KCMVP(한국형 암호모듈검증제도)의 소개
국방논단 1760호(한국국방연구원 발행)
이용석
국방정보본부 보안암호정책과
lyskms@korea.ac.kr
이정훈
국방정보본부 보안암호정책과
jh00n64@naver.com
국가가 정한 기밀(비밀)은 암호를 사용하여 소통하도록 법률로 규정하고 있다. 군에는 비밀로 지정된 것들이 많고 이 비밀을 유통하는 체계도 많으므로 자연스럽게 암호 장비도 많다. 거기에 더하여 비밀은 아니지만 공개할 수 없는 사항들도 많다. ‘군사자료, 민감자료’ 등으로 불리는 것들이다. 그런데 예산과 개발 기간을 고려하면 여기에까지 ‘국가용 암호’를 적용하기는 어렵다. 이글에서는 정부 차원에서 시행하고 있는 암호모듈검증제도(Korea Cryptographic Module Validation Program: KCMVP)를 적극적으로 활용할 것을 제안했다. 실질적이고 효율적으로 보안을 강화하고 정보의 유통도 원활하게 할 방법이란 점에서다.
4차 산업혁명은 인간의 삶을 획기적으로 변화시키고 있다. 초연결 사물인터넷(IoT), 가상화 공간에서의 무한대 자료저장(Cloud), 관련 자료의 누락 없는 종합(Big data), 필요한 사항을 찾아가는 능동적인 학습(Machine Leaning), 가상현실(Virtual Reality), 증강현실(Augmented Reality), 인공지능(AI), 다중 인증을 통한 무결성의 확보(Block Chain) 등으로 대표되는 사이버기술의 발달은 그동안 불가능했던 많은 것들을 가능하게 해주고 있다. 이것은 우리에게 사이버공간에서의 자유로운 활동을 더욱 확대시키고 있지만, 사이버공간에서 유통되는 정보가 안전한가에 대한 의구심도 증가해왔다. 안전하지 못한 정보의 유통은 유통으로 끝나는 것이 아니라 개인과 사회에 막대한 피해를 유발하게 될 것이다.
‘군사기밀’을 유통하기 위해서는 ‘국가가 개발한 암호’를 사용한다. 암호 알고리즘과 암호키는 철저히 비공개로 개발하는데, 혹시라도 적에게 탈취되더라도 그 내용을 알 수 없도록 하는 물리적인 보호조치도 포함된다. ‘평문’은 공공의 목적을 위하여 모두에게 제한 없이 공개하는 자료이기 때문에 암호를 적용하지 않는다. 그렇다면 이 둘의 중간지대에 있는 ‘군사자료, 민감자료, 중요정보, 대외비, 특별취급’ 등에 대해서는 어떻게 해야 하는가라는 의문점이 생긴다.
기밀을 다루는 군과 정부기관은 물론이고 민간에서도 정보의 안전한 유통에 대한 요구는 많다. 특히 개인정보보호법 시행으로 인해 개인정보를 포함한 정보를 안전하게 유통하기 위한 방법에 대한 고민은 더 커졌다. 이는 우리나라만의 일이 아니다. EU에서도 2018년 5월 25일부터 시작된 개인정보보호규정(GDPR: General Data Protection Regulation)을 시행하고 있다. 문제는 암호 수요가 증가한다고 해서 국가가 모든 암호를 개발하여 공급할 수는 없다는 점이다. 국가용 암호를 적용하기 위해서는 개발과 검증에 장기간이 소요되고 예산도 많이 소요된다. 민간이 개발한 암호를 제 3자인 국가가 안전성과 구현적 합성을 인증해주는 제도가 필요한 이유이다.
암호에 관련된 책임과 권한은 여러 법률에도 규정되어 있는데, 국가정보원의 역할이 많다. 우선
. 국가정보원법. 제3조는 국가 기밀에 속하는 문서, 자재, 시설 및 지역에 대한 보안업무와 암호부정 사용의 죄를 수사한다고 명시하여 보안과 암호에 관한 업무 소관을 국가정보원으로 정하고 있다. 대통령령인 정보 및 업무 기획·조정 규정·제2조에는 통신보안을 정의하면서 통신수단에 의하여 비밀이 직접 또는 간접으로 누설되는 것을 미리 방지하거나 지연시키기 위한 방책이라고 정하였다.
전자정부법 56조와 동법 시행령 69조에서는 국가정보원장이 개발하거나 안전성을 검증한 암호장치와 정보보호시스템을 도입하여 운용하여야 한다고 명시하고 있다.
요약하면, 국가정보원의 역할로 규정되어 있는 국가암호업무는 첫째, 국가기밀이 소통되는 장비에 대해서 국가용 암호를 개발하여 국가기관 및 공공조직에 공급하는 것, 둘째, 급증하는 민간의 암호 수요에 대응하기 위하여 민간에서 생산하고 제작한 암호 및 암호모듈의 안전성과 구현적 합성을 검증해주는 것이다. 이를 제도적으로 구현한 것이 바로 한국형 암호모듈검증제도인 KCMVP(Korea Cryptographic Module Validation Program)이다.
