국내 빈약한 KCMVP 시험 인프라 확대 필수적...지금이 적기
암호평가 요구사항 강화된 CC평가 준비해 CCRA 국제동향에 유연하게 대처해야
[보안뉴스= 박영호 세종사이버대학교 정보보호학과 교수] 최근 우리나라는 금융, 의료, 사회복지, 조세 등 개인정보를 취급하는 모든 분야에서 개인정보보호가 의무화되고 있다. 개인정보보호법이 지난 2001년 제정된 후, 2014년 카드사 개인정보 유출사태로 주민번호 암호화가 의무화됐다. 올해에도 법률이 개정되는데, 민감한 개인정보에 대한 안정성 확보조치가 의무화될 예정이다.
또한, 최근 정부는 CCTV, 차량용 블랙박스, 드론 등 날로 증가하는 영상정보처리에 의한 개인정보 오남용을 방지하고자 영상정보처리장치에 특화된 개인영상정보보호 법령 마련을 준비하고 있다.
2016년 국가정보보호백서에 의하면, 주민번호와 같은 개인정보를 암호화하는 DB암호제품의 국내시장이 전년도 대비 12% 증가했다. 또한 영상정보 암호화, 무선전송 기능을 하는 영상전송/변환장치 국내 시장이 전년도 대비 26%나 급성장했다. 관련 보안시장의 양적 성장은 개인정보보호를 의무화하는 법제도에 기인한다고 해도 과언은 아니다.
정보보호제품에서 기밀성, 무결성, 인증과 같은 안전성을 보장해주는 핵심기술은 암호기술이다. 정보보호제품에는 다양한 암호기술과 응용 보안기술이 구현돼 국가, 개인, 기업의 중요 정보가 보호되고 있다. 하지만 우리가 사용하는 정보보호제품에 과연 안전한 암호기술이 사용되는 것일까? 암호기술이 정상적으로 동작하는 것일까? 이런 궁금증이 생길 수 있다.
우리나라는 국가·공공기관에서 소통하는 중요 정보 보호를 위해 2005년부터 암호모듈검증제도(KCMVP)를 운영하고 있다. KCMVP에서는 암호알고리즘이 정상적으로 구현됐는지 구현정확성을 검증하고, 암호알고리즘을 포함한 암호모듈이 KS 국가표준에 따라 안전하게 구현됐는지 검증한다.
미국도 암호모듈의 구현정확성과 안전성을 검증하는 국내의 KCMVP와 유사한 암호모듈검증제도(CMVP)를 1995년부터 운영하고 있다. 미국은 2002년 연방정보보호관리법(FISMA)에 따라 연방정부의 중요정보 보호를 위해서 CMVP 검증을 받은 암호모듈 사용을 의무화하고 있다. FISMA 의무시행으로 암호모듈 평가 수요가 급속도로 증가해 지금까지 2,500여개의 암호모듈이 검증을 받았다.
미국은 증가하는 암호모듈 수요에 대응하기 위해 미국, 캐나다, 일본, 프랑스 등 전 세계 22개의 민간 시험기관을 선정해 운영하고 있다. 애플, 삼성전자, 시스코, 탈레스와 같은 글로벌 IT 기업은 미국 CMVP 안전성 검증을 통해 암호모듈이 포함된 스마트폰, 네트워크 장비, 정보보호제품을 연방정부에 납품하고 있다.
또한, 미국은 정보보호제품의 안전성과 신뢰성을 인증하는 CC인증 제도를 운영하고 있다. 2010년부터 미국은 데이터암호화 기술이 적용된 전통적인 암호제품뿐만 아니라 전체 정보보호제품 CC인증에도 암호평가를 의무화하고 있다. 즉, 암호기술이 적용된 모든 IT 솔루션은 암호평가가 적용된 CC인증을 받아야 미국 내 주요기관에서 사용될 수 있다. 미국의 CC인증제도 패러다임 변화는 20여 년간 CMVP 운영을 통해 축적된 질적으로 성숙한 암호평가기술력과 양적으로 풍부한 평가 인프라에 기반한다.
이런 변화는 미국 내 영향에 그치지 않고, 국제보안평가 상호인정협정인 CCRA(Common Criteria Recognition Agreement)에 가입된 우리나라를 포함한 전 세계 17개국의 CC인증제도의 변화를 예고하고 있다. 우리나라도 수년 내 암호평가 요구사항이 강화된 CC평가를 위한 기술적인 준비가 필요한 상황이다.
