국가정보원이 암호모듈검증 민간 평가기관 확대 정책에 제동을 걸었다. 암호모듈검증 시험 기관을 준비해온 국제공통기준(CC)평가 기업은 혼란에 빠졌다. 암호모듈검증 시험 적체 해소도 시간이 걸릴 전망이다.
국정원은 지난해 암호모듈 검증 시험기관을 민간 CC평가 기업으로 확대키로 하고 자격시험을 시행했다. 첫 시험에서 자격을 통과한 평가자가 나오지 않아 올해 재시험을 치르기로 했다. 그러나 국정원은 올 들어 관련 지침 개정 등의 어려움을 들어 암호모듈검증 시험 민간 이전 계획을 늦췄다. 지침을 개정하지 않고 정책을 발표, 자격시험까지 치렀는데 피해는 기업이 안게 됐다.
암호모듈 검증은 암호 안전성과 구현적합성을 검증하는 제도다. 국가 공공기관 등에 들어가는 보안 제품 등에서 쓰는 암호는 반드시 검증을 받아야 한다. 미국과 일본도 CMVP를 운영하며 주로 CC평가기관 등 민간에서 시험한다. 이와 달리 국내는 국가보안기술연구소가 유일한 암호모듈 검증 시험기관이다. 시험 기관은 한 곳인데 수요는 높아 검증에 최소 6개월에서 최대 1년까지 걸린다. 이 때문에 기업 원성이 높자 국정원은 암호모듈 검증 시험기관을 확대한다는 정책을 세웠다.
최근 CC평가기관은 보안제품 평가 수요 하락으로 생존경쟁으로 내몰리며 사업 다각화에 한창이다. 이중 한 분야가 암호모듈 검증 시험이다. 대부분 민간 평가기관은 암호모듈 검증 시험기관에 지정되려고 1년 전부터 신규 인력을 채용하고 시험실을 확보했다. 평가자가 자격을 갖추도록 지원했다.
갑작스런 정책 취소로 CC평가기관은 막대한 손실에 직면했다.
한 CC평가기관 대표는 “시험기관이 되려고 관련 인력을 채용하고 실험실을 마련하는 등 1년을 준비했다”면서 “정책이 오락가락하며 기업이 모든 피해를 떠안게 됐다”고 토로했다. 그는 “국내 보안기업은 민간평가기관에서 CC평가와 함께 암호검증을 동시에 처리해 빠른 제품 공급을 기대했는데 무산됐다”고 덧붙였다.
또 다른 시험기관 대표는 “국제적으로 CC평가에서 암호기능 검증을 강화했다”면서 “국가 간 공통으로 쓰이는 보안요구사항(PP)도 암호 기능을 상세하게 다루는 추세”라고 설명했다. 그는 “암호모듈 국제 콘퍼런스(ICMC)에서도 CC평가기관을 중심으로 암호 검증을 논의한다”면서 “국내는 민간 평가기관 참여가 제한돼 활발히 참여하지 못해 평가 시장에서도 뒤처진다”고 강조했다.
국보연 관계자는 “암호모듈검증은 그동안 국보연이 무료로 해왔다”면서 “민간에 이전하려면 비용을 받아야해 미래부 등 관계부처와 법적 근거를 마련 중”이라고 설명했다. 그는 “암호모듈검증 적체 현상이 계속되고 있어 시험기관 민간 이전은 필요하다”면서 “중장기적으로 추진할 예정으로 백지화는 아니다”라고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com