■ 미국의 암호모듈검증제도, 『CMVP』
유통되는 정보를 암호화하려는 시도는 미국에서 먼저 시작되었다. 국가기관이 제시한 기준에 맞춰 민간 업체에서 상용 암호를 제작하면 국가기관이 이를 다시 검증하여 안심하고 사용할 수 있게 하자는 취지에서 만든 제도인 CMVP이다.
이 기준과 절차를 제시한 문서는 1994년에 최초로 만들어졌는데 이를 FIPS-140이라고 한다. 이 문서는 공급 업체와 암호화장비 사용자로 구성된 정부 및 산업 실무그룹에서 작성되었다. 이 그룹은 네 가지 ‘보안수준’과 ‘요구사항 영역’을 규정했다. 각 수준에서 각 영역에 대한 요구사항을 지정한 것이다. 이후부터 미국의 국립 표준기술연구소(NIST)는 하드웨어, 소프트웨어 구성요소가 포함된 암호모듈을 상용으로 생산할 때 필요한 요구사항과 표준을 규정하는 FIPS-140시리즈를 발행하였다. 민간은 물론이고 정부기관에서도 비밀을 제외한 자료의 유통에 사용하기 위한 것이다.
이 시리즈는 요구사항에 부합하는 모듈을 사용한 상용 암호제품에 대하여 정부기관이 안전성과 구현적 합성을 검증하는 기준을 제공한다.
암호모듈검증프로그램(CMVP)은 미국 정부가 공동 운영하며 국립 표준기술연구소(NIST) 컴퓨터 보안 사업부에서 검증업무를 주관한다. 당연히 미국 정부는 유효성이 입증된 암호화 모듈을 사용해야 할 것을 요구한다.
국가 및 공공기관에서 사용하는 국가용 암호는 NSA(National Security Agency: 국가안보국)가 연구·생산·배포한다. 즉 국가용 암호는 NSA에서 연구개발과 생산·배포를 담당하고, 상용암호를 국가기관에 적용할 때는 NIST의 기준을 따르는 것이다.
■ 검증대상과 절차
전술한 바와 같이 상용 암호모듈에 대해서는 전자정부법 시행령 제69조와 세부지침에 따라 국가 및 공공기관의 정보통신망을 통해 소통되는 자료 중에서 비밀로 분류되지 않은 중요정보의 보호를 위해 사용되는 암호모듈의 안전성과 구현적 합성을 검증해야 한다. 소프트웨어, 하드웨어, 펌웨어 또는 이들을 조합한 형태가 모두 검증대상인데, 소프트웨어 암호모듈 검증기준 또는 암호모듈 검증기준(KS X ISO/IEC 19790)을 준수해야 한다. 구체적으로는 암호가 주기능인 정보보호시스템으로 CC인증(DB 암호화, 통합인증, 문서 암호화) 제품을 포함하여 메일 암호화, 구간 암호화, 디스크·파일 암호화, 하드웨어 보안토큰, 기타 암호화 제품이 그 대상이 된다.
암호알고리즘은 안전성(Safety)·신뢰성(Dependability)·상호운용성(Interoperability)에서 적합성을 검증받은 국내·외 표준 제품을 사용해야 한다. 안전성이란 암호의 기밀성, 무결성, 가용성 측면에서 안전하다는 의미이다. 신뢰성이란 동일한 상황에서 동일 키 방식으로 암호화를 적용했을 때 랜덤성 확보가 가능해야 한다는 의미이다. 상호운용성은 암호가 체계 내에서 체계의 다른 기능에 영향을 주지 않아야 한다는 의미이다. 이 세 가지를 충족해야 적합성이 검증된 것으로 인정한다.
이 적합성 검증은 국가정보원이 주관 하며 한국전자통신연구원(ETRI)의 부설연구소인 국가보안기술연구소이 실무를 담당한다. 우리나라에서 적합성을 검증받은 암호알고리즘은 ARIA, SEED, HIGHT, LEA(세계적으로는 AES, DES 등) 등이 있다. 이 암호알고리즘은 공개되어 있기 때문에 KCMVP를 제작하여 판매하려는 상용암호 개발업자는 모두 사용할 수 있다. KCMVP를 제작하려면 이렇게 기존에 적합성을 검증받은 알고리즘을 사용하여 암호를 제작해야 한다. 국내에서 검증받은 암호알고리즘을 사용해야 하는 이유는 취약점이 발견되면 즉각적인 대응을 할 수 있어야 하기 때문이다.
