Booil Jung

한국 암호모듈 검증(KCMVP) 제도

한국 암호모듈 검증(Korea Cryptographic Module Validation Program, KCMVP) 제도는 대한민국 국가 디지털 주권과 사이버 안보 체계의 핵심 기반 시설(Critical Infrastructure)로 자리매김하고 있다. 현대 사회에서 데이터는 국가 경쟁력의 원천이자 안보의 핵심 자산으로 기능하며, 이러한 데이터를 보호하는 암호 기술의 신뢰성은 국가의 안전과 직결된다. KCMVP는 국가 및 공공기관의 정보통신망에서 생성, 유통, 저장되는 방대한 중요 데이터를 외부의 악의적 위협으로부터 보호하기 위한 기술적, 정책적 통제의 구심점 역할을 수행한다.1 본 제도는 단순히 암호 기술의 성능을 평가하는 것을 넘어, 국가가 신뢰할 수 있는 암호 기술의 최소 기준을 설정하고, 이를 충족하는 제품만이 공공 부문에 도입될 수 있도록 하는 강력한 게이트키퍼(Gatekeeper)의 역할을 담당한다.

본 보고서는 이처럼 중대한 역할을 수행하는 KCMVP 제도를 다각적이고 심층적으로 분석하는 것을 목적으로 한다. 이를 위해 제도의 탄생 배경이 된 역사적 맥락과 법적 기반을 시작으로, 국제 표준에 근거한 기술적 요구사항, 보안 등급별 차이, 검증 대상 알고리즘과 같은 기술적 명세를 면밀히 검토한다. 나아가, 신청부터 인증서 발급에 이르는 복잡한 운영 절차와 인증 유지를 위한 사후 관리 체계를 상세히 분석한다. 또한, 미국의 CMVP(FIPS 140) 및 CC인증 등 국제 제도와의 비교를 통해 KCMVP의 독자적 위상과 정책적 함의를 규명하고, 현재 제도가 직면한 도전과제와 미래 발전 방향, 특히 양자내성암호(PQC)로의 전환이라는 거대한 패러다임 변화에 대한 대응 전략을 심도 있게 고찰한다. 이 과정을 통해 본 보고서는 KCMVP의 본질과 역할을 명확히 규명하고, 향후 제도가 나아가야 할 방향에 대한 통찰을 제공하고자 한다.

KCMVP는 ‘Korea Cryptographic Module Validation Program’의 약어로, 대한민국 국가 및 공공기관의 정보통신망에서 소통되거나 저장되는 중요 정보의 보호를 위해 도입되는 암호모듈의 안전성(Security)과 구현 적합성(Implementation Conformance)을 국가가 공식적으로 시험하고 검증하는 제도이다.1 이 제도의 핵심 목적은 데이터의 유출, 위/변조, 훼손 등을 방지하여 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 보장하고, 이를 통해 전자정부 서비스의 신뢰성과 안정성을 제고하는 데 있다.2

보호 대상 정보는 법률상 ‘비밀’로 분류되지는 않았으나, 그 내용이 외부로 유출되거나 변조될 경우 국가 안보, 사회 안정, 그리고 국민의 재산과 사생활에 심각한 피해를 초래할 수 있는 모든 중요 업무자료를 포괄한다.3 구체적으로는 각급 행정기관의 내부 업무자료, 대국민 행정 서비스 과정에서 수집되는 개인정보, 금융거래 정보, 의료 정보 등이 모두 여기에 해당된다.3 이처럼 방대한 중요 정보를 보호하는 기술적 수단이 바로 ‘암호모듈’이다.

암호모듈은 암호화 및 복호화, 전자서명 생성 및 검증, 해시 함수, 메시지 인증, 키 설정, 난수 생성 등과 같은 핵심적인 암호 기능을 수행하는 논리적 또는 물리적 단위이다.1 이는 구현 형태에 따라 소프트웨어(Software, S/W), 하드웨어(Hardware, H/W), 펌웨어(Firmware, F/W), 또는 이들을 복합적으로 결합한 형태로 구현될 수 있다.2 KCMVP는 이 모든 형태의 암호모듈이 사전에 정의된 엄격한 국가 표준과 보안 요구사항을 정확히 준수하여 구현되었는지를 검증함으로써, 국가 정보보호 시스템 전반의 신뢰도를 높이는 근간으로 작용한다.

KCMVP 제도의 강력한 권위와 실행력은 명확한 법적 기반에서 비롯된다. 본 제도는 「사이버안보 업무규정」(대통령령) 제9조(사이버보안 예방 조치 등), 「전자정부법」 제56조(정보통신망 등의 보안대책 수립/시행), 그리고 동법 시행령 제69조(전자문서의 보관/유통 관련 보안조치)에 그 법적 근거를 두고 있다.1 이러한 상위 법령의 존재는 KCMVP가 단순한 기술 권고 사항이나 업계의 자율 규제가 아닌, 국가 및 공공기관이 의무적으로 준수해야 하는 법적 구속력을 지닌 국가 규제임을 명확히 한다.4 이 법적 의무는 공공 부문에서 KCMVP 인증 제품의 도입을 촉진하는 가장 강력한 동력으로 작용한다.

