해당업체들 "유예기간 연장해달라"요청…사업 마비될 수 있어 '발 동동'
이 검증제도에 따라 암호화모듈 검증필을 받아야 하는 품목은 PKI, VPN 외에도 DB보안제품, IDS, IPS, 웹방화벽, UTM 등 대부분의 보안제품들이 여기에 해당된다.
정부는 2007년 3월 PKI, CA/RA 등 암호화 제품에 대한 검증이 의무화 된 이후 2008년 12월까지 암호화 검증을 받을 수 있는 유예기간을 준 바 있다. 하지만 다수의 보안업체들이 암호화모듈 검증에 적극적으로 대비해오지 않은 것으로 나타났다.
현재 이들 업체들은 유예기간을 연장해줄 것을 정부에 하소연하고 있고, 국정원은 예정대로 제도를 시행한다는 방침이어서 공공보안시장에 한바탕 소용돌이가 일어날 것으로 보인다.
◆VPN은 검증필 받은 제품 전무= 해당 업체들은 "지난해까지 암호화모듈 검증 또는 CC인증 가운데 하나만 받으면 사업이 가능했다. CC인증도 받고 암호화 검증까지 받는 게 업체 입장에서는 이중 부담이다. 아직까지 VPN의 경우 암호화 검증필을 받은 제품이 없기 때문에 당장 제도가 의무화 되기 힘든 상황"이라며 어려운 처지를 호소했다.
또한 "도입할 제품이 없으면 후검증을 생각하고 도입은 하겠지만 공공기관들 입장에서 과연 이 같은 부담을 안고 제품을 구입할지가 의문스럽다"며 우려하고 있다.
업체들은 암호화 검증필을 받기 위해 지금부터 준비하면 최소 1년은 더 필요하다는 판단하에, 최근 한국정보보호산업협회(KISIA)를 통해 국가정보원에 유예기간을 연장해 달라고 요청한 것으로 알려진다. 국가정보원은 암호화 검증을 받지 못했다면, 제품에 타사의 검증필을 획득한 암호화 모듈을 탑재하기를 적극 권장하고 있다.
이에따라 보안업체들은 직접 암호화 검증을 받는 방안과 검증필을 받은 암호화 모듈을 탑재하는 방안을 놓고 고민하고 있는 상황이다. 암호화 검증평가기간은 18개월이 소요되고 준비하는데 3-4억 정도의 상당한 비용과 시간, 인적 리소스가 투입되어야 하기 때문에 대체로 업체들은 검증필을 받은 암호화 모듈을 탑재하는 방안을 검토 중이다.
현재까지 암호화모듈 검증을 완료한 곳은 이니텍, 어울림정보기술, 케이사인, 한국정보인증, 소프트포럼, 펜타시큐리티시스템, 티맥스소프트, 드림시큐리티, 비티웍스, 고려대학교 정보보호기술연구센터 10여곳이다. 검증필을 획득한 암호화모듈을 탑재할 경우 제품 수정이 불가피 하기 때문에 커스터마이징 후 암호화모듈 재검증을 받는데 또 적지않은 시간이 소요되는 것으로 알려진다.
◆검증받은 암호모듈 '돈들여 탑재할래도 문제'= 어울림정보기술은 2006년 시큐어웍스 IPSWALL 2000 V4000로 암호화모듈 검증필을 받았다. 당시 HW에 결합된 상태로 받아서 다양한 운영환경에 이용할 수 있는 암호화모듈(SW)에 대한 검증을 다시 받아야 한다. 이를 위해 검증필을 받은 타사의 암호화모듈을 탑재할 예정이다.
어울림정보기술 관계자는 "PKI의 경우 윈도우 기반 제품만 검증을 받았으나 VPN제품은 리눅스 기반의 C언어에 해당되는 제품이 대부분이라 검증필을 받은 암호화 모듈을 탑재하더라도 재검증이 불가피하다. 과거 암호화모듈 검증을 받는데 1년이 넘게 걸렸는데 이제 평가를 준비하면 검증 완료까지 얼마나 걸릴지 모르겠다"고 말했다.
이 밖에도 PKI업체들과 보안업체들간 가격 협상도 쉽지 않은 것으로 보인다. 어떻게 적용할지, 지원OS나 버전에 따라 어떻게 비용을 책정할지 등 체계화된 매뉴얼이 없어 혼란스러운 모습이다.
현재 VPN업체인 넥스지는 "검증필을 받은 업체들을 만나서 가격, 개발지원 부분을 협의하고 있다. 타사 암호모듈 탑재 시 API 수정 등 제품 변경이 필요한데, 커스터마이징 요구사항에 따라 차이가 있긴 하나 타사 암호화모듈을 탑재하기 위한 비용이 1억원이상 들 것으로 예상된다"고 말했다.
외산UTM장비 업체인 포티넷은 본사에 ARIA 알고리즘에 대한 지원을 요청했으며, IPS/웹방화벽 업체인 나우콤은 1년간 준비 끝에 최근 국보연에 암호화모듈 검증 평가 접수를 마친 것으로 알려진다.
국가정보원은 "1년반 정도의 유예기간을 충분히 줬다. 정책의 일관성이 흐려지므로 더 이상의 제도변경(유예기간 연장)은 없을 것"이라며 "암호화 검증평가의 적체현상이 발생할 것을 예상해 형상변경 시 업체가 신청해 받던 사후관리를 수시로 신속하게 지원할 수 있도록 조치를 취했다"고 전했다.
* 암호모듈 검증제도는 국가정보보안기본지침과 암호모듈 시험 및 검증지침에 의거, 국가/공공기관의 정보통신망에서 소통되는 자료 중에서 비밀로 분류되지 않는 중요 정보의 보호를 위해 사용되는 암호모듈의 안정성과 구현적합성을 검증하는 제도이다. 시험기관인 국가보안기술연구소와 계약을 체결 후 시험을 실시, 암호검증위원회를 통해 시험 결과에 대한 심의를 받아 검증기관인 국정원장의 검증서를 발급받게 된다.
관련기사
김정은 기자
jekim@itdaily.kr