정보보호제품, 1월부터 검증필 암호모듈 탑재 의무화

내년 1월부터 암호 기능을 구현한 정보보호제품을 국가·공공기관에 납품하려면, 국가정보원의 암호검증을 통과한 암호모듈을 반드시 탑재해야 한다.

이에 따라 그간 공개키기반구조(PKI), CA/RA 등 암호기반 제품에 한정됐던 암호모듈 탑재 대상이 암호기능을 구현한 모든 정보보호제품으로 전면 확대될 계획이다.

하지만 암호모듈 탑재 대상에 대한 기준이 명확하지 않아, 제도가 정착되기 위해서는 정확한 가이드라인이 제시돼야 한다는 지적이다.

◆"VPN·PC보안 제품으로 확대 적용"

국가정보원은 8일 한국과학기술회관에서 '정보보호제품 인증정책 설명회'를 개최하고, 2009년 1월부터 가상사설망(VPN)·PC보안제품 등 암호기능을 구현한 모든 정보보호 제품은 검증필 암호모듈 탑재를 의무화한다고 발표했다.

암호검증은 국가·공공기관의 주요 정보를 보호하기 위해 사용되는 암호모듈의 안정성과 구현 적합성을 검증하는 제도다.

국정원은 지난 2007년 3월 국가기관 도입 정보보호제품에 대한 검증필 암호모듈 탑재를 발표했다.

우선적으로 PKI, CA/RA 등 암호기반 제품에 대한 검증필 암호모듈 탑재를 의무화하고, 나머지 정보보호 제품에 한해서는 2008년 12월까지 탑재 의무화를 유예한다는 내용이었다.

올해 12월로 유예 기간이 만료됨에 따라, 내년 1월부터는 가상사설망(VPN)과 PC보안제품 등 네트워크·컴퓨팅 제품 전반으로 확대 적용된다. 단, 국가용 표준블록암호논리인 '아리아(ARIA)'를 구현해야만 암호검증을 신청할 수 있다.

국정원은 검증필 암호모듈이 없는 업체가 암호 기능 제품을 공공기관에 납품할 수 있도록 타사 검증필 암호모듈을 탑재하는 것을 허용하기로 했다.

또 외산 정보보호 제품을 위해 '아리아'의 소스코드를 국정원 IT보안인증사무국 홈페이지(www.kecs.go.kr)에 공개할 계획이다.

국정원 IT보안인증사무국 관계자는 "이번 조치는 정보보호제품의 보안성을 평가하는 국제공통평가기준(CC) 인증에 이어 검증필 암호모듈을 탑재하라는 의미가 아니다"며 "CC인증은 제품 단위고, 암호검증은 모듈 단위이기 때문에 둘을 별개로 인식해야 한다"고 강조했다.

그는 이어 "암호알고리즘의 사용기반 확대를 유도하고, 국가기관용 암호모듈 개발환경이 개선되도록 하기 위한 것"이라며 "검증필 암호모듈 수요 증가가 암호검증 수요 증가로 이어질 경우, 평가기관을 추가하는 방안도 검토중"이라고 말했다.

◆보안업체 "가이드라인 제시해달라"

하지만 암호모듈 탑재 대상에 대한 기준이 명확하지 않아, 명확한 가이드라인을 제시해야 한다는 지적이 제기됐다.

이날 설명회에 참석한 한 정보보호 업체 관계자는 "CC인증의 경우 자사 제품이 인증 대상 여부인지를 확실히 알 수 있지만, 검증필 암호모듈 탑재의 경우는 기준이 모호해 정확히 구분하기 힘들다"며 "이에 대한 정확한 가이드라인이 제시돼야 한다"고 토로했다.

또 다른 정보보호업체 관계자는 "2007년 검증필 암호모듈 탑재에 대한 정책을 미리 듣긴 했지만, 그간 CC인증 등 제도 변화가 잦으면서 실질적으로 준비한 업체는 하나도 없다"며 "당장 VPN 제품은 물론, VPN 기능을 탑재한 통합위협관리(UTM) 제품 모두 검증필을 획득하려면 업체로서는 부담이 아닐 수 없다"고 말했다.

이밖에 국정원이 제시한 타사 제품 모듈 이용에 대한 문제점도 부각됐다.

보안업체 관계자는 "타사 모듈을 탑재했을 경우 제품 변경이 많이 돼야한다"며 "보안제품은 단순히 끼워맞출 수 있는 '레고' 같은 제품이 아니므로, 업체로서는 타사 암호모듈 탑재가 해결책이 아니다"고 꼬집었다.