KCMVP의 운영 체계는 명확한 역할 분담에 따라 유기적으로 구성된다. 이 체계의 정점에는 검증기관(Validation Authority)인 국가정보원(NIS)이 있다.1 국가정보원은 KCMVP 제도 전반을 총괄하며, 관련 정책 방향 설정, 「암호모듈 시험 및 검증지침」과 같은 세부 기준의 제/개정, 시험기관이 제출한 시험 결과에 대한 최종 심의 및 검증 여부 판정, 그리고 검증필 암호모듈 목록의 공표 및 관리 업무를 수행한다.1

실질적인 시험 업무는 시험기관(Testing Laboratory)이 담당한다. 과거에는 국가보안기술연구소(NSR)와 한국인터넷진흥원(KISA) 두 개의 공공기관이 시험 업무를 전담했으나 11, 최근 제도의 변화에 따라 민간 시험기관의 참여가 허용되었다. 한국시스템보증(KOSYAS), 한국정보보안기술원(KOIST), 한국정보통신기술협회(TTA) 등이 민간 시험기관으로 지정되어 시험 업무를 수행하고 있다.13 이들 시험기관은 개발업체(신청기관)로부터 시험을 의뢰받아, 국가정보원이 고시한 검증 기준에 따라 암호모듈의 설계 문서, 소스코드, 실제 구현물을 대상으로 심층적인 시험을 진행하고 그 결과를 검증기관에 보고하는 역할을 한다.17

KCMVP 제도의 출범과 발전 과정을 이해하기 위해서는 2000년대 초중반 대한민국이 겪었던 심각한 사이버 안보 위기 상황을 먼저 살펴봐야 한다. 2003년 1월 25일, 슬래머(Slammer) 웜 바이러스가 KT의 DNS 서버를 공격하여 대한민국 전체의 인터넷망을 9시간 동안 마비시킨 ‘1.25 인터넷 대란’은 국가 핵심 인프라가 사이버 공격에 얼마나 취약한지를 여실히 보여준 충격적인 사건이었다.18 이후에도 옥션(2008년, 1,863만 명), GS칼텍스(2008년, 1,125만 명) 등에서 대규모 개인정보 유출 사고가 잇따랐고, 2009년에는 정부기관, 포털, 은행 등 주요 웹사이트를 동시다발적으로 마비시킨 ‘7.7 DDoS 공격’이 발생하여 국가적 혼란을 야기했다.19

이러한 일련의 국가적 사이버 재난은 당시 막 활성화되던 전자정부 인프라의 근본적인 취약성을 드러내는 계기가 되었다. 안전성이 검증되지 않은 상용 정보보호 제품이 무분별하게 도입되고 있었으며, 특히 데이터 보호의 핵심인 암호 기술의 구현 수준이 천차만별이었다. 이는 신뢰할 수 있는 암호 기술을 체계적으로 도입하고, 그 안전성을 국가 차원에서 검증할 수 있는 표준화된 제도의 필요성을 절실하게 만들었다.2

이러한 시대적 요구에 부응하여, 국가정보원은 2005년 「암호모듈 시험 및 검증 지침」을 최초로 고시하며 KCMVP 제도를 공식적으로 수립했다.1 제도 초기에는 법적, 제도적 기반을 마련하고 시험 체계를 구축하는 데 주력했다. 제도의 실질적인 확산과 보급이 본격화된 것은 2009년부터다. 이 시점부터 국가 및 공공기관에 도입되는 데이터베이스 암호화, 가상사설망(VPN) 등 광범위한 정보보호 제품에 KCMVP 인증을 획득한 암호모듈을 탑재하는 것이 의무화되면서, KCMVP는 국내 공공 부문 정보보호 시장의 필수적인 인증 제도로 자리 잡게 되었다.1

KCMVP 제도의 발전 과정을 면밀히 분석하면, 이 제도가 단순히 기술적 완전성을 추구하는 표준화 활동의 결과물이 아님을 알 수 있다. 오히려 이는 급변하는 사이버 안보 위협에 대응하기 위한 국가 안보 정책의 구체적인 산물로 해석하는 것이 타당하다. 제도의 출범 시점인 2005년과 의무화 조치가 단행된 2009년은, 앞서 언급한 1.25 인터넷 대란과 7.7 DDoS 공격과 같은 국가적 사이버 재난 발생 시점과 정확히 궤를 같이한다.18 이는 제도의 도입이 산업계의 자발적인 기술 표준화 요구가 아니라, 외부의 명백한 위협으로부터 국가 핵심 정보 인프라를 보호해야 한다는 절박한 ‘국가 안보적 동기’에 의해 강력하게 추동되었음을 명백히 보여준다.

이러한 배경은 KCMVP 제도의 본질적 성격을 규정한다. KCMVP는 암호 기술의 안전성을 보장하는 기술적 ‘게이트키퍼’로서의 역할과 동시에, 국가의 사이버 안보 정책을 시장에 관철시키는 정책적 ‘집행 도구’라는 이중적 성격을 지닌다. 따라서 KCMVP의 주요 정책 변화, 예를 들어 검증 대상 알고리즘의 선정, 보안 등급별 요구사항의 조정, 시험기관 정책의 변경 등을 이해하기 위해서는 기술적 타당성이라는 렌즈만으로는 부족하다. 변화하는 국내외 안보 환경, 새로운 공격 기술의 등장, 그리고 이에 대한 국가 최고 정보기관인 국가정보원의 전략적 판단이라는 더 넓은 프리즘을 통해 분석해야만 그 본질에 접근할 수 있다. 이 관점은 KCMVP가 왜 그토록 강력한 법적 기반 위에서 운영되며, 왜 국산 기술 주권을 강조하는 경향을 보여왔는지를 설명하는 핵심 열쇠가 된다.

KCMVP 검증 제도의 기술적 뼈대는 국제 표준에 기반한 두 개의 핵심 국가표준(KS)으로 구성된다. 이는 KCMVP가 독자적인 기준이 아닌, 글로벌 수준의 기술적 합의를 따르고 있음을 의미하며, 제도의 객관성과 신뢰성을 담보하는 중요한 요소이다.2 이 두 표준은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 표준을 원문 그대로 채택(IDT, Identical)한 것으로, 다음과 같다.

KS X ISO/IEC 19790에서 정의하는 11개의 주요 보안 기능 영역은 암호모듈의 전 생애주기에 걸친 보안성을 종합적으로 평가하기 위해 설계되었다. 각 영역의 개요는 다음과 같다.

