‘2023 보안평가 기술 국제표준화 워크숍’ 9월 1일 aT센터에서 개최
ISO 19790/FIPS 140 암호모듈 시험기술 표준 동향 논의의 장 마련
ISO 19790:2024 및 ISO 24759:2024 개정 내용 및 이슈 등 주제 발표

[보안뉴스 김경애 기자] ‘2023 보안평가 기술 국제표준화 워크숍’이 오는 9월 1일 aT센터 4층 I(401호)에서 개최한다.


한국정보보호학회(미래기술연구회), ISO/IEC SC27 한국-WG3이 주최한 이번 워크숍은 ISO/IEC 표준화 위원회 SC27 중 보안 인증과 관련된 WG3의 한국 전문가 그룹의 개최로, SC27 국내 의장 및 WG3 대표인 국가보안연구소 최희봉 박사가 이 그룹의 대표를 맡고 있다.


이번 워크숍에서는 대학, 민간기업, 인증평가기관 다양한 기관에서 참석해 표준화에 대한 의견을 개진할 예정이다. WG3의 한국 전문가 그룹은 매년 국제 ISO/IEC 표준화 회의에 참석해 국내 전문가들의 의견이 반영될 수 있도록 힘쓰고 있다. 특히, 보안 인증과 관련된 국제 표준화 개정사항 및 이슈에 대해서는 국내 워크샵을 통해 꾸준히 전파하고 있다.

이에 본지는 윤승환 ISO/IEC 20540 Co-editor와의 인터뷰를 통해 이번 워크숍 개최와 관련한 주요 이슈에 대해 들어봤다.

Q. 이번 워크숍의 개최 배경이 궁금합니다.
윤승환 Co-editor: 정보보호학회와 보안평가 기술 국제표준화 전문가들이 산업체에서 근무하는 보안종사자들을 대상으로 급변하고 있는 차세대 보안평가 기술 국제표준화 동향을 전파하는 등 도움을 주기 위해 워크숍을 마련하게 되었습니다.

Q. 워크숍에선 어떤 내용이 발표되나요?
윤승환 Co-editor: 2023년 9월 1일에 개최되는 2023 보안평가기술 국제표준화 워크숍에선 암호모듈 시험기술 국제표준들의 동향 및 산업계의 이슈들이 발표될 예정입니다.

Q. 이번 워크숍에서 주목해야 하는 주요 강연은 무엇인가요?
윤승환 Co-editor: 4개의 주제 발표를 꼽을 수 있는데요. 4개의 주제 발표는 다음과 같습니다.

1. Testing FIPS 140-1, FIPS 140-2, FIPS 140-3
미국 NIST(National Institute of Standards and Technology) CMVP(Cryptographic Module Validation Program)에서 23년 동안 Director로 근무했는데요. FIPS 140-1,2,3, DTR FIPS 140-1,2,3, ISO 19790:2012 및 ISO 24759:2017 등의 저자인 Randall J. Easter가 워크숍 초청 연사로서 본 주제를 발표할 예정입니다.

FIPS 140은 정보통신시스템에서 유통되는 데이터에 대한 기밀성, 인증 및 무결성 등의 보안 서비스를 제공하는 암호모듈 보안기능 기준을 보안수준 별로 정의한 표준인데요. 암호모듈 보안기능을 시험하는 방법은 DTR(Derived Test Requirements) FIPS 140에서 정의하고 있습니다.

미국, 캐나다에서 운영되고 있는 CMVP는 2개의 검증기관과 세계 23개의 시험기관을 가지고 있는데요. 미국, 캐나다 정부에서 도입되는 보안제품은 FIPS 140 검증필 암호 모듈을 탑재해야 하기 때문에 삼성전자 등 국내뿐만 아니라 세계 많은 보안업체가 CMVP를 신청하고 있습니다.

해당 주제에서 FIPS 140 역사, 주요 암호모듈 주요기능, 시험방법 및 CMVP 검증 신청방법 등을 다루는데요. 암호모듈 검증자·시험자, CMVP 검증 신청을 준비하는 개발업체 또는 CMVP 유사 검증 스킴을 도입하고자 하는 기관에게 많은 도움이 될 수 있을 것 같습니다.

