암호모듈 유효기간 끝나면 기술지원 중단... 공공기관 운영 책임 가중
제품 인증 5년 남았어도 모듈 만료되면 ‘효력 정지’ 주의해야
[보안뉴스 조재호 기자] 국가·공공기관에 도입되는 정보보호 제품의 핵심 요소인 ‘검증필 암호모듈’(KCMVP) 유효기간 만료에 따라 보안 기업의 신규 인증 획득이 잇따르고 있다.
국가정보원 지침에 따라 암호모듈 유효기간이 끝나면 이를 사용한 제품의 보안기능 확인서 효력도 상실되기 때문에, 교체와 재인증이 필수다.
7일 보안 업계에 따르면, 세이퍼존과 지란지교데이터는 최근 자사 제품에 탑재된 암호모듈을 교체하고 국정원 보안기능 확인서를 갱신했다. 기존 암호모듈의 검증 효력이 지난해 3월 만료된 데 따른 조치다.
▲암호모듈 보안 제품 리스트와 보안 국정원 검증필 리스트 [출처: 세이퍼존]
세이퍼존은 자료유출방지(DLP)와 매체제어 보안USB 제품에 탑재된 암호모듈 ‘매직크립토(Magic Crypto) V2.2’가 만료됨에 따라, 2030년 1월까지 유효한 ‘매직크립토 V2.3’으로 교체하고 신규 인증을 완료했다.
지란지교데이터도 DLP 제품 ‘피씨필터(PCFilter) V3.1’의 암호모듈을 교체해 지난해 국정원 인증을 다시 받았다.
국정원은 DLP나 보안USB, 문서보안(DRM) 등 주요 제품군을 국가·공공기관에 도입할 때 ‘검증필 암호모듈’ 탑재를 의무화하고 있다. 한국형 암호모듈검증제도 원칙에 따르면, 모듈의 검증 효력이 만료되면 제조사 유지보수나 기술지원이 불가능해진다. 이 경우 보안 취약점 대응이 어려워지고 운영 책임이 기관으로 넘어가 업데이트된 모듈로 교체하는 것이 권고된다.
제품 자체 ‘보안기능 확인서’ 유효기간(5년)이 남았더라도, 탑재된 암호모듈이 만료되면 제품 인증 효력도 함께 정지된다는 것이다. 국정원 규정상 보안기능 확인서의 효력은 탑재된 암호모듈의 만료일을 초과할 수 없다.
암호모듈 유효기간이 3년 남았다면, 제품의 인증 유효기간도 3년으로 제한된다는 것이다. 따라서 암호모듈을 교체한 보안 제품은 국정원 규정에 따라 신규 인증 절차를 다시 밟아야 한다.
권창훈 세이퍼존 대표는 “2028년 만료되는 기존 제품들도 암호모듈 유효기간 이슈로 선제적으로 교체 작업을 진행했다”며 “국정원 인증 제도에 맞춰 인증을 갱신해 공공기관 고객들이 안정적으로 제품을 사용할 수 있도록 지원하겠다”고 말했다.
[조재호 기자(sw@boannews.com)]
제품 인증 5년 남았어도 모듈 만료되면 ‘효력 정지’ 주의해야
[보안뉴스 조재호 기자] 국가·공공기관에 도입되는 정보보호 제품의 핵심 요소인 ‘검증필 암호모듈’(KCMVP) 유효기간 만료에 따라 보안 기업의 신규 인증 획득이 잇따르고 있다.
국가정보원 지침에 따라 암호모듈 유효기간이 끝나면 이를 사용한 제품의 보안기능 확인서 효력도 상실되기 때문에, 교체와 재인증이 필수다.
7일 보안 업계에 따르면, 세이퍼존과 지란지교데이터는 최근 자사 제품에 탑재된 암호모듈을 교체하고 국정원 보안기능 확인서를 갱신했다. 기존 암호모듈의 검증 효력이 지난해 3월 만료된 데 따른 조치다.
▲암호모듈 보안 제품 리스트와 보안 국정원 검증필 리스트 [출처: 세이퍼존]
세이퍼존은 자료유출방지(DLP)와 매체제어 보안USB 제품에 탑재된 암호모듈 ‘매직크립토(Magic Crypto) V2.2’가 만료됨에 따라, 2030년 1월까지 유효한 ‘매직크립토 V2.3’으로 교체하고 신규 인증을 완료했다.
지란지교데이터도 DLP 제품 ‘피씨필터(PCFilter) V3.1’의 암호모듈을 교체해 지난해 국정원 인증을 다시 받았다.
국정원은 DLP나 보안USB, 문서보안(DRM) 등 주요 제품군을 국가·공공기관에 도입할 때 ‘검증필 암호모듈’ 탑재를 의무화하고 있다. 한국형 암호모듈검증제도 원칙에 따르면, 모듈의 검증 효력이 만료되면 제조사 유지보수나 기술지원이 불가능해진다. 이 경우 보안 취약점 대응이 어려워지고 운영 책임이 기관으로 넘어가 업데이트된 모듈로 교체하는 것이 권고된다.
제품 자체 ‘보안기능 확인서’ 유효기간(5년)이 남았더라도, 탑재된 암호모듈이 만료되면 제품 인증 효력도 함께 정지된다는 것이다. 국정원 규정상 보안기능 확인서의 효력은 탑재된 암호모듈의 만료일을 초과할 수 없다.
암호모듈 유효기간이 3년 남았다면, 제품의 인증 유효기간도 3년으로 제한된다는 것이다. 따라서 암호모듈을 교체한 보안 제품은 국정원 규정에 따라 신규 인증 절차를 다시 밟아야 한다.
권창훈 세이퍼존 대표는 “2028년 만료되는 기존 제품들도 암호모듈 유효기간 이슈로 선제적으로 교체 작업을 진행했다”며 “국정원 인증 제도에 맞춰 인증을 갱신해 공공기관 고객들이 안정적으로 제품을 사용할 수 있도록 지원하겠다”고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