이런 알고리즘을 사용해서 민간이 개발한 상용 암호모듈의 검증을 위한 시험평가도 국가보안기술연구소에서 수행한다. 국가정보원은 검증을 위한 총괄적인 조정·통제를 한다. 국가보안기술연구소가 실제 계측장비를 설치하여 암호가 안전한지, 설계대로 구현되었는가를 시험 평가해서 그 결과를 국정원에 보고하면 국정원이 인증서를 발급하는 것이다
구체적인 절차를 살펴보자. 먼저 암호모듈 시험신청 및 사전검토 단계이다. 암호를 개발한 업체는 검증신청서 및 제출물을 작성하여 시험기관에 암호모듈 시험을 신청한다. 제출물은 기본 및 상세설계서, 형상관리문서, 개발과정 단계별로 수행해야 하는 시험항목과 각 시험 항목별 시험목적, 시험절차 및 결과서와 제품, 소스코드를 포함한다. 시험기관은 제출물에 대한 사전검토를 수행하며 제출물의 완성도가 미비할 경우 신청인에게 제출물 보완을 요청할 수 있다. 암호를 개발한 민간업체는 시험기관의 보완요청에 맞게 제출물을 보완하여 제출하며 시험기관은 재검토를 수행한다. 재검토 결과 제출한 검증신청서 및 제출물이 시험수행에 부적합한 경우 시험기관은 암호모듈 시험계약을 거부할 수도 있다. 사전검토 결과 신청인 제출물이 암호모듈 시험수행에 가능한 경우 시험기관과 신청인은 모두 암호모듈 시험계약을 체결하게 된다.
두 번째는 암호모듈 시험 및 검증단계이다. 시험기관은 필요 시 암호모듈 시험의 원활한 수행과 제출물에 대한 이해를 위하여 시험환경 지원과 제출물에 대한 설명회의 개최를 신청인에게 요청할 수 있다. 검증대상 암호모듈은 관련 기준에 따라 시험이 수행된다. 시험기관은 제출물 또는 암호모듈의 취약성 등 보완사항을 발견할 경우 1회에 한하여 암호개발 업체에게 보완을 요청할 수 있다.
보완결과가 암호모듈 시험 및 검증 기준을 충족하지 못하였을 경우에는 시험을 중단할 수 있다. 시험기관은 시험 완료 후 시험결과보고서를 작성하여 검증기관에 제출한다. 검증기관은 시험결과보고서를 검토하여 관·학·연 전문가로 구성된 암호검증위원회에 심의를 요청하고 심의 결과에 따라 검증 필증의 발급 여부를 판정하게 된다.
마지막으로 검증유지의 사후관리이다. 검증이 완료된 암호모듈의 형상이 변경될 경우 암호개발 업체는 시험기관에 재검증을 신청한다. 시험기관은 암호모듈의 변경 및 개선사항에 대한 타당성과 적절성을 검토하여 재검증 수행 여부를 결정한다. 형상변경의 범위가 넓어 재검증 대상에 해당되는 경우 재검증계약을 체결하여 진행한다. 형상변경에 의한 검증유지 또는 사후관리는 검증필 모듈이 타사의 정보보호제품에 탑재되는 경우에 빈번하게 발생하게 되는데 이 경우 암호모듈 제작업체는 시험기관에 사후관리 절차를 문의할 수 있다.
■ 적용 기준
군에서 유통되는 자료는 많은 것들이 비밀로 분류된다. 그 이유는 적은 물론이고 군사 활동을 알고 있는 아군도 최소화되어야 요망하는 성과를 달성하기에 용이하기 때문이다. 따라서 전술 개발에 소요되는 시간과 비용이 상대적으로 크다. 그 이유는 적용할 체계의 통신 및 주파수 특성, 유통되는 데이터의 형태, 전송속도와 크기 등에 따라 맞춤식으로 개발되기 때문이다. 암호알고리즘과 암호키 운용에 대한 독특한 정책을 적용하여 혹시 있을지 모를 누설 또는 분실 시에도 대비해야 하기 때문이다. 국가용 암호가 보안성이 높아지는 것과 비례하여 개발에 고비용과 장기간이 소요되는 이유이다.
앞서 언급한 바와 같이 군에서 유통되는 자료는 크게 비밀, 군사자료(민감자료, 중요자료, 대외비, 특별취급 등), 평문(인터넷에 공개 가능 자료)으로 나눈다. 이를 하나씩 살펴보자. 첫째, 비밀이다. 우리의 군사 활동은 일반적으로 적이 알지 못하도록 해야 한다. 그래야 전쟁의 원칙인 기습을 달성할 수 있기 때문이다. 우리의 대비태세를 적이 알게 된다면 반드시 대비할 것이고 적이 대비한다면 우리의 준비는 의미가 없게 될 것이기 때문이다. 따라서 우리는 군사활동 특히 정보와 작전활동에 대해서 적이 모르도록 하기 위하여 비밀활동을 한다. 비밀활동을 위한 자료의 유통에는 반드시 암호를 적용한다. 암호의 형태는 하드웨어유형과 소프트웨어 유형이 있다. 일반적으로 하드웨어 유형에서는 암호의 안전성을 담보하기 위해 소거기능 등 물리적 보안조치를 포함하여 제작한다. 그러나 소프트웨어 유형에는 이러한 물리적 보안조치를 할 수 없기 때문에 안전성이 상대적으로 취약할 수밖에 없다.
