[217] 아리아와 행정전산망

[신충우 파일 217]

- 행정전화망, 12월부터 인터넷전화로
행정전화망이 오는 12월부터 순차적으로 인터넷전화(VoIP)로 바뀐다.
인터넷기반망(ALL-IP) 시대를 대비하고 통신비도 줄일 수 있는 인터넷전화가 중앙행정기관과 광역시도청, 시군구 등 65만이 사용중인 행정전화의 중심에 서는 것이다.
행정안전부와 한국정보사회진흥원은 4일 오전 정보사회진흥원에서 국가정보통신서비스 'C'그룹 인터넷전화서비스 사업자 선정 제안요청서 설명회를 개최했다. 행정안전부와 한국정보사회진흥원은 다음 주 초 정식으로 사업자 선정제안 공고를 낼 예정이다.
현재 중앙행정기관, 광역시도청, 시군구 등에서 이용하는 행정전화망은 연간 전화비가 1천182억원에 달한다. 광역시도청과 시군구 등 599개 단일 행정전화망에는 599개 기관의 27만5천명이 이용, 이용요금이 연간 약 492억원에 이른다.
행정안전부는 기존 전국 단일행정전화망이 2010년말 서비스가 중단됨에 따라 국가 정보통신서비스 조기전환을 통해 이용요금을 줄인다는 방침이다.
행정기관에 인터넷전화를 도입하면 데이터망과 음성망 통합에 따라 전용선 요금 절감액만 연간 250억원에 달할 것으로 기대하고 있다.
이번에 선정키로 한 국가정보통신서비스 제공사업자는 'C' 그룹으로, B 그룹의 망을 활용해 3년 동안 인터넷전화 서비스를 제공하는 사업자다. 이번에 행정안전부는 4개 이내에서 인터넷전화 사업자를 선정할 예정이다. 행정안전부 관계자는 "향후 C그룹에서 행정기관 IPTV 제공사업자도 선정할 계획"이라고 말했다.
앞서 행정안전부는 'A' 그룹으로 기본회선(ATM< 전용회선, 이더넷), 백본회선 서비스 전국망 구축 사업자(KT, LG데이콤, SK네트웍스)를 선정한 바 있다. 또한 'B'그룹인 IP서비스(인터넷, IP-VPN 서비스) 필수제공 전국사업자(KT, SK브로드밴드)를 선정했다.

◆내주 초 공식 공고
사업자로 선정되면 기관간통화, 국내통화, 국제통화 이동(LM)통화 등의 기본 서비스를 제공해야 한다. 아울러 문자메시지(SMS), 영상통화, 통화연결음, 발신번호표시, 대포번호발신, 변경번호 자동안내 센트릭스(IP-PABX를 사업자망에서 제공하는 서비스) 가운데 세가지 이상의 부가서비스를 제공해야 한다.
대형기관의 서비스 이용을 유도하기 위해 장기 계약할인, 다량가입 이용할인 등 할인제도가 도입된다. 이용요금은 단일행정전화망 요금 또는 일반 상용망의 인터넷전화 최저요금 수준으로 기준요금을 산정하고, 행정기관간 인터넷전화 서비스는 무료로 제공한다.
행정안전부와 정보사회진흥원은 기본평가와 기술평가, 이용요금 평가를 거쳐 최대 4개 사업자를 선정한다는 계획이다.

◆암호는 외교·안보기관만 AES와 아리아 병행
6천억원~1조 규모인 행정용 인터넷전화 장비·단말기 시장을 두고, 우리나라와 미국이 갈등을 벌였던 암호기술에 대해서는 외교·안보 관련 기관만 국제표준(AES)와 국산암호(아리아)를 병행탑재키로 했다.
우리나라는 '아리아'와 'AES'의 병행탑재를, 미국은 'AES' 단독 채택을 주장, '인터넷전화 암호화'라는 의제로 외교통상부와 미 상무부가 한·미 통상협상에서 논의하기도 했다.
