암호모듈 시험기관인 국가보안기술연구소는 2일 코엑스 컨퍼런스룸에서 ‘암호모듈 검증 제출물 작성법 설명회’를 갖고 암호검증을 희망하는 정보보호업체가 쉽게 제출물을 작성을 지원하기 위한 자리를 마련했다. 이번 설명회는 지난 3월 13일 설명회에 이어 올해 두 번째 개최된 행사다.

암호모듈이란 검증대상 보호 함수를 구현한 하드웨어, 소프트웨어, 펌웨어의 집합을 말한다. 또한 그에 따른 암호모듈 시험 및 검증제도란 국가·공공기관 정보통신망에서 소통되는 자료 중에서 비밀로 분류되지 않은 중요 정보의 보호를 위해서 사용되는 암호모듈의 안전성과 구현 적합성을 검증하는 제도다.

12월 2일 현재, 국가정보원 IT보안인증사무국 홈페이지 검증필 암호모듈 목록에는 이니텍이 ‘INISAFE Crypto V1.0’을 2006년 9월 30일에 처음으로 등재시킨 이후 ▲한국정보인증(SignGATE V1.0) ▲비티웍스(BTW-Crypto V1.0) ▲티맥스소프트(T-Crypto V1.1) ▲펜타시큐리티시스템(CIS-CC V3.0) ▲유비엠정보(MPowerCrypto V1.3) ▲이니텍(INISAFE Crypto for Java V1.0) ▲킹스정보통신(K-Crypto V2.0) ▲한국무역정보통신(SCORC CRYPT V2.0) ▲드림시큐리티(Magic Crypto V1.1) ▲고려대학교(Korea Library V1.5) ▲케이사인(KSignCASE V2.2) ▲어울림정보기술(SWCLM V1.0) ▲소프트포럼(XecureCrypto V1.2.4.0) ▲나우콤(SNIPER Crypto V1.0) ▲파수닷컴(Fasoo Crypto V1.0) 이상(검증일 순) 16개 업체의 암호모듈이 등재돼 있다.

이날 설명회는 ▲암호모듈 검증 절차 ▲암호모듈 검증 제출물 안내 ▲제출물 작성교육 등의 주제로 진행됐으며 제출물 작성 법 중심으로 설명회가 진행됐다. 특히 이날 국보연의 KCMVP(Korea Cryptographic Module Validation Program)팀은 설명회를 통해 그간 변경된 제도 사항을 안내해 주목된다.

이날 국보연 관계자는 “암호모듈 검증 절차에 있어서 기존에는 신청인이 계약 후 16주 기간 동안의 시간이 소요됐다. 물론 수정·보완을 하는 것을 뺀 기간이다. 그런 측면에서 내년부터는 이 기간을 4주가 단축한 12주로 진행할 예정”이라고 밝히고 “교육 프로그램에 있어서도 내년에는 암호모듈인증기관인 국정원과 협의해 2일간의 교육 커리큘럼을 만들어 진행할 계획으로 현재 검토 중에 있다”고 전했다.

또한 국보연 관계자는 미국 표준기술연구소(NIST)의 암호모듈 관련 진행사항 등을 설명하며 “미국은 암호모듈검증 프로그램인 CAVP(Cryptofraphic Algorithm Validation Program)를 별도로 진행하고 있다”며 “국내 역시 암호 알고리즘 검증을 계약 전 시행해 12주 안에 완료가 될 수 있도록 할 것”이라고 설명했다.

즉 국보연의 암호모듈 검증 절차에 있어 가장 크게 변경된 사항이라고 한다면 수행 단계인 ‘검증시험신청’ → ‘사전 검토’ → ‘시험 검증’ → ‘최종 심의’에 있어서 ‘사전 검토’ 단계에서 수행하는 업무인 ▲제출물 사전검토 및 제출물 보완 ▲암호모듈 검증 계약 ▲제출물 설명회 등에 더해 ‘암호 알고리즘 구현 검증’이 새롭게 추가된 것이다. 물론 이 사전 검토 단계에서의 시험기간은 신청 후 4주이기는 하지만 여기에 제출물 상태에 따라 유동적일 수 있다고 국보연 관계자는 설명했다.

한편 이날 설명회에는 암호모듈 인증기관인 국정원 IT보안인증사무국의 암호모듈 담당자가 최근 변경돼 업체 관계자들과 직접 대면하는 자리가 되기도 했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>