암호검증제도 시행은 전자정부 구축에 문제점으로 지적돼온 국가 중요 문서의 안전성을 확보할 수 있다는 데 의미가 있다. 또 국내 정보보호기업이 개발한 암호 모듈의 안전성과 신뢰성을 국가가 보장하게 돼 체계적인 암호 검증이 가능해진다. 이미 관련 기업에서는 보안제품에 대한 체계적인 인증관리로 각종 인터넷서비스에서 보다 안정되고 강도높은 보안환경을 제공할 것으로 기대하고 있다.
미국이나 캐나다가 95년부터 자국 암호모듈을 보호하기 위해 CMVP를 시행한 것에 비하면 이번 제도 시행은 다소 늦은 감이 없지 않지만 정부 및 관련 부처는 체계적인 검증을 위해 필요한 조치라고 강조하고 있다.
◇암호검증제도란=암호검증제도란 방화벽이나 침입탐지시스템(IDS) 등의 제품 성능과 신뢰도를 평가해 국정원이 인증했던 K4인증과 유사한 제도다. 즉 국가가 국가행정망 구축에 들어가는 암호모듈의 안전성을 평가해 인증한 후 인증된 제품을 사용하겠다는 것이다. 그동안 전자정부 구현 등에 들어가는 암호제품은 이런 인증 없이 안전성 심의만을 받으면 됐다.
암호검증제도는 국정원, 한국정보보호진흥원, 국가보안기술연구소가 전문가 그룹의 간사가 돼 재정경제부·정보통신부·행정자치부 등 관계부처와 학계가 1년간의 준비작업을 거쳤다.
암호검증제도가 시행되면 국가행정망에 암호 솔루션을 납품하려는 기업은 인증을 필수적으로 받아야 한다. 기업들은 이번 인증에서는 암호 함수들이 얼마나 안전하게 구현되었는지, 키 관리가 제대로 되고 있는지, 안전하게 동작하는지를 입증해야 한다.
◇체계적인 암호 관리=이번 제도가 시행되면 무엇보다 정부가 체계적으로 암호를 관리할 수 있게 된다. 이번 제도는 우선 내년 초 정부기관의 대국민행정용 암호모듈부터 적용되며 2006년에는 금융권, 교육기관까지 확대될 예정이다. 정부는 행정망은 물론 향후 국내 망에 적용되는 모든 암호솔루션을 체계적으로 관리하게 되는 것이다.
미국이나 선진국이 다른 보안제품과 달리 암호 분야를 개방하지 않고 자체 인증제도를 가진 것은 국가 정보보호는 물론 안보문제와 암호모듈이 직결되기 때문이다.
◇암호솔루션 시장 보호=암호솔루션을 개발한 정보보호 기업들은 이번 제도 시행을 환영하는 분위기다. 물론 새로운 제도 시행으로 암호모듈을 인정받아야 하는 번거로움이 있지만 암호 솔루션으로 국내 시장을 보호하는 효과가 예상되기 때문이다.
이와 함께 암호인증제도 시행이 암호기술이 축적된 전문기업을 식별하는 잣대가 될 것이라는 기대도 높다. 이를 통해 신생기업들의 무분별한 시장 진입을 막을 수 있는 장벽이 될 수 있다는 해석이다.
정보보호진흥원 관계자는 “외산기업들은 소스코드를 공개해 평가를 받아야 하는 제도를 쉽게 받아들이지 않기 때문에 공공기관 시장을 국내 기업이 장악할 수 있게 될 것”이라며 “K4인증으로 국산 방화벽 시장이 보호받았던 것처럼 이번 제도 시행으로 암호시장이 보호를 받게 될 것”이라고 말했다.
김인순기자@전자신문, insoon@
관련 통계자료 다운로드 암호검증제 시행 로드맵