정보보호·사이버보안 산업의 중요성은 누구도 부정하지 않는다. 그 발전 방향은 보안위협 확대와 강화, 새로운 보안 기술, 기술 및 시장과 맞물리는 규제 및 인증 변화다. 여기에 정부와 공공부문의 역할도 중요하다.
새해에는 어떤 이슈가 보안 산업을 이끌어갈까. 세 가지 화두를 뽑아봤다. 먼저 그동안 미개척지였던 동형암호의 실용화 여부다. 이미 마이크로소프트(MS)와 IBM같은 다국적 IT거인이 원천기술 개발과 동시에 누가 먼저 동형암호를 실용화 지 경쟁하고 있다. 한국도 뛰어들었다. 서울대학교 수리과학부 천정희 교수팀과 협력해 온 민간 기업들이 각자 사업분야에 동형암호 응용기법을 개발하고 있다
사물인터넷(IoT) 시대에 중요성이 더 커진 암호모듈검증(KCMVP) 인증은 새해에 더 확대 될 것으로 보인다 .KCMVP는 국가·공공기관에 도입되는 암호 모듈의 안정성과 구현 적합성을 검증하기 위해 국가정보원에서 운영하는 제도다. 그동안 국가정보원에서 전담하다 올해부터 한국인터넷진흥원(KISA)이 암호모듈검증(KCMVP) 시험·평가기관으로 업무를 시작했다.
새해에 공공 및 교육기관의 정보보호 예산은 7036억 원이다. 전년대비 9.1% 늘어난 규모다. 국내 정보보호 산업이 성장하는데 어떤 마중물 역할을 할 지 주목된다.
■ 동형암호, 안전한 개인정보 활용 실현하나
올해 개인정보를 안전하게 보호하면서 실제 활용까지 가능케 해줄 기술로 동형암호(homomorphic encryption)가 떠올랐다. 연구자들은 동형암호가 개인정보를 비롯해 노출해선 안 될 데이터를 암호화한 채 분석이나 머신러닝 등에 활용될 수 있다고 기대한다.
기존 암호기술로 암호화한 데이터는 복호화 과정을 거쳐야만 활용 가능하다. 즉 민감한 정보를 수집할 경우 이를 보호하려고 그 평문(plain text) 데이터를 암호문으로 바꿔 저장하고 있다가, 분석하고 활용할 시점에는 매번 저장된 암호문을 평문으로 바꿔야 했다.
동형암호는 다르다. 암호화한 데이터를 복호화하지 않아도 컴퓨터로 연산할 수 있다. 데이터를 평문 상태로 연산한 결과와, 암호화한 채 연산한 결과가 같거나 유사하다. 암호키를 갖고 있지 않은 이들도 그 데이터 분석결과를 얻을 수 있다.
두 가지 조건이 있다. 연산을 위한 알고리즘이 개발돼 있고, 그 연산으로 암호화한 데이터를 다룰 때와 평문 데이터를 다룰 때 드는 처리 용량 및 성능의 격차를 실용적인 수준까지 좁혀야 한다. 이런 조건을 충족하기 위한 동형암호 실용화 연구 움직임이 활발하다.
마이크로소프트(MS)와 IBM이 대표적이다. 우리나라도 서울대 천정희 교수팀과 협력한 민간 기업들이 힘을 쏟고 있다.
한국스마트인증은 홍채인식과 동형암호를 접목해 편리하면서도 안전한 생체정보 활용 인증기술인 동형홍채인증을 세계최초로 발표했다. 삼성SDS는 의료정보에, 코리아크레딧뷰로(KCB)는 신용정보에 각각 동형암호를 적용해 분석하는 연구를 진행하고 있다.
현재 동형암호 분야에 유능한 연구 인력과 선도기술을 확보하려는 산업계 의지는 커지고 있다, 그 가능성을 펼칠 수 있도록 보장해 줄 제도 정비가 필요하다.
그간 기업들이 생체정보, 의료정보, 신용정보 등을 활용하려면 개인정보보호법이나 각 산업분야별 정보보호관련 수집, 저장, 분석 등을 위한 기술 및 관리적 보호조치를 받아야 했다. 규제는 개인정보 오남용을 방지할 장치로 마련됐지만, 산업적 응용 기회를 좁히기도 했다.
