국정원은 11일 서울 삼성동 코엑스에서 개최한 국제 사이버안보 행사인 ‘사이버 서밋 코리아 (CSK) 2024’에서 이같이 밝혔다.
국정원은 그간 주요 국가·공공기관에서 사용하는 암호모듈의 안전성을 검증하는 ‘암호모듈 검증제도’(KCMVP)에서 국내에서 개발한 암호인 △SEED △ARIA △HIGHT△LEA만 허용해왔다. 2005년 KCMVP를 시행할 당시, 외국에서 개발한 암호에 대한 해독 우려가 있어 나온 조치다.
국제표준암호 AES 허용에 대한 논의는 보안 환경의 변화로 국제화와 범용성을 고려해 글로벌 표준을 허용해야 한다는 의견이 대두되면서 시작됐다. KCMVP에서 국내 개발 암호만 허용하면서 국내 암호 연구 활성화 및 인력 양성 등 부가적인 효과도 없지 않았지만, 우리 보안 기업들도 수출을 위해서 제품에 AES를 탑재해야 하는 만큼 수출 경쟁력 약화와 개발 효율성 저하 문제가 발생했기 때문이다.
이에 국정원은 AES의 안전성이 충분히 입증되었다고 판단하고, 경제적 효과와 산학연 전문가 의견 등을 고려하여 ‘암호모듈 검증제도’에서 AES를 허용하는 방안을 검토했다. AES 허용은 2014년에도 논의된 바 있으나 당시 외산 암호에 대한 불신·암호 산업 및 학계에 대한 보호 등을 이유로 성사가 되지 않았다.
이후 2022년 국가정보원은 사물인터넷(IoT)·자율주행차량 등에 AES의 활용도가 점차 높아지고 있어 이에 대한 연구용역을 진행하였으며 AES 허용이 필요하다는 결론을 도출했다. 지난 5~6월에는 산학계 간담회 등을 통해 AES 허용에 대한 찬성 의견을 조사한 결과, 찬성률이 85%에 도달해 공감대가 형성된 것을 확인했다.
국정원은 8월 암호모듈 시험 및 검증지침에 의거, 검증위원회 심의를 거쳐 AES를 허용을 최종적으로 결정하였다. 다만, 산업계 및 시험기관의 준비기간을 고려하여 2026년 1월부터 시행할 예정이다. 이에 앞서 2025년 7월까지 기업에서 개발에 활용할 수 있는 구현안내서(가이드라인)와 자가시험도구를 새롭게 개발하여 배포할 예정이며, 내년 중으로 시험기관을 추가 지정하여 검증수요 증가에 대비할 방침이다.
AES 허용에 따라 국내 업체의 수출 경쟁력 강화와 더불어 개발 편의성이 증대할 것으로 기대되고 있다. 또한, 미국이 무역장벽보고서 등을 통해 AES 허용을 10년 이상 지속 요청해온 만큼 이번 조치를 통해 무역장벽 논란도 해소될 것으로 보인다.
우려됐던 안보 문제에 대해서 국정원은 “AES를 탑재한 외산 제품이 주요 공공분야에 도입되기 위해서는 해당 암호모듈이 안전하게 구현되었는지 국가정보원의 검증을 받아야 해 안보 측면의 우려도 없을 것”이라고 설명했다.