관련 통계자료 다운로드 암호화 모듈 검증필 제도 정책 도입 과정 암호 기능이 들어간 정보보호 제품을 공공기관에 공급하려고 한다면, 새해부터는 반드시 검증필 암호화 모듈을 사용해야 한다.
8일 국가정보원은 ‘정보보호제품 인증정책 설명회’를 개최하고, 암호화모듈과 관련된 정책을 새해 1월 1일부터 적용한다고 밝혔다.
그동안 검증필 암호화 모듈을 반드시 장착해야 하는 제품은 공개키기반구조(PKI) 인증 솔루션이나 DB암호화 솔루션처럼 암호 기능을 중심으로 하는 제품(암호기반제품)이었다. 2007년 3월 이들 제품을 의무화하면서 다른 네트워크·컴퓨팅 정보보호 제품은 적용을 2009년 1월까지 유예했다.
이에 따라 새해부터는 암호 기능이 들어간 가상사설망(VPN)과 같은 정보보호 제품도 모두 검증필 암호화 모듈을 사용해야 한다. 이는 공공기관의 정보보호 기능을 더욱 강화하기 위한 정책으로, 미국을 비롯한 대부분의 선진국이 암호화 모듈에 대해 검증필 정책을 취하고 있다.
대신 국정원은 추가 인증의 불편함을 없애기 위해 검증필을 받은 암호화 모듈이면 자사의 제품이 아니라고 해도 장착할 수 있도록 할 계획이다.
지금까지 검증필을 받은 제품은 총 10개로, 기업은 이들 업체와 계약에 의해 탑재를 할 수 있다. 자사의 모듈에 대해 검증필을 받고 싶다면 국가보안기술연구소에서 시험을 받아 국가정보원으로부터 검증을 받으면 된다. 검증필을 받으려고 하는 기업이 늘어나 시험 적체현상이 우려될 경우에는 국정원은 시험기관을 추가로 지정하겠다고 설명했다. 국가보안기술연구소는 시험 기간을 줄일 수 있도록 제출물 작성 방법 등에 관한 정기적인 교육도 실시할 예정이다.
또, 우수한 국산 암호 논리 활용 저변을 확대하기 위해 국가용 표준 암호화 알고리듬(ARIA) 소스코드를 공개하기로 했다. 암호화 모듈 검증필을 받으려면 ARIA를 반드시 탑재해야 한다. 그동안 ARIA를 사용하기 위해서는 국가보안기술연구소에 사용목적 등을 제출하는 등 절차가 까다로워 일반 기업이 접근하기 힘들었다. ARIA 소스코드는 8일부터 전면 공개한다.
국정원 관계자는 “검증필 암호화 모듈 의무화를 통해 공공기관의 정보보호 정책을 보다 강화하는 것”이라며 “뿐 아니라 ARIA가 ISO 국제 표준으로 제정될 수 있도록 추진함으로써 국내 암호화 기술을 세계화 시킬 것”이라고 말했다.
문보경기자 okmun@etnews.co.kr
.
