국정원 양자암호 전송장비 인증 기준 나온다…'공공시장 물꼬'
그간 제도상 원칙이 없었던 양자암호통신망 전송 장비에 대해 정부가 보안 기준을 마련한다. 이동통신 3사를 비롯한 양자암호 관련 기업들이 수년 만에 양자암호통신 공공사업에 갈피를 잡을 수 있게 될 전망이다.

30일 정보기술(IT) 업계에 따르면 국가정보원은 다음달 10일 양자암호통신 관련 기업들을 대상으로 보안적합성 검증 정책 설명회를 열고 양자암호통신 전송 장비에 대한 보안 요구사항을 발표한다. 국정원 관계자는 “그동안 기준 자체가 없었던 터라 새로운 보안 요구사항을 마련해 소개하는 자리가 될 것”이라고 설명했다.

현행 전자정부법 등에 따르면 국가·공공기관이 도입하는 정보보호시스템과 통신 보안 제품은 보안적합성 검증을 거쳐야 한다. 통신 장비 중에선 라우터와 스위치 등 장비 간 네트워크를 연결·중계해주는 것들이 검증 대상이다. 문서암호화제품(DRM), 데이터베이스(DB) 암호화제품 등도 검증받은 암호모듈을 탑재한 것만 쓸 수 있다.
국정원 양자암호 전송장비 인증 기준 나온다…'공공시장 물꼬'
그동안 양자암호통신 전송 장비는 이 제도에서 사실상 사각지대에 있었다. 신기술에 맞는 통신 보안 기준이 아직 없어서다. 통신 전송 장비는 보안적합성 검증 대상이 아니다. 하지만 양자암호통신은 전송 장비가 중요한 역할을 한다. 양자키분배방식(QKD)의 경우 통신 전송 장비에 암호모듈을 넣어 데이터를 암호화하고, 광케이블망에서 암호화 키를 교환하는 게 일반적인 구조다. 시장 곳곳에서 양자암호통신 전송 장비에 대한 원칙이 필요하다는 지적이 나왔던 이유다.

새 보안 요구사항 발표가 나면 각 기업의 인증 신청 움직임도 빨라질 전망이다. 이동통신 3사는 앞서 양자암호통신망 구축용 암호화장비에 대해 국정원 암호모듈검증(KCMVP)을 신청해 둔 상태다. SK텔레콤은 우리넷과, KT와 LG유플러스는 각각 코위버와 함께 KCMVP 인증을 신청했다.

한 양자암호통신 관련 기업 관계자는 “전송 장비에 대해 인증 기준이 언제 새로 생길지, 아니면 검증 대상이 아닌 채로 남을지조차 확실치 않다 보니 공공기관 납품 등을 추진하기가 매우 어려웠다”며 “기준이 생길 경우 그에 맞춰 장비를 준비하기만 하면 되니 사업 추진이 훨씬 쉬워질 것”이라고 말했다.

실증 사업 위주였던 양자암호 통신망 확산에도 도움이 될 전망이다. 정부는 공공기관과 연구소 등에 양자암호 통신망을 도입할 예정이다. 2027년엔 공공·연구소 양자암호 정보보호망을 구축하는 게 목표다.

선한결 기자 always@hankyung.com