내년부터 국가 공공기관에 정보보호 제품을 납품하려면 필히 국가정보원의 암호검증을 받은 암호모듈을 탑재해야 한다. 국정원은 8일 역삼동 과학기술회관에서 설명회를 열고, 이런 내용을 담은 ‘2009년 암호검증정책’을 발표했다.

국정원은 2007년 3월 암호검증정책을 발표할 당시 PKI나 CA·RA 등 암호기반 제품에 대해서만 검증필 암호모듈 탑재를 의무화한 바 있다. 그렇지만 이날 발표한 새 암호검증정책으로 그 대상이 네트워크·컴퓨팅 제품으로 전면 확대된다.

다시 말해서 가상사설망(VPN)이나 PC보안 제품들 역시 국정원의 검증을 받은 암호모듈을 탑재해야만 국가 공공기관에 납품될 수 있다는 얘기다.

암호 검증제도란 ‘검증대상 암호논리를 활용하여 개발한 암호모듈의 구현 적합성 및 안전성을 검증, 국가기관의 소통 자료를 보호하기 위한 제도’로, 지난 2005년 최초로 ‘암호모듈 시험 및 검증 지침’이 고시된 후 본격 시행되어 왔다.

이날 발표에서 국정원측은 국가 표준 블록 암호 알고리즘인 아리아(ARIA)를 반드시 구현해야만 암호신청을 할 수가 있다고 강조했다. 아울러 암호검증과 IT제품의 보안성 평가기준인 CC인증은 전혀 별개라는 입장을 밝히기도 했다.

이밖에 국정원은 암호모듈이 없는 업체의 경우 타사의 암호모듈을 탑재하는 걸 수용하겠다고 전했다. 또 아리아의 정보에 대해 어두운 외산업체들을 위해 소스코드를 공개하겠다며 “제품에 맞게 최적화시켜 탑재해야 할 것”이라고 강조했다.

향후 국정원은 우수 국산암호논리 활용 저변을 확대하기 위해 한·미·일 검증기관 간 정보공유를 확대하는 한편, 아리아 국제 인지도 제고정책과 ISO 19790 표준제정 작업도 함께 추진해 나아가기로 했다.

암호검증 작업은 평가대상 업체와 시험기관 사이의 계약 체결을 통해 이뤄지며, 평가 결과에 대한 암호검증위원회의 검증이 긍정적으로 나올 경우에 국정원은 원장 명의의 검증서를 발급한다.

[최한성 기자(boan1@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>