대표전화
1. 개요
한국 암호모듈 검증 프로그램(KCMVP)은 대한민국 국가 및 공공기관의 정보보안 강화를 위해 도입된 핵심 제도입니다. 이 제도는 2005년에 국가정보원에 의해 "암호모듈 시험 및 검증 지침"이 고시되면서 공식적으로 수립되었습니다.
이후 2009년부터는 국가 및 공공기관에 도입되는 더 광범위한 정보보호 제품에 대해 KCMVP 인증 암호모듈 탑재가 의무화되면서 실질적인 보급 및 확산이 본격적으로 시작되었습니다.
KCMVP의 발전 과정은 초기 법적, 제도적 기반 마련에서부터 점진적인 의무 적용 확대, 그리고 변화하는 사이버 보안 환경에 맞춘 지속적인 제도 개선에 이르기까지 단계적인 접근 방식을 보여줍니다.
2. KCMVP 소개
정의 및 목적
KCMVP는 'Korea Cryptographic Module Validation Program'의 약자로, 국가 및 공공기관에서
사용되는 암호모듈의 안전성과 구현 적합성을 검증하는 국가 공인 인증 제도입니다.
이 프로그램의 주된 목적은 국가 및 공공 정보통신망에서 소통되거나 저장되는 비공개 업무 자료를 안전하게 보호하는 것입니다.
암호모듈은 암호화, 난수 생성, 해시, 전자서명, 인증 등 암호 기능을 소프트웨어, 하드웨어, 펌웨어 또는 이들의 조합 형태로 구현한 것을 의미하며, 정보보호시스템, 암호장치, 보안 기능이 있는 정보통신기기 등에 적용됩니다.
법적 근거 및 운영 주체
KCMVP 시스템은 "사이버안보 업무 규정" 제9조, "전자정부법" 제56조(정보통신망 등의 보안대책 수립·시행) 및 동법 시행령 제69조(전자문서의 보관·유통 관련 보안조치)에 근거하여 운영됩니다.
이와 같은 강력한 법적 기반은 KCMVP가 단순한 기술 표준을 넘어 국가 디지털 인프라 보안의 필수적인 규제 요건임을 의미합니다.
국가정보원(NIS)은 KCMVP 프로그램 전체를 총괄하고, 관련 규정을 수립하며, 시험 결과에 대한 최종 심의 및 통보 업무를 담당하는 주된 운영 기관입니다. 이러한 법적 의무는 공공 부문에서의 광범위한 KCMVP 도입을 촉진하는 주요 동력으로 작용합니다.
3. KCMVP의 태동: 수립 및 초기 체계
2005년 공식 수립
KCMVP 시스템은 2005년에 공식적으로 수립되어 운영을 시작했습니다. 특히, 2005년에 "암호모듈 시험 및 검증 지침"이 최초로 고시되면서 이 제도의 공식적인 시행을 알렸습니다.
이 지침의 고시는 KCMVP가 개념 단계에서 벗어나 실제적인 검증 작업을 수행할 수 있는 운영 프레임워크를 갖추게 되었음을 의미하며, 이는 프로그램 수립의 직접적인 계기가 되었습니다.
출처 : KISA 암호이용활성화 사이트
초기 기관 역할
제도 수립 초기인 2005년부터, 국가정보원은 암호모듈 시험 업무를 국가보안기술연구소 (NSR)와 한국인터넷진흥원 (KISA) 두 공공기관에 위탁했습니다.
KISA는 2005년에 시험기관으로 지정되었으나, KCMVP 인증 제도 하에서 독립적인 시험 및 평가 업무를 본격적으로 시작한 것은 2018년 디센티의 암호모듈 'elacrypto v1.0' 검증을 완료하면서부터였습니다.
2018년에 KISA는 과학기술정보통신부와의 협약을 통해 KCMVP 시험·평가실을 구축했으며, 10월에는 국가보안기술연구소와 공동으로 재검증 암호모듈 시험·평가 업무를 완료했습니다.
이러한 변화는 KISA가 2005년부터 공식적인 권한을 부여받았음에도 불구하고, 실제적인 시험 역량 구축과 독립적인 운영 역량 확보에는 시간이 필요했음을 보여줍니다.
이는 복잡한 규제 시스템에서 초기 지정과 실제적인 운영 역량의 성숙이 단계적으로 이루어지는 일반적인 패턴을 반영합니다.
4. KCMVP의 운영 확산 및 보급
2009년부터 의무 적용 확대
KCMVP의 보급 확산에 있어 중요한 전환점은 2008년 12월 국가정보원이 발표한 새로운 암호검증정책이었습니다. 이 정책에 따라 2009년부터는 국가 및 공공기관에 납품되는 모든 정보보호 제품에 KCMVP 검증을 받은 암호모듈 탑재가 의무화되었습니다.