하지만 이번에 외교·안보 기관에 한해 아리아를 병행탑재키로해 미국과 타협했다. 암호화 제어신호와 음성데이터는 국제표준인 AES로, 외교·안보 관련기관은 국산암호인 아리아(ARIA)와 AES를 제공하도록 한 것이다.
기관간 내부통화의 경우 전화기에서 전화기까지가 암호화 구간이며 외부통화의 경우 전화기부터 SBC(세션을 제어하여 VoIP 장비의 보안기능을 제공하며, 이용기관 NAT 또는 방화벽을 통과시키기 위한 장치) 까지로 정했다.
특히 외교안보 관련 기관의 경우 국산암호(아리아) 병행탑재 하기로 했다. 외교안보 관련 기관은 대통령실, 국무총리실, 외교·통일·국방부, 국정원, 병무·방사·경찰·해경청 등을 말한다.
이에따라 시스코와 어바이어 같은 미국 네트워크 장비 업체들도 외교·안보 기관을 제외한 행정기관에 들어가기 쉬워졌다.

◆사업자 관심 뜨거워
이날 설명회에는 KT와 SK텔링크, SK브로드밴드와 한국케이블텔레콤(KCT), 시스코 등 인터넷전화 사업관련 관계자 100여 명이 참석해 높은 관심을 보였다.
설명회에 참석한 KT 관계자는 "장비를 이중화해야 한다는 것이 투자성 면에서 어려움을 가중시킨다"며 장비 이중화에 대한 의무화 재고를 요청했다.
KCT 관계자는 "재무구조나 신용도, 정보통신산업육성 등에 대한 기여도 등의 심사항목은 우리 같은 신생사업자로서는 불리한 조항들"이라며 "배점항목이 신생회사를 위해 바뀔 여지가 있는지를 물었다.
SK텔링크 관계자는 "이 사업에 참여 여부를 판단하기 위해서는 손익이나 장비투자 규모 등에 대한 계산이 필요한데, 이용자가 정확히 몇 명인지 국내 통화요금이 몇 퍼센트인지, LM이 몇 퍼센트인지 등 정확한 기본 데이터를 제시해줘야 한다"고 요구했다.
이에 대해 행정안전부 관계자는 "국가 행정전화망의 핵심 인프라라는 점에서 최소한 이중화는 당연히 해야한다"며 "보안성, 안전성이 극대화돼야 하는 필수 망이라는 점에서 기본 평가사항"이라고 못박았다.
하지만 그는 "해외사례 등을 참고해 심사항목을 결정했지만, 후발사업자들에 적용할 수 있는 심사모델을 검토해보겠다"며 "구체적인 요구사항이나 관련 문의는 이메일 등을 통해 답변하겠다"고 대답했다.
<출처 : 아이뉴스24 2009-06-04>

- 새 국가 암호화 알고리듬 개발
초고속 네트워크 기반의 전자정부 시스템을 비롯해 앞으로 다가올 유비궈터스 시대에 대비한 차세대 국가 암호화 알고리듬이 개발됐다.
국가보안기술연구소(NSRI)?갚물≠ㅊ맙捌暉逵? 등은 지난해말 128비트 블록 암호화 알고리듬 `아리아'(ARIA)를 개발, 현재 사용되고 있는 국가 표준 암호화 알고리듬인 시드(SEED)와 함께 새로운 국가 암호화 알고리듬으로 사용하기 위한 검증작업을 실시하고 있는 것으로 14일 밝혀졌다.
아리아는 스마트카드?같』齪煐낯?(VPN) 등 초경량의 임베디드 기기는 물론, 64비트 고성능 서버 환경 등 시드를 적용할 경우 상대적으로 처리 속도가 느려 효율성이 떨어지는 분야에 적합하다고 NSRI는 설명했다.