국회에 기존 개인정보 보호와 활용 균형을 염두에 둔 개인정보보호법 개정안이 발의돼 계류 중이다. 새해 개정안 통과 가능성을 염두에 두고, 동형암호로 암호화한 데이터의 활용을 얼마나 허용할 수 있을지, 그 법적인 해석과 정책방향에 최근 전문가들의 관심이 쏠려 있다.
■ KISA, KCMVP 시험·평가 업무 시작…인증 적체 완화 기대
올해 국내 암호모듈검증(KCMVP) 시험·평가기관으로 한국인터넷진흥원(KISA)이 업무를 시작했다. KCMVP는 국가·공공기관에 도입되는 암호 모듈의 안정성과 구현 적합성을 검증하기 위해 국가정보원에서 운영하는 제도다.
암호모듈은 암호, 난수생성, 소수판정, 해시, 전자서명, 인증 등 암호기능을 소프트웨어(SW), 하드웨어, 펌웨어, 또는 이 구성요소를 조합해 구현한 모듈을 뜻한다. KCMVP 검증을 획득한 암호모듈은 편의성과 보안성이 필요한 국가·공공 대국민 서비스 운영시스템 등에 쓰인다.
국가·공공기관용 DB 암호화, 문서 암호화, 메일 암호화, 구간 암호화, 파일 암호화 등 보안제품은 전문기관이 검증한 암호모듈을 필수 탑재해야 한다. KCMVP 인증은 그 표시다. 보안제품이 KCMVP 인증을 받은 후 알고리즘, 운영환경 등이 바뀌면 추가 검증을 받아야 한다.
암호모듈 탑재 보안제품에 KCMVP 인증을 받으려면 제조업체가 전자정부법과 행정안전부 고시에 따라 지정된 시험·평가기관을 통해 시험·평가를 받아야 한다. 지정된 기관은 국가보안기술연구소(국보연)와 KISA 두 곳이다.
올해 KISA는 국내 보안기업 디센티의 암호모듈 'elacrypto v1.0' 검증을 마치며 독립적으로 첫 시험·평가기관 업무를 수행했다고 밝혔다. 과거 KCMVP 인증은 국가보안기술연구소(국보연)에서만 시험·평가를 진행해왔다.
KISA도 2005년부터 시험·평가기관으로 지정돼 있었지만 실제 그 업무를 진행한 건 올해부터다. 지난 10월 국보연과 공동으로 재검증 암호모듈 1건의 시험·평가 업무를 마쳤고, 디센티 암호모듈 검증 신청에 따라 KISA가 이달초 기관 단독으로 시험·평가 업무를 완료했다.
이는 올해 과학기술정보통신부와 KISA의 출연사업 협약으로 구축된 KCMVP 시험·평가실 덕분이다. KISA 측은 디센티 암호모듈 검증을 마쳤다고 밝힐 당시 "암호모듈 검증 수요가 증가함에 따라" KCMVP 시험·평가실을 구축했다고 설명했다.
암호모듈을 탑재한 기기와 제품의 유형은 점차 다양해지고 있다. 전산 시스템뿐아니라 기업과 개인의 컴퓨터와 스마트 기기에도 들어간다. 국가·공공기관 및 주요기반시설에 구축되는 사물인터넷(IoT) 인프라와 장비에도 보안성을 증빙하는 KCMVP 인증이 요구될 수 있다.
최근 펜타시큐리티시스템은 SW형태 IoT용 암호모듈 'D’Amo CIS-CC'로 KCMVP 인증을 획득하기도 했다. 회사측은 "IoT시장이 확대됨에 따라 안전한 IoT 보안제품에 관심이 높아졌다"며 "각종 IoT 기기에 탑재되는 KCMVP 인증 획득 암호모듈의 수요도 커지고 있다"고 봤다.