이전에는 2007년 3월부터 PKI(공개키 기반구조)나 CA/RA(인증기관/등록기관) 등 암호 기반 제품에 한정하여 검증필 암호모듈 탑재가 의무화되었으나, 2009년의 정책 확대로 가상사설망(VPN)이나 PC 보안 제품 등 네트워크 및 컴퓨팅 제품까지 그 대상이 전면 확대되었습니다.
이러한 정책 변화는 KCMVP 인증 수요를 폭발적으로 증가시켰으며, 실제로 2009년부터 2022년 사이에 총 235개의 모듈이 KCMVP 검증을 획득하는 등 인증 모듈 수가 크게 늘어났습니다.
이처럼 광범위한 제품군에 대한 의무 적용은 KCMVP가 특정 분야의 전문 요구사항을 넘어 공공 부문 전반에 걸쳐 필수적인 보안 표준으로 자리매김하게 된 결정적인 계기가 되었습니다.
민간 시험기관 지정 및 체계 전환
초기에는 국가보안기술연구소와 한국인터넷진흥원과 같은 공공기관이 KCMVP 시험 업무를 주로 담당했습니다.
그러나 암호모듈 검증 수요 증가에 대응하고 효율성을 높이기 위해, 최근에는 상용 암호모듈 시험 체계를 '민간 중심 체계'로 전환하려는 정책적 움직임이 나타나고 있습니다.
이러한 변화의 일환으로 한국정보보안기술원(KOIST)은 2024년 3월 6일 국가정보원으로부터 KCMVP 민간 시험기관으로 공식 지정되었으며, 한국정보통신기술협회(TTA) 또한 2025년 3월 6일 민간 시험기관으로 지정되었습니다.12 민간 시험기관의 참여는 검증 역량을 확대하고, 국내 사이버보안 산업의 성장을 촉진하며, 보다 신속하고 유연한 검증 서비스 제공을 가능하게 하여 KCMVP의 보급을 더욱 가속화할 것으로 기대됩니다.
최초 인증 및 초기 도입 사례
KCMVP가 본격적으로 확산되기 시작한 시점에 여러 중요한 초기 인증 사례가 나타났습니다. 키페어는 2018년에 국내 최초로 보안칩 기반의 펌웨어형 KCMVP 인증을 획득했으며, 이후 한국전력 및 국방 분야에 KCMVP 보안칩을 지속적으로 공급하고 있습니다.
한국인터넷진흥원(KISA)은 2018년 12월 디센티의 암호모듈 'elacrypto v1.0'에 대한 검증을 완료하며 KCMVP 인증 제도상 첫 독립 시험·평가 업무 결과를 수행했습니다.
KG이니시스는 PG(결제대행) 업계 최초로 암호화 모듈 'Exafe Crypto' V 1.0에 대한 KCMVP 검증을 획득하여 기술력과 보안성을 입증하고 공공 부문 결제 영역 확대를 추진했습니다.
이러한 초기 인증 사례들은 KCMVP 시스템이 단순히 정책적 요구사항을 넘어 실제 산업 현장의 제품 개발 및 시장 진출 전략에 직접적인 영향을 미치기 시작했음을 보여주며, 이는 제도의 실질적인 보급을 나타내는 중요한 지표입니다.
5. 주요 발전 과정 및 진화
지침의 지속적인 개정
2005년 최초 고시된 "암호모듈 시험 및 검증 지침"은 사이버 보안 환경의 변화에 발맞춰 지속적으로 개정되어 왔습니다. 가장 최근에는 2023년 3월 9일부로 개정된 지침이 배포되었습니다.
또한, 2018년 11월 7일에는 "암호모듈 시험기술표준 사용지침(기술보고서)"(TTAR-12.0032)가 제정되어 기술적인 세부 사항을 보완했습니다. 이러한 지침 및 표준의 지속적인 개정은 KCMVP가 정체된 제도가 아니라, 양자내성암호와 같은 미래 암호 기술 및 새로운 보안 위협에 대응하며 그 유효성을 유지하기 위한 적응적 거버넌스 체계를 갖추고 있음을 보여줍니다.
국제적 벤치마킹 및 협력
KCMVP는 미국의 CMVP(Cryptographic Module Validation Program)와 일본의 JCMVP(Japan Cryptographic Module Validation Program) 등 유사한 국제 프로그램들을 벤치마킹하여 설계되었습니다.2 예를 들어, 미국 CMVP는 1995년부터 2023년까지 4,462개의 암호모듈을 검증한 반면, KCMVP는 2009년부터 2022년까지 235개의 모듈을 검증했습니다.2 이러한 국제적 비교는 KCMVP가 글로벌 표준에 부합하려는 노력을 보여줌과 동시에, 아직 검증 모듈 수 측면에서는 성장 잠재력이 있음을 시사합니다. 이는 국내 사이버 보안 시장의 성숙도와 프로그램의 보급 범위에 따른 차이로 해석될 수 있으며, 향후 국제 협력 및 상호 인정 가능성을 내포합니다.