  1. 암호모듈 명세 (Cryptographic Module Specification): 모듈의 물리적/논리적 경계, 기능, 제공 서비스, 보안 정책 등을 명확하게 문서로 정의해야 한다.
  2. 암호모듈 포트 및 인터페이스 (Cryptographic Module Ports and Interfaces): 데이터 입력, 데이터 출력, 제어 입력, 상태 출력 등 모든 외부 인터페이스를 논리적으로 명확히 분리하고, 중요보안매개변수(CSP, Critical Security Parameter)가 평문으로 유출되지 않도록 관리해야 한다.
  3. 역할, 서비스 및 인증 (Roles, Services, and Authentication): 암호 관리자, 사용자 등 명확한 역할을 정의하고, 각 역할에 따라 허가된 서비스에만 접근할 수 있도록 통제해야 한다. 보안 등급에 따라 역할 기반 또는 신원 기반 인증 메커니즘이 요구된다.
  4. 유한상태모델 (Finite State Model): 전원 인가, 초기화, 오류, 암호 기능 수행 등 암호모듈이 가질 수 있는 모든 동작 상태와 상태 간의 전이 조건을 명확하게 모델링해야 한다.
  5. 물리적 보안 (Physical Security): 외부의 물리적 침투나 변조 시도를 탐지하고 대응하기 위한 메커니즘을 요구한다. 등급에 따라 변조 증거(tamper-evidence)에서 변조 방응(tamper-response)까지 요구 수준이 높아진다.
  6. 운영 환경 (Operational Environment): 암호모듈이 동작하는 운영체제(OS), 하드웨어 플랫폼 등 외부 환경을 명시하고, 해당 환경이 모듈의 보안 정책을 침해하지 않도록 설계되어야 한다.
  7. 암호키 관리 (Cryptographic Key Management): 암호 시스템의 보안 수준을 결정하는 가장 중요한 요소로, 암호키의 생성, 저장, 분배, 사용, 제로화(zeroization) 등 전 생명주기에 걸쳐 안전한 관리 절차를 요구한다.
  8. 전자기 간섭/양립성 (EMI/EMC): 암호모듈이 다른 전자기기와의 간섭으로 인해 오작동하거나, 반대로 다른 기기에 간섭을 주지 않아야 함을 요구한다.
  9. 자가 시험 (Self-Tests): 모듈 스스로 자신의 무결성과 핵심 기능의 정상 동작 여부를 검증하는 기능이다. 전원 인가 시와 특정 기능 호출 시(조건부) 수행되어야 한다.
  10. 생명주기 보증 (Life-Cycle Assurance): 제품의 설계, 개발, 배포, 유지보수 등 전 과정에 걸쳐 보안이 고려되었음을 보증하기 위한 절차를 요구한다. 형상 관리, 개발 환경 보안, 최종 사용자 지침 제공 등이 포함된다.
  11. 기타 공격 완화 (Mitigation of Other Attacks): 표준에서 명시적으로 다루지 않은 특정 공격(예: 부채널 공격, 오류 주입 공격)에 대해 개발자가 자체적으로 완화 기법을 설계하고 구현했는지를 평가한다.

KCMVP는 암호모듈이 제공하는 보안 보증 수준의 강도에 따라 1등급부터 4등급까지 총 4개의 보안 등급(Security Level)을 정의한다. 등급이 높아질수록 요구되는 보안 기능은 더욱 엄격하고 복잡해지며, 이는 모듈의 구현 비용 및 복잡도와 직결된다.2 개발업체는 보호 대상 정보의 중요도와 운영 환경을 고려하여 목표 보안 등급을 설정하고, 해당 등급의 모든 요구사항을 만족하도록 암호모듈을 설계해야 한다.

각 보안 등급별 핵심 요구사항과 차이점은 다음과 같다.

보안 영역 보안수준 1 보안수준 2 보안수준 3 보안수준 4
암호모듈 명세 기본 요구사항 충족 기본 요구사항 충족 기본 요구사항 충족 기본 요구사항 충족
포트 및 인터페이스 논리적 분리 논리적 분리 CSP 입출력 포트의 물리적 또는 논리적 분리 CSP 입출력 포트의 물리적 또는 논리적 분리
역할, 서비스, 인증 인증 요구 안 함 역할 기반 인증 신원 기반 인증 다중 신원 기반 인증 권장
유한상태모델 기본 요구사항 충족 기본 요구사항 충족 기본 요구사항 충족 기본 요구사항 충족
물리적 보안 요구 안 함 변조 증거(Tamper-Evident) 변조 방지/반응(Tamper-Resistant/Response) 변조 방지/반응 + 환경적 공격 보호
운영 환경 제한된 운영환경 제한된 운영환경 - (하드웨어 모듈) - (하드웨어 모듈)
키 관리 기본 키 관리 요구사항 기본 키 관리 요구사항 CSP의 평문 출력 금지 (암호화된 형태로만 출력) CSP의 평문 출력 금지 (암호화된 형태로만 출력)
EMI/EMC FCC Class B 요구사항 FCC Class B 요구사항 FCC Class B 요구사항 FCC Class B 요구사항
자가 시험 전원 인가 및 조건부 자가 시험 전원 인가 및 조건부 자가 시험 전원 인가 및 조건부 자가 시험 전원 인가 및 조건부 자가 시험
생명주기 보증 형상 관리 형상 관리 + 배포 관리 형상 관리 + 배포 관리 + 개발 보안 형상 관리 + 배포 관리 + 개발 보안
구현 형태 S/W, F/W, H/W S/W, F/W, H/W H/W만 가능 H/W만 가능

