양자암호통신장비가 보안적합성 검증 대상 제품에 포함된다. 양자암호 보안성을 증명할 수 있는 제도를 운영하는 것은 우리나라가 처음이다. 양자암호 제품의 공공 시장 진입 길이 열린 것으로 관련 시장도 본격 개화할 전망이다.
국가정보원은 이같은 내용의 '국가용 보안요구사항 개발 계획'을 공개했다. 국정원은 양자통신암호화장비(QENC), 양자키관리장비(QKMS), 양자키분배장비(QKD) 세 종류에 대한 보안요구사항을 마련했다. 3개 장비 모두 검증을 받은 암호화모듈을 탑재하는 것이 전제다.
보안 기능을 획득하고자 하는 업체는 시험기관인 한국정보통신기술협회(TTA)와 한국전자통신연구원(ETRI)에서 국가 공공기관 운용 적합성을 확인받으면 된다. 국정원은 올해 보안기능시험에 대한 시범 시행을 거친 후 내년부터 시험을 진행한다.
공공기관은 전자정부법에 따라 정보보호시스템, 네트워크 장비 등 보안 기능이 탑재된 정보통신기술(ICT) 제품을 도입할 때 국정원으로부터 보안적합성 검증을 받아야 한다. 그동안 양자암호 제품은 보안적합성 대상에서 제외돼 있어 공공 시장 진입이 제대로 이뤄지지 않았다.
국정원은 양자암호 제품에 대한 보안요구사항 수립을 위해 국가보안기술연구소(국보연), 한국지능정보사회진흥원(NIA), ETRI, TTA 등 유관기관과 시범검증을 진행하고, 관련 업계의 의견을 청취해왔다.
양자암호장비 보안기능시험 요건
〈뉴스해설〉양자암호 시장 조성 기반 확보...위협·신기술 추세 따라 보안제도 고도화
국가기관 납품용 양자암호통신망 전송장비의 보안요구사항이 마련됐다. 정부, 공공기관이 양자암호 관련 장비를 도입할 수 있는 보안 기준이 마련된 것으로 세계 최초다. 국가정보원은 신기술, 사이버 공격 추세를 감안, 보안 제도를 지속 고도화할 계획이다.
◇양자암호 시장 개화
이동통신 등 관련업계의 공공시장 진출에 속도가 날 전망이다. 공공기관은 100% 전용회선을 활용하는 등 보안을 중시하는 만큼 양자암호 통신망을 구축, 레퍼런스를 확보하기 위한 최적 시장이다.
앞서 과학기술정보통신부, 한국지능정보사회진흥원(NIA)의 양자암호통신 시범인프라 사업을 통해 SK브로드밴드는 대전상수도사업본부와 한국수력원자력에, KT는 강원도청과 2군단 사령부, 제주도청과 제주안전체험관, LG유플러스는 충남도청과 충남공무원교육원 전용회선 등에 양자암호통신 기술을 적용했다.
이번 조치로 공공부문 전체를 대상으로 영업을 펼칠 수 있게 됐다.
국정원은 △양자통신암호화장비(QENC) △양자키관리장비(QKMS) △양자키분배장비(QKD) 세 개 장비에 대한 보안요구사항을 공개했다. 필수 요구사항은 △QENC 37개 △QKMS 35개 △QKD 42개다.
QENC에 대해서는 공급기 요청과 수신·비밀키생성·하이브리드 키 조합 여부, QKMS에 대해서는 비밀키 수신·키 가공 및 동기화, QKD에 대해서는 국가표준과학연구원의 양자특성시험성적과 이를 기반으로 ETRI와 TTA에서 난수생성기능, 양자상태 생성 등을 검증받는 것이 요구사항으로 제시됐다.
QENC는 특히 기존 암호화기술인 공개키방식과 양자암호통신기술을 조합하는 하이브리드키 방식을 준용토록 했다. 특정 체계가 무용화돼도 다른 암호체계가 작동해 보안을 유지할 수 있도록 한 조치다. 통신 3사는 올해 하이브리드 QENC에 대한 암호모듈검증(KCMVP) 획득을 위해 국가보안연구소에 자료를 제출한 바 있다. 이에 일부 보완 및 재검증 과정이 요구될 것으로 예상된다.
그동안 양자암호장비는 정부, 공공기관에 정보기술(IT) 보안 제품을 공급하기 위해 필요한 보안적합성 검증 대상에서 빠져 있어 시장 진입이 어려웠다. 양자암호통신망 전송장비는 보안 검증 대상이 돼야 하는지, 검증 절차를 생략해야 하는지 등 원칙조차 정해지지 않았다. 특히 양자암호통신망은 핵심 기술이 전송장비에 적용, 연동돼야 하는 만큼 보안성에 대한 검증 필요성이 지속 제기돼왔다.
◇신기술 반영해 보안 제도 손질
국정원은 보안 제도 개선 방향도 소개했다. 정보보호제품, 네트워크장비에 대한 '권장 시험기간'을 도입한다. 정보보호제품 중 서버·엔트포인트는 35일~40일, 제품단위는 5일~10일을 제시했다. 네트워크 장비는 스위치·라우터는 10일~15일, SDN스위치·컨트롤러는 15일~20일이 가량이 소요될 예정이다.
국정원은 또 과학기술정보통신부와 보안기능 확인서, 성능평가 인증을 수의계약 요건으로 추가한 개정안을 마련, 기획재정부와 협의중이라고 밝혔다. 올해부터 국가·공공기관에 정보보호제품을 납품할 경우 CC를 '보안기능 확인서'로 대체할 수 있도록 제도가 개선됐지만 현재 실효가 떨어진다는 지적이다.
공공 분야 수의계약 대상 정보보호 인증제품은 '굿 소프트웨어(GS)인증' 혹은 CC인증 중 하나를 취득해야 나라장터 종합쇼핑몰에 정보보호 제품으로 등록 가능하다는 규정이 그대로이기 때문이다.
국정원 관계자는 “보안기능 시험제도의 경우 신청 제품별 보안기능이 획일적이지 않은데 이를 최대한 예측할 수 있는 기간으로 맞춘다는 취지”라면서 “보인기능확인서는 국가계약법 주관 부처인 기재부와 관련 협의를 신속하게 진행해 업계 부담을 최소화하겠다”고 말했다.
국정원은 △아이폰용 모바일 관리 시스템(MDM) △랜섬웨어 대응제품 △생체인식 제품 △클라우드 기반 사이버 보안제품 6개에 대한 국가용 보안요구사항을 신규 개발한다.
국가기관 운용 IT보안제품의 안전성 강화를 위해 사용자 인증체계도 전면 개편한다. 공공을 대상으로 사이버 공격 빈도가 급증함에 따라 아이디·비밀번호 중심 인증체계에서 벗어나 '신속한 온라인 인증(FIDO)'과 생체인식을 필수 수단으로 채택할 방침이다.
정예린기자 yeslin@etnews.com, 최호기자 snoop@etnews.com
