국정원 암호모듈검증 통과 보안제품, 공공기관 납품때 CC평가 면제

　공개키기반구조(PKI)와 데이터베이스(DB) 암호화 솔루션 등 암호 기능을 주로 하는 정보보호 제품은 공통평가기준(CC, 세계적인 평가기준) 평가를 받지 않아도 국정원의 암호모듈검증제도를 거치면 국가 공공기관 납품이 가능해진다. 이에 따라 보안인증 절차가 대폭 간소화돼 이 분야 시장 활성화가 예상된다.

　국정원 IT보안인증사무국은 지난 28일 서울 역삼동 과학기술회관에서 ‘상용 암호모듈 검증제도 설명회’를 열고 국가 공공기관에 구축되는 정보보호 제품 중 암호화가 주요 기능인 제품에 대해 CC 평가 없이 암호모듈검증제도만을 거쳐 납품할 수 있게 할 예정이라고 밝혔다.

　이는 지난해 5월 우리나라 국제공통평가기준상호인정협정(CCRA)에 가입 후 가속화된 정보보호 제품 CC 평가 적체 현상을 일정 부분 해소하겠다는 의미로 풀이된다.

　암호모듈검증은 공공기관에 들어가는 암호모듈과 기술에 대해 △암호 논리 구현의 적합성 △외부 공격에 대한 내구성 △암호논리의 안전성을 검증하는 제도다.

　현재 국가 공공기관에 보안 제품을 납품하려면 CC 평가를 받은 후 국정원의 보안적합성 검증을 받아야 하는데 암호모듈검증제도가 활성화되면 암호화가 주요 기능인 제품은 CC 평가를 받지 않아도 된다.

　IT보안인증사무국은 일회용비밀번호(OTP) 솔루션과 DB보안, 키보드보안, PKI 솔루션 등을 암호가 주요 기능인 제품으로 분류할 예정이다. 사무국은 △개발 업체와 각급기관 대상 제도 교육 및 홍보 △ 암호키 관리 가이드라인 등 설명자료 지원 △암호 기능이 주인 정보보호 제품 도입 절차 △이미 도입 암호 모듈 탑재 제품 처리 절차 △암호 검증 시험기관 복수 운영 등 활성화 방안을 마련할 계획이다.

　국정원 관계자는 “2년 전부터 암호모듈검증제도를 운용해왔으나 3개 기업의 암호모듈만이 검증을 받는 등 아직 활성화가 미미하다”며 “이번 개선안을 통해 CC 평가 적체를 해소하는 것은 물론이고 공공기관이 안전한 암호모듈을 도입할 수 있도록 지원할 것”이라고 말했다.

　 김인순기자@전자신문, insoon@