소프트웨어 및 암호화 알고리즘의 인증에 대한 간략 조사

CC인증 #

• CC (Common Criteria) 인증
  • IT제품 및 시스템의 보안성에 평가를 목적
    • 보안 기능 및 보증 수단 제시
    • 시스템 개발 또는 지침으로 활용
    • 비밀성, 무결성, 가용성이 해당
  • 보안 요구사항에 대한 구현 필요
  • 문서: 기능 명세서, 기본 설계, 소스코드 도면, 구현
  • TOE평가를 통하여 운영, 관리함
• 사후관리 진행 필요

CMVP인증 #

• CMVP (Cryptographic Module Validation Program) 인증
• 미국의 NIST(National Institute of Standards and Technology)와 캐나다의 CSEC(Communication Security Establishment Canada)가 공동으로 주관하여 암호화 모듈 검증을 시행하기 위해 시작한 제도
• 양국정부가 민감한 정보의 보호를 위해 FIPS 140-1과 FIPS 140-2를 사용하여 암호와 모듈 검증
• 영국, 일본, 한국에서도 시행중이며 이에 대한 인센티브 제공

KCMVP #

• 국내에서 시행되고, 국가정보원에서 진행하는 CMVP 인증
• 전자정부법 시행령 제 69조와 [암호모듈 시험 및 검증지침]에 의거 국가.공공기관 정보통신망에서 소통되는 자료 중에서 비밀로 분류되지 않는 중요 정보의 보호를 위해 사용되는 암호모듈의 안전성과 구현 적합성을 검증하기 위하여 사용
• 검증대상: 소프트웨어, 하드웨어, 펌웨어 또는 이들을 조합하는 형태로 구현 가능
• 소프트웨어 암호모듈 검증기준 또는 암호모듈 검증기준(KSXISO/IEC19790)을 준수하여 시험됨
• 즉 국가.공공기관에서 사용하는 모든 보안제품에는 암호모듈검증제도를 통해 검증 받은 암호모듈이 탑재되어야 함
• 사후관리 진행 필요

• 관계 법령 안내

  전자정부법 제56조(정보통신망 등의 보안대책 수립ㆍ시행) 에 따라 2009년 1월부터 모든 공공기관에 공급되어지는 네트워크, 컴퓨팅 정보보호 제품( HW & SW )은 “국가정보원장이 안전성을 확인한 보안조치를 하여야 하는 것” 으로 확정되어 졌으며 국가정보원장은 그 이행 여부를 확인 할 수 있습니다. ( 신설 조항 참조 )
  
  전자정부법 제 27조(정보통신망 등의 보안대책 수립 시행)
  
  제56조(정보통신망 등의 보안대책 수립ㆍ시행) 
   ① 국회, 법원, 헌법재판소, 중앙선거관리위원회 및 행정부는 전자정부의 구현에 필요한 정보통신망과 행정정보 등의 안전성 및 신뢰성 확보를 위한 보안대책을 마련하여야 한다.
   ② 행정기관의 장은 제1항의 보안대책에 따라 소관 정보통신망 및 행정정보 등의 보안대책을 수립·시행하여야 한다.
   ③ 행정기관의 장은 정보통신망을 이용하여 전자문서를 보관·유통할 때 위조·변조·훼손 또는 유출을 방지하기 위하여 국가정보원장이 안전성을 확인한 보안조치를 하여야 하고, 국가정보원장은 그 이행 여부를 확인할 수 있다.
   ④ 제3항을 적용할 때에는 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관의 경우에는 해당 기관의 장이 필요하다고 인정하는 경우에만 적용한다. 다만, 필요하지 아니하다고 인정하는 경우에는 해당 기관의 장은 제3항에 준하는 보안조치를 마련하여야 한다.
  

• "국가정보원장이 확인한 보안 조치” 는 바로 보안 적합성검증을 가리키며 여기에는 “암호기능이 구현된 네트워크, 컴퓨팅 기반 정보보호제품은 CC인증과 함께 검증필 암호모듈을 탑재하여야 한다” 라는 내용이 명시되어 있습니다.

• IT보안인증사무국의 홈페이지내 보안적합성검증/검증체계 메뉴에서 관련내용 확인 가능.