NEWS‎ > ‎

암호제품 공공용도 검증 의무화

게시자: 한솔, 2013. 6. 26. 오전 12:20

2007. 03 .02


암호제품 공공용도 검증 의무화 

PKIㆍOTPㆍDB보안 우선 적용… 정부, 제도 활성화 적극 나서 


공개키기반구조(PKI)ㆍ일회용비밀번호(OTP)ㆍ데이터베이스(DB)보안 등 암호기능을 탑재한 순수암호제품을 정부 및 공공기관에 납품할 때 암호모듈 검증을 의무화하는 방안이 추진된다. 

또 암호검증을 받은 제품은 별도의 국제공통평가기준(CC) 인증 없이 보안적합성 검증을 받을 수 있게 된다. 

국가정보원 IT보안인증사무국은 지난달 28일 서울 역삼동 한국과학기술회관에서 개최한 상용 암호모듈 검증제도 설명회에서 이같은 내용을 골자로 한 암호검증제도 개선 방안을 발표하고 제도 활성화에 나서겠다고 밝혔다. 

암호모듈은 암호기술이 구현된 하드웨어(HW)ㆍ소프트웨어(SW)ㆍ펌웨어(FW) 혹은 이들이 결합된 것을 일컫으며 상용 암호모듈검증제도는 민간에서 개발한 암호모듈의 안전성과 구현 적합성을 검증, 정부 및 공공기관의 안전한 암호 모듈 도입을 지원한다는 취지로 지난 2005년 1월부터 시행됐다. 

그러나 3년째를 맞은 올해까지 3곳(소프트포럼ㆍ이니텍ㆍ어울림정보기술)만이 검증을 완료했으며 현재 5곳(에스원ㆍ케이사인ㆍ고려대학교ㆍ유비엠정보ㆍ한국정보인증)만이 검증을 진행하고 있는 등 제도가 제대로 정착되지 못하고 있다. 

IT보안인증사무국은 공공기관의 암호모듈 도입이 증가함에 따라 암호모듈의 안전성을 확보하는 한편 현재 암호모듈에만 적용되는 것을 암호제품으로 확대, 검증제도의 활성화를 꾀하기 위해 이번 개선방안을 마련했다고 설명했다. 

주제 발표에 나선 사무국 관계자는 "3월 내로 암호검증제도 개선을 위한 최종 방안을 확정, 제도 활성화에 적극적으로 나설 계획"이라면서 "암호검증 시험기관도 현재 국가보안기술연구소 외에 한국정보보호진흥원 등 타기관으로 복수화하는 것도 고려하고 있다"고 말했다. 그는 이어 "현재 암호검증 대상으로 PKIㆍOTPㆍDB보안 등 순수하게 암호기능에 충실한 제품들을 우선 적용할 계획이며 시장성(매출액)ㆍ시급성(연평균 성장률)ㆍ공정성 등을 판단, 확대 적용할 것"이라고 덧붙였다. 

사무국은 이들 정보보호제품이 암호모듈 검증을 받으면 별도의 CC인증 평가 없이 보안적합성 검증을 받을 수 있도록 도입절차를 변경할 계획이어서 제도 활성화를 촉진하는 한편 CC인증 평가의 적체현상도 해소하는 일석이조의 효과를 기대하고 있다. 

암호모듈 검증을 받으려는 업체들은 △암호검증 및 시험 신청서 △암호모듈 △제출물 5종 및 소스코드 등을 국보연에 제출해야 하며 검증수수료는 무료다. 

[디지털타임스] 

출처: http://www.dt.co.kr/contents.html?article_no=2007030202010251713002

Comments