• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[암호모듈 검증-3]“CMVP, 전세계 의무화·활성화 추세” 2009.03.15

“암호모듈 검증, 국가적 체계 유지와 벤더의 준비 필요한 시점”

CC평가인증 제도상 사후관리와 동일한 개념, 검증절차 흐름도 유사


이전 암호모듈 검증 기획기사를 통해 국정원의 불명확한 가이드라인에 대한 비판을 한 바 있다. 하지만 이와 관련 암호모듈 검증제도 시행이 필요하다는 것에는 대상 업체들 역시 이견을 주지 않았다. 보안성 검증을 완성한다는 측면에서는 대부분의 대상 업체들 역시 국정원의 뜻과 크게 다르지 않았기 때문이다. 그런 가운데 국정원은 13일 암호검증 제출물 작성법 설명회를 개최했다. 이에 이날 설명회를 통해 밝힌 암호모듈 관련 가이드라인 등을 소개한다. - 편집자 주 -


<순서>

1. 정책 초점 불명확한 암호모듈 검증제도

2. 암호모듈 검증과 보안업체들의 입장

3. 국정원의 암호모듈 검증 의무화의 현주소


국정원이 검증필 암호모듈를 올해부터 의무화한다고 발표한 이후 이에 대한 관련 대상 업체들의 움직임이 두드러졌다. 이미 검증필 암호모듈을 득한 업체들은 이를 필요로 하는 대상업체에 자사의 암호모듈을 탑재할 수 있도록 하는 마케팅 아닌 마케팅을 펼쳤고, 이에 부응한 대상 업체들이 나타났으니 말이다.


그런 가운데 국정원 IT보안인증사무국은 ‘암호모듈 시험 및 검증지침’에 의거해 지난 3월 11일부로 검증이 완료된 국가용 암호모듈 1종을 검증필 암호모듈 목록에 추가했다고 밝혔다.


이렇게 해서 검증필 암호모듈 목록에는 이날 추가된 ‘이니텍(모듈명:INISAFE Crypto for Java V1.0)’을 포함해 모두 12개 업체가 됐다.


그리고 국정원과 국가보안기술연구소는 13일 코엑스 컨퍼런스센터에서 암호검증을 희망하는 정보보호업체의 제출물 작성을 지원하기 위해 ‘암호검증 제출물 작성법 설명회’를 개최했다.

 

▲국정원과 국가보안기술연구소는 13일 코엑스 컨퍼런스센터에서 암호검증을 희망하는 정보보호업체의 제출물 작성을 지원하기 위해 ‘암호검증 제출물 작성법 설명회’를 개최했다. 사진은 국가보안기술연구소 관계자가 CMVP 시험 및 검증절차를 설명하고 있다. @보안뉴스.

 

이날 설명회에는 암호모듈 시험기관인 국가보안기술연구소 관계자의 ‘해외 암호검증제도 동향’과 ‘암호모듈 재검증 수행방안’ 발표 및 형상관리문서·제품사용설명서·취약성분석 및 대응문서 등 제출물 작성 교육이 있었다.


이와 관련 최근 검증필 암호모듈 관련 이슈 사항에 대한 국정원 측의 답변을 들어 봤다.


우선 검증필 암호모듈 탑재 도입시기에 대해 국정원 관계자는 “2009년 1월부터 공공기관에 납품되는 모든 제품에 검증필 암호모듈이 탑재돼야 한다는 의무화 발표는 변경의 여지가 없는 사실이다”며 “단 준비 상황이 충분치 못한 업계의 현실을 반영해 바로 페널티를 부과하지 않은 것이다. 이에 대한 오해가 있어 이에 대한 적절한 대응을 할 예정이다”고 밝혔다.


또한 국정원 관계자는 암호모듈 재검증과 관련해서는 “모든 플랫폼에 따라 개별 심사를 받아야 한다는 것은 확정된 정책이지만 이로 인해 재검증이 지연되고 업계의 사업진행에 차질을 주어서는 안 될 것이다”며 업계의 어려움에 대해 공감하고 있어 “소스변경이 없는 플랫폼이나 OS, bit 등 환경변경으로 인한 재검증일 경우 서류 검토만으로 1~2일 내에 진행시킬 예정이며 이로 인한 재검증 정체는 절대 없게 할 것”이라는 입장을 밝혔다.


아울러 국정원 관계자는 재검증이 필요 없는 멀티 플랫폼 제품이 있는가라는 질문에 “재검증은 모든 검증필 암호모듈에 해당되는 프로세스이며, 인증 확장자가 lib이든 dll이든 이로 인한 문의가 있었던 것은 사실이지만 이는 특정 업체의 영업과정에서 나온 오해일 뿐 멀티 플랫폼용으로 검증을 해준 적은 없으며 그런 형태의 모듈 검증은 있을 수 없다”고 강조했다.


이와 관련 국가보안기술연구소 관계자는 “암호모듈 시험 및 검증 제도상의 재검증은 CC평가인증 제도상의 사후관리와 동일한 개념으로 검증절차 흐름도 유사하다”고 덧붙였다.


즉 국정원 측은 “암호모듈 재검증은 검증필 암호모듈을 확보하고 있는 업체는 물론 도입을 고려하고 있는 모든 업체에 적용되는 문제다”고 밝힌 것이다.


한편 13일 암호검증 관련 설명회에서 국가보안기술연구소 관계자는 ‘암호모듈 재검증 수행 방안’을 발표하면서 “CMVP(Cryptographic Module Validation Program) 기준이 ISO 표준으로 등재되는 등 대부분의 선진국에서 CMVP가 의무화되고 있다”며 “전세계적으로 CMVP가 의무화·활성화 되는 상황이므로 국가적 체계 유지와 벤더(Vendor)의 준비가 필요한 시점이다”고 강조했다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>