주: 본 표는 핵심적인 차이점을 요약한 것이며, 실제 요구사항은 관련 표준 문서를 참조해야 한다. 2

KCMVP는 암호모듈에 탑재되는 개별 암호 알고리즘이 안전성, 신뢰성, 상호운용성 측면에서 적합한지를 평가한다. 이를 위해 검증기관인 국가정보원은 ‘검증대상 암호알고리즘 목록’을 지정하여 공표하며, 암호모듈은 이 목록에 포함된 알고리즘을 최소 하나 이상 구현해야 한다.7 KCMVP의 알고리즘 정책은 특히 국산 암호 기술의 발전을 장려하고 국가 암호 기술의 자립도를 높이는 데 중점을 두는 경향을 보여왔다.28 이로 인해 ARIA, SEED, LEA, HIGHT와 같은 국산 블록암호 알고리즘과 국산 전자서명 표준인 KCDSA가 목록의 중요한 부분을 차지한다.30

물론 국산 알고리즘 외에도 국제적으로 널리 사용되는 표준 알고리즘도 검증 대상으로 포함하고 있다. RSA, ECDSA와 같은 공개키 암호 기술과 SHA-2 계열의 해시 함수가 대표적이다.30 이러한 알고리즘들은 각각의 기능에 따라 대칭키 암호, 공개키 암호, 해시 함수, 전자서명, 메시지 인증 코드, 난수 발생기, 키 설정 및 유도 함수 등으로 분류된다.11 개발사는 암호모듈의 용도와 목적에 맞게 이들 중 필요한 알고리즘을 선택하여 구현하고, ‘암호알고리즘 구현적합성 검증(CAVP)’ 시험을 통해 각 알고리즘이 표준 명세에 따라 정확하게 구현되었음을 입증해야 한다.34

구분 알고리즘 관련 표준 (예시) 주요 특징
대칭키 블록암호 ARIA, SEED, LEA, HIGHT KS X 1213, KS X 3240 등 국산 표준 블록암호 알고리즘. 다양한 키 길이와 블록 크기 지원.
공개키 암호 RSAES-OAEP KS X ISO/IEC 18033-2 RSA 기반 암호화 알고리즘.
전자서명 KCDSA, EC-KCDSA KS X 3262, KS X 3264 국산 표준 전자서명 알고리즘.
  RSASSA-PKCS1-v1_5, RSASSA-PSS KS X ISO/IEC 14888-2 RSA 기반 전자서명 알고리즘.
  ECDSA KS X ISO/IEC 14888-3 타원곡선 기반 전자서명 알고리즘.
해시 함수 SHA-2 (224/256/384/512), LSH KS X ISO/IEC 10118-3 데이터 무결성 검증에 사용.
메시지 인증 코드 HMAC KS X ISO/IEC 9797-2 키를 사용하는 해시 함수로, 메시지 무결성과 인증 동시 제공.
난수 발생기 CTR_DRBG, HASH_DRBG NIST SP 800-90A 암호학적으로 안전한 난수 생성.
키 설정/유도 ECDH, KDF KS X ISO/IEC 11770-3 키 교환 및 마스터 키로부터 세션 키 생성.

주: 본 목록은 대표적인 알고리즘을 요약한 것이며, 최신 전체 목록 및 세부 규격은 국가사이버안보센터의 공지를 참조해야 한다. 7

KCMVP 검증 기준에서 특히 중요하게 다루어지는 두 가지 기능은 ‘키 관리’와 ‘자가 시험’이다. 이 두 기능은 암호모듈의 보안성이 단순히 이론에 그치지 않고, 실제 운영 환경에서 지속적으로 유지될 수 있도록 보장하는 핵심적인 역할을 수행한다.

KCMVP의 기술 표준을 깊이 들여다보면, 단순한 기술 명세 이상의 정책적 철학과 전략적 의도가 담겨 있음을 발견할 수 있다. 특히 보안 등급 체계와 국산 알고리즘 중심 정책은 KCMVP의 성격을 규정하는 중요한 두 축이다.

첫째, 보안 등급 체계는 ‘소프트웨어의 내재적 한계’를 인정하고 ‘하드웨어 기반 신뢰’를 정책적으로 유도하는 철학을 내포한다. 자료에 따르면 보안수준 3 이상을 획득하기 위해서는 반드시 하드웨어 형태로 암호모듈을 구현해야 한다.5 또한 보안수준 3부터는 외부의 물리적 침투 시도에 능동적으로 대응하여 내부의 중요 키를 삭제하는 강력한 변조 방지/반응 기능이 요구된다.2 이는 운영체제(OS)나 다른 응용 소프트웨어의 취약점으로부터 결코 자유로울 수 없는 소프트웨어 암호모듈의 근본적인 한계를 정책적으로 인정한 것이다. 즉, 아무리 잘 만들어진 소프트웨어라도 그것이 실행되는 플랫폼(OS)이 해킹당하면 무용지물이 될 수 있다는 현실을 반영한 것이다. 따라서 국가가 가장 중요하게 여기는 데이터를 보호하는 시스템에는 운영 환경과 분리된, 신뢰할 수 있는 실행 환경(Trusted Execution Environment)을 제공하는 검증된 하드웨어 보안 모듈(HSM, Hardware Security Module)을 사용하도록 정책적으로 강제하는 효과를 낳는다. 이는 단순한 기술 등급의 구분을 넘어, 국가의 보안 신뢰도 모델(Trust Model)이 어디에 기반하고 있는지를 보여주는 중요한 정책적 시그널이다.

