암호보안제품, CC 없이도 보안 적합성 검증 가능

일반입력 :2007/02/28 17:02

유윤정 기자

DB보안, PKI, OTP 등 암호기능이 주인 제품들은 CC인증 없이 국정원의 보안 적합성 검증을 받을 수 있게 된다. 28일 국가정보원(원장 김만복, 이하 국정원)은 한국과학기술회관에서 상용 암호모듈검증제도 설명회를 개최하고 암호보호 기능 제품에 대해 CC인증 없이도 보안 적합성 검증을 받을 수 있는 제도를 3월경 확정한다는 방침을 밝혔다.상용 암호모듈검증제도(CMVP:Cryptographic Module Validation Program)는 국가ㆍ공공기관이 비밀 이외의 중요소통자료 유출을 방지하기 위해 정보보호제품에 탑재해 도입하도록 하는 제도. 이를 통해 암호키의 위변조, 훼손 등을 막아 정부기관의 안정성과 신뢰성을 보장할 수 있게 된다. 국정원은 2005년 1월부터 이 제도를 도입해 왔지만 현재 70%의 기업들이 제도에 대해 인지하지 못하고 있어 적극적인 홍보와 지원을 펼쳐나갈 생각이라고 전했다. 현재 암호모듈검증제도의 검증완료를 받은 제품은 소프트포럼 시큐어크립토 v1.2, 이니텍 이니쉐이프 v1.0, 어울림 시큐어웍스 IPSwall2000 v4 등 3개 제품이고 에스원, 고려대학교 등 5개 기업들도 암호보호 제품에 대한 검증을 진행 중에 있다. 국정원 관계자는 "기업들의 인식 부족도 문제지만 정부기관들도 이 제도에 대한 인지가 부족해 기업들이 암호모듈을 검증받은 제품에 대해 정부기관들에게 거꾸로 설명해야 하는 경우가 발생키도 했다"고 전했다. 검증평가 수수료「무료」국정원은 이 제도의 활성화를 위해 DB보안, OTP, PKI 등 암호기능이 주인 정보보호제품에 대해 CC인증 없이도 보안 적합성 검증을 받아 정부기관에 도입될 수록 하는 제도를 추진 중이다. 국정원 관계자는 "CC인증 등 다른 평가제도와의 공정성을 최대한 고려하고 국가에서 필요한 제품에 대한 시급성을 고려해 CC인증 없이도 보안적합성 검증을 받을 수 있도록 하는 제도를 1사분기내에 마련할 생각"이라고 강조했다.국정원의 이같은 제도 추진으로 인해 상용 암호모듈검증제도를 받으려는 제품들의 수요가 늘어날 것으로 전망되고 있다. 하지만 아직까지 검증 수수료는 무료로 향후 검증을 받고자 하는 수요가 늘어나면 검증 수수료가 부과될 예정이다.국가보안기술연구소 정지은 연구원은 "현재 제도의 활성화를 위해 검증 수수료를 받고 있지 않으나 언제까지 무료일지는 고민 중"이라며 "외국과 비교해 수수료를 책정하고 확정되면 공지할 생각"이라고 전했다. 국정원은 그동안 암호보호제품을 만드는 기업들도 암호키 관리에 대해 잘 모르고 있었던 문제점이 있었다며 암호키관리 가이드라인 등을 통해 이 제도에 대한 인지와 홍보에 박차를 가할 방침이다. @