NSRI는 지난해말 벨기에 루벤 대학에서 성능평가를 실시한 결과, 펜티엄4 2.4㎓ 프로세서에 리눅스 운영체제(OS) 환경에서 아리아가 시드와 일본의 암호화 알고리듬인 `카멜리아'(Camellia)보다 데이터 처리속도 등 성능면에서 2배 가량 앞선 것으로 나타났다고 밝혔다.
아리아는 우선 전자정부의 대국민행정서비스용으로 사용될 예정이며, 곧 산업자원부의 KS인증을 획득하는대로 민간으로 보급하게 된다. 한국정보보호학회를 중심으로 한 학계, 한국정보보산업협회 소속 업체, NSRI, 국정원 등은 △알고리듬의 안정성과 효율성 △시드와의 차별성 △산업별 적용 여부 등을 검증하기 위한 `아리아 공개검증 자문단'을 올초 구성해 활동해왔으며, 이달말까지 최종 의견을 도출하기로 했다.
또 국정원은 아리아 알고리듬을 사용한 정보보호제품 상용화에 대비해 내달초 `암호화 검증제도' 시범사업을 실시하고, 내년부터 본격적인 암호화 검증제를 실시할 계획이다. 국정원은 검증제를 위해 서울대 현정인 교수?같疵졍? 이상진 교수 등 학계 15명, 한국정보보호진흥원??NSRI 등 정부 출연연구소, 정보통신부?갚뭐繹炚건旋ㅐ旼『炚걋怜繹? 등이 참여하는 전문가위원회를 구성했다.
NSRI 지성택 박사는 "시드가 소프트웨어로 구현되면 어느 정도 처리속도를 내지만, 고성능 서버 환경이나 하드웨어(HW)에 적용하면 속도가 나지 않는 문제점을 안고 있었다"며 "아리아는 시드와 다른 알고리듬 체계를 가지고 있어 알고리듬끼리 호환되지는 않지만, 하나의 정보보호 제품에 시드와 아리아를 동시에 탑재하면 호환성 문제를 해결할 수 있다"고 설명했다.
아리아는 또 미국의 암호 암고리듬인 AES(Advanced Encryption Standard)의 규격을 따라, 국제적 안정성과 효율성 기준에 맞게 제작됐다고 그는 덧붙였다.
한편 아리아(ARIA)라는 이름은 학계(Academy), 연구소(Research Institute), 정부 기관(Agency)이 공동으로 개발한 것이라는 의미를 담고 있다.
<출처 : 디지털타임스 2004-06-15>

- 보안업계, ‘암호모듈 검증’ 의무화 대응책 마련에 비상
올해부터 국가·공공기관에 공급되는 정보보호 제품의 암호모듈 검증 의무화가 시행됨에 따라 보안업계가 대응책 마련에 비상이 걸렸다.
10일 관련 업계에 따르면, 암호기능을 제공하는 보안 제품 공급 업체들은 최근 자체 개발한 암호모듈 검증을 국가정보원에 신청하거나 검증필을 획득한 암호모듈 소유 업체를 대상으로 구매 협의에 박차를 가하고 있다.
검증필 암호모듈 탑재 미비로 공공기관 영업에 타격을 입지 않으려면 시간 단축과 비용 절감이 가장 중요하다는 판단 아래, 공동으로 검증필 암호모듈 구매와 제품 탑재를 위한 추가 개발을 진행하려는 움직임도 나타나고 있다.
이를 위해 지난 9일 넥스지, 시큐아이닷컴, 안철수연구소, 유넷시스템, 어울림정보기술, 이글루시큐리티, 파이오링크, 퓨쳐시스템 등 9개사 인증담당자가 모임을 가졌다.
이어 10일에는 국정원 IT보안인증사무국이 대상 보안업체들과 상용 암호모듈 검증정책 설명 및 건의사항 수렴을 위한 간담회를 개최하는 등 업계의 암호검증 대응 지원에 나섰다.
