정보보호제품을 국가기관에 공급할 때 국제공통기준 인증(CC) 대신 국가정보원의 암호검증으로 대체할 수 있게 된다.

국정원은 지난달 28일 상용암호모듈 검증제도 설명회를 열고, 암호 보호 기능 제품에 대해 CC 인증 대신 보안적합성 검증을 받을 수 있는 제도를 이달 안 확정할 예정이라고 밝혔다.

상용 암호모듈검증제도(CMVP:Cryptographic Module Validation Program)는 국가기관이나 공공기관이 비밀 이외의 중요 소통자료 유출을 방지하기 위해 정보보호 제품에 탑재해 암호키의 위·변조, 훼손을 막는 제도이다.

CMVP는 지난 2005년부터 시행돼 오고 있지만, 대다수 기업이 이 제도에 대해 알지 못하고 있는 상황이다. 현재 암호모듈 검증제도의 검증을 받은 제품은 소프트포럼 시큐어크립토 v1.2, 이니텍 이니쉐이프 v1.0, 어울림 시큐어웍스 IPSwall2000 v4 등 3개 제품이고 에스원, 고려대학교 등 5개 기업들도 암호보호 제품에 대한 검증을 진행하고 있다.

국정원은 이 제도를 활성화하기 위해 CC 평가인증 대신 CMVP로 보안적합성 검증을 거치도록 도입 절차를 변경하고, 현재 사용중인 암호모듈 탑재 제품 처리절차도 확정할 예정이다.

또, 국가보안기술연구소 외에 한국정보보호진흥원에서도 암호모듈을 시험할 수 있도록 시험기관을 복수화한다는 방침이다.
 
암호 검증 대상은 공개키기반구조(PKI), 일회용비밀번호(OTP), DB암호화, 키보드보안 솔루션 등 암호기술이 주기능인 정보보호 제품이며, 제품을 개발·공급하는 업체가 시험기관에 직접 신청해야 한다. 암호검증 및 시험신청서와 암호모듈, 제출물 등을 제출해야 한다.

국정원 관계자는 “암호보호제품을 만드는 기업도 암호키 관리에 대해 잘 모르고 있었다. 암호키관리 가이드라인 등을 통해 이 제도를 홍보하겠다”며 “현재 검증 수수료가 무료이지만, 검증의 수요가 늘어나면 유료화 할 예정”이라고 밝혔다.
[김선애 기자(boan1@boannews.co.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>