둘째, ‘국산 알고리즘’ 중심 정책은 기술 자립과 국제 고립이라는 양날의 검이다. KCMVP는 ARIA, SEED, KCDSA 등 국산 암호 알고리즘의 개발과 사용을 적극적으로 장려해왔다.30 이는 국내 암호 기술 생태계를 육성하고, 특정 외산 암호 기술에 대한 국가적 종속을 피하려는 ‘기술 주권’ 확보 전략의 일환으로 해석할 수 있다. 실제로 이 정책은 국내 보안 기업들이 독자적인 암호 기술 역량을 축적하는 데 크게 기여했다. 그러나 이러한 정책은 필연적으로 부작용을 동반한다. 국제적으로 널리 쓰이는 표준(예: AES)의 수용에 소극적이었던 과거의 기조는 글로벌 솔루션이 국내 공공 시장에 진입하는 데 높은 기술적, 비용적 장벽으로 작용했으며, 국내 제품의 해외 시장 진출 시 상호운용성 확보에 어려움을 겪는 원인이 되기도 했다.32 최근 국가정보원이 AES 도입을 본격적으로 검토하고 있다고 밝힌 것 38은, 이러한 기술 주권과 글로벌 표준화 사이의 딜레마 속에서 새로운 정책적 균형점을 찾으려는 중요한 시도로 평가된다. 이는 KCMVP가 더 이상 고립된 섬이 아닌, 글로벌 기술 생태계와의 연동을 모색하는 방향으로 진화하고 있음을 시사한다.

KCMVP 인증을 획득하는 과정은 개발업체인 신청기관, 실제 시험을 수행하는 시험기관, 그리고 최종 검증을 담당하는 검증기관(국가정보원) 간의 정교하고 체계적인 상호작용으로 이루어진다.5 이 절차는 암호모듈의 보안성이 객관적이고 일관된 기준에 따라 철저히 검증되도록 설계되었다. 전체 과정은 크게 5단계로 구분할 수 있다.

  1. 1단계: 신청 및 계약

    모든 절차는 암호모듈을 개발한 업체(신청기관)가 KCMVP 인증을 받기로 결정하는 것에서 시작된다. 신청기관은 목표로 하는 보안 등급을 설정하고, 이에 맞춰 암호모듈 시험신청서와 함께 뒤에서 상술할 필수 제출물들을 작성하여 지정된 시험기관 중 한 곳에 제출한다.11 제출물을 접수한 시험기관은 공식적인 시험 계약에 앞서 제출물의 완성도와 시험 가능 수준 여부를 검토하는 ‘사전검토’를 진행한다.5 이 단계에서 제출물이 미비하다고 판단되면 시험기관은 신청기관에 보완을 요청할 수 있으며, 이 과정이 원활해야 전체 시험 기간을 단축할 수 있다.17 제출물이 시험을 진행하기에 충분한 수준이라고 판단되면, 양측은 시험 범위, 일정, 비용(민간 시험기관의 경우) 등을 명시한 공식 시험 계약을 체결한다.34

  2. 2단계: 시험 수행

    계약이 체결되면 본격적인 시험 단계에 돌입한다. 시험기관은 KS X ISO/IEC 24759 표준에 명시된 절차에 따라 다각적인 시험을 수행한다.17 주요 시험 활동은 다음과 같다.

    • 제출물 검토: 설계서, 시험서 등 제출된 모든 문서가 검증 기준의 요구사항을 논리적으로 만족하는지 면밀히 검토한다.

    • 소스코드 분석: 제출된 소스코드를 직접 분석하여 설계서와 구현 간의 일치 여부, 잠재적인 보안 취약점, 코딩 표준 준수 여부 등을 확인한다.

    • 기능 시험: 암호모듈을 실제 시험 환경에 설치하고, 모든 암호 기능과 관리 기능이 명세서대로 정확히 동작하는지 테스트한다. 특히, 암호알고리즘 구현적합성 검증(CAVP)을 통해 모든 암호 알고리즘이 표준 테스트 벡터에 대해 정확한 결과를 출력하는지 검증한다.

    • 취약점 분석: 알려진 공격 기법이나 잠재적 취약점을 이용하여 모듈의 보안성을 침해하려는 시도를 수행한다.

      시험 과정에서 결함이나 기준 미달 사항이 발견되면, 시험기관은 ‘보완요청서’를 통해 신청기관에 공식적으로 수정을 요구하며, 신청기관은 이를 보완하여 다시 시험을 받아야 한다.17

  3. 3단계: 결과 보고

    모든 시험 항목을 성공적으로 통과하면, 시험기관은 전체 시험 과정과 결과를 종합한 ‘시험결과보고서’를 작성한다.11 이 보고서에는 시험 환경, 수행한 시험 절차, 각 시험 항목에 대한 결과, 발견된 결함 및 조치 내역 등 모든 관련 정보가 상세히 기록된다. 작성된 시험결과보고서는 시험기관의 공식적인 결론으로서 검증기관인 국가정보원에 제출된다.

  4. 4단계: 심의 및 판정

    시험결과보고서를 접수한 국가정보원은 보고서의 내용이 검증 기준에 부합하는지, 시험 절차가 공정하고 타당하게 수행되었는지를 검토한다.17 특히 중요한 사안이나 해석의 여지가 있는 경우, 국가정보원은 외부의 저명한 산/학/연 암호 및 보안 전문가들로 구성된 ‘암호검증위원회’를 소집하여 최종 심의를 진행한다.7 위원회는 시험 결과의 타당성과 공정성을 심도 있게 논의하여 암호모듈에 대한 최종 검증 여부를 판정하고, 그 결과를 국가정보원에 권고한다.

  5. 5단계: 결과 통보 및 목록 등재

    최종 심의 결과를 바탕으로 국가정보원은 해당 암호모듈에 대한 인증 여부를 최종 결정한다. 이 결정 사항은 시험기관을 통해 신청기관에 공식적으로 통보된다.11 인증이 결정된 암호모듈에는 고유한 검증번호가 부여되며, 모듈의 이름, 버전, 개발사, 보안 등급, 유효기간 등의 정보와 함께 국가사이버안보센터 홈페이지의 ‘검증필 암호모듈 목록’에 공식적으로 등재된다.5 이 목록은 국가/공공기관이 정보보호 제품 도입 시 인증 여부를 확인하는 공식적인 창구 역할을 한다.