현재 신규 암호검증 대상 업체 중 나우콤이 유일하게 지난 1월 중순 자체 개발한 암호모듈 검증을 국가정보원에 신청했고, 나머지 업체들은 대부분 검증필 암호모듈 탑재 방안을 고려하고 있는 상황이다.
국정원은 지난 2007년 3월 국가·공공기관에 공급되는 공개키기반구조(PKI), DB암호화 등 암호기반 제품의 검증필 암호모듈 탑재를 의무화한 데 이어, 올해부터 암호기능이 구현돼 있는 네트워크·컴퓨팅 보안 제품을 대상으로 검증 대상을 전면 확대했다.
암호모듈 검증은 국가·공공기관 정보통신망에서 소통되는 중요 정보를 보호하기 위해 지난 2005년부터 시행된 제도이다. 민간에서 개발한 암호기술이 탑재된 제품을 대상으로 암호모듈의 안전성과 구현적합성을 검증한다.
암호모듈은 국가용 표준블록암호논리(알고리즘)인 ‘아리아(ARIA)’를 반드시 구현해야 암호검증을 신청할 수 있으며, 이 암호검증은 정보보호 제품의 보안기능의 보안성을 평가하는 국제공통평가기준(CC) 인증과는 별개다.
그 때문에 암호기능이 있는 보안 제품은 올해부터 암호검증을 받지 않으면 국가·공공기관 납품이 불가능하다.
PKI, DB암호화 제품 이외에 이번에 신규 검증 대상이 되는 대표적인 제품은 가상사설망(VPN)이다. 국내 네트워크 보안 제품은 대부분 VPN 기능이 구현돼 있고, 암호기능도 제공하고 있어 대부분 암호모듈 검증 대상이 된다.
지금까지 암호모듈 검증을 획득한 업체와 제품은 ▲유비엠정보 ▲소프트포럼 ▲펜타시큐리티시스템 ▲드림시큐리티 ▲티맥스소프트 ▲비티웍스 ▲한국정보인증 ▲고려대학교 ▲케이사인 ▲어울림정보기술 ▲이니텍 11개사 11종의 제품이다.
나머지 업체는 검증필 암호모듈을 개발해 암호검증을 신청하거나 이들 업체의 암호모듈을 구매해 사용해야 한다. 시간을 단축시키려면 이들 업체의 검증필 암호모듈 탑재가 빠를 것으로 관련 업계는 예상하고 있다.
하지만 이들 검증필 암호모듈은 대부분 윈도나 리눅스 등 하나의 운영체제(OS)를 기반으로 검증받은 것이어서 제품에 탑재하기 위해서는 형상변경승인을 받아야 한다. 최근 버전이 업그레이드됐어도 형상변경승인이 필요하다. 또 제품에 적용하기 위해서는 커스터마이징 등 추가 개발도 필요한 상태다.
안철수연구소 임수진 부장은 “암호모듈 검증 의무화 대응책에서 가장 중요한 것은 시간과 비용”이라며, “검증필 암호모듈 구매비용을 줄이고 제품에 탑재하는데 소요되는 시간을 크게 단축시키기 위해 각 업체 인증 담당자들과 검증필 암호모듈 소유업체로부터 공동 구매, 공동 개발 방안을 협의하고 있다”고 말했다.
<출처 : 이데일리 2009-02-10>

- 인터넷전화 암호화 모듈 탑재… 외산업체 `초비상`
정부가 공공기관에 도입하는 인터넷전화 장비의 보안성을 강화하는 가이드라인을 마련한다. 정부의 가이드라인이 완성되면 업계는 관련장비에 암호화 모듈을 탑재해야 하는데, 이를 놓고 국내업체와 외국계업체간 희비가 엇갈리고 있다. 국내업체들은 단기간에 제품을 출시할 수 있는 반면 외국계업체들은 본사차원의 기술지원과 함께 전문인력이 필요해 개발기간이 길어질 수밖에 없기 때문이다.
