<시리즈> 심층진단 정보보호산업 현주소 (17)

다음으로 보안제품의 수·출입 통제를 생각해 보자.

보안제품의 수·출입을 통제하는 것은 어느 나라에서나 중요한 이슈가 되고 있다.

정보수집 능력에서의 우위가 곧 자국의 국력을 유지하는데 필수적인 만큼미국과 같이 세계의 암호기술을 선도하는 나라에서는 자국의 정보수집에 장애가 된다고 판단되는 강력한 보안기능을 가진 제품에 대해서는 수출을 엄격히 통제를 하고 있다.

물론 미국내에서도 업계의 강력한 반발과 자국의 정보보호산업 육성이라는측면에서 약간씩 수출 통제를 완화시키려는 움직임이 있으나 하드웨어 기술의 발달을 고려해 볼때 그 정도는 자국의 정보활동에 그다지 큰 장애가 되지않는다는 판단을 한 것으로도 생각할 수 있다.

예를들어 DES 칩의 경우 예전까지는 수출용은 40 비트의 키로 제한을 두었으나 최근 이를 56비트까지 허용하는 법안이 상정(통과?)된 것으로 보도된바 있다.

그러나 특수하드웨어를 써서 DES의 비밀키를 전수검색에 의해 찾는 것은정보기관의 입장에서 본다면 그다지 큰 돈을 들이지 않고도 가능한 것이 현실이고 보면 그 완화 정도는 자국의 정보활동에 큰 제약을 주지않는다고 판단했기때문이 아닐까 하는 생각을 해 볼 수도 있다.

반면 우리나라와 같은 보안산업의 후발 주자들에게는 수입통제가 더 큰 이슈가 될 것은 자명하다.

보안제품의 경우 알고리듬의 설계에서부터 제품으로의 구현, 운용소프트웨어에 이르기까지 전 과정에서 제대로 검증되지 않은 제품을 중요한 업무에사용하는 것은 엄격이 통제돼야 한다.

이러한 보안제품에 대한 평가 및 관리는 단순히 법조문만 가지고 해결될일이 아니라 전문집단에 의해 체계적인 보안정책이나 평가기준, 관리지침들이 마련돼 응용분야에따라 보안등급을 정해 통제를 해야 할 필요가 있다.

이는 특히 국가기관이나 기타 공공기관에서 필수적이라 할 수 있다. 다른금융기관이나 기업체의 연구소 등에서도 나름대로의 보안정책을 세워 외국산보안제품을 사용하는데 신중을 기해야 할 것이다.이런 맥락에서 최근 발족된한국정보보호센터의 활동에 큰 기대를 걸어본다.

보안제품에서 일반 사용자들이 모르게 설계자만의 비밀 출입구를 만들어두어 중요한 정보를 빼돌리는 것은 그다지 어려운 일이 아니며, 인터넷을 통해 소프트웨어를 다운로드 받아 쓰는 경우 특히 주의를 해야한다.

예를들어 넷스케이프 브라우저를 다운받아 쓰는 경우 도중에 보안기능을삭제한 넷스케이프 브라우저로 바꿔치기 하는 것은 어려운 일이 아님이 실험으로 입증된 바 있다.(버클리대 컴퓨터학과의 보안팀에 의한 실험, 뉴욕타임즈 보도)

<임채훈 백두정보기술 암호기술연구센터>

고침:본란의 「정보보호산업 육성을 위한 보안정책의 방향」 제하의 칼럼내용중 「Fire Cryptosystem)」은 「Fair Cryptosystem」이기에 바로잡습니다.