‘2023년 보안평가기술 국제표준화 워크숍’이 1일 aT센터에서 개최

[보안뉴스 김경애 기자] ‘2023년 보안평가기술 국제표준화 워크숍’이 1일 aT센터에서 개최됐다. 한국정보보호학회 미래기술연구회와 ISO/IEC SC27 한국 WG3에서 개최한 이번 워크숍은 보안평가기술의 국제표준화를 주제로 국내외 국제표준화 전문가와 정보보안 분야의 산·학·연 관계자가 모인 뜻깊은 자리다.


국가보안기술연구소 전문위원 및 국제표준 SC27 HOD로 활동하고 있는 최희봉 박사는 “한·미·일 3국 정상회담의 데이비드 캠프 원칙은 핵심기술 및 차세대 기술로, 국제표준에 기반해 협력하겠다고 선언되었다”며 “국제표준화 기술이 중요하게 요구되고 있다. ‘2023년 보안평가기술 국제표준화 워크숍’을 통해 국제표준 동향 파악 및 의견 수렴, 산·학·연 전문가 간에 네트워크 구축 등 보안평가기술 국제표준화 기술 발전에 기여하길 바란다”며 개회를 선언했다.

한국정보보호학회 하재철 부회장은 환영사에서 “정보시스템, 암호기술들은 하드웨어, 소프트웨어, 펌웨어 등 많은 제품군을 만들며, 그동안 산업현장에서 비약적인 발전을 이뤘다”며 “암호검증과 평가는 얼마만큼 정보보호 제품을 안전하게 구현하고, 설계했는지를 평가할 수 있는 국제표준화 작업이다. 국제표준은 정보보호 제품 구현의 효율성을 제공하고, 제품 호환성, 보안 시장 확장 기여 측면에서 의미가 크다”고 말했다.


이어 하재철 부회장은 “정보보호 핵심 화두인 AI보안기술, 공급망 보안, 양자 보안은 시기적절한 중요한 주제로, 이번 워크숍을 통해 국제표준화 동향 파악과 암호모듈 개정 내용 등을 접할 수 있는 의미있는 자리가 되길 바란다”고 덧붙였다.

과학기술정보통신부 국립전파연구원 전파자원기획과 최영선 과장은 “디지털 대전환의 가속화로 디지털 시대 핵심요소인 데이터, 네트워크가 AI와 결합해 디지털 전환이 진행되고 있는 가운데, 사이버위협은 갈수록 고도화돼 여러 도전과제에 직면하고 있다”며 “그런 측면에서 보안 평가기술은 암호화 프로토콜 구현을 위한 양자키 분배영역, 클라우드 체계에 대한 영역, AI 기술 활용과 적용에 따른 영역, 그리고 공급망 공격체계에 대한 영역에서 중요성이 매우 크다. 차세대 보안평가영역기술의 국제표준화 동향과 관련된 최신 기술과 기술이 반영된 표준은 우리나라 산업 전반에 지대한 영향을 미치기 때문에 국립전파연구원에서도 정보통신표준 전문가의 국내외 표준화 활동을 지원하고 지지한다. 이번 워크숍을 통해 보안평가기술의 국제표준화를 위한 새로운 아이디어 발굴과 국제표준 동향 파악과 의견 수렴, 산학연 전문가들의 다양한 논의가 이뤄지길 바란다”고 축사를 전했다.


이날 행사에선 감사패 수여식이 진행됐다. 수상자는 보안평가기술 국제표준화에 기여한 Randall J. Easter(랜디)와 코아브릿지 이수연 실장이 감사패를 받았다. MonEast 랜디 부회장은 검증필 암호모듈 전문가로 국제표준에서 맹활약한 공로가 인정됐고, 코아브릿지 이수연 실장은 국내 표준 CC인증 부분에서 많은 연구를 통해 국제표준에 이바지한 공로로 감사패를 수여 받았다.


특히 이날 워크숍에선 국내외 보안 산업계에서 준용되고 있는 정보보호 평가기준 ISO 15408 및 암호모듈 시험기준 ISO 19790에 대한 동향이 발표돼 눈길을 끌었다. 세계적으로 산업계에 미치는 영향이 큰 만큼 전세계적으로도 뜨거운 감자다. 이에 본지는 HP프린팅코리아 이광우 박사와의 인터뷰를 통해 암호모듈 시험기준과 국제표준 동향에 대해 들어봤다.

