‘암호모듈 검증’ 시험기관 확대…민간기관 배제, KISA가 맡는다

암호모듈 검증 시험기관이 늘어난다.

정보보호(보안)제품에 탑재되는 암호모듈 검증 수요가 크게 늘고 있지만 국가보안기술연구소가 단독으로 시험기관을 맡고 있어 최근 적체현상이 심화되고 있다.  이를 해결하기 위해 마련한 방안이다.

21일 관련업계에 따르면, 앞으로 한국인터넷진흥원(KISA)이 새로운 암호모듈 시험기관 역할을 수행하기 위해 준비에 들어갔다.

전자정부법 시행령에 따라 국가·공공기관에 도입되는 정보보호시스템 가운데 암호화가 주 기능인 제품에는 의무적으로 검증필 암호모듈을 탑재해야 한다.

국가정보원은 기준에 따라 제품에 탑재되는 암호모듈의 안전성과 신뢰성, 상호운영성 등 구현 적합성을 검증하는 제도를 운영하고 있다.

지난해 국정원은 민간 공통평가기준(CC) 시험기관도 암호모듈 검증 시험을 담당할 수 있도록 확대하는 방안을 추진하기도 했다. 가중되고 있는 시험 적체 현상을 해소하기 위해 추진한 방안이다. 그러나 최근 이같은 방침을 사실상 백지화했다.

대신에 일단 암호모듈 검증 시험을 국보연 외에 KISA까지 담당할 수 있도록 방침을 정하고 KISA와 함께 준비작업을 진행하고 있다. 암호모듈 시험은 올해 정보보호산업본부 보안산업단 내에 신설된 암호기술팀에서 담당하게 될 예정이다.

아직까지 예산이나 인력 등도 확보되지 않은 초보적인 준비단계여서 이르면 내년부터 시험에 착수할 수 있을 것으로 예상된다.

암호모듈 시험을 민간 평가기관까지 전면 확대하는 방안을 추진했다 KISA가 담당하는 것으로 방침이 전환되자, 작년부터 시험 인력과 시험실 등을 확보하고 준비해온 민간 평가기관들은 난감한 입장에 처한 상황이다.

국정원은 민간 암호모듈 시험기관 지정을 위한 심사 일환으로 지난해 시험평가를 진행했다. 당시 대부분의 민간 평가기관이 시험에 참여했다. 당초 올해 한차례 더 시험을 진행해 시험기관을 선정한다고 했지만 무산됐다는 게 평가기관들의 얘기다.

한 평가기관 대표는 “1년 넘는 기간 동안 암호모듈 검증 시험기관을 준비하기 위해 신규 전문인력을 채용, 양성하고 시험실도 확보하는 등 투자를 진행했다”며 “이로 인해 막대한 손실이 발생하고 있다”고 말했다. 평가기관들은 최근 보안제품 CC평가 수요가 눈에 띄게 줄어들면서 사업다각화에 나서지 않는 한 생존을 걱정해야 할 상황이다.

cmvp민간 평가기관들 사이에서는 시험 적체현상 해소나 시험기간 단축은 물론, CC평가에서도 암호기능 검증이 강화되는 추세에 발맞춰 국가기관 중심의 암호검증 시험제도를 탈피해야 한다는 지적이 나오고 있다.

미국, 일본 등 해외국가에서 암호모듈 검증은 CMVP(Cryptographic Module Validation Program)로 운영되면서 CC 평가기관 등 민간기관에서 시험하고 있다. 국내에서도 암호모듈 검증은 ‘K-CMVP’로 불린다.

평가기관 대표는 “국제적으로 CC평가의 암호기능 검증을 지속적으로 강화하고 있어 국가 간 공통으로 사용되는 보안요구사항(PP)에서도 암호기능을 상세하게 다루고 있는 추세”라며 “국내는 시험기관 분리 운영돼 국제적인 암호검증과 CC 시험 간 방법론 논의에 활발히 참여하지 못하고 있는 실정”이라고 지적했다.

한 보안업체 대표도 “암호검증 시험 적체현상이 갈수록 심해지고 있어 민간 평기기관 등 시험기관이 조속히 확대될 것을 기대했으나 개선이 이뤄지고 있지 않아 난감한 상황”이라며 “검증이 늦어지면서 사업에 큰 차질을 빚고 있어 개선책이 필요하다”고 강조했다.

국가정보원은 관련지침 개정 등 법·제도적 근거가 미비하다는 점을 들어 민간 암호모듈 검증 시험기간 확대 방침을 보류한 것으로 알려졌다.

암호모듈 검증 시험기관을 민간기관이 맡게 되면 현재 무료로 제공되는 시험이 유료로 전환되게 된다. KISA는 미래창조과학부 산하기관으로 암호모듈 검증 시험기관을 맡게 되더라도 수수료 없이 국보연이 진행하는 방식과 동일하게 제공될 전망이다.

국보연 관계자는 “암호모듈 검증 시험 적체로 개발업체들의 애로사항을 해결하고자 국가정보원과 함께 다양한 활동 진행했다”며 “작년에 민간 평가기관들이 암호모듈을 시험할 수 있도록 연구소 기술을 전수하는 등 다양한 방안을 추진했고 법적근거를 마련하기 위해 미래부와도 협의했지만 진척되지 않고 있는 상황”이라고 설명했다.

이 관계자는 “민간 평가기관이 암호모듈 시험기관을 맡게 되면 업체들에겐 수수료 등 비용부담이 발생할 수 있다. 법적근거가 마련돼야 하고, 엄격한 시험기관 자격 심사도 거쳐야 한다”라면서 “KISA가 시험기관을 맡게 되면 적체를 해소하면서 연구소가 해온 것처럼 공공 서비스 형태로 시험할 수 있다는 점에서 준비하고 있는 것”이라고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

첫 댓글

  1. 제가 KISA에서 암호기술팀장직을 맡고 있을때부터 KISA는 국보연과 더불어 암호모듈검증기관으로 지정돼 있었습니다. 단지 그동안 적극적으로 평가업무를 수행하지 않았을뿐이지요.

    이번에 평가기관을 민간기관까지 확대시키지 않은것은 (1) 아직 평가기술력이 검증되지 않았고, (2) 무분별하게 평가기관을 늘릴경우 과다 출혈 경쟁으로 인한 수익성 악화 및 평가품질 저하의 우려가 있기 때문인 것으로 압니다.

    물론 평가업체의 경우, 수익 다변화를 할수 있는 기회를 놓치게 되어 아쉽겠지만요..

Seungjoo Kim에 답글 남기기 응답 취소

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다