글로벌 디지털 복합기에 국산 암호 알고리즘이 탑재될 수 있는 길이 열렸다.
한국이 주도적으로 제안한 디지털 복합기 공동보호프로파일(cPP)이 CCRA 관리위원회 승인을 받았기 때문이다. 한국의 사이버 보안 정책을 반영한 국제표준이다. CCRA는 정보보호 기능이 들어간 제품의 안전성을 회원국가가 상호 인정하는 국제 협약이다.
국가정보원은 CCRA의 하드카피 디바이스(Hardcopy Devices) iTC가 배포한 '디지털 복합기 공동보호프로파일(cPP) v1.0e'를 국가·공공기관 도입기준으로 채택한다고 밝혔다.
cPP란 CC인증을 위한 보안규격이다. 기술분야별 최신 보안기술을 담고 있다.
이번 cPP 발표로 캐논, 엡손, HP 등 글로벌 제조업체가 복합기에 한국 암호 알고리즘을 활용할 수 있는 가능성이 커졌다. CC인증을 받기 위해서는 cPP에 기재된 항목을 반영해야 하기 때문이다.
CCRA는 2014년 협정을 개정한 이후 CCRA 가입국가, 평가기관, 글로벌 기업 등과 협력해 네트워크 장비, 생체인식제품, 데이터베이스, 복합기 등 여러 공동보호프로파일(cPP)을 제정했다.
■ 자국 보안 정책 국제 표준화 반영 경쟁
국정원과 CC인증기관인 국가보안기술연구소 IT보안인증사무국은 2018년부터 기존 디지털복합기 cPP를 대체하는 신규 보호프로파일(cPP) 제정 필요성을 CCRA에 제기했다. cPP 개발실무를 담당하는 국제기술개발그룹(iTC) 설립과 활동을 지원했다. 한국 보안정책을 국제 표준에 반영하는 노력이다.
미국은 인력과 예산을 투자하며 ISO, IEEE 등 기구에서 국제기술표준에 자국의 보안정책을 포함시켜왔다. 시스코, 주니퍼 등 미국업체가 글로벌을 무대로 사업을 펼칠 수 있는 이유다.
최근 중국도 자국의 보안정책을 국제표준화하는데 집중하고 있다. 화웨이는 360여개 산업표준화 분야에서 활동하면서 주요 직책을 맡아 영향력을 확대하고 있다.
IT보안인증사무국은 "기존 PP에는 미국 국제표준 암호알고리즘(AES, RSA, ECDSA)만 포함돼 디지털 복합기 기업이 해당 내용만 반영했다"면서 "이번 디지털 복합기 cPP는 한국이 주도해 개발한 첫 번째 성과"라고 밝혔다.
■ 국내 암호 알고리즘 5종 포함
신규 제정된 cPP는 ▲국제표준 암호알고리즘 탑재 ▲데이터 암호화 등 한국 보안정책과 최신 디지털 복합기 보안기술이 반영됐다.
특히, 데이터 암호화를 위한 암호 알고리즘에 시드(SEED), 하이트(HIGHT), 레아(LEA), KCDSA, EC-KCDSA 등 국내 기술로 개발된 5종의 국제표준 암호알고리즘이 포함됐다.
CCRA산하 '하드카피 디바이스 iTC 의장인 이광우 박사는 "디지털 복합기 cPP가 실효성을 갖기 위해서는 한국, 일본, 미국의 모든 디지털 복합기 제조업체, 평가기관, 산업 협회, 표준화 기관의 참여가 필수적이었다" 면서, "한·미·일의 CC 인증기관의 적극적인 지원과 공조 하에 거의 5년 만에 최신 디지털 복합기 보안기술을 포함한 디지털 복합기 cPP를 발표할 수 있었다"고 말했다.
이 의장은 "이번 디지털 복합기 cPP 제정으로 다른 보안 제품 평가 인증 기준에도 한국 암호 알고리즘을 탑재할 길을 열었다는데 의미가 크다"고 덧붙였다.