술 개발도 이미 착수하여 금년 말에는 산업체에 기술 이전이 가능할 것이다.

V. 해외 무선인터넷 보안 기술 현황

해외의 무선인터넷 기술은 크게 WAP 진영과 Microsoft 진영, i-mode가 있음을 2장에서 볼 수 있었다. Microsoft 진영과 i-mode는 기존의 SSL을 사용하므로 가급적 WAP 진영의 보안 기술에 관하여 설명을 하도록 하겠다. 특히 무선 PKI와 관련한 기술을 보유하고 있는 업체를 중심으로 소개한다.

Baltimore사[11]는 WAP Gateway 서버와 전자 서명 툴킷, 무선 PKI용 WAP CA를 개발했다고 한다. WAP 프로토콜 버전이 1.3으로 올라가면서 나올 WAP에서의 무선 PKI 규격에 많은 제안을 하고 있는 것으로 보이며, 이 회사가 제시하고 있는 WAP, 무선 PKI의 구조는 (그림 5)와 같다.

VeriSign[12]에서는 무선인터넷용(정확히는 WTLS용) 서버 인증서 ID를 현재 판매하고 있다. 이 인증서 ID는 Motorola, Nokia, Phone.com의 WAP 서버에서 사용가능한 제품이다. 기존의 유선인터넷용 서버 인증서 ID를 판매하고 있던 VeriSign은 이를 WTLS용으로 수정하여 판매하는 것이다. VeriSign에서는 서버용 인증서의 형태를 Short-lived Mini Certificate로 제안하고 있다. 이는 클라이언트가 자주 CRL Profile을 참조하는 것이 무선 환경에서 쉽지 않으므로, 인증서의 유효기간을 짧게 하고 인증서의 형태를 최소로 만든 형태인 듯 하다.

핀란드의 통신 전문 회사인 Sonera[13]는 무선 PKI 서비스 제품군과 이를 이용한 보안 통신 솔루션을 개발하였다. Sonera가 제공하는 무선 PKI 서비스의 구조와 제품을 (그림 6)에서 보인다.

(그림 6) Sonera 무선 PKI 제품군

그 밖에 Entrust Technology와 Certicom은 무선 PKI 제품으로 각각 Entrust/PKI와 Mobile Trust을 내놓았으며, WAP에서의 WTLS와 응용 계층의 보안을 위한 인증서 서비스 등을 가능하도록 하고 있다. 이들은 대부분 인증서를 X.509를 그대로, 혹은 무선환경에 맞도록 약간 수정한 형태로 사용하며, 보다 편리한 인증서 요구 및 발급, 등록 서비스가 제공됨을 내세우며 경쟁하고 있다.

참고적으로 언급하자면, 몇몇 WAP에 관련된 Open Group의 동향도 눈여겨볼 가치가 있는 것 같다. Open Source WAP Gateway로 만들어지고 있는 Kannel Project[14]나, GNUWS Project[15] 등은 소스가 GNU License에 따라 공개되고 있다. 특히 최근 Kannel Project에서 WTLS 구현을 담당하고 있는 3UI.com[16]에서 특허가 걸린 RSA와 RC5를 제외한 모든 부분을 구현했음을 알리고 있다. WAP Gateway에서 빼놓을 수 없는 중요한 구현이 WTLS이므로, WTLS에 관심이 있는 사람들은 이들 소스를 분석하는 것도 상당한 도움이 되리라 본다.

VI. 무선인터넷 보안기술 표준화 방향

WAP 포럼은 전세계적으로 200여 개의 무선인터넷 관련 회사들이 참여하고 있는 만큼, WAP은 산업계의 사실상의 표준이다. 현재 우리 나라에서는 WAP 진영에 SK Telecom, 신세기통신, LG Telecom이, Microsoft 진영에는 한통프리텔과 한국통신엠닷컴이 참여하고 있다. 이동통신 가입자 수로 보면 WAP 진영이 월등히 앞서고 있는 형태이다. 그러나 무선인터넷에 뒤늦게 참여한 Microsoft 진영도 무시하기는 힘들 것이다. 앞으로 예상할 수 있는 것은 WAP과 Microsoft 진영의 프로토콜 스택이 모두 공존할 것이라는 점이다.