KCMVP 인증 절차에서 제출물은 신청기관이 자신들의 암호모듈이 모든 보안 요구사항을 완벽하게 만족함을 증명하는 가장 핵심적인 증거 자료이다. 따라서 제출물의 품질과 완성도는 시험의 성패와 기간에 결정적인 영향을 미친다.5 시험기관은 제출된 문서를 통해 모듈의 설계 철학을 이해하고, 이를 바탕으로 시험 계획을 수립하기 때문에, 내용이 불분명하거나 누락된 경우 시험이 지연되거나 불가능할 수 있다.

핵심적인 필수 제출물은 다음과 같다.5

이처럼 제출물 작성은 고도의 전문성을 요구하는 작업이므로, 많은 개발업체들이 어려움을 겪는다. 이러한 문제를 해소하기 위해 한국인터넷진흥원(KISA)과 같은 기관에서는 ‘암호모듈 제출물 작성 안내서’를 제작하여 배포하고, 중소기업 등을 대상으로 무료 컨설팅 서비스를 제공하는 등 다양한 지원 활동을 펼치고 있다.40

KCMVP 인증은 일회성으로 끝나는 것이 아니라, 획득한 보안 수준을 지속적으로 유지하기 위한 엄격한 재검증 및 사후 관리 체계를 갖추고 있다.

KCMVP의 복잡하고 다단계로 구성된 인증 절차는 단순히 까다로운 행정 절차의 나열이 아니다. 이는 ‘신뢰는 검증을 통해 구축된다(Trust but Verify)’는 정보보안의 근본 원칙을 제도적으로 정교하게 구현한 결과물이다. 이 절차의 핵심 철학은 어느 한 주체의 선의나 주장에 의존하지 않고, 다수의 독립된 주체 간의 교차 검증을 통해 객관적이고 견고한 신뢰를 구축하는 데 있다.

과정을 단계별로 살펴보면 이 철학이 어떻게 구현되는지 명확히 알 수 있다. 첫째, 신청기관(개발업체)은 자신들의 암호모듈이 안전하다고 ‘주장’하며 설계서와 자체 시험서 등 증거 자료를 제출한다. 그러나 제도는 이 주장을 그대로 받아들이지 않는다. 둘째, 독립된 제3자인 시험기관이 이 주장을 ‘검증’하기 위해 투입된다. 시험기관은 제출된 문서의 논리적 타당성을 검토할 뿐만 아니라, 소스코드 수준까지 직접 분석하고 5 실제 모듈을 대상으로 기능 및 취약점 시험을 수행하며 17 개발사의 주장을 철저히 검증한다. 셋째, 이 검증 결과조차 최종적인 것으로 간주되지 않는다. 국가 최고 정보보안 기관인 검증기관(국가정보원)이 시험기관의 검증 과정과 결과가 공정하고 타당했는지를 다시 한번 ‘심의’한다.11 필요 시에는 외부 전문가로 구성된 암호검증위원회를 통해 집단 지성을 활용한 최종 판단을 내린다.

이처럼 ‘주장 –» 검증 –» 재검증/심의’로 이어지는 다단계의 중첩된 검증 구조는 프로세스에 참여하는 어느 한 주체의 실수나 악의적인 의도가 최종 결과에 영향을 미치는 것을 원천적으로 방지하는 강력한 통제 장치로 작동한다. 결국 KCMVP 인증 절차는, ‘신뢰’라는 눈에 보이지 않는 무형의 가치를, 투명하고 객관적인 제도적 ‘프로세스’를 통해 누구나 인정할 수 있는 유형의 ‘인증서’로 전환하는 정교한 사회/기술적 메커니즘이라 할 수 있다.

KCMVP 제도를 깊이 이해하기 위해서는 국제적으로 가장 널리 인정받는 암호모듈 검증 제도인 미국의 CMVP(Cryptographic Module Validation Program)와의 비교 분석이 필수적이다. CMVP는 미국 국립표준기술연구소(NIST)와 캐나다 사이버보안센터(CCCS)가 공동으로 운영하며, FIPS 140(Federal Information Processing Standards 140)이라는 표준에 따라 암호모듈을 검증한다. KCMVP는 설계 초기부터 이 CMVP를 벤치마킹했기 때문에 많은 유사점을 공유하지만, 동시에 정책적 목표의 차이로 인한 뚜렷한 차이점도 존재한다.1

비교 항목 KCMVP (대한민국) CMVP (미국/캐나다)
주관 기관 국가정보원(NIS) 국립표준기술연구소(NIST), 사이버보안센터(CCCS)
기반 표준 KS X ISO/IEC 19790, 24759 FIPS 140-2, FIPS 140-3 (ISO/IEC 19790 기반)
알고리즘 정책 국산 알고리즘(ARIA, KCDSA 등) 및 국제 표준 혼용, 국산 기술 주권 강조 FIPS 승인 알고리즘(AES, SHA-3 등) 의무화, 글로벌 표준 확산
시험기관 체계 공공기관 주도에서 민간 개방으로 전환 중 (NSR, KISA, TTA 등) 다수의 민간 공인 시험기관(Accredited CST Lab) 중심
상호인정(MRA) 없음 일본(JCMVP) 등과 상호협력체계 구축
주요 대상 시장 대한민국 국가/공공기관 미국/캐나다 연방정부, 글로벌 시장의 사실상 표준

자료 기반: 1

국내 정보보호 제품 시장, 특히 공공 부문에서는 KCMVP 외에 CC(Common Criteria)인증이라는 또 다른 중요한 평가/인증 제도가 존재한다. 두 제도는 종종 혼동되기도 하지만, 평가의 대상과 범위, 깊이에서 명확한 차이가 있으며 상호 보완적인 관계를 형성한다.