특히 인터넷전화 장비시장은 그간 시스코, 어바이어 등 외국계업체들이 사실상 장악해 왔다는 점에서 이번 가이드라인 마련을 기점으로 국내 시장판도에도 큰 변화가 예상된다.
14일 정부 및 관련 업계에 따르면 행정안전부는 빠르면 오는 3월 공공기관에 공급하는 인터넷전화(VOIP) 장비에 `아리아'를 적용한 암호화 모듈을 탑재토록 하는 `인터넷전화 도입 관련 가이드라인(가칭)'을 발표할 계획이다. 아리아는 국가정보원이 IT장비의 보안성 강화를 위해 개발한 국가 표준 암호화 알고리듬의 일종이다.
행안부 유비쿼터스기획과 이용석 과장은 "도ㆍ감청 등 인터넷전화의 보안성이 떨어진다는 국정원의 지적에 따라 공공기관이 도입하는 인터넷전화 단말기와 교환기 등에 암호화 모듈을 탑재하도록 하는 가이드라인을 준비하고 있다"며 "늦어도 5월로 예정된 정부중앙청사 인터넷전화 구축사업 전까지는 공고를 낼 계획"이라고 말했다.
정부가 추진하는 인터넷전화 가이드라인은 법적 효력이 없는 `권고' 형식이지만 정부기관과 지자체가 이를 따르지 않으면 향후 감사원 감사에서 지적을 받을 수 있어 사실상 필수조항과 다름이 없다. 이 때문에 관련 업계는 국내 인터넷전화 장비시장의 판도를 바꿀 수 있을 정도로 큰 파괴력을 발휘할 것이라는 분석을 내놓고 있다. 업계 관계자는 "가이드라인의 형태를 띠고 있지만 일선 공공기관에 지침이 내려오면 사실상 `의무화'와 같은 효력을 발휘할 것으로 보인다"고 말했다. 정부의 가이드라인에 따라 인터넷전화 장비에 암호화 모듈을 탑재하지 않은 제품은 사실상 입찰 단계에서부터 탈락할 수밖에 없다는 설명이다.
정부의 가이드라인이 발표되면 삼성전자, 제너시스템즈, 다산네트웍스, 네이블커뮤니케이션즈 등 국내 인터넷전화 장비업체들은 수혜를 받을 전망이다. 특히 일부 업체들은 이미 시제품 개발을 완료한 것으로 알려졌다.
반면 그동안 국내 인터넷전화 장비시장을 독점해왔던 어바이어, 시스코시스템즈, 노키아지멘스 등 외국계 인터넷전화 장비업체들은 비상이 걸렸다. 국내에 연구개발 인력이 없어 제품 판로 자체가 막힐 상황에 처한 것이다. 암호화 모듈을 탑재하려면 본사 차원에서 기술지원을 해야 하지만 한국시장만을 위한 전담인력을 투입할 여력이 없는 데다 설사 지원이 이루어진다 해도 제품 출시까지는 상당한 시일이 걸릴 수밖에 없기 때문이다. 외국계 인터넷장비 업체의 한 관계자는 "국산 인터넷전화 장비는 기존에 탑재된 AES 암호화 알고리듬을 조금만 수정하면 아리아로 바꿀 수 있지만 외산 장비는 현실적으로 불가능에 가깝다"며 "정부의 가이드라인은 외국계 업체들에게 시장에서 철수하라는 것과 다름없다"고 말했다.
이에 대해 행안부 관계자는 "그동안 공공기관 인터넷전화 도입과 관련해서 각종 설명회를 개최하고 관련 공고를 내는 등 충분한 준비 과정을 거쳤다"며 "일부 외국계 업체들이 이의를 제기하고 있지만 정부가 준비중인 공공기관 인터넷전화 장비 입찰 가이드라인에 따르면 기본적으로 납품 의사가 있으면 누구나 참여할 수 있도록 하고 있어 아무런 문제가 없다"고 말했다.
<출처 : 디지털타임스 2009-01-15>