국정원 암호모듈 검증 의무화 2개월, 혼란 '가중'

공공기관에 도입될 정보보호 제품의 검증필 암호모듈 탑재 정책이 의무화된 지 2개월이 지났지만, 여전히 제도 안착에 걸림돌이 많아 보안 업계가 혼선을 빚고 있다.

3일 업계에 따르면 정책이 시행된 지 2개월이 지났지만, 검증필 암호모듈을 받은 업체가 극소수인 데다, 이를 위한 가이드라인이 불명확해 대응 방안 마련이 쉽지 않은 것으로 나타났다.

보안업계는 시원한 해결책을 찾지 못하고 있는 실정이다.

국가정보원에 따르면, 지난 1월부터 암호 기능이 있는 정보보호제품을 국가·공공기관에 납품하려면 반드시 국가정보원의 암호검증을 통과한 암호모듈을 탑재해야 한다.

기존 PKI, CA/RA 등 암호기반 제품 뿐만 아니라 암호기능이 구현된 네트워크·컴퓨팅 기반 정보보호 제품으로 대상이 확대 적용되면서, 가상사설망(VPN), 통합위협관리(UTM), 데이터베이스(DB)보안 등 사실상 모든 보안업체가 암호모듈 검증을 받게 됐다.

◆보안업계, 시간·비용 '이중고'

국정원 IT보안인증사무국은 암호모듈 검증필 획득 업체가 소수인 점을 감안, 타사 검증필 암호모듈 탑재를 허용했지만 보안업체에게 있어 이는 임시방편에 불과해 근본적인 해결책 찾기가 시급한 형국이다.

또 정보보호 제품 특성상 타사 암호모듈을 탑재할 경우, 형상이 변경되는 데 이로 인해 국제공통평가기준(CC) 인증도 다시 받아야 될 우려가 있어 업계로서는 이중 부담이라는 지적이다.

시중에 나와있는 검증필 암호모듈이 대부분 윈도나 리눅스 등 일부 운영체제(OS)를 기반으로 해, 제품에 탑재하면 형상 변경이 불가피 하기 때문.

기존에 CC인증을 받은 업체라도, 형상이 변경되면 CC인증에 대한 변경승인을 또 받아야 하는 셈이다. 당연히 비용도 수반된다. 연 매출 100억원 미만의 중소 보안업체가 대다수인 현실에서 비용도 부담이 아닐 수 없다.

이밖에 대부분의 정보보호제품이 암호검증 대상에 포함되지만, 제품별 가이드라인이 없어 일부 보안업체는 자사 제품이 해당되는 지 여부조차 확신하지 못하는 상황이다.

이에 따라 최근 주요 보안업체 인증담당자들이 암호화 모듈 탑재 대응 방안 논의를 위해 모였지만, 해결책 마련이 쉽지 않은 것으로 알려졌다.

이날 참석한 보안업체 관계자는 "시간과 비용 문제가 가장 크다"며 "일단 공공기관에 넣기 위해서 검증필 암호모듈을 탑재한 타사 제품을 공급할 수는 있지만, 궁극적으로 자체 개발으로 가야하는 만큼 업체로서는 개발에 대한 부담이 있을 수밖에 없다"고 말했다.

◆"프로세스 정립 안돼 불만 고조"

이미 검증필 암호화모듈을 보유한 업체도 문제가 있기는 마찬가지.

한 보안업체는 자사 암호화 모듈에 검증필을 받았지만, 하드웨어 형태라 장비가 변경되면 해당 암호 모듈을 쓸 수 없다. 이에 따라 여러 장비에 탑재할 수 있는 소프트웨어로의 변경이 불가피하지만, 형상 변경에 대한 기간과 절차가 명시되지 않아 차라리 타사 암호화 모듈 탑재를 논의하고 있는 실정이다.

보안업체 인증담당자는 "CC인증은 재평가 또는 변경승인에 대한 절차가 명시돼 있는 반면, 암호화 검증은 프로세스가 아직 정립되지 않아 재검증 대상인지 기능시험 대상인지 구분하기 쉽지 않다"고 토로했다.

또 대부분의 검증필 암호화 모듈이 운영체제 한개만을 지원하고 있는데, 고객 필요에 따라 운영체제를 확장할 경우 재검증 대상인지, 기능시험 대상인지 모르는 상황이다.

이밖에 제품별 특성이 반영되지 않았다는 의견이 나오고 있다.

통합보안관리(ESM) 등 CC변경 포인트가 적은 보안제품은 소수 암호화 알고리즘을 사용하고 있는데, 극히 일부 암호화 기능을 제공하는 업체의 경우 암호모듈 검증필을 받아야 하는 지에 대한 기준이 모호하다는 지적이다.

한 보안업체 관계자는 "암호를 해야하는 정도와 수준이 각 보안제품마다 다른데, 일관적인 기준으로 적용하기에는 무리가 있다"며 "이 부분에 대한 명쾌한 답변을 듣지 못했다"고 말했다.

담당기관인 국정원 IT보안인증사무국의 일방적인 정책 시행도 비판 대상이다. 관련업계는 보다 적극적인 의사 소통의 장을 마련해야 한다고 입을 모으고 있다.

한 인증담당자는 "궁금한 사항에 대해 질의했지만, 제품별로 다르다는 입장만 반복하고 있다"며 "직접 신청하면 그 때 답변을 주겠다는 애매모호한 말을 들었다"고 말했다.

또 다른 보안업체 관계자는 "시행 초기라 제도 안착까지는 시일이 걸린다는 점은 인정하지만, 당장 공공기관 영업을 해야 하는 업체 입장으로서는 촌각을 다툴 수밖에 없는 사안"이라며 "제품별 가이드라인·사후 변경·기능시험 대상에 대한 구체적인 안을 마련해 혼란을 방지하려는 담당기관 자세가 아쉽다"고 말했다.