이러한 이중 검증 절차는 일견 번거로워 보일 수 있지만, 정보보호의 신뢰성을 극대화하기 위한 합리적인 설계이다. KCMVP를 통해 암호라는 가장 민감하고 핵심적인 부분의 안전성을 심층적으로 보장하고, CC인증을 통해 그 암호모듈이 전체 시스템 아키텍처 내에서 다른 보안 기능들과 조화롭게 연동되어 안전하게 운영되는지를 종합적으로 평가함으로써, 다층적인 보안 보증 체계를 구축하는 것이다.

KCMVP와 CMVP의 여러 차이점을 관통하는 가장 근본적인 동인은 각 제도가 최적화하려는 ‘목표 함수(Objective Function)’의 차이에서 비롯된다. CMVP의 목표 함수가 ‘글로벌 표준의 확산과 이를 통한 기술 생태계 주도’에 맞춰져 있다면, KCMVP의 목표 함수는 ‘국가적 통제력 확보와 기술 자립을 통한 안보 강화’에 더 큰 가중치를 둔다.

CMVP는 미국이 주도하는 사실상의 글로벌 표준(de facto standard)으로서, 전 세계의 IT 제품들이 FIPS 승인 알고리즘(AES, SHA 등)을 사용하도록 유도한다. 이는 미국이 주도하는 기술 표준의 영향력을 전 세계로 확대하고, 자국 기업들이 글로벌 시장에서 경쟁 우위를 점할 수 있는 환경을 조성하는 효과를 낳는다. 즉, CMVP는 기술 표준인 동시에 미국의 기술 리더십을 공고히 하는 전략적 도구이다.

반면, KCMVP는 그 탄생 배경부터 국가 안보적 필요성에 의해 추동되었다. 따라서 제도의 최우선 목표는 대한민국 국가/공공망에서 사용되는 암호 기술에 대한 ‘가시성’과 ‘통제권’을 국가 내부에 두는 것이다. 국산 알고리즘 사용을 장려하고 29, 국제 상호인정을 맺지 않음으로써 26 외부의 불확실한 기술이나 잠재적 백도어의 위협으로부터 국가 핵심망을 보호하려는 의지가 강하게 드러난다. 이는 ‘개방과 표준화를 통한 영향력 확대’라는 미국의 외향적 전략과, ‘통제와 자립을 통한 내부 안보 강화’라는 한국의 내향적, 방어적 전략의 근본적인 차이를 반영한다. 결국, 두 제도의 기술적, 절차적 차이들은 이러한 서로 다른 전략적 지향점을 구현하기 위한 구체적인 정책 수단들의 집합으로 이해할 수 있다.

KCMVP 제도는 지난 십수 년간 국가 사이버 안보의 초석 역할을 성공적으로 수행해왔지만, 급변하는 기술 환경과 증가하는 산업계의 요구 속에서 몇 가지 구조적인 한계와 개선 요구사항에 직면해왔다.

21세기 암호학의 가장 큰 도전은 양자컴퓨터의 등장이다. 대규모 연산이 가능한 양자컴퓨터가 현실화되면, 현재 인터넷 뱅킹, 전자상거래, 공인인증서 등 현대 암호 시스템의 근간을 이루는 공개키 암호체계(RSA, ECC 등)가 수 시간 내에 무력화될 수 있다.45 이는 국가 안보와 사회 시스템 전반에 재앙적인 결과를 초래할 수 있는 명백하고 시급한 위협이다.

이러한 위협에 대응하기 위해 대한민국 정부는 발 빠르게 움직이고 있다. 2023년 7월, 국가정보원과 과학기술정보통신부는 관계 부처와 협력하여 ‘汎국가 양자내성암호(PQC, Post-Quantum Cryptography) 전환 마스터플랜’을 수립하여 발표했다.46 이 마스터플랜은 2035년까지 국가 및 공공 부문의 전체 암호체계를 양자컴퓨터의 공격에도 안전한 PQC로 전환하는 것을 최종 목표로 설정하고, 이를 위한 단계별 로드맵을 제시하고 있다.45

이 거대한 전환의 핵심 기술적 과제는 안전하고 효율적인 PQC 알고리즘을 확보하는 것이다. 이를 위해 정부는 ‘한국형 양자내성암호(KpqC, Korea Post-Quantum Cryptography)’ 공모전을 진행하여, 국내 산/학/연의 역량을 결집해 한국의 독자적인 PQC 알고리즘을 개발하고 있다.47 2025년 최종 알고리즘이 선정되면, 이를 국가 표준으로 제정하고 KCMVP의 검증 대상에 포함시키는 절차가 진행될 것이다.49

향후 KCMVP는 국가 PQC 전환 과정에서 중추적인 역할을 수행하게 될 것이다. KCMVP는 새롭게 개발될 KpqC 알고리즘과 NIST가 표준으로 선정한 PQC 알고리즘을 검증 대상에 포함하고, 이들 알고리즘이 탑재된 암호모듈의 안전성과 구현 적합성을 시험하기 위한 새로운 검증 기준과 시험 방법론을 개발해야 한다. 이미 일부 국내 기업들은 비검증대상 알고리즘으로 NIST의 PQC 표준 알고리즘을 포함한 암호모듈을 개발하여 KCMVP 인증을 획득하는 등 선제적인 움직임을 보이고 있다.45 KCMVP가 PQC라는 새로운 암호 패러다임을 성공적으로 수용하고 검증 체계를 안정적으로 구축하는 것이 국가 암호체계의 미래를 좌우하는 중요한 과제가 될 것이다.