둘째, 군사자료(민감자료, 중요자료, 대외비, 특별취급 등)이다. 비밀자료로 분류된 것은 아니지만, 그렇다고 해서 아군을 포함한 많은 사람이 알게 된다면 군사활동에 지장을 초래할 것이라고 판단되는 자료들이다. 이 자료들이 다수 모이게 된다면 양질의 정보로 생산될 수 있는 것들이다. 이는 작전보안의 영역에 해당되는 자료이다. 지금까지 이러한 자료들을 군에서는 비밀로 지정하지 않았기 때문에 ‘평문’으로 분류했다. 그러나 엄밀하게 따지면 인터넷에 공개가 가능한 평문과는 의미가 다른 ‘군사적 평문’이라고 해야 할 것들이다. 이러한 자료도 대내외적으로 보호되어야 하는 것은 마찬가지이다. 따라서 이러한 자료를 유통하기 위해 국가기관이 안전성과 구현적합성을 인증한 제품, 즉 KCMVP를 통과한 제품을 사용해야 한다. KCMVP에도 하드웨어 유형과 소프트웨어 유형이 모두 적용될 수 있다.
 |
KCMVP를 적용하기 위해서는 국가정보원 홈페이지의 암호모듈 검증 항목에서 검증을 필한 암호모듈의 목록을 확인하는 것으로부터 시작한다. KCMVP는 자체로 완제품이기 때문에 국가 검증기관의 검증을 필한 후에 검증번호를 부여받는다. 그러나 이 제품을 그대로 사용할 수는 없다. 이 제품은 단독으로 사용되는 것이 아니고 암호화의 대상이 되는 체계와 통합의 과정(Customizing)을 거쳐야 하기 때문이다. 다시 한 번 말하지만, 이 과정과 비용이 국가용 암호를 개발하는 기간과 비용보다는 현저히 저렴하기 때문에 비밀이 아닌 군사자료를 소통하는 국방 체계에 신속하게 적용하는 데 유리하다. ‘평문’은 인터넷에 공개가 가능한 것을 말하는 것이므로 당연히 암호를 적용하지 않는다. 이상을 그림으로 표현하면 다음과 같다.
 |
■ 적용 절차
법률 규정을 다시 한 번 보자. 전자정부법 제56조에는 “행정기관의 장은 정보통신망을 이용하여 전자문서를 보관·유통할 때 위조·변조·훼손 또는 유출을 방지하기 위하여 국가정보원장이 안전성을 확인한 보안조치를 하여야 하고, 국가정보원장은 그 이행 여부를 확인할 수 있다.”고 되어 있다. 시행령 제69조의 규정은 “행정기관의 장은 정보통신망을 이용하여 전자문서를 보관·유통할 때는 법 제56조 제3항에 따라 국가정보원장이 안전성을 확인한 다음 각 호의 보안조치를 하여야 한다. 국가정보원장이 개발하거나 안전성을 검증한 암호장치와 정보보호시스템을 도입·운용해야 한다.”는 것이다.
이 법의 취지에 맞도록 국방 분야에서 KCMVP를 적용하기 위해 먼저 유통되는 정보의 비밀 여부를 판단해야 하는 것은 당연한 일이다. 유통정보의 비밀 여부 판단은 비밀지정권자인 해당 부대의 지휘관에게 부여된 고유 권한이다. 만일 해당 부대에서 유통정보가 비밀이라고 판단하면 국가용 암호를 적용하여야 한다. 국방정보본부에서는 매년 시행하는 국방 암호체계 연구개발 심의위원회를 통해 국가용 암호 개발 여부와 적용방법 등에 대하여 심의 및 의결하고 있다. 유통되는 정보가 비밀이 아니라면 다음 질문은 인터넷에 공개가능 여부이다. 인터넷 공개가 가능하면 암호적용이 필요 없고, 인터넷에 공개할 수 없다면 KCMVP를 적용하는 것이다.
■ 맺음말
군은 민간과 달리 유통되는 정보가 군 내부에서도 다른 부서와 부대에 공개하지 못하는 비밀이 많다. 이러한 비밀자료는 당연히 적의 첩보수집에 대한 표적이 되어 왔고 이른바 첩보전 또는 정보전이라는 용어로 규정되어 왔다. 또한, 국방 분야에서는 비밀은 아니지만 노출하기 곤란한 자료들도 많다. 비밀로 지정되지 않은 것들을 안전하게 보호하기 위하여 국방 분야에서는 무분별하게 비밀을 많이 지정하거나, ‘군사자료’ 등의 애매한 명칭으로 보호 아닌 보호를 해 왔던 것이 사실이다. 그러다 보니 애매한 자료를 비밀로 지정하여 그 양이 불필요하게 증가해왔다. 실제로는 비밀의 가치가 없음에도 불구하고 비밀로 지정된 애매한 자료들의 누설과 노출 때문에 처벌을 당하게 되는 경우도 있었다. KCMVP라는 제도를 적극 활용하면 비밀이 아닌 ‘군사자료’ 등을 안전성이 검증된 암호를
사용하여 보호함으로써 무분별한 비밀의 확산과 불합리한 처벌의 압박감에서도 해방될 수 있을 것이다. 비공개자료의 안전한 유통을 담보할 수 있는 것은 물론이다. 국가기관이 철저한 검증을 통해 안전성과 구현적 합성을 보증하는 KCMVP를 국방 분야에서도 적극 활용하기 바란다.
※ 본지에 실린 내용은 집필자의 개인적 의견이며, 본 연구원의 공식적 견해가 아님을 밝힙니다.
