주식회사 누리아이티

정보자산의 보안강화를 위한 2차인증 보안SW 및 지문인식 OTP/출입/보안카드 전문기업

▶ BaroSolution/기술문서

PKI, OTP, DB암호화, 키보드보안 솔루션 등 암호기술이 주기능인 정보보호보안제품에 ‘암호검증’은 필수

누리아이티 2018. 3. 15. 12:13

 

공개키기반구조(PKI), 일회용비밀번호(OTP), DB암호화, 키보드보안 솔루션 등 암호기술이 주기능인 정보보호제품을 국가기관에 공급할 때에는 앞으로 국가정보원으로부터 CC(국제공통기준)인증 대신에 암호검증을 받아야 할 것으로 보인다.

국가정보원은 28일 한국과학기술회관에서 개최한 상용 암호모듈 검증제도 설명회에서 지난 2005년 1월부터 실시하고 있는 암호검증제도 활성화를 위한 개선방향을 이같이 마련하고 있으며, 1분기 중 확정할 예정이라고 밝혔다.

국정원은 이 제도 활성화하기 위해, 앞으로 국가기관에 암호 관련 제품을 적용할 경우 CC평가인증 대신에 암호모듈 검증을 받고 보안적합성 검증을 거치도록 하는 도입절차를 변경하는 한편, 이미 사용중인 암호모듈이 탑재된 제품의 처리절차도 확정하기로 했다.

또 국가보안기술연구소 외에 한국정보보호진흥원에서도 암호모듈을 시험할 수 있도록 시험기관을 복수화할 예정이다.

상용 암호모듈 검증은 국가·공공기관이 정보통신망에서 소통되는 정보유출을 방지하기 위해 민간에서 개발한 암호기술이 탑재된 제품을 적용할 경우 해당 암호모듈의 안전성과 구현 적합성을 검증하는 제도다.

암호모듈은 암호기술이 구현된 하드웨어, 소프트웨어, 펌웨어나 이들이 결합된 것이다.

현재 소프트포럼, 이니텍, 어울림정보기술 세 업체가 검증필을 받았으며, 현재 고려대학교, 에스원, 유비엠정보, 케이사인, 한국정보인증의 5개 제품이 평가를 받고 있다.

국정원 IT보안인증사무국 관계자는 “국가기관의 암호모듈 도입이 증가함에 따라 안전한 암호모듈 사용을 지원하고 활성화하기 위해 암호검증제도를 개선하고 있다”며, “3월 중 개선된 암호검증제도를 확정할 예정이며, 이에 따라 CC평가 적체현상도 해소되는데 일조할 것”이라고 말했다.

이 제도는 제품을 개발`공급하는 업체가 시험기관에 직접 신청해야 하며, ▲암호검증 및 시험 신청서 ▲암호모듈 ▲제출물 5종 및 소스코드 등을 제출해야 한다.

현재 검증수수료는 받지 않고 있다.