WAP에서 전송 계층의 보안을 담당하는 프로토콜인 WTLS와 Microsoft측의 SSL 모두 인증서를 주고 받기 위한 인증서 포맷 등이 표준으로 아직 정해져 있지 않다는 것은 매우 중요한 문제이다. 또한, 각기 단대단 보안을 제공하기 위한 메커니즘이 완벽하게 구성되어 있지 않다는 점도 눈여겨 볼만 하다.

1. 무선 PKI

앞서도 언급했지만 WAP 포럼측에서는 WTLS 규격서에서 인증서 포맷을 정의하지는 않은 대신 WAP이 정의하려는 포맷을 유추할 수 있는 형태로는 나와 있다. 또한 무선 PKI에 대한 규격이 조만간 나올 것으로 보인다. 그러므로 우리 나라에서도 이러한 움직임을 주의깊게 보고, 이들을 참고하여 무선 PKI에 대한 표준안을 빨리 내놓아야 전자상거래나 보안이 필요한 서비스가 활성화 될 것이다.

무선 PKI에 대한 기본적인 요구사항은 다음과 같다.

① WAP browser(혹은 ME)가 단말의 무선 PKI 클라이언트 역할을 수행하며, RSA 인증서나 ECDSA 인증서를 처리할 수 있어야 한다. 또한, 인증서 요구 혹은 폐기 요청, Root CA 인증서 업데이트시 overhead를 최소화하여야 한다. 최소의 trusted path도 요구된다.

② 인증서가 유효한지를 판단하는 것 또한 overhead가 최소로 줄어야 한다.

③ 인증서의 포맷은 x.509 사용시 최소의 필드를 사용하도록 한다. 가급적 경량의 인증서 포맷을 만들도록 한다.

④ CA와 RA는 유선 PKI에서와 유사하며, 클라이언트의 부담이 적도록 만들어준다.

2. 단대단 보안

무선인터넷에서는 Gateway가 존재하는 특성상 기존의 웹 서버와 단대단 보안을 유지하는 것은 매우 어렵다. 그러나 무선 환경에 적합한 컨텐츠를 가지는 서버에 대해서는 단대단 보안이 이루어지도록 해야 할 것이다. WAP 포럼에서는 이 단대단 보안 문제를 해결하려는 규격이 제안되어 있긴 하지만 아직은 불완전해 보이며, 여기에 대한 많은 제안이 있을 것으로 보인다.

3. 기타

그 밖에 인증서를 단말에 저장할 것인지, 스마트 카드에 저장할 것인지 등에 대해서도 아직 정해진 바가 없다. WAP에서는 스마트 카드를 위해 WIM(Wireless Identity Module)[17]이라는 규격을 마련해두고 있으며, 무선 환경에서 보다 강화된 정보 보호를 위해서는 스마트 카드를 사용하는 것이 바람직한 것으로 보인다.

VII. 결 론

무선인터넷은 사용자에게나 서비스 공급자에게나 여러 가지 면에서 매우 매력적인 매체이다. 그러나 무선통신의 단점인 느린 전송 속도, 낮은 전송률, 부족한 자원을 물려받고 있고, 또한 유선인터넷과 마찬가지로 중요한 데이터를 주고 받기에는 보안성에 취약한 면이 있다.

본 문서에서는 무선인터넷에서의 보안에 대한 개념과 국내외 무선인터넷 기술 개발 현황, 표준화 방향 등에 대해서 살펴보았다. 우리 나라는 무선인터넷이 활성화되기에 많은 좋은 조건들을 가지고 있다. 특히 보안에 관련하여 업체들의 많은 연구 개발이 이루어지고 있으며, 그럼에도 더욱 과감한 투자와 분발이 있으면 좋을 듯 하다. 이와 관련하여 AnyWeb의 이스라엘과 브라질 시장 진출은 매우 고무적인 현상으로 받아들여진다. 이는 무선인터넷에 관한 국내의 자체 개발 기술이 단지 지역적 기술(Local Technology)에 머무르지 않고, 세계적 기술(Global Technology)이 될 수 있음을 보이고 있다. 따라서 업체에서도 무선인터넷 보안기술의 표준화에 많은 부분 동참하여 기여를 했으면 한다.

<참 고 문 헌>