<무단전재 재배포 금지. 국방일보>
오늘의 뉴스
Hot Photo News
많이 본 기사
이 기사를 스크랩 하시겠습니까?
KCMVP(한국형 암호모듈검증제도)의 소개
이용석
국방정보본부 보안암호정책과
lyskms@korea.ac.kr
이정훈
국방정보본부 보안암호정책과
jh00n64@naver.com
국가가 정한 기밀(비밀)은 암호를 사용하여 소통하도록 법률로 규정하고 있다. 군에는 비밀로 지정된 것들이 많고 이 비밀을 유통하는 체계도 많으므로 자연스럽게 암호 장비도 많다. 거기에 더하여 비밀은 아니지만 공개할 수 없는 사항들도 많다. ‘군사자료, 민감자료’ 등으로 불리는 것들이다. 그런데 예산과 개발 기간을 고려하면 여기에까지 ‘국가용 암호’를 적용하기는 어렵다. 이글에서는 정부 차원에서 시행하고 있는 암호모듈검증제도(Korea Cryptographic Module Validation Program: KCMVP)를 적극적으로 활용할 것을 제안했다. 실질적이고 효율적으로 보안을 강화하고 정보의 유통도 원활하게 할 방법이란 점에서다.
4차 산업혁명은 인간의 삶을 획기적으로 변화시키고 있다. 초연결 사물인터넷(IoT), 가상화 공간에서의 무한대 자료저장(Cloud), 관련 자료의 누락 없는 종합(Big data), 필요한 사항을 찾아가는 능동적인 학습(Machine Leaning), 가상현실(Virtual Reality), 증강현실(Augmented Reality), 인공지능(AI), 다중 인증을 통한 무결성의 확보(Block Chain) 등으로 대표되는 사이버기술의 발달은 그동안 불가능했던 많은 것들을 가능하게 해주고 있다. 이것은 우리에게 사이버공간에서의 자유로운 활동을 더욱 확대시키고 있지만, 사이버공간에서 유통되는 정보가 안전한가에 대한 의구심도 증가해왔다. 안전하지 못한 정보의 유통은 유통으로 끝나는 것이 아니라 개인과 사회에 막대한 피해를 유발하게 될 것이다.
‘군사기밀’을 유통하기 위해서는 ‘국가가 개발한 암호’를 사용한다. 암호 알고리즘과 암호키는 철저히 비공개로 개발하는데, 혹시라도 적에게 탈취되더라도 그 내용을 알 수 없도록 하는 물리적인 보호조치도 포함된다. ‘평문’은 공공의 목적을 위하여 모두에게 제한 없이 공개하는 자료이기 때문에 암호를 적용하지 않는다. 그렇다면 이 둘의 중간지대에 있는 ‘군사자료, 민감자료, 중요정보, 대외비, 특별취급’ 등에 대해서는 어떻게 해야 하는가라는 의문점이 생긴다.
기밀을 다루는 군과 정부기관은 물론이고 민간에서도 정보의 안전한 유통에 대한 요구는 많다. 특히 개인정보보호법 시행으로 인해 개인정보를 포함한 정보를 안전하게 유통하기 위한 방법에 대한 고민은 더 커졌다. 이는 우리나라만의 일이 아니다. EU에서도 2018년 5월 25일부터 시작된 개인정보보호규정(GDPR: General Data Protection Regulation)을 시행하고 있다. 문제는 암호 수요가 증가한다고 해서 국가가 모든 암호를 개발하여 공급할 수는 없다는 점이다. 국가용 암호를 적용하기 위해서는 개발과 검증에 장기간이 소요되고 예산도 많이 소요된다. 민간이 개발한 암호를 제 3자인 국가가 안전성과 구현적 합성을 인증해주는 제도가 필요한 이유이다.
암호에 관련된 책임과 권한은 여러 법률에도 규정되어 있는데, 국가정보원의 역할이 많다. 우선
. 국가정보원법. 제3조는 국가 기밀에 속하는 문서, 자재, 시설 및 지역에 대한 보안업무와 암호부정 사용의 죄를 수사한다고 명시하여 보안과 암호에 관한 업무 소관을 국가정보원으로 정하고 있다. 대통령령인 정보 및 업무 기획·조정 규정·제2조에는 통신보안을 정의하면서 통신수단에 의하여 비밀이 직접 또는 간접으로 누설되는 것을 미리 방지하거나 지연시키기 위한 방책이라고 정하였다.
전자정부법 56조와 동법 시행령 69조에서는 국가정보원장이 개발하거나 안전성을 검증한 암호장치와 정보보호시스템을 도입하여 운용하여야 한다고 명시하고 있다.
요약하면, 국가정보원의 역할로 규정되어 있는 국가암호업무는 첫째, 국가기밀이 소통되는 장비에 대해서 국가용 암호를 개발하여 국가기관 및 공공조직에 공급하는 것, 둘째, 급증하는 민간의 암호 수요에 대응하기 위하여 민간에서 생산하고 제작한 암호 및 암호모듈의 안전성과 구현적 합성을 검증해주는 것이다. 이를 제도적으로 구현한 것이 바로 한국형 암호모듈검증제도인 KCMVP(Korea Cryptographic Module Validation Program)이다.
