Home > 전체기사
[암호모듈 검증-2]국정원 가이드라인과 커스터마이징 필요!
  |  입력 : 2009-03-07 02:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
“올바른 제도 정착 위해선 국정원 주도의 꾸준한 홍보와 계도 필요”

“암호모듈 검증업체들, 탑재 시 성능·기술적 커스터마이징 필요”


[암호모듈 검증-1] 기획기사를 통해 암호모듈 검증제도의 불명확한 정책에 대해 지적한 바 있다. 하지만 이는 이 제도가 불필요하다는 등의 이유가 아닌 국가·공공기관에 납품되는 정보보호제품에 대한 보안성 강화를 위한 의의를 가진 중요함을 지닌 때문이다. 이에 이번 기획기사를 통해서는 이 제도에 따라 정보보호제품에 검증된 암호모듈을 탑재해야 하는 보안업체들의 입장을 들어봤다. - 편집자 주 -


<순서>

1. 정책 초점 불명확한 암호모듈 검증제도

2. 암호모듈 검증과 보안업체들의 입장

3. 국정원의 암호모듈 검증 의무화의 현주소


암호모듈 검증제도는 이미 2005년도에 도입해 21개월 여의 유예기간을 두고 현재에 이르고 있다. 그리고 암호모듈 검증제도와 관련해 국정원은 이 제도를 올해부터 의무화한다고 발표했다. 하지만 정작 이에 대한 정책은 불명확해 ‘의무화’라는 표현은 부적절하다는 지적이 있었다. 즉 현재까지도 이전 21개월 동안 보안업체들에 주어졌던 유예기간의 연장선인 셈이다.


그렇다고 현재의 상황이 이전 21개월여의 유예기간과 동일한 것은 아니다. 국정원이 “올해부터는 검증된 암호모듈을 탑재한 정보보호제품만이 국가·공공기관에 납품·허가 받을 수 있다”는 말은 유효한 때문이다.


검증필 암호모듈 탑재 제품, 보안성 검증에서 우위차지

국정원 관계자가 “검증필 암호모듈 탑재 제품이 아니더라도 입찰 자격이 없는 것은 아니다”고 밝힌 바와 같이 검증필 암호모듈을 탑재한 제품이 아니더라도 국가·공공기관에 입찰이 가능하다. 즉 암호모듈 탑재를 의무적으로 할 필요는 없는 것이다.


하지만 이와 관련 보안업체 관계자는 “각 국가·공공기관에 입찰을 하고 납품을 하기 위해서 입찰한 기관에서 제품에 대한 보안성 검증을 국정원에 신청한다. 이때  검증필 암호모듈을 탑재한 제품이 우위를 차지할 것은 자명하다”며 “국정원이 보안업체에 의무화를 강제하는 법제를 마련하고 있지 않고 권고를 했다하더라도 보안업체 입장에서는 강제성을 지닌 것이 사실이다”고 밝혔다.


또한 그는 “강제성을 지녔다고 해서 국정원의 암호모듈 검증제도에 대해 이견이 있는 것은 아니다. 이 제도가 보안성 강화를 목적으로 한 정책인 만큼 보안업체 입장에서도 정보보호제품의 보안성 강화를 위해 노력해야할 책임과 의무는 있다고 여긴다”고 덧붙였다.


검증업체들, 판매에만 열 올리지 말고 제품과의 결합 시 가이드 제시해 줘야

최근 닉스테크와 파이오링크가 각각 고려대학교와 드림시큐리티의 검증필 암호모듈을 탑재하기로 함에 따라 대상 보안업체들의 타사 검증필 암호모듈 구매가 활발하게 전개되고 있는 상황이다.


이번 주에 이미 타사 검증필 암호모듈을 자사 제품에 탑재테스트를 마친 업체들이 다수인 것으로 알려져 다음 주중부터는 이에 대한 발표가 잇따를 전망이다.


이에 대해 “보안업체에 혼선을 주지 않는 국정원의 명확한 가이드라인이 필요하다. 이 제도가 올바르게 정착되기 위해서는 국정원 주도의 꾸준한 홍보와 계도가 필요하다고 생각된다”고 말한 보안업체 관계자가 있는가 하면, 또 다른 업체 관계자는 “이미 타사 검증필 암호모듈 구매가 활발한 이때 무엇보다 암호모듈에 대한 가이드라인은 현재 검증필을 득하고 있는 검증업체의 제품에 대한 커스터마이징이 필요한 것 같다”고 밝혔다.


즉 그는 “구매를 하는 보안업체들의 제품들도 상이한데다 현재 암호모듈 검증업체 11개사들이 지닌 암호모듈 역시 기술적으로 서로 상이하다”며 “이들 검증업체들은 자신들이 가진 암호모듈을 판매하는 데에만 열을 올릴 것이 아니라 타사 제품과 결합해 훌륭한 성능을 발휘해 보안성 강화가 이루어질 수 있도록 컨설팅(가이드)을 해 주었으면 한다”고 덧붙였다.


한편 이와 관련 국정원 관계자는 “보안업체들에 좀더 명확한 정책적 사항을 제시해 주기 위해 현재 준비 중에 있다”고 전했다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)