NEWS‎ > ‎

내년 1월부터 정보보호제품 암호모듈 검증 의무화

게시자: 한솔, 2013. 6. 26. 오후 7:49

2008. 12. 09


내년 1월부터 국가·공공기관에 공급되는 모든 정보보호제품은 국가정보원의 암호검증을 통과한 암호모듈을 반드시 탑재해야 한다. 


국가정보원은 8일 한국과학기술회관에서 개최한 ‘정보보호제품 인증정책 설명회’에서 암호기능 구현 정보보호 제품을 대상으로 한 상용 암호모듈 검증 정책을 밝혔다. 

이번 정책은 지난 2007년 3월부터 적용돼온 공개키기반구조(PKI), DB암호화 등 암호기반 제품의 검증필 암호모듈 탑재 의무화에 이은 후속조치로, 그동안 유예기간을 적용했던 네트워크·컴퓨팅 보안 제품으로도 대상이 전면 확대 시행된다. 

때문에 앞으로는 가상사설망(VPN), PC보안 제품 등도 검증필 암호모듈을 탑재해야 한다. 

암호검증은 국가·공공기관 정보통신망에서 소통되는 중요 정보를 보호하기 위해 민간에서 개발한 암호기술이 탑재된 제품을 대상으로 암호모듈의 안전성과 구현적합성을 검증하는 제도다. 

반드시 국가용 표준블록암호논리(알고리즘)인 ‘아리아(ARIA)’를 구현해야만 암호검증을 신청할 수 있으며, 정보보호 제품의 보안기능의 보안성을 평가하는 국제공통평가기준(CC) 인증과는 별개다. 

국정원은 앞으로 암호검증 수요 증가로 인한 문제 해소와 업계의 검증필 암호모듈을 쉽게 탑재할 수 있도록 계약에 의해 타사의 검증필 암호모듈 탑재도 수용하기로 했다. 

또 외산 정보보호 제품도 국가기관용 암호모듈을 손쉽게 구현하도록 ‘아리아’의 소스코드를 국정원 IT보안인증사무국 홈페이지(www.kecs.go.kr)에 공개할 계획이다. 

국산 암호논리 활용 저변 확대와 국제 인지도 제고를 위해 현재 KS로 지정된 ‘아리아’의 ISO 19790 표준제정 작업도 추진하고, 한·미·일 검증기관 간 정보공유도 강화키로 했다. 

국정원 IT보안인증사무국 관계자는 “2005년 시행된 사용 암호모듈 검증은 매년 신청이 증가하면서 현재 10개사 10종의 제품이 암호검증필 목록에 등재돼 있다”면서, “앞으로 암호검증 수요가 크게 확대될 경우 시험기관을 복수화하는 방안을 고려할 것”이라고 말했다. 

암호검증 시험절차는 시험기관인 국가보안기술연구소에 신청서와 제출물을 접수, 시험계약을 체결해 평가를 받으면 된다. 평가가 완료되면 전문가로 구성된 암호검증위원회의 심의가 이뤄지며, 이를 통과하면 국가정보원으로부터 인증서가 부여된다. 

한편, 이날 설명회에서는 올해 개발된 무인민원발급기·스마트폰·전자투표시스템·IPTV 4종의 국제공통평가기준(CC) 평가 요구사항을 담은 보호프로파일(PP)이 발표됐다.


Comments