■ 미국의 암호모듈검증제도, 『CMVP』
유통되는 정보를 암호화하려는 시도는 미국에서 먼저 시작되었다. 국가기관이 제시한 기준에 맞춰 민간 업체에서 상용 암호를 제작하면 국가기관이 이를 다시 검증하여 안심하고 사용할 수 있게 하자는 취지에서 만든 제도인 CMVP이다.
이 기준과 절차를 제시한 문서는 1994년에 최초로 만들어졌는데 이를 FIPS-140이라고 한다. 이 문서는 공급 업체와 암호화장비 사용자로 구성된 정부 및 산업 실무그룹에서 작성되었다. 이 그룹은 네 가지 ‘보안수준’과 ‘요구사항 영역’을 규정했다. 각 수준에서 각 영역에 대한 요구사항을 지정한 것이다. 이후부터 미국의 국립 표준기술연구소(NIST)는 하드웨어, 소프트웨어 구성요소가 포함된 암호모듈을 상용으로 생산할 때 필요한 요구사항과 표준을 규정하는 FIPS-140시리즈를 발행하였다. 민간은 물론이고 정부기관에서도 비밀을 제외한 자료의 유통에 사용하기 위한 것이다.
이 시리즈는 요구사항에 부합하는 모듈을 사용한 상용 암호제품에 대하여 정부기관이 안전성과 구현적 합성을 검증하는 기준을 제공한다.
암호모듈검증프로그램(CMVP)은 미국 정부가 공동 운영하며 국립 표준기술연구소(NIST) 컴퓨터 보안 사업부에서 검증업무를 주관한다. 당연히 미국 정부는 유효성이 입증된 암호화 모듈을 사용해야 할 것을 요구한다.
국가 및 공공기관에서 사용하는 국가용 암호는 NSA(National Security Agency: 국가안보국)가 연구·생산·배포한다. 즉 국가용 암호는 NSA에서 연구개발과 생산·배포를 담당하고, 상용암호를 국가기관에 적용할 때는 NIST의 기준을 따르는 것이다.
■ 검증대상과 절차
전술한 바와 같이 상용 암호모듈에 대해서는 전자정부법 시행령 제69조와 세부지침에 따라 국가 및 공공기관의 정보통신망을 통해 소통되는 자료 중에서 비밀로 분류되지 않은 중요정보의 보호를 위해 사용되는 암호모듈의 안전성과 구현적 합성을 검증해야 한다. 소프트웨어, 하드웨어, 펌웨어 또는 이들을 조합한 형태가 모두 검증대상인데, 소프트웨어 암호모듈 검증기준 또는 암호모듈 검증기준(KS X ISO/IEC 19790)을 준수해야 한다. 구체적으로는 암호가 주기능인 정보보호시스템으로 CC인증(DB 암호화, 통합인증, 문서 암호화) 제품을 포함하여 메일 암호화, 구간 암호화, 디스크·파일 암호화, 하드웨어 보안토큰, 기타 암호화 제품이 그 대상이 된다.
암호알고리즘은 안전성(Safety)·신뢰성(Dependability)·상호운용성(Interoperability)에서 적합성을 검증받은 국내·외 표준 제품을 사용해야 한다. 안전성이란 암호의 기밀성, 무결성, 가용성 측면에서 안전하다는 의미이다. 신뢰성이란 동일한 상황에서 동일 키 방식으로 암호화를 적용했을 때 랜덤성 확보가 가능해야 한다는 의미이다. 상호운용성은 암호가 체계 내에서 체계의 다른 기능에 영향을 주지 않아야 한다는 의미이다. 이 세 가지를 충족해야 적합성이 검증된 것으로 인정한다.
이 적합성 검증은 국가정보원이 주관 하며 한국전자통신연구원(ETRI)의 부설연구소인 국가보안기술연구소이 실무를 담당한다. 우리나라에서 적합성을 검증받은 암호알고리즘은 ARIA, SEED, HIGHT, LEA(세계적으로는 AES, DES 등) 등이 있다. 이 암호알고리즘은 공개되어 있기 때문에 KCMVP를 제작하여 판매하려는 상용암호 개발업자는 모두 사용할 수 있다. KCMVP를 제작하려면 이렇게 기존에 적합성을 검증받은 알고리즘을 사용하여 암호를 제작해야 한다. 국내에서 검증받은 암호알고리즘을 사용해야 하는 이유는 취약점이 발견되면 즉각적인 대응을 할 수 있어야 하기 때문이다.
