편집 : 2019.11.22 금 13:37
금융IT
<초점>AWS 해명했지만, ‘MTCS 인증서’ 논란 아직도…‘AWS 아티팩트 통한 인증서 확인’ 방법, ‘IAF’ 로고 등 의혹 추가돼
김동기 기자  |  kdk@bikorea.net
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2019.09.09  01:36:48
트위터 페이스북 미투데이 요즘 네이버 구글 msn

애초, 아마존웹서비스(이하 AWS코리아)의 ‘MTCS(Multi-Tier Cloud Security) 서울 리전 인증서’ 논란은 인증서 진위여부를 따지는 논쟁거리가 아니었다. 

주요 논란은, AWS코리아가 지난 4월, ‘MTCS 서울 리전 인증’을 받았다고 하는데 그 인증서를 한국어로 된 AWS 코리아 웹사이트에서는 왜 볼 수가 없냐는 게 주요 내용이었다. 

여기에 덧붙여 AWS코리아가 A금융회사에 제출한 제안서에 ‘서울 리전 인증서’가 보란 듯이 기재돼 있었고, 그 때문에 A금융회사에 제출된 인증서 진위 여부까지 논란이 확산된 것이다. 

그러다 보니, 기존 싱가폴 인증서와 A금융회사에 제출한 ‘서울 리전 인증서’를 비교하게 됐고 그 과정에서 ‘Registration Number(등록번호)’, ‘Expiry Date(만료 날짜)’  ‘Amendment Date(수정 날짜)’의 표기 방법이 일반적인 MTCS 인증서와 차이를 보이는 점이 발견된 것이다. 

물론, AWS코리아 BI코리아에 제출한 대로 ‘MTCS 서울 리전 인증서 존재’에 큰 이의는 없어 보인다. 

그러나, AWS코리아가 밝힌 ‘인증서 확인’ 방법에 대해 여전히 논란이 지속중이고, 제출한 문서에 이상한 점이 발견돼, 향후 인증서 진위여부 확인에 외부 전문기관의 검증이 필요해 보인다. <그림1 ‘AWS코리아가 BI코리아에 문서로 제출한 서울 리전 인증서 스캔 화면’ 참조>

   
▲ 그림1 ‘AWS코리아가 BI코리아에 문서로 제출한 서울 리전 인증서 스캔 화면’-1
   
▲ 그림1 ‘AWS코리아가 BI코리아에 문서로 제출한 서울 리전 인증서 스캔 화면’-2
   
▲ 그림1 ‘AWS코리아가 BI코리아에 문서로 제출한 서울 리전 인증서 스캔 화면’-3

◆‘AWS 아티팩트 회원 가입에 신용카드 번호를?’ = 우선, 논란이 이어지는 대목은 ‘MTCS 서울 리전 인증서’를 ‘AWS 아티팩트(https://docs.aws.amazon.com/ko_kr/artifact/latest/ug/getting-started.html)’에서 확인하는 방법이 생각보다 까다롭다는 점이다. 

싱가폴 인증서는 한국어로 된 AWS코리아 인터넷 사이트(https://aws.amazon.com/ko/compliance/aws-multitiered-cloud-security-standard-certification/)에서 그냥 볼 수 있다.

최근에는 이 사이트에 ‘오스파(OSPAR)’라는, 아웃소싱 서비스 공급업체 감사보고서 검증을 획득했다는 인증서가 업데이트 됐다. 

   
▲ 2019년 9월 8일 AWS코리아 인증 안내 화면.(출처 : BI코리아 캡처)
   
▲ 2019년 8월 25일 AWS코리아 인증 안내 화면.(출처 : BI코리아 캡처)

‘MTCS 서울 리전 인증서’를 보기 위해서는 ‘AWS 아티팩트(Artifact) https://docs.aws.amazon.com/ko_kr/artifact/latest/ug/getting-started.html’에 회원 가입을 한다. 

BI코리아가 확인한 특이점은, 가입 과정에서 ‘신용카드 번호’를 입력해야 한다는 점이다. 특별한 결제가 진행되지는 않았다. 

몇몇 글로벌 기업에 문의한 결과, 개인인증을 위해 글로벌 기업이 웹사이트에서 신용카드 번호를 요구하는 경우가 있다는 것이다. 호텔 체크인 ‘디파짓(Deposit, 보증금)’ 같은 느낌이랄까. 

이후, 웹사이트 https://console.aws.amazon.com/artifact/home?region=us-east-1#!/reports로 접속 후 MTCS 인증 페이지까지 진행하면 아래 <그림2> 화면이 나온다. <그림2 ‘MTCS certification(SEOUL Region)’ 참조>

   
▲ 그림2 ‘MTCS certification(SEOUL Region)’(출처 : BI코리아 캡처)

<그림2> 아래 붉은색 박스 ‘이 아티팩트 가져오기’를 클릭하면, 아래 <그림3>‘AWS 아티팩트 이용 약관’이 나오고, <그림3>의 붉은색 부분 ‘수락 및 다운로드’ 하면 아래 <그림4>‘How to open this artifact’ PDF 형식 파일이 나타난다. 

