한국인터넷진흥원(KISA)이 내년부터 암호모듈 검증시험을 시작한다. 최소 1년에서 길게는 1년 6개월 이상 걸리던 암호모듈 검증시험 기간이 단축된다.
국가보안기술연구소는 내년부터 KISA가 시험 기관에 추가된다고 13일 밝혔다. 국회 예산 심의를 진행 중이다.
암호모듈 검증은 암호 안전성과 구현적합성을 검증하는 제도다. 전자정부법 시행령에 따라 국가 공공기관 등에 들어가는 보안 제품에 사용 암호는 반드시 검증을 받아야 한다. 미국과 일본도 검증제도를 운영하며 국제공통평가기준(CC)평가기관 등 민간도 시험한다.
그동안 국내는 국가보안기술연구소가 유일한 암호모듈 검증 시험기관이었다. 시험기관은 한 곳인데 수요는 높아 검증에 최소 1년 이상 걸렸다. 한 보안기업 대표는 “신제품을 개발하고도 암호모듈 검증 시험에 1년 이상 걸리면서 공공시장 판로가 막힌다”면서 “암호모듈 검증을 기다리다 시장을 빼앗긴다”고 토로했다.
업계 원성이 높아 시험 기관을 확대하는 방안이 추진됐다. 우선 KISA가 내년부터 시험을 시작한다. KISA는 올해 정보보호산업본부 보안산업단 내 암호기술팀을 신설했다. 암호기술팀이 1년여간 암호모듈 검증시험을 준비했다. 암호모듈 검증시험은 CC평가보다 수준이 높아 관련 인력 확보가 어렵다.
국보연 관계자는 “내년 KISA가 시험기관에 안정적으로 진입하면 2019년부터 암호모듈 시험 적체가 개선될 것으로 기대한다”고 말했다.
최근 DB암호화, 문서암호화, 통합인증(싱글사인온) 제품은 CC인증을 받으면 국가 공공기관에 들어가는 길이 마련됐다. 해당 기업은 암호모듈 검증을 받은 암호를 이용해 제품을 구현한 후 CC인증을 받으면 공공기관에 납품한다. 별도 암호모듈 검증시험을 거치지 않아도 된다.
국보연 관계자는 “3개 보안 제품이 암호모듈 검증시험 적체에 상당 부분을 차지했다”면서 “시험 장기화 문제를 일정 부분 개선하는 효과가 있다”고 설명했다.
암호모듈 검증시험을 민간 CC평가기관까지 확대하는 데는 시간이 걸릴 전망이다.
국정원은 지난해 암호모듈 검증시험 기관을 민간 CC평가 기업으로 확대키로 하고 자격시험을 시행했다. 첫 시험에서 자격을 통과한 평가자가 나오지 않아 올해 재시험을 치를 계획이었다.
그러나 국정원은 관련 지침 개정 등 어려움을 들어 암호모듈 검증시험 민간 이전 계획을 늦췄다. 국보연과 KISA는 암호모듈 검증시험에 비용을 받지 않는다. 민간 CC평가기관은 비용을 받아야 운영이 가능하다. 비용문제를 해결하려면 과학기술정보통신부 등 관계부처와 법적 근거를 마련해야 한다.
김인순 보안 전문기자 insoon@etnews.com