국내 암호평가 환경을 살펴보면, 우리나라 암호모듈 검증제도 KCMVP에서는 단일 시험기관(국가보안기술연구소)이 운영되고 있다. 개인정보보호, 주요기반시설 보호를 위해 사용되는 암호모듈 수요가 급증하고 있지만 이에 대응하기에는 시험 인프라가 이미 한계에 와 있다. 이러한 점 때문에 기업들은 개발하려고 하는 암호제품이나 보안제품에 사용될 암호모듈의 검증기간이 너무 오래 걸린다고 불만을 토로하고 있다.
최근 정부는 사물인터넷 정보보호 로드맵 및 시행계획 수립, K-ICT 융합보안 발전전략 수립, 지능형전력망 보급 확대 정책 등을 추진함에 따라, 초소형·저전력 환경에 적합한 경량 암호기술의 사용이 증가할 전망이다. 신산업 분야에 새로운 암호기술이 구현된 암호모듈의 수요 급증이 예상된다. 당연히 암호모듈의 검증 시험은 증가할 수밖에 없다.
.JPG)
따라서 국내 빈약한 KCMVP 시험 인프라 확대는 필수적이며 그 시기는 지금이 적기다. 신산업분야 정보보호기술의 라이프사이클은 기존 정보보호기술의 주기보다 점차 빨라지고 있다. 따라서 지금 KCMVP 시험인프라를 확장하지 않으면 앞으로 정보보호업체가 적시에 인증이 완료된 암호모듈을 신시장에 공급하는데 차질이 발생할 수밖에 없다.
또한, 암호평가 요구사항이 강화된 CC평가를 지금부터 준비하지 않으면 수년 내에 도래할 CCRA 국제동향에 유연하게 대처할 수 없게 된다. 그러므로 국내 암호평가 인프라의 양적 확대를 위한 유관기관 간 협의가 필요하며, 암호평가 질적 성장을 위한 연구기관들의 선택과 집중이 수행돼야 한다.
[글_ 박영호 세종사이버대학교 정보보호학과/정보보호대학원 교수(youngho@sjcu.ac.kr)]
필자 소개_ 박영호 교수는 고려대학교에서 석박사 학위 취득 후 프랑스 Caen 대학교에서 Post Doc(박사 후 연구원), 고려대학교 CIST 객원조교수를 거쳐 현재는 세종사이버대학교 정보보호학과와 정보보호대학원 교수로 재직하고 있다. 한국암호포럼 암호정책분과 위원, 국군기무사령부 국방보안연구소 자문위원, 한국정보보호학회 부회장과 총무이사로 활동하고 있다.
암호평가 요구사항 강화된 CC평가 준비해 CCRA 국제동향에 유연하게 대처해야
[보안뉴스= 박영호 세종사이버대학교 정보보호학과 교수] 최근 우리나라는 금융, 의료, 사회복지, 조세 등 개인정보를 취급하는 모든 분야에서 개인정보보호가 의무화되고 있다. 개인정보보호법이 지난 2001년 제정된 후, 2014년 카드사 개인정보 유출사태로 주민번호 암호화가 의무화됐다. 올해에도 법률이 개정되는데, 민감한 개인정보에 대한 안정성 확보조치가 의무화될 예정이다.
또한, 최근 정부는 CCTV, 차량용 블랙박스, 드론 등 날로 증가하는 영상정보처리에 의한 개인정보 오남용을 방지하고자 영상정보처리장치에 특화된 개인영상정보보호 법령 마련을 준비하고 있다.
2016년 국가정보보호백서에 의하면, 주민번호와 같은 개인정보를 암호화하는 DB암호제품의 국내시장이 전년도 대비 12% 증가했다. 또한 영상정보 암호화, 무선전송 기능을 하는 영상전송/변환장치 국내 시장이 전년도 대비 26%나 급성장했다. 관련 보안시장의 양적 성장은 개인정보보호를 의무화하는 법제도에 기인한다고 해도 과언은 아니다.
정보보호제품에서 기밀성, 무결성, 인증과 같은 안전성을 보장해주는 핵심기술은 암호기술이다. 정보보호제품에는 다양한 암호기술과 응용 보안기술이 구현돼 국가, 개인, 기업의 중요 정보가 보호되고 있다. 하지만 우리가 사용하는 정보보호제품에 과연 안전한 암호기술이 사용되는 것일까? 암호기술이 정상적으로 동작하는 것일까? 이런 궁금증이 생길 수 있다.
우리나라는 국가·공공기관에서 소통하는 중요 정보 보호를 위해 2005년부터 암호모듈검증제도(KCMVP)를 운영하고 있다. KCMVP에서는 암호알고리즘이 정상적으로 구현됐는지 구현정확성을 검증하고, 암호알고리즘을 포함한 암호모듈이 KS 국가표준에 따라 안전하게 구현됐는지 검증한다.
