정보보안 - 정보보안/정보보호 인증 - 암호모듈 검증(KCMVP)

[개념] 국가·공공기관 정보통신망에서 소통되는 자료 중에서 비밀로 분류되지 않은 중요 정보의 보호를 위해 사용되는 암호모듈의 안전성과 구현 적합성을 검증하는 제도

 

 

[대상] 국산 알고리즘을 탑재한 암호모듈에 대한 구현의 적합성, 안전성 등을 검증

[근거법령]  전자정부 법 시행령 제 69조, 

 

[CMVP] 미국의 NIST(National Institute of Standards and Technology)와 캐나다의 CSEC(Communications Security Establishment Canada)가 공동으로 주관하여 암호모듈 검증을 시행하기 위하여 시작한 제도

 

 

미국, 일본 등 해외국가에서 암호모듈 검증은 CMVP(Cryptographic Module Validation Program)로 운영되면서 CC 평가기관 등 민간기관에서 시험하고 있다. 국내에서도 암호모듈 검증은 ‘K-CMVP’로 불린다.

 

평가기관 대표는 “국제적으로 CC평가의 암호기능 검증을 지속적으로 강화하고 있어 국가 간 공통으로 사용되는 보안요구사항(PP)에서도 암호기능을 상세하게 다루고 있는 추세”라며 “국내는 시험기관 분리 운영돼 국제적인 암호검증과 CC 시험 간 방법론 논의에 활발히 참여하지 못하고 있는 실정”이라고 지적했다.

 

(https://byline.network/2017/03/1-643/

‘암호모듈 검증’ 시험기관 확대…민간기관 배제, KISA가 맡는다 - Byline Network

 

암호모듈는 암호(대칭/비대칭), 난수 생성, 소수 판정, 해시, 전자서명, 인증 등 암호기능을 소프트웨어, 하드웨어, 펌웨어 또는 이를 조합하는 형태로 구현할 수 있다.

 

KCMVP는 행정기관 등 국가·공공기관의 중요 정보를 보호하기 위해 도입하는 암호모듈의 안전성과 구현 적합성을 검증하는 제도로, 국산 알고리즘을 탑재한 암호모듈에 대한 구현의 적합성, 안전성 등을 검증한다. 시험·평가기관으로는 KISA와 국가보안기술연구소가 지정돼 있으며 국가정보원이 검증하고 있다.

 

국가 공공기관이 도입하는 데이터베이스(DB) 암호화, 문서암호화, 메일암호화, 구간암호화, 파일 암호화 등을 위한 보안제품은 전문기관이 안전성을 검증(KS X ISO/IEC 19790)한 암호모듈을 탑재해야 한다. 만약 최초 암호모듈검증을 획득한 후 알고리즘, 운영환경 등이 변경될 경우엔 추가 검증을 받아야 한다.

 

KCMVP 검증을 획득한 암호모듈은 편의성과 보안성이 필요한 국가·공공분야 대국민 서비스의 운영시스템 등에서 활용되고 있다.

 

(https://byline.network/2018/12/4-32/

‘암호모듈 검증(KCMVP)’ 시험기관 확대...KISA, 국내 보안업체 암호모듈에 첫 시험 - Byline Network

https://www.boannews.com/media/view.asp?idx=117358&kind=0 

국내 암호모듈검증 제도 ‘KCMVP’의 모든 것