[이슈칼럼] 검증대상 알고리즘에서 AES는 제외?

1. 국내 암호모듈 검증대상 알고리즘에 AES 수용에 대한 소고

https://www.boannews.com/media/view.asp?idx=131671&page=1&kind=6

[이슈칼럼] 국내 암호모듈 검증대상 알고리즘에 AES 수용에 대한 소고

 

[요약]

1. 암호모듈 검증제도 (Cryptographic Module Validation Program, CMVP), 한국형은 KCMVP라는 이름으로 시행되는 이 제도에서 AES가 검증 대상 알고리즘에서 제외됐다.

2. 이유는 우리나라가 개발한 블록 암호 사용을 촉진하고 국내 수요처와 연구 개발 업체를 보호해야 하기 때문.

3. 우리나라의 데이터는 우리나라 자체 암호 기술로 지켜야 한다는 과거와 달리 현재는 다양한 공공기관에서 개발한 알고리즘을 적극 활용하는 쪽으로 기울고 있다.

4. AES은 처음 공개 당시부터 지금까지 안전성 문제가 제가된 적이 없고, 이에 따라 다양한 IT 제품에서 AES를 사용하고 있을 정도로 암호 적용 범위가 확장되면서 현재는 가장 안전하고 가장 많이 쓰는 암호 알고리즘이 되었다.

5. 그럼에도 AES를 검증 대상에서 제외한다?

   ➡️ '국가 사이버 보안 측면이나 국내 암호산업 활성화 측면에서 현실적이지 않다'는 의견

   ➡️ '안전성 검증없는 AES를 사용하는 보안 사각지대가 발생'하고 있다는 점 우려

   ➡️ 특히, 기업 입장에서는 암호 검증을 위한 내수용 모듈과 AES를 탑재한 수출용 모듈을 별도로 만들어야 하는 어려움 발생

 

 

 

---

 

🤔 이에 대한 나의 생각

국제표준 블록 암호 알고리즘 AES를 검증 대상에 넣지 말아야 하는 이유보다 넣지 않았을 경우 발생하는 문제점이 더 큰 것으로 보인다.

AES를 포함한 수많은 암호 알고리즘이 매우 다양한 방법으로 활용될 수 있는 만큼 개발된 암호 알고리즘에 대한 검증의 중요성이 매우 크다고 생각한다.