독자적 암호모듈 평가기술 개발 시급

 암호모듈에 대한 안전성을 확보하기 위해 독자적인 암호모듈 평가기술 개발이 시급하다는 연구결과가 나와 주목을 끌고 있다.

 한국정보보호진흥원(KISA·원장 조휘갑)이 최근 발간한 ‘건전한 암호이용 활성화 방안 마련을 위한 보고서’에 따르면 국내에서 암호모듈을 탑재한 암호제품의 이용이 늘고 있지만 암호키의 안전한 관리를 위한 표준이 없어 암호모듈을 이용한 거래에 치명적인 결함이 발생할 수 있는 것으로 나타났다.

 이에 따라 PC및 스마트카드에 암호키를 저장·사용·폐기하는 것에 대한 안전성 평가기술 개발이 시급한 것으로 지적되고 있다.

 ◇문제점=최근 신용카드와 인터넷뱅킹·핸드폰을 이용한 무선결제시 스마트카드의 이용이 늘고 있으나 스마트카드에 탑재된 암호모듈은 연산시 발생하는 암호수행시간이나 전력소비량 등의 부가정보를 이용한 해킹에 노출될 수 있다.

 특히 소프트웨어 기반의 암호제품은 해커가 시스템에 침입해 암호모듈의 핵심기능을 위변조하거나 오동작을 유발할 경우 모듈내 중요 정보가 해커에 노출될 가능성이 높다. 따라서 암호모듈에 대해 제품구현시 발생할 수 있는 오류를 미리 검증함으로써 신뢰할 수 있는 암호모듈 목록을 작성, 이용토록 홍보하는 작업이 요구된다.

 ◇선진국 현황=이에 따라 세계 각국들은 암호기술에 대한 안정성 평가를 이미 시행하고 있다. 암호기술에 대한 안전성 평가는 크게 ‘암호논리’에 대한 안전성 평가와 암호제품을 대상으로 하는 ‘암호모듈’에 대한 평가로 나뉜다. 암호논리에 대한 평가는 암호알고리듬 자체의 이론적 안전성만을 평가하는데 비해 암호모듈에 대한 안전성 평가는 암호모듈의 오동작 여부 및 중요 정보의 노출가능성에 대한 안전성을 평가한다.

 미국은 이미 지난 95년부터 캐나다와 공동으로 암호 전반에 걸친 암호모듈 평가체계인 ‘CMVP(Cryptographic Module Validation Program)’를 구축해 대외비 이하로 분류되는 주요 정보를 보호하기 위한 암호알고리듬 및 모듈에 대해 안전성 평가를 수행하고 있다.

 영국도 전자정부에서 대외비 이하로 분류되는 주요 정보를 보호하기 위해 민간에서 개발한 암호제품을 사용할 방침이며, 이를 위해 자국의 암호관리체계인 CAPS 또는 미국의 CMVP를 따르는 제품을 이용할 계획이다.

 ◇전망=KISA는 이번 보고서를 통해 △2003부터 2004년까지 2년간 암호키의 사용·관리·폐기에 대한 안전성평가기술 개발 △2004년부터 2006년까지 3년간 부채널 공격에 대한 암호모듈의 안전성 평가기술 개발 △2006년 이후에는 자체 테스트 검증여부 평가기술 개발 등을 제안했다.

 이번 보고서와는 별도로 정통부와 국가정보원도 암호모듈 안전성 평가가 중요하다고 보고 지난해부터 독자적인 암호모듈 평가체계를 구축하는 방안에 대해 본격적으로 검토하기 시작했다. 아직 어느 부처가 중심이 될지는 미지수지만 향후 4∼5년 안에 미국·캐나다의 CMVP를 모델로 한 한국형 암호모듈 평가체계가 등장할 것으로 보인다.

 <박영하기자 yhpark@etnews.co.kr>