KCMVP, 7단계 과정 거쳐 암호모듈검증
투명성 강화하고 신속한 검증 처리 위해 ‘온라인 서비스’ 제공 예정
[보안뉴스 박은주 기자] 제품은 출시되기 전 안전점검 과정을 거친다. 자동차가 출시되기 전 안전시험 과정을 거치는 것처럼 보안 분야에서도 안전을 점검하는 과정이 있다. 그중 암호모듈에 대한 안전성을 검증하는 제도를 ‘국내 암호모듈검증 제도(KCMVP: Korea Cryptographic Module Validation Program)’라고 한다.
[이미지=utoimage]
제29회 정보통신망 정보보호 컨퍼런스 2023(NETSec-KR 2023)에서 암호기술검증 및 활용에 대한 발표가 진행됐다. 한국인터넷진흥원(KISA) 김준섭 책임연구원이 ‘국내외 암호모듈검증제도 동향’을 주제로 발표했다.
국내암호모듈검증제도(KCMVP)는 국가나 공공기관, 기업에서 소통·저장되는 업무 자료를 보호하기 위해 암호모듈의 안전성을 검증하는 제도다. 소프트웨어, 하드웨어, 펌웨어 또는 이를 조합한 형태로 검증이 가능하며 검증 기준에 따라 보안 1부터 보안단계가 가장 높은 단계인 4까지 보안 등급이 부여된다.
KCMVP의 모듈검증 체계는 총 7단계로 진행된다. 우선, 암호모듈 개발업체가 개발한 암호모듈을 시험기관에 검증을 신청한다. 그 다음 KISA나 국가보안기술연구소(NSR) 및 민간의 시험 기관에서 검증된 암호모듈을 시험계약하게 된다.
▲암호모듈 시험 신청(KCMVP) 과정[자료제공=KISA/출처=국가정보원]
다만, 민간에서 암호모듈 시험기관 자격을 부여받기 위해서는 기관의 국내 위치 여부와 보유 전문가 수 등 관련 요건을 갖춰야 하며 심사과정을 거쳐야 한다. 또한, 김준섭 연구원은 “시험기관의 자격이 부여되는 것과 검증기관의 역할은 다르며 보안 시험기관으로서 의무를 준수하고 있는지 일정 기간마다 재심사 과정을 거친다”고 말했다.
한편, 개발업체가 암호모듈의 적합성 시험 문의와 예비검토를 신청할 때 수개월이 소요돼 불편이 이어지고 있는 상황이다. 이에 KISA의 김준섭 연구원은 “지금까지 예비검토를 접수하는 과정에서 이메일로 연락을 주고받다 보니 투명성과 시간에 대한 불편이 있었다”며 “투명성을 강화하고 검증처리 과정을 빠르게 처리하고자 올해 온라인 서비스를 제공할 예정”이라고 말했다.
시험을 마친 암호모듈은 검증기관인 국가정보원(NIS)에 시험 결과 보고가 제출된다. 이어 검증기관의 암호검증위원회에서 시험·검증결과를 심의 및 의뢰하는 과정을 거친다. 이후 검증기관이 시험기관에 결과를 통보하며 검증필 암호목록을 공개하는 순서로 KCMVP의 모듈검증이 이어진다.
또한, KCMVP의 검증 대상이 되는 알고리즘 종류는 △블록암호 운영모드 △해시함수 △메시지인증 △난수 발생기 △공개키 암호 △전자서명 △키 설정 △키 유도가 있다. 알고리즘 검증은 KCAVS(암호모듈에 구현된 검증 대상 알고리즘이 정확하게 구현돼 있는지 검증하는 도구)를 통해 이뤄진다. 시험기관이 알고리즘 관련 정보가 기록된 ‘Request’ 파일과 이에 대응하는 출력 데이터 및 구현적합성 시험결과를 포함하는 ‘Fact’ 파일, 개발업체에서 Request 파일에 대해 암호모듈을 실행해 도출된 답변 데이터를 포함하는 ‘Respones’ 파일을 검토하게 된다.
▲국내 암호모듈검증제도 검증 건수[자료=KISA]
2009년부터 2022년까지 총 235건의 기업이 KCMVP를 검증 받았으며 2023년 3월 31일 기준 유효한 검증은 90곳으로 확인됐다. 모듈 유형 중에는 소프트웨어가 173건으로 가장 많았다. 암호모듈검증을 받은 253건 중 247건이 보안 수준 1이었으며 6곳이 보안 수준 2를 받았고 국내에는 3, 4 수준을 받은 기업이 없는 것으로 확인됐다.
이처럼 미국과 일본에서도 암호모듈검증제도를 거치고 있다. 국내 KCMVP도 미국의 CMVP(Cryptographic Module Validation Program)를 참고해 만들어졌다. 미국의 경우 1995년부터 2023년까지 총 4,462건의 암호모듈검증이 이뤄졌으며, 2023년 3월 31일 기준 914건이 유효한 것으로 드러났다.
또한, 미국의 경우 하드웨어가 2,700건으로 가장 많았으며 보안 수준 1, 2뿐만 아니라 3, 4의 암호모듈 검증도 683건 확인됐다. 반면, 일본은 JCMVP(Japen Cryptographic Module Validation Program) 2007년부터 2020년까지 총 23건의 암호모듈 검증을 마쳤으며, 2023년 3월 31일 기준 단 2건만이 유효한 것으로 조사됐다.