2. ISO 19790:2024 및 ISO 24759:2024 개정 내용 및 이슈
국가보안기술연구소(NSR) 최희봉 전문위원이 최근 국제적으로 보안 분야에서 큰 이슈가 되고 있는 ISO 19790 및 ISO 24759 개정에 대한 주제를 발표할 예정입니다. ISO 19790:2012는 FIPS 140-3 및 KS X ISO/IEC 19790으로 전환되어 정보통신시스템에서 유통되는 데이터에 대한 기밀성, 인증 및 무결성 등의 보안 서비스를 제공하는 암호모듈의 미국/캐나다 CMVP 및 한국 KCMVP 검증기준으로 사용되고 있어요. 새로운 암호모듈 보안기술 발전에 따라 ISO 19790 개정 작업이 ISO/IEC JTC1 SC 27 WG 3에서 진행되고 있습니다.

ISO 19790:2024의 에디터는 Carolyn French(CA), 코에디터는 최희봉(KR), Costa Graham(GB) 및 Quemard Jean-pieere(FR)이며, ISO 24759:2024의 에디터는 최희봉(KR), 코에디터는 Carolyn French(CA), Costa Graham(GB) 및 Quemard Jean-pieere(FR)입니다. 또한 NIST, CMUF(Cryptographic Module User Forum), Intel, Qualcomm, Tellas 등의 세계 전문가들이 많은 코멘트를 제출하여 개정 작업에 참여하고 있어요.

주요 개정내용으로는 물리적 보안, 안전한 컨테이너 및 공급망 보안과 관련된 암호모듈 구성품 인증 등이 있는데요. 개정되는 보안요구사항은 개발업체의 기술 및 암호모듈 사용 환경에 영향을 미치게 돼 이슈로 부각되고 있습니다.

3. ISO 19896:2025 암호모듈 시험자 및 검증자 역량기준 개정
KOIST 황현동 선임연구원이 ISO 19896의 암호모듈 시험자 역량기준에서 검증자 역량기준을 추가하는 개정 내용을 발표할 예정입니다. ISO 19896-1, 2는 암호모듈 시험자 및 검증자가 가져야 할 지식 및 기술을 정의하는데요. 이 표준의 목적은 암호모듈 시험 및 검증 업무를 각 국에서 일관성 있고 호환성 있게 수행하도록 하는 것입니다.

ISO 19896-1:2025 및 ISO 19896-2:2025의 에디터는 국가보안기술연구소 최희봉(KR), 코에디터는 Carolyn French(CA), Stiepan KOVAC(LU) 및 John DIMARIA(CSA) 인데요. 본 표준 개정은 암호모듈 검증스킴 도입을 검토 중인 유럽에서 적용될 수 있습니다.

4. ISO 20540:2026 암호모듈 현장시험 지침 개정
다음으로는 국민대학교 윤승환 박사가 ISO 20540 개정에 대한 주제를 발표할 예정입니다. ISO 20540은 ISO 19790으로 검증된 암호모듈을 사용할 현장에서 사용 전에 암호모듈 현장시험을 수행할 경우 지침을 정의하고 있어요. 암호모듈이 잘 개발 및 검증됐다고 해도 현장 사용시 조그마한 오류라도 있다면 심각한 취약점이 될 수 있어 암호모듈 현장 적용 시험이 매우 중요한데요. ISO 19790 개정 진행에 따라 ISO 20540 개정이 필요합니다. 주요 개정 내용으로 다중 인증 요소 관리, 공급망 무결성 관리 및 암호 서비스 API 세트 정의 등이 있습니다.

ISO 20540:2026의 에디터는 국가보안기술연구소 최희봉 전문위원(KR), 코에디터는 국민대학교 윤승환 박사(KR) 입니다. 이번 표준 개정은 현장에서 암호모듈을 사용할 경우 사용자에게 유용해 주목하면 좋을 것 같습니다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>