정보보안 강화를 위한 검증대상 암호알고리즘 목록 폐지 및 국내용 CC 폐지
본문
1. 국가, 지방자치단체, 공공기관은 국가사이버검증센터가 등록한 검증대상 암호알고리즘으로 만들어진 정보시스템만 사용 가능
- https://www.ncsc.go.kr:4018/PageLink.do
- 국제적으로 잘 사용하고 있는 암호알고리즘[AES, QUICX25519 등등)으로 만들어진 암호모듈을 사용하지 못 함
- 암호모듈 시험 신청 주체가 검증대상 암호알고리즘으로 만들어야만 신청이 가능 함
- 암호알고리즘은 공개된 정보이나 보안을 위해 국산 암호알고리즘으로 사용한다고 착각 함
- 국제적으로 만들어진 암호알고리즘을 한국식으로 만들어야 사용 가 능함
- 공공기관이 AWS, Azure같이 SaaS만 알면 사용 가능한 정보시스템이 사용 불가능
- 국내 클라우드 회사는 국가, 지방자치단체, 공공기관에만 사용할 수 있는 정보시스템을 만들어야 함
2. 국내용 CC인증된 정보시스템은 국가, 지방자치단체, 공공기관에 빠르게 도입이 가능하고 국제용 CC인증제품은 보안적합성검증 절차도 따로 받아야 함
- 국가, 지방자치단체, 공공기관이 국제용CC인증을 받은 정보시스템이 더 좋은데 불구하고 절차의 간편을 위해 국내용 CC인증 된 제품만 도입하려는 경향이 있음
개선사항
1. 법령 및 지침을 개선하여 검증대상 암호알고리즘 폐지
- 「사이버안보 업무규정」 제9조와 「전자정부법 시행령」 제69조 등
- 암호알고리즘 분류 및 기준만 남김
- 기준을 안정성 증명이 되며 ISO/IEC 같은 국제표준협회에서 인증된 암호알고리즘으로 함
2. 법령 및 지침을 개선하여 국내용 CC인증 제도를 폐지 및 국제용 CC인증 및 보안적합성 검증을 하여 정보시스템 도입
기대효과
1. 국가, 지방자치단체, 공공기관
- 국제적으로 검증된 암호알고리즘으로 만들어진 암호 모듈을 사용가능
- 행정편의를 위해 국내용 CC인증 된 정보시스템을 도입하지 않고 좋은 정보시스템으로 도입가능
2. 암호모듈 제작회사
- 국제적으로 검증된 암호알고리즘으로 암호모듈을 제작하여 수출경쟁력 강화
- 국내용 CC인증을 받기 위한 노력을 제품 개발에 집중 할 수 있게 됨
- 국제용 CC인증 시 수출 경쟁력 강화