[박은주 기자(boan5@boannews.com)]
투명성 강화하고 신속한 검증 처리 위해 ‘온라인 서비스’ 제공 예정
[보안뉴스 박은주 기자] 제품은 출시되기 전 안전점검 과정을 거친다. 자동차가 출시되기 전 안전시험 과정을 거치는 것처럼 보안 분야에서도 안전을 점검하는 과정이 있다. 그중 암호모듈에 대한 안전성을 검증하는 제도를 ‘국내 암호모듈검증 제도(KCMVP: Korea Cryptographic Module Validation Program)’라고 한다.
[이미지=utoimage]
제29회 정보통신망 정보보호 컨퍼런스 2023(NETSec-KR 2023)에서 암호기술검증 및 활용에 대한 발표가 진행됐다. 한국인터넷진흥원(KISA) 김준섭 책임연구원이 ‘국내외 암호모듈검증제도 동향’을 주제로 발표했다.
국내암호모듈검증제도(KCMVP)는 국가나 공공기관, 기업에서 소통·저장되는 업무 자료를 보호하기 위해 암호모듈의 안전성을 검증하는 제도다. 소프트웨어, 하드웨어, 펌웨어 또는 이를 조합한 형태로 검증이 가능하며 검증 기준에 따라 보안 1부터 보안단계가 가장 높은 단계인 4까지 보안 등급이 부여된다.
KCMVP의 모듈검증 체계는 총 7단계로 진행된다. 우선, 암호모듈 개발업체가 개발한 암호모듈을 시험기관에 검증을 신청한다. 그 다음 KISA나 국가보안기술연구소(NSR) 및 민간의 시험 기관에서 검증된 암호모듈을 시험계약하게 된다.
▲암호모듈 시험 신청(KCMVP) 과정[자료제공=KISA/출처=국가정보원]
다만, 민간에서 암호모듈 시험기관 자격을 부여받기 위해서는 기관의 국내 위치 여부와 보유 전문가 수 등 관련 요건을 갖춰야 하며 심사과정을 거쳐야 한다. 또한, 김준섭 연구원은 “시험기관의 자격이 부여되는 것과 검증기관의 역할은 다르며 보안 시험기관으로서 의무를 준수하고 있는지 일정 기간마다 재심사 과정을 거친다”고 말했다.
한편, 개발업체가 암호모듈의 적합성 시험 문의와 예비검토를 신청할 때 수개월이 소요돼 불편이 이어지고 있는 상황이다. 이에 KISA의 김준섭 연구원은 “지금까지 예비검토를 접수하는 과정에서 이메일로 연락을 주고받다 보니 투명성과 시간에 대한 불편이 있었다”며 “투명성을 강화하고 검증처리 과정을 빠르게 처리하고자 올해 온라인 서비스를 제공할 예정”이라고 말했다.
시험을 마친 암호모듈은 검증기관인 국가정보원(NIS)에 시험 결과 보고가 제출된다. 이어 검증기관의 암호검증위원회에서 시험·검증결과를 심의 및 의뢰하는 과정을 거친다. 이후 검증기관이 시험기관에 결과를 통보하며 검증필 암호목록을 공개하는 순서로 KCMVP의 모듈검증이 이어진다.
또한, KCMVP의 검증 대상이 되는 알고리즘 종류는 △블록암호 운영모드 △해시함수 △메시지인증 △난수 발생기 △공개키 암호 △전자서명 △키 설정 △키 유도가 있다. 알고리즘 검증은 KCAVS(암호모듈에 구현된 검증 대상 알고리즘이 정확하게 구현돼 있는지 검증하는 도구)를 통해 이뤄진다. 시험기관이 알고리즘 관련 정보가 기록된 ‘Request’ 파일과 이에 대응하는 출력 데이터 및 구현적합성 시험결과를 포함하는 ‘Fact’ 파일, 개발업체에서 Request 파일에 대해 암호모듈을 실행해 도출된 답변 데이터를 포함하는 ‘Respones’ 파일을 검토하게 된다.
▲국내 암호모듈검증제도 검증 건수[자료=KISA]
2009년부터 2022년까지 총 235건의 기업이 KCMVP를 검증 받았으며 2023년 3월 31일 기준 유효한 검증은 90곳으로 확인됐다. 모듈 유형 중에는 소프트웨어가 173건으로 가장 많았다. 암호모듈검증을 받은 253건 중 247건이 보안 수준 1이었으며 6곳이 보안 수준 2를 받았고 국내에는 3, 4 수준을 받은 기업이 없는 것으로 확인됐다.
이처럼 미국과 일본에서도 암호모듈검증제도를 거치고 있다. 국내 KCMVP도 미국의 CMVP(Cryptographic Module Validation Program)를 참고해 만들어졌다. 미국의 경우 1995년부터 2023년까지 총 4,462건의 암호모듈검증이 이뤄졌으며, 2023년 3월 31일 기준 914건이 유효한 것으로 드러났다.
또한, 미국의 경우 하드웨어가 2,700건으로 가장 많았으며 보안 수준 1, 2뿐만 아니라 3, 4의 암호모듈 검증도 683건 확인됐다. 반면, 일본은 JCMVP(Japen Cryptographic Module Validation Program) 2007년부터 2020년까지 총 23건의 암호모듈 검증을 마쳤으며, 2023년 3월 31일 기준 단 2건만이 유효한 것으로 조사됐다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