향후 국가·공공기관의 주요 인프라에 IoT 확산이 가속화할 경우 정부와 시장에서 KCMVP 인증을 갖춘 기술을 더 많이 필요로 할 수 있다. 새해부터는 KCMVP 시험·평가 업무를 국보연이 단독 수행할 경우 예상되는 인증 적체를 KISA와 분담함으로써 완화할 수 있을 전망이다.
■ 공공기관 정보보호 예산 얼마나 어떻게 쓰나
새해 공공 및 교육기관의 정보보호 예산은 7036억 원이다. 기관유형으로는 국가기관이 전체의 33.7%를 쓴다. 시기별로는 1분기에 71.2%가 쓰인다. 구매유형별로는 76.3%가 '서비스'에, 분야별로는 74.1%가 '정보보안서비스'에 쓰인다.
과학기술정보통신부와 행정안전부는 지난 10~11월 진행한 2019년 공공부문 SW·ICT장비·정보보호 수요예보 조사 결과를 발표했다. 이를 위해 지난 11월 30일 서울 코엑스에서 '2019년 공공부문 SW·ICT장비·정보보호 수요예보(예정) 설명회'를 개최했다.
발표된 조사 결과는 각각 SW산업진흥법, 정보보호산업진흥법에 따라 공공부문의 연간 SW·ICT장비·정보보호 구매 수요 예정치를 집계했다. 정보보호 수요예보 조사 대상은 국가기관, 지방자치단체, 교육기관, 공공기관 등 2천204곳에 사립대학·대학원을 추가한 2천569곳이다.
수요예보 조사결과 2019년 정보보호 구매수요 예산은 약 7천36억원이었다. 이는 전년도 6천451억원 대비 9.1% 가량 증가한 규모다. 기관유형별 비중은 국가기관이 33.7%로 최대였다. 분기별 비중은 1분기에 71.2%가 쏠렸다. 구매유형별로는 서비스 유형이 76.3%를 차지했다.
기관유형별 정보보호 구매수요 예산(건수) 중 국가기관은 약 2천775억원(374건)으로 전체 39.5%를 차지했다. 공공기관은 약 2천372억원(1천660건)으로 전체 33.7% 비중이었다. 지방자치단체는 1천586억원(2천179건)으로 22.5%였다. 교육기관은 303억원(316건)으로 4.3%였다.
2019년 분기별 정보보호 구매수요 예산(비중)을 보면 1분기 5천8억원(71.2%) 구매가 계획됐다. 2분기는 994억원(14.1%)이었다. 3분기는 653억원(9.3%)이었다. 4분기는 381억원(5.4%)이었다.
하드웨어, SW, 서비스 등 유형별 구매수요 예산(건수)을 보면 서비스 유형이 5천367억원(2천124건)으로 76.3%를 차지했다. 하드웨어가 972억원(832건)으로 13.8%였다. SW 유형이 697억원(1천573건)으로 9.9%였다.
정보보호 수요예보는 구매계획을 정보보안제품, 정보보안서비스, 물리보안제품, 물리보안서비스, 4개 분야로도 나뉘어 조사됐다.
관련기사
- 펜타시큐리티, IoT용 암호모듈 KCMVP 인증 획득2019.01.03
- KISA, 올해 첫 단독 KCMVP 시험평가 수행2019.01.03
- "공공기관 내년 SW 구매 2821억"2019.01.03
- 정보보호 규모 10조원 돌파...'제2회 정보보호 산업인의 밤' 열려2019.01.03
분야별 구매계획을 보면 정보보안서비스 구매수요 예산(건수)가 5천216억원(1천670건)으로 74.1%를 차지했다. 정보보안제품은 1천364억원(2천179건)으로 19.4%였다. 물리보안제품은 305억원(226건)으로 4.3%였다. 물리보안서비스는 151억원(454건)으로 2.2%였다.
공공·교육기관은 SW산업진흥법과 정보보호산업진흥법에 따라 연 2회 진행되는 SW·ICT장비·정보보호 구매 수요와 사업추진계획을 낸다. 이번 수요예보 조사결과는 차년도 '예정치' 집계 결과였다. 확정치는 새해 3월 발표된다. 확정치 조사 결과는 예정치와 달라질 수 있다.