이런 알고리즘을 사용해서 민간이 개발한 상용 암호모듈의 검증을 위한 시험평가도 국가보안기술연구소에서 수행한다. 국가정보원은 검증을 위한 총괄적인 조정·통제를 한다. 국가보안기술연구소가 실제 계측장비를 설치하여 암호가 안전한지, 설계대로 구현되었는가를 시험 평가해서 그 결과를 국정원에 보고하면 국정원이 인증서를 발급하는 것이다
구체적인 절차를 살펴보자. 먼저 암호모듈 시험신청 및 사전검토 단계이다. 암호를 개발한 업체는 검증신청서 및 제출물을 작성하여 시험기관에 암호모듈 시험을 신청한다. 제출물은 기본 및 상세설계서, 형상관리문서, 개발과정 단계별로 수행해야 하는 시험항목과 각 시험 항목별 시험목적, 시험절차 및 결과서와 제품, 소스코드를 포함한다. 시험기관은 제출물에 대한 사전검토를 수행하며 제출물의 완성도가 미비할 경우 신청인에게 제출물 보완을 요청할 수 있다. 암호를 개발한 민간업체는 시험기관의 보완요청에 맞게 제출물을 보완하여 제출하며 시험기관은 재검토를 수행한다. 재검토 결과 제출한 검증신청서 및 제출물이 시험수행에 부적합한 경우 시험기관은 암호모듈 시험계약을 거부할 수도 있다. 사전검토 결과 신청인 제출물이 암호모듈 시험수행에 가능한 경우 시험기관과 신청인은 모두 암호모듈 시험계약을 체결하게 된다.
두 번째는 암호모듈 시험 및 검증단계이다. 시험기관은 필요 시 암호모듈 시험의 원활한 수행과 제출물에 대한 이해를 위하여 시험환경 지원과 제출물에 대한 설명회의 개최를 신청인에게 요청할 수 있다. 검증대상 암호모듈은 관련 기준에 따라 시험이 수행된다. 시험기관은 제출물 또는 암호모듈의 취약성 등 보완사항을 발견할 경우 1회에 한하여 암호개발 업체에게 보완을 요청할 수 있다.
보완결과가 암호모듈 시험 및 검증 기준을 충족하지 못하였을 경우에는 시험을 중단할 수 있다. 시험기관은 시험 완료 후 시험결과보고서를 작성하여 검증기관에 제출한다. 검증기관은 시험결과보고서를 검토하여 관·학·연 전문가로 구성된 암호검증위원회에 심의를 요청하고 심의 결과에 따라 검증 필증의 발급 여부를 판정하게 된다.
마지막으로 검증유지의 사후관리이다. 검증이 완료된 암호모듈의 형상이 변경될 경우 암호개발 업체는 시험기관에 재검증을 신청한다. 시험기관은 암호모듈의 변경 및 개선사항에 대한 타당성과 적절성을 검토하여 재검증 수행 여부를 결정한다. 형상변경의 범위가 넓어 재검증 대상에 해당되는 경우 재검증계약을 체결하여 진행한다. 형상변경에 의한 검증유지 또는 사후관리는 검증필 모듈이 타사의 정보보호제품에 탑재되는 경우에 빈번하게 발생하게 되는데 이 경우 암호모듈 제작업체는 시험기관에 사후관리 절차를 문의할 수 있다.
■ 적용 기준
군에서 유통되는 자료는 많은 것들이 비밀로 분류된다. 그 이유는 적은 물론이고 군사 활동을 알고 있는 아군도 최소화되어야 요망하는 성과를 달성하기에 용이하기 때문이다. 따라서 전술 개발에 소요되는 시간과 비용이 상대적으로 크다. 그 이유는 적용할 체계의 통신 및 주파수 특성, 유통되는 데이터의 형태, 전송속도와 크기 등에 따라 맞춤식으로 개발되기 때문이다. 암호알고리즘과 암호키 운용에 대한 독특한 정책을 적용하여 혹시 있을지 모를 누설 또는 분실 시에도 대비해야 하기 때문이다. 국가용 암호가 보안성이 높아지는 것과 비례하여 개발에 고비용과 장기간이 소요되는 이유이다.
앞서 언급한 바와 같이 군에서 유통되는 자료는 크게 비밀, 군사자료(민감자료, 중요자료, 대외비, 특별취급 등), 평문(인터넷에 공개 가능 자료)으로 나눈다. 이를 하나씩 살펴보자. 첫째, 비밀이다. 우리의 군사 활동은 일반적으로 적이 알지 못하도록 해야 한다. 그래야 전쟁의 원칙인 기습을 달성할 수 있기 때문이다. 우리의 대비태세를 적이 알게 된다면 반드시 대비할 것이고 적이 대비한다면 우리의 준비는 의미가 없게 될 것이기 때문이다. 따라서 우리는 군사활동 특히 정보와 작전활동에 대해서 적이 모르도록 하기 위하여 비밀활동을 한다. 비밀활동을 위한 자료의 유통에는 반드시 암호를 적용한다. 암호의 형태는 하드웨어유형과 소프트웨어 유형이 있다. 일반적으로 하드웨어 유형에서는 암호의 안전성을 담보하기 위해 소거기능 등 물리적 보안조치를 포함하여 제작한다. 그러나 소프트웨어 유형에는 이러한 물리적 보안조치를 할 수 없기 때문에 안전성이 상대적으로 취약할 수밖에 없다.
