웹서버 인증서 128비트 지원논란, 공정위 판결로 확대

‘웹브라우저의 보안 성능을 언급하지 않고, 128비트 암호화를 지원한다고 표기하면서, 웹서버인증서간에 가격을 비교한 것은 위법이다’라는 게 공정거래위원회의 최근 판결이다.

웹서버인증서(서버용SSL인증서)는 ▲브라우저의 성능에 따라 40비트, 56비트, 128비트로 암호화 수준이 결정되는 '표준 SSL인증서'와 ▲ 웹브라우저의 성능과 관계없이 128비트로 암호화되는 'SGC인증서'가 있다.

그런데 이를 고객에게 설명하지 않고, 가격비교를 한 것은 ‘표시 광고의 공정화에 관한 법률 제3조제1항3호’에 위배된다는 것이다.

이런 이유로 공정거래위원회(위원장 이남기)는 닷네임코리아(대표 김준용 www.anycert.co.kr)에 대해 지난 3월7일 경고조치한데 이어, 7월 26일 부당한 비교표시 및 광고 행위를 중지하도록 시정조치를 결정했다.

하지만 닷네임코리아 측은 “경고조처에 불복해서 공정위에 이의신청을 낸후 시정조치를 받게 된 것”이라며 “베리사인과 써트를 제외하고 볼티모어, 엔트러스트, 국내 공인인증기관 모두가 표준인증서만으로 128비트로 표시해서 영업하고 있는 상황에서 공정위가 이를 문제삼은 것은 이해할 수 없다”는 입장이다.

또 “판결문이 도착하는 대로, 서울고등법원에 행정소송을 제기하겠다”고 밝혔다.

이번 공정위 판결이 가져다 주는 의미는 무엇일까. 그리고 관련업계에 미치는 영향은 무엇일까.

◆공정위, 경고에도 불구하고 IP속여 부당광고 계속

공정위 관계자는 “처음에 경고조처만 한 것은 위법성이 없어서가 아니고, 닷네임코리아가 광고내용을 고쳐 위법성을 해소했다고 보였기 때문”이라며 “하지만 IP필터링을 하는 방법으로 (공정위를) 속이고 계속해서 5월15일까지 부당광고를 해 왔기 때문에 이번에 시정조치를 하게 됐다”고 말했다.

닷네임이 공정위가 사용하는 IP어드레스를 필터링해서, 공정위가 접속하는 사이트(www.anycerts.co.kr)와 일반인이 접속하는 사이트(www.anycert.co.kr)를 달리해서, 감시를 곤란하게 했다는 것이다.

(그림1)당초의 가격정보

(그림2)공정위 IP 어드레스로 접속했을 때(www.anycerts.co.kr) 가격정보

이에 대해 닷네임코리아는 “공정위의 IP어드레스를 차단한 것은 사실이지만, 이는 공정위의 경고조치를 받아들이지 않는 상황에서 이뤄진 일이라서 법적으론 아무런 문제가 없다”고 밝혔다. SGC인증서가 아니라도 128비트라고 표시할 수 있다는 것이다.

또 “공정위가 LG 등 고객사에 연락해서 우리 제품이 부당함을 확인해달라고 하는 등의 월권행위를 했기 때문에 IP필터링을 하게 된 것”이라고 밝혔다.

그러나 공정위는 “거래의 공정성을 위해 조사하는 입장에서 부당광고로 인한 피해사실을 확인하는 것은 당연하다”는 입장이다.

◆닷네임코리아, 억울하다

닷네임코리아 관계자는 “이번 SGC인증서 논란은 전 나인포유 직원의 제소로 시작된 일인데, 이미 그는 공정위에 제소를 취하하고 닷네임의 영업활동이 전혀 문제가 없다는 확인서도 써준 상황”이라며 “이런 상황에서 공정위의 판결은 이해가 가지 않는다”고 말했다.

또 “5월 15일이후 현재는 공정위가 문제삼은 광고를 내린 상황인데, 이제와서 경고조처를 하는 것도 이해할 수 없다”고 밝혔다. 이에따라 닷네임코리아는 공정위를 상대로 행정소송을 진행할 예정이다.

하지만 공정위의 입장은 다르다.

공정위 관계자는 “공정위 판결은 민사재판처럼 당사자간 합의가 되면 끝나는 문제가 아니다”라며 “모든 PC사용자들이 자신의 브라우저를 업그레이드 하지는 않고, 많은 PC사용자들이 128비트 암호화가 기본적으로 제공되지 않는 웹브라우저를 사용하고 있는 상황에서 정확한 웹서버인증서에 대한 표기 문제는 반드시 이뤄져야 한다”고 말했다.

그는 또 “공정위는 문제가 생긴후 3년이내에 재발방지를 위해 조처할 수 있다”며 시기상의 문제가 법적으로 문제되지는 않는다고 밝혔다.

(그림3)웹브라우저 암호화 수준

(그림4) 웹브라우저 사용현황

◆웹서버인증서 업계에 미치는 영향

관련 업계가 바라보는 이번 공정위 판결의 의의는 우리 정부가 ‘표준SSL인증서와 SGC인증서에 대해 그 차이점을 고객이 볼 수 있도록 표기하도록 결정했다’는 점이다.

물론 닷네임코리아측이 행정소송을 진행할 경우, 최종 판단은 유보되겠지만 현재 상황에서는 정부 입장은 이렇다.

이는 닷네임코리아뿐 아니라 표준SSL인증서를 서비스하는 모든 기업에 해당된다.

그동안 모두가 128비트 인증서(SSL 128비트 암호화 시스템)를 팔고 있다고 ‘홍보’해 왔지만, 앞으론 보다 상세하게 고객에게 설명해야 하는 것이다.

웹서버인증서를 파는 기업들이 128비트 지원에 주목하는 것은 이미 40비트 암호(SSL 40비트 암호화 시스템)는 보안에 구멍이 뚫렸기 때문이다.

공정위 관계자는 “닷네임외에도 표준SSL과 SGC인증서를 똑같이 취급해서 가격 비교광고 등을 하는 행위는 모두 제재할 예정”이라며 “쇼핑몰 등 인증서 고객들도 가격뿐 아니라 보안성능에 대한 관심을 갖고 선택해야 하고, 쇼핑몰이 SGC 기능이 없는 표준SSL을 도입했다면 고객에게 128비트의 완벽한 보안을 유지하기 위해 자신의 웹브라우저를 업그레이드하도록 계도하길 바란다”고 밝혔다.

한편 고객이 자신의 웹브라우저에 대한 보안수준을 알아보려면, 웹서버 인증서가 설치된 쇼핑몰에서 결제를 위해 카드번호 등을 입력할 때 보이는 우측하단의 노란색 자물통에 마우스를 올려 놓으면 된다. ‘SSL보안됨(128비트)’, ‘SSL보안됨(56비트)’, ‘SSL보안됨(40비트)’ 등으로 나타나는 것이다.

또한 웹브라우저를 업그레이드하려면, 인터넷익스플로러의 경우 ‘도움말/ Internet Explorer정보 /'를 차례로 클릭하여 업데이트해야 한다.

네츠케이프의 경우는 '도움말/navigator정보'를 차례로 클릭해서 버전을 보고, 4.7미만일 경우에는 웹브라우저를 업그레이드해야 128비트의 완벽한 보안을 유지할 수 있다.

윈도우즈2000 사용자라면 높은 수준의 암호화 팩으로 운영체제를 업그레이드 해야한다.