   
▲ 그림3 ‘AWS 아티팩트 내 MTCS certification(SEOUL Region) 이용약관’(출처 : 브라이먼 커뮤니케이션 제공)
   
▲ 그림4 ‘How to open this artifact’(출처 : 브라이먼 커뮤니케이션)

<그림4>의 윗 부분 다운로드를 클릭 후 다운로드 하면, 아래 <그림5>‘MTCS 서울리전 인증서 다운로드 경로’ 같은 화면이 나타나고, 그 화면 왼쪽(붉은색 박스) ‘클립 모양(첨부파일)’을 클릭하면, <그림1>과 같은 인증서 화면이 순서대로 나타난다. 

   
▲ 그림5 'MTCS 서울리전 인증서 다운로드 경로 화면'(출처 : 브라이먼 커뮤니케이션)

도대체 인증서가 미로속 같은 ‘문서 속 문서’로 저장됐는지를 누가 상상하겠는가. 

이 모든 과정은 기자가 회원 가입 후에도 인증서를 찾을 수 없고, ‘How to open this artifact’ 화면 앞에서 헤매고 있자, AWS 코리아 홍보대행사 '브라이먼 커뮤니케이션'이 경로를 안내해 왔다. 

업계 한 관계자는 “AWS에 회원 가입을 한지 1년이 지났는데, 여기는(artifact) 처음 접속, 들어와 본다”며 “인증서 하나 보기에는 생각보다 복잡한 것 같다”고 전했다. 

◆“우리(MTCS 서울 리전 인증서) 그냥, 한국어 웹사이트에 공개하게 해주세요” = 이같은 과정을 거쳐, ‘AWS 서울 리전 인증서 유무’에 대한 논쟁은 다소 해소될 수 있어 보인다. 

특히, MTCS 싱가폴 인증을 한국에 확장했다는 AWS코리아 주장을 인용하면, 굳이 서울 리전 인증서를 ‘한국어로 된 인터넷에 공개할 의무(?)’도 없어 보인다. 

논란이 가라앉지 않는 이유는 그러나, 인증서 하나 보자고 이렇게 복잡하게 해 놓은 이유에 대해 AWS코리아 해명이 여전히 명쾌하지 않다는 데 있다. 

AWS코리아는 해명을 통해 “각 기업은 인증서를 공유함에 있어서 고객의 니즈에 가장 적합한 방법을 선택할 수 있습니다”고 밝혔다. 

클라우드 서비스 업계 한 관계자는 “어떤 고객의 니즈의 차이로 싱가폴에서 받은 인증은 한국어 웹사이트에 그대로 공개되고, 한국 인증서에 대해서 이렇게 복잡하게 공유를 하는지, 고객의 니즈의 차이가 무엇인지를 다시 물어봐야 겠다”고 지적했다. 

특히, 신용카드 번호 입력 부문은 석연치 않은 점이다. 

예를 들어, 금융회사에서 ‘보고용’으로 ‘인증서’를 첨부하고자 할 때 금융회사 직원이 개인 신용카드 번호를 입력을 해야 하는지 논란이 될 수 있다. 

사실, ‘인증서를 본다’ 함은, 확인에 대한 절차로써 가치가 있는 경우가 많기 때문이다. 

즉, 회사일로 인해 인증서를 하나 봐야겠는데, 회원가입 해라, 개인 신용카드 번호 입력해라 하면 누가 이를 보편적 ‘고객의 니즈’라고 할 수 있겠느냐 하는 점이다. 

IT업계 한 관계자는 “IT업계에서는 대체적으로, 신용카드 번호를 개인인증의 수단으로 활용하는 경우가 많다”며 “그런 과정으로 해석할 수 있지 않을까”라며, 최근 트렌드를 전해왔다. 

그렇다면, 법인 신용카드로 인증은 가능할까. BI코리아가 확인한 결과, 법인카드로 ‘AWS 아티팩트’ 가입은 불가능했다. 

도대체 AWS 코리아의 ‘인증서 보기’ 조치가 참 희한할 뿐이다. 

심각한 문제는 또 있다. 

‘AWS 아티팩트’를 통해 다운로드 한 ‘AWS 서울 리전 인증서’에 두 가지 현격한 다른 점이 나타난다. 