미국도 암호모듈의 구현정확성과 안전성을 검증하는 국내의 KCMVP와 유사한 암호모듈검증제도(CMVP)를 1995년부터 운영하고 있다. 미국은 2002년 연방정보보호관리법(FISMA)에 따라 연방정부의 중요정보 보호를 위해서 CMVP 검증을 받은 암호모듈 사용을 의무화하고 있다. FISMA 의무시행으로 암호모듈 평가 수요가 급속도로 증가해 지금까지 2,500여개의 암호모듈이 검증을 받았다.
미국은 증가하는 암호모듈 수요에 대응하기 위해 미국, 캐나다, 일본, 프랑스 등 전 세계 22개의 민간 시험기관을 선정해 운영하고 있다. 애플, 삼성전자, 시스코, 탈레스와 같은 글로벌 IT 기업은 미국 CMVP 안전성 검증을 통해 암호모듈이 포함된 스마트폰, 네트워크 장비, 정보보호제품을 연방정부에 납품하고 있다.
또한, 미국은 정보보호제품의 안전성과 신뢰성을 인증하는 CC인증 제도를 운영하고 있다. 2010년부터 미국은 데이터암호화 기술이 적용된 전통적인 암호제품뿐만 아니라 전체 정보보호제품 CC인증에도 암호평가를 의무화하고 있다. 즉, 암호기술이 적용된 모든 IT 솔루션은 암호평가가 적용된 CC인증을 받아야 미국 내 주요기관에서 사용될 수 있다. 미국의 CC인증제도 패러다임 변화는 20여 년간 CMVP 운영을 통해 축적된 질적으로 성숙한 암호평가기술력과 양적으로 풍부한 평가 인프라에 기반한다.
이런 변화는 미국 내 영향에 그치지 않고, 국제보안평가 상호인정협정인 CCRA(Common Criteria Recognition Agreement)에 가입된 우리나라를 포함한 전 세계 17개국의 CC인증제도의 변화를 예고하고 있다. 우리나라도 수년 내 암호평가 요구사항이 강화된 CC평가를 위한 기술적인 준비가 필요한 상황이다.
국내 암호평가 환경을 살펴보면, 우리나라 암호모듈 검증제도 KCMVP에서는 단일 시험기관(국가보안기술연구소)이 운영되고 있다. 개인정보보호, 주요기반시설 보호를 위해 사용되는 암호모듈 수요가 급증하고 있지만 이에 대응하기에는 시험 인프라가 이미 한계에 와 있다. 이러한 점 때문에 기업들은 개발하려고 하는 암호제품이나 보안제품에 사용될 암호모듈의 검증기간이 너무 오래 걸린다고 불만을 토로하고 있다.
최근 정부는 사물인터넷 정보보호 로드맵 및 시행계획 수립, K-ICT 융합보안 발전전략 수립, 지능형전력망 보급 확대 정책 등을 추진함에 따라, 초소형·저전력 환경에 적합한 경량 암호기술의 사용이 증가할 전망이다. 신산업 분야에 새로운 암호기술이 구현된 암호모듈의 수요 급증이 예상된다. 당연히 암호모듈의 검증 시험은 증가할 수밖에 없다.
따라서 국내 빈약한 KCMVP 시험 인프라 확대는 필수적이며 그 시기는 지금이 적기다. 신산업분야 정보보호기술의 라이프사이클은 기존 정보보호기술의 주기보다 점차 빨라지고 있다. 따라서 지금 KCMVP 시험인프라를 확장하지 않으면 앞으로 정보보호업체가 적시에 인증이 완료된 암호모듈을 신시장에 공급하는데 차질이 발생할 수밖에 없다.
또한, 암호평가 요구사항이 강화된 CC평가를 지금부터 준비하지 않으면 수년 내에 도래할 CCRA 국제동향에 유연하게 대처할 수 없게 된다. 그러므로 국내 암호평가 인프라의 양적 확대를 위한 유관기관 간 협의가 필요하며, 암호평가 질적 성장을 위한 연구기관들의 선택과 집중이 수행돼야 한다.
[글_ 박영호 세종사이버대학교 정보보호학과/정보보호대학원 교수(youngho@sjcu.ac.kr)]
필자 소개_ 박영호 교수는 고려대학교에서 석박사 학위 취득 후 프랑스 Caen 대학교에서 Post Doc(박사 후 연구원), 고려대학교 CIST 객원조교수를 거쳐 현재는 세종사이버대학교 정보보호학과와 정보보호대학원 교수로 재직하고 있다. 한국암호포럼 암호정책분과 위원, 국군기무사령부 국방보안연구소 자문위원, 한국정보보호학회 부회장과 총무이사로 활동하고 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