둘째, 군사자료(민감자료, 중요자료, 대외비, 특별취급 등)이다. 비밀자료로 분류된 것은 아니지만, 그렇다고 해서 아군을 포함한 많은 사람이 알게 된다면 군사활동에 지장을 초래할 것이라고 판단되는 자료들이다. 이 자료들이 다수 모이게 된다면 양질의 정보로 생산될 수 있는 것들이다. 이는 작전보안의 영역에 해당되는 자료이다. 지금까지 이러한 자료들을 군에서는 비밀로 지정하지 않았기 때문에 ‘평문’으로 분류했다. 그러나 엄밀하게 따지면 인터넷에 공개가 가능한 평문과는 의미가 다른 ‘군사적 평문’이라고 해야 할 것들이다. 이러한 자료도 대내외적으로 보호되어야 하는 것은 마찬가지이다. 따라서 이러한 자료를 유통하기 위해 국가기관이 안전성과 구현적합성을 인증한 제품, 즉 KCMVP를 통과한 제품을 사용해야 한다. KCMVP에도 하드웨어 유형과 소프트웨어 유형이 모두 적용될 수 있다.
| |
KCMVP를 적용하기 위해서는 국가정보원 홈페이지의 암호모듈 검증 항목에서 검증을 필한 암호모듈의 목록을 확인하는 것으로부터 시작한다. KCMVP는 자체로 완제품이기 때문에 국가 검증기관의 검증을 필한 후에 검증번호를 부여받는다. 그러나 이 제품을 그대로 사용할 수는 없다. 이 제품은 단독으로 사용되는 것이 아니고 암호화의 대상이 되는 체계와 통합의 과정(Customizing)을 거쳐야 하기 때문이다. 다시 한 번 말하지만, 이 과정과 비용이 국가용 암호를 개발하는 기간과 비용보다는 현저히 저렴하기 때문에 비밀이 아닌 군사자료를 소통하는 국방 체계에 신속하게 적용하는 데 유리하다. ‘평문’은 인터넷에 공개가 가능한 것을 말하는 것이므로 당연히 암호를 적용하지 않는다. 이상을 그림으로 표현하면 다음과 같다.
| |
■ 적용 절차
법률 규정을 다시 한 번 보자. 전자정부법 제56조에는 “행정기관의 장은 정보통신망을 이용하여 전자문서를 보관·유통할 때 위조·변조·훼손 또는 유출을 방지하기 위하여 국가정보원장이 안전성을 확인한 보안조치를 하여야 하고, 국가정보원장은 그 이행 여부를 확인할 수 있다.”고 되어 있다. 시행령 제69조의 규정은 “행정기관의 장은 정보통신망을 이용하여 전자문서를 보관·유통할 때는 법 제56조 제3항에 따라 국가정보원장이 안전성을 확인한 다음 각 호의 보안조치를 하여야 한다. 국가정보원장이 개발하거나 안전성을 검증한 암호장치와 정보보호시스템을 도입·운용해야 한다.”는 것이다.
이 법의 취지에 맞도록 국방 분야에서 KCMVP를 적용하기 위해 먼저 유통되는 정보의 비밀 여부를 판단해야 하는 것은 당연한 일이다. 유통정보의 비밀 여부 판단은 비밀지정권자인 해당 부대의 지휘관에게 부여된 고유 권한이다. 만일 해당 부대에서 유통정보가 비밀이라고 판단하면 국가용 암호를 적용하여야 한다. 국방정보본부에서는 매년 시행하는 국방 암호체계 연구개발 심의위원회를 통해 국가용 암호 개발 여부와 적용방법 등에 대하여 심의 및 의결하고 있다. 유통되는 정보가 비밀이 아니라면 다음 질문은 인터넷에 공개가능 여부이다. 인터넷 공개가 가능하면 암호적용이 필요 없고, 인터넷에 공개할 수 없다면 KCMVP를 적용하는 것이다.
■ 맺음말
군은 민간과 달리 유통되는 정보가 군 내부에서도 다른 부서와 부대에 공개하지 못하는 비밀이 많다. 이러한 비밀자료는 당연히 적의 첩보수집에 대한 표적이 되어 왔고 이른바 첩보전 또는 정보전이라는 용어로 규정되어 왔다. 또한, 국방 분야에서는 비밀은 아니지만 노출하기 곤란한 자료들도 많다. 비밀로 지정되지 않은 것들을 안전하게 보호하기 위하여 국방 분야에서는 무분별하게 비밀을 많이 지정하거나, ‘군사자료’ 등의 애매한 명칭으로 보호 아닌 보호를 해 왔던 것이 사실이다. 그러다 보니 애매한 자료를 비밀로 지정하여 그 양이 불필요하게 증가해왔다. 실제로는 비밀의 가치가 없음에도 불구하고 비밀로 지정된 애매한 자료들의 누설과 노출 때문에 처벌을 당하게 되는 경우도 있었다. KCMVP라는 제도를 적극 활용하면 비밀이 아닌 ‘군사자료’ 등을 안전성이 검증된 암호를
사용하여 보호함으로써 무분별한 비밀의 확산과 불합리한 처벌의 압박감에서도 해방될 수 있을 것이다. 비공개자료의 안전한 유통을 담보할 수 있는 것은 물론이다. 국가기관이 철저한 검증을 통해 안전성과 구현적 합성을 보증하는 KCMVP를 국방 분야에서도 적극 활용하기 바란다.
※ 본지에 실린 내용은 집필자의 개인적 의견이며, 본 연구원의 공식적 견해가 아님을 밝힙니다.
<무단전재 재배포 금지. 국방일보>