우선, AWS 싱가폴 인증서나 또는 다른 클라우드 서비스 사업자가 받은 인증서에는 있는 ‘IAF’ 로고가 ‘AWS 서울리전 인증서’에는 없다는 것이다. <그림6 ‘MTCS 관련 IBM 인증, AWS 싱가폴 인증, 서울 리전 인증서 비교’ 참조>

   
▲ 그림6 ‘MTCS 관련 IBM 인증서 화면'.(출처 : BI코리아 다운로드 및 캡처)
   
▲ 그림6 ‘MTCS 관련 AWS 싱가폴 리전 인증서 화면'.(출처 : BI코리아 다운로드 및 캡처)
   
▲ 그림6 ‘MTCS 관련 AWS 서울 리전 인증서 화면'.(출처 : BI코리아 스캔 및 캡처)

<그림6>에서 보듯, 인증서 왼쪽(붉은색 박스)에 나타나는 ‘IAF 로고’가 선명한데, ‘서울 리전’ 인증서에는 없다. 

‘IAF(International Accreditation Forum)’는 적합성평가분야 인정기관간 상호인정협정(MLA)의 체결을 통해 경영시스템인증, 제품인증, 요원인증 등의 분야에서 발생할 수 있는 무역상의 기술장벽 해소를 목적으로 한다. 

즉, IAF 로고는 싱가폴 인증을 한국에서도 인정받을 수 있는 IAF 회원자격이라는 표식이다. 

AWS 코리아가 주장대로, ‘MTCS 서울 리전 인증’이 싱가폴 인증의 서울 확장이고, ‘금보원의 클라우드 서비스 사업자 보안평가 기본호보조치 109개 생략’이 가능하기 위해서는 ‘IAF 로고’가 없는 것 보다 있는 게 더 분명한 인증이지 않을까 하는 게 의문이다. 

이같은 배경 때문에 정작 ‘서울 리전 인증서’에 있어야 할 ‘IAF 로고’가 없다는 점은 논란거리다. 

또 다른 논란거리도 나온다. 

AWS코리아가 받았다고 주장하는 ‘인증서’에는 ‘출력물 인증 번호’ 같은 ‘숫자-문자 조합’이 ‘서울 리전 인증서’ 바탕 왼쪽에서 오른쪽 방향 사선으로 기재돼 있다. 

이는 인터넷 화면에서도 보이고, 출력을 했을 때도 같은 화면으로 나타난다. 그런데, 앞서 설명한 IBM이 받은 인증서나, AWS가 싱가폴에서 받았다고 인터넷에 게재한 인증서에는 보이지 않는다. 

AWS코리아측 홍보대행사는 이 ‘숫자-문자 조합’에 대해 명쾌하게 설명하지 못했다. 

추정을 전제로, 문서를 인쇄할 때 나타나도록 사전에 조치한 것 아니냐는 의견만 전달하고, AWS 코리아의 공식입장은 없다. 

하드카피로 된 인증서를 제출하면, 가라앉을 줄 알았던 AWS코리아의 서울 리전 인증서 진위여부 논란은 이제, 인증서 발급기관(싱가폴 정보통신미디어개발청)과 AWS 본사의 구체적이고, 실질적인 해명이 나와야 해소될 것으로 보인다. 

<BI코리아>는 MTCS 인증서 발급 기관, 즉 싱가폴 ‘정보통신미디어개발청(IMDA)’ 또는 인증 발급 대행기관 ‘ISC 글로벌’ 그리고 AWS 본사에 대해 지속적인 협조를 요청하거나, 외부 전문기관을 통해 AWS코리아가 공개한 ‘서울 리전 인증’에 대한 진위 여부를 지속 검증해 나갈 예정이다. 

<김동기 기자>kdk@bikorea.net

< 저작권자 © BI KOREA 무단전재 및 재배포금지 >
김동기 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
1
OK저축은행 차세대 IT개발, 백지화 수순 가나
2
<초점>은행권 창구 업무 혁신 가속화되나
3
LG히다찌, KEB하나은행 ‘AML’ 개선 구축
4
티맥스오에스-틸론, ‘PC 없는 업무 환경’ 협력
5
KT-코어라인소프트, MOU
6
LG유플러스, 고효율 ‘LTE-R’ 기술 검증
7
LG U+, “5년간 2조 6000억 투자” 발표
8
‘U+MVNO 파트너스’, 2200여개 판매대 설치
9
KT-금호고속, ‘VR 서비스’ 협력
10
우리은행, 성과평가제도 ‘KPI’ 전면 개편
회사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울시 영등포구 여의대방로65길 13, 904(여의도동 유창빌딩)| Tel: 02-785-5108 | Fax 02-785-5109
이메일주소무단수집거부 | (주)비아이코리아닷넷 | 대표이사 : 김동기 | 사업자 등록번호:107-87-99085 | 개인정보관리책임자 : 박시현
등록번호 : 서울 아01269 | 등록일자 : 신고일자 2008.10.22 | 발행인:김동기 | 발행일자:2010.06.01 | 편집인 : 박시현 | 청소년보호책임자 : 박시현
Copyright © 2012 BI KOREA. All rights reserved. mail to webmaster@bikorea.net