보안뉴스: 암호모듈 국제표준에 대해 소개 바랍니다.
이광우 박사: 암호모듈 보안요구사항인 ISO 19790은 정보통신망의 중요데이터를 보호하기 위한 보안시스템에 탑재되는 암호모듈 보안요구사항 명세입니다. 암호모듈은 소프트웨어, 하드웨어, 펌웨어 등 다양한 형태로 구현될 수 있는데요. 국제표준에서는 이러한 암호모듈에 대해 검증기준 만족도에 따라 보안수준 레벨1~레벨4까지 정의하고 있습니다.

보안 솔루션 개발 기업은 암호모듈 보안 요구사항의 국제표준에 기반해 설계 및 개발하고, 해당 암호모듈에 대한 시험을 시험기관에 의뢰해 암호모듈 시험을 실시합니다. 그리고 검증기관은 시험 결과를 심의하여 인증서를 발행합니다.

다음으로 암호모듈 시험 요구사항인 ISO 24759는 암호모듈시험기준을 만족하는지 평가하기 위해 시험기관이 사용하는 평가방법을 명세합니다.

보안뉴스: 암호모듈 보안요구사항, 암호모듈 시험요구사항과 관련해 국제표준에서는 어떤 논의가 있었으며, 어떤 변화가 있나요?
이광우 박사: 지난 2012년에 출판된 ISO/IEC 19790버전 이후 2015년 일부 수정사항이 있었어요. 공격기술 고도화로 인해 암호모듈 인증 등과 같은 시험이 추가돼야 한다는 의견이 제시됐습니다. 향후 국제표준에서도 공격기술 고도화에 따른 암호모듈 시험 강화 등에 대한 사항들이 적용될 것으로 예상됩니다.

보안뉴스: 전세계적으로 러-우크라이나 사태, 중국과 미국의 대치, 북한 등 안보적인 측면에서도 사이버보안 위협이 고도화되고 있는데요. 암호모듈 역시 안보 측면에서 중요한데요. 이와 관련해 국제표준에서는 어떻게 논의되고 있나요?
이광우 박사: 현재 국제표준에서는 국가 안정성 측면과 보안 업계의 효율적인 측면에서 암호모듈 시험에 대해 논의되고 있습니다. 이를테면 우리나라의 경우 북한과 대치되고 있는 상황이라 암호모듈의 안정성 역시 매우 중요합니다. 그런 측면에서 엄격한 기준을 적용해 암호모듈이 평가돼야 하는 상황이죠.

국가기관 암호 전문가들은 안전한 시스템 구축에 초점을 두고 있어요. 잠재적인 보안사고 방지를 위해 검증기관에서는 암호 모듈에 대한 시험을 엄격한 기준으로 시행하도록 국제표준 개정을 제안하고 있습니다.

보안 업계에서는 좀더 실질적인 암호모듈 구현을 위해 효율적인 시험 방법 기준을 표준으로 개정해야 한다는 의견이 제시되었어요. 특히 시험기관, 산업체에서 국제표준에 참여하고 있는 해외 참여 전문가는 시험의 효율성, 개발 용이성에 초점을 두고 있어요.

소프트웨어 형태의 암호모듈의 경우에는 제품이 출시된 이후 보안 패치 등을 통해 취약성이나 문제점 개선이 가능하지만, 하드웨어 형태의 암호모듈은 제품 출시 이후 수정이 불가능하기 때문에 암호모듈 시험에 있어 보다 엄격하고 철저한 검증기준이 적용돼야 합니다.

보안뉴스: WG3 활동하면서 어려운 점은 무엇인가요?
이광우 박사: 국제표준화 활동은 기고문을 제출하더라도 표준화에 반영되기까지 오랜 시간이 걸립니다. 국가나 외부 지원 없이 활동을 지속하기가 어려운 영역이에요. 현재 우리나라의 경우 자발적으로 참여하고 있는 전문가가 대부분이라 암호모듈에 대한 민간 표준화 전문가는 턱없이 부족한 상황입니다. 신진 연구인력과 표준화 전문가의 양성이 필요하고, 국제표준에 대한 적극적인 관심과 지원이 필요합니다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>