[디지털데일리 이민형기자] “정부의 과도한 기술규제가 오히려 보안사고를 불러오고 있습니다. 보안사고에 대한 책임을 묻기 전에 이에 대한 권한을 주는 것이 필요합니다.”

사업자들에게 보안체계 구축에 대한 선택의 권한을 주고, 만약 사고가 발생하면 그에 대한 혹독한 책임을 묻자는 주장이다.

김 교수는 “과도한 기술규제로 인해 공공기관, 금융권들은 솔루션 선택의 폭이 좁다. 아무리 외산 솔루션의 성능과 품질이 좋더라도 보안적합성 검토, 암호모듈 검증제도(KCMVP)를 통과하지 못하는 한 도입은 불가능하다”고 말했다.

우리나라 공공기관, 금융권이 암호장비를 도입하기 위해서는 반드시 KCMVP 인증을 받은 제품이어야 한다.

KCMVP 인증을 받기 위해서는 반드시 국내 암호기술인 시드(SEED)와 아리아(ARIA)를 사용해야 된다. 국제 표준인 AES(Advanced Encryption Standard)는 KCMVP 인증 대상이 아니다. 모든 외산 솔루션은 AES를 기반으로 하고 있다.

AES 기술을 채택한 제품을 국내 공공기관에 납품하기 위해서는 AES를 비활성화시키고 시드와 아리아를 추가로 탑재해야 하는 번거로움이 발생한다. 국내에 진출한 외산업체 중에선 보메트릭이 유일하게 KCMVP 인증 획득을 추진하고 있다.

이와 관련 김 교수는 “과거 금융권에서 DB암호화를 위해 외산 솔루션 도입을 검토했으나 KCMVP에 막혀 무산된 바 있다”며 “특히 KCMVP 인증을 받기 위해서는 소스코드도 공개해야 한다. 국내 기관들이 외산 솔루션을 선택할 기회가 없을 수 밖에 없다”고 지적했다.

김 교수는 국내 전용 국제공통평가기준(CC) 인증에 대해서도 비판의 목소리를 냈다. 우리나라는 지난 2006년부터 국제상호인정협정(Common Criteria Recognition Arrangement, CCRA)에 가입돼 있으나 과거 K4 인증 시절과 크게 다르지 않다는 지적이다.

현재 우리나라에는 국내 전용 CC인증 제도와 국제CC인증 제도가 공존하고 있으며, 국외에서 국제CC인증을 받은 제품이 공공기관, 금융권에 도입되려면 국정원의 ‘보안적합성 검토’를 받도록 돼 있다.

그는 “국내 전용 CC인증 제도로 인해 사용자들은 선택의 권한을 뺏기고 있다”며 “책임을 지우기 위해서는 권한을 줘야한다”고 지적했다.

끝으로 김 교수는 “가이드라인은 사고를 막을 수 있는 수준이 될 수 없다. 모든 기관, 기업에 적용돼야 하는 부분이기 때문에 평균적인 수준에 머물 뿐”이라며 “가이드라인을 통한 규제는 최소화시키고 기업들 스스로 자유롭게 보안체계를 수립할 수 있는 권한을 주는 것이 필요하다”고 재차 강조했다.

<이민형 기자>kiku@ddaily.co.kr