검증받은 암호화모듈 탑재한 보안 제품만 도입··· VPN, PC보안 업계 검증필 획득 시급
8일 열린 2009년도 암호검증정책발표회에서 국가정보원 IT인증사무국은 "암호모듈 검증제도는 암호알고리즘을 활용하여 개발한 암호모듈의 구현 적합성 및 안정성 등을 검증하기 위해 시행하고 있다"며 "암호검증제도의 시험기관인 국가보안기술연구소와 계약을 체결 후 시험을 실시, 암호검증위원회를 통해 시험 결과에 대한 심의를 받아 검증기관인 국정원장의 검증서를 발급받게 된다"고 전했다.
또한 암호화모듈 검증 시 여러 알고리즘 가운데 국가표준 알고리즘인 ARIA는 반드시 구현돼야 하고 나머지 SEED, 전자서명알고리즘 등의 알고리즘은 선택 구현할 수 있다고 덧붙였다. ARIA는 involotional SPN 즉, 경량 암호화의 특징을 지닌 알고리즘으로 VPN, 스마트카드에 탑재하기 우수한 성능을 지녔다는 게 국정원의 설명. 아울러 국정원은 암호검증의 활성화를 위해 한·미·일 검증기관 간 정보공유를 확대하는 한편, ARIA의 ISO 표준제정을 추진한다는 계획이다.
타사 검증필 모듈 탑재도 무방…현실적으로는 '불가능', 자구책 마련해야
현재까지 암호화모듈 검증을 완료한 곳은 이니텍, 어울림정보기술, 케이사인, 한국정보인증, 소프트포럼, 펜타시큐리티시스템, 티맥스소프트, 드림시큐리티, 비티웍스, 고려대학교 정보보호기술연구센터 10곳에 불과하다. 추후 넥스지, 안철수연구소 등 여타 VPN, PC보안 업체들이 암호화모듈 검증을 받기 위해 나설 것으로 보인다.
당장 내년부터 검증필을 획득한 암호모듈이 탑재돼야 하기 때문에 아직까찌 검증받지 못한 업체들이 문제다. 국정원은 암호기능을 구현하는 정보보호제품의 국가기관 납품 시 검증을 받지 못했다면, 제품에 타사의 검증필을 획득한 암호화 모듈을 탑재하는 것도 가능하다고 말했다. 하지만 현실적으로 불가능한 일이다.
경쟁사간 이 같은 협력을 할리 없을 뿐더러, 이렇게 제품을 소싱해 공급한다고 해도 향후 유지보수 문제 등에 있어 책임소재가 불명확해 진다. 나아가 제품의 라이선스 계약을 별도 체결해야 하는 불가피한 상황이 발생할 수도 있다.
올 들어 보안적합성 검증이 사후 검증으로 변경됨에 따라, 국가 공공기관들의 검증필을 획득하지 않은 보안제품 이용에 대한 감시가 엄격해진 상황이다. 따라서 해당업체들의 암호화모듈의 검증 의무화가 시급히 이뤄질 것으로 예상된다.
한편, 국가정보원 IT인증사무국은 "외산 보안 제품들의 국가기관 납품을 위해 ARIA의 레퍼런스 코드를 공개한다. 레퍼런스 코드를 제품에 맞게 최적화시켜 탑재하거나 암호모듈로 개발할 수 있다"고 말했다.
관련기사
김정은 기자
jekim@itdaily.kr