KCMVP 주요 발전 과정 타임라인
다음 표는 KCMVP의 수립 및 보급 확산에 기여한 주요 사건들을 시간 순서대로 정리한 것입니다.
| 연도 | 사건/이정표 | 수립/보급 확산에 대한 중요성 |
| 2005 | KCMVP 공식 수립; "암호모듈 시험 및 검증 지침" 최초 고시; 국가정보원 KCMVP 운영 시작; KISA 및 국가보안기술연구소 초기 시험기관 지정 | 제도의 법적 기반 마련 및 초기 제도적 틀 구축 |
| 2007 (3월) | PKI/CA/RA 등 암호 기반 제품에 KCMVP 의무 적용 시작 | 초기 의무화 범위 설정 및 제한적 보급 시작 |
| 2008 (12월) | 국가정보원, 2009년부터 모든 정보보호 제품으로 KCMVP 의무 적용 확대 발표 | 광범위한 보급 확산을 위한 정책적 전환점 마련 |
| 2009 | 국가 및 공공기관 정보보호 제품에 KCMVP 의무 적용 전면 확대; 검증 모듈 수 본격 증가 시작 | 실질적인 광범위한 운영 확산 및 도입 가속화 |
| 2018 | KISA, KCMVP 시험·평가실 구축 및 독립적인 시험·평가 업무 시작; 키페어, 국내 최초 펌웨어형 KCMVP 인증 획득; KISA, 디센티 모듈 첫 독립 검증 완료 | 시험 역량의 성숙 및 특정 제품 유형에서의 초기 산업계 도입 |
| 2018 (11월) | "암호모듈 시험기술표준 사용지침" 제정 | 기술 프레임워크의 세부화 및 보완 |
| 2023 (3월) | "암호모듈 시험 및 검증 지침" 개정 배포 | 규제 프레임워크의 지속적인 적응 및 개선 |
| 2024 (3월) | 한국정보보안기술원(KOIST), 첫 민간 KCMVP 시험기관으로 지정 | 민간 주도 시험 체계로의 전환 시작 및 검증 역량 확장 |
| 2025 (3월) | 한국정보통신기술협회(TTA), 민간 KCMVP 시험기관으로 지정 | 민간 시험 역량 추가 확장 및 보급 가속화 |
6. KCMVP의 영향 및 중요성
국가 사이버 보안 기여
KCMVP는 국가 및 공공기관의 중요 정보통신망에서 사용되는 암호모듈의 안전성과 신뢰성을 보장함으로써 국가 사이버 보안을 강화하는 데 핵심적인 역할을 수행합니다. 이 제도는 민감한 정보의 무단 접근 및 조작을 방지하는 근본적인 보호 장치로 기능하며, 국가 정보 인프라의 안정성을 확보하는 데 필수적인 요소로 자리매김했습니다.
국내 사이버 보안 산업에 미치는 영향
국가 및 공공기관 조달 시 KCMVP 인증이 의무화됨에 따라, 국내 사이버 보안 산업 내에서 KCMVP 준수 제품에 대한 수요가 지속적으로 발생하고 있습니다.
이러한 의무화는 국내 기업들이 암호모듈 개발 및 검증에 투자하도록 유도하며, 이는 곧 국내 사이버 보안 산업의 혁신과 발전을 촉진하는 동력으로 작용합니다. 한국인터넷진흥원(KISA)은 KCMVP가 "민간 암호산업 활성화의 마중물 역할"을 할 것이라고 언급하기도 했습니다.
민간 시험기관 지정으로의 전환은 이러한 산업 활성화를 더욱 가속화하며, 전문화된 시험 서비스 시장을 창출하여 국내 사이버 보안 생태계의 경쟁력과 다양성을 높이는 데 기여하고 있습니다.
KCMVP는 단순한 규제적 요구사항을 넘어, 국내 암호 기술 역량을 강화하고 관련 산업의 성장을 견인하는 중요한 정책 도구로서 기능하고 있습니다.
7. 결론
KCMVP는 2005년 국가정보원의 "암호모듈 시험 및 검증 지침" 고시를 통해 공식적으로 수립되었습니다. 이후 2009년부터 국가 및 공공기관에 도입되는 광범위한 정보보호 제품에 KCMVP 인증 암호모듈 탑재가 의무화되면서 실질적인 보급 및 확산이 본격적으로 시작되었습니다.
이 제도는 지속적인 지침 개정 및 민간 시험기관 확대를 통해 변화하는 사이버 보안 환경에 적응하며 발전하고 있습니다. KCMVP는 대한민국의 사이버 보안 태세를 강화하고, 국내 사이버 보안 산업의 성장을 촉진하는 데 있어 지속적으로 중요한 역할을 수행할 것입니다.
0
칼럼 소식이 도움이 되었다면
상단의 좋아요 버튼을 눌러주세요