앞서 제기된 KCMVP의 한계를 극복하고 미래의 도전에 대응하기 위해, 최근 국가정보원은 주목할 만한 정책적 변화를 추진하고 있다. 이는 KCMVP가 과거의 경직된 틀에서 벗어나 보다 유연하고 개방적인 제도로 진화하고 있음을 보여주는 긍정적인 신호이다.

최근 KCMVP를 둘러싼 일련의 정책 변화들-시험기관 민간 개방, 국제표준암호 수용 논의-는 단순히 개별적인 제도 개선을 넘어, KCMVP의 근본적인 운영 철학이 중대한 전환점을 맞이했음을 시사한다. 과거의 KCMVP가 국가정보원 주도, 공공기관의 시험 독점, 국산 알고리즘 중심이라는 특징으로 대표되는 ‘폐쇄적 국가 통제 모델’에 가까웠다면, 현재는 ‘개방적 산업 협력 모델’로의 이행기에 들어섰다고 분석할 수 있다.

이러한 패러다임 전환의 동력은 크게 두 가지로 볼 수 있다. 첫째는 ‘시장과 산업의 압력’이다. 폭증하는 인증 수요를 공공기관만으로 감당할 수 없는 물리적 한계 15와, 글로벌 표준과의 호환성을 요구하는 산업계의 목소리 38가 정책 변화를 이끌어낸 것이다. 둘째는 ‘산업의 성숙’이다. 과거와 달리 국내 보안 기업들의 기술력이 상향 평준화되고, 민간 부문에서도 충분히 고품질의 시험을 수행할 수 있는 역량이 갖추어졌다는 정책 당국의 판단이 민간 개방의 중요한 배경이 되었다.15

따라서 KCMVP의 미래는 더 이상 국가가 일방적으로 정책을 수립하고 시장이 이를 따르는 하향식(top-down) 구조가 아닐 것이다. 앞으로는 정부(검증기관), 민간 시험기관, 암호모듈 개발업체, 그리고 학계가 함께 참여하여 정책 방향을 논의하고 기술 표준을 발전시키는 다자간 ‘거버넌스(Governance)’의 형태로 진화할 가능성이 높다. 이는 제도의 유연성과 확장성을 높이고, 시장의 요구를 신속하게 반영할 수 있다는 점에서 매우 긍정적인 변화이다. 하지만 동시에, 다수의 민간 시험기관들이 동일한 품질과 신뢰도를 유지하도록 관리/감독해야 하는 새로운 규제 과제가 발생하며, 다양한 이해관계자들의 의견을 조율하는 정책 결정 과정의 복잡성이 증가하는 등 새로운 도전에 직면하게 될 것임을 의미하기도 한다.

한국 암호모듈 검증(KCMVP) 제도는 2000년대 초반 대한민국을 강타했던 심각한 사이버 위협에 대응하여 국가 중요 정보 자산을 보호하기 위해 탄생했다. 「전자정부법」 등 강력한 법적 기반 위에 설립된 KCMVP는 단순한 기술 표준을 넘어, 국가 사이버 안보 정책을 구현하는 핵심적인 제도적 장치로 기능해왔다. 운영 초기부터 국제 표준(ISO/IEC 19790)을 기술적 근간으로 삼으면서도, ARIA, SEED 등 국산 암호 알고리즘의 개발과 사용을 장려하는 독자적인 노선을 견지했다. 이러한 정책은 국내 암호 기술의 자립도를 높이고 관련 산업 생태계를 육성하는 데 크게 기여했으나, 한편으로는 글로벌 기술 표준과의 괴리 및 상호운용성 저하라는 과제를 남기기도 했다. 엄격한 4단계 보안 등급 체계와 다단계 인증 절차는 국가가 요구하는 신뢰 수준을 명확히 제시하고, 이를 통과한 제품만이 공공 시장에 진입할 수 있도록 함으로써 국가 정보통신망의 보안 수준을 체계적으로 향상시키는 데 결정적인 역할을 수행했다.

현재 KCMVP는 역사적인 전환점에 서 있다. 양자컴퓨터의 등장은 현존 암호체계의 근간을 위협하는 거대한 도전이며, 제로 트러스트와 같은 새로운 보안 패러다임의 확산은 제도의 근본적인 변화를 요구하고 있다. 시험기관 민간 개방, 국제표준암호 수용 논의, 그리고 범국가적 양자내성암호(PQC) 전환 로드맵 수립은 이러한 도전에 대한 정부의 능동적이고 시의적절한 대응으로 평가된다. KCMVP가 미래의 디지털 환경에서도 대한민국의 핵심 안보 인프라로서 그 역할을 성공적으로 수행하기 위해서는, 다음과 같은 전략적 방향성을 견지하며 끊임없이 혁신해야 한다.

  1. ‘유연한 기술 주권’ 전략으로의 전환: 국산 암호 기술 개발에 대한 지원은 지속하되, 과거의 폐쇄적 기조에서 벗어나 AES와 같은 검증된 국제 표준을 전향적으로 수용해야 한다. 이는 국내 기업의 글로벌 경쟁력 강화와 상호운용성 확보에 필수적이다. ‘모든 것을 국산화’하려는 전략 대신, 핵심 분야에 역량을 집중하고 그 외에는 글로벌 표준과 협력하는 ‘선택과 집중’을 통해 보다 유연하고 개방적인 기술 주권 전략을 추구해야 한다.
  2. 민간 협력 거버넌스의 강화: 시험기관이 다원화된 만큼, 모든 민간 시험기관이 동일한 수준의 품질과 신뢰도를 일관되게 유지할 수 있도록 국가정보원의 강력하고 체계적인 관리/감독 체계가 구축되어야 한다. 정기적인 감사, 시험관 자격 관리, 시험 결과 교차 검증 등을 통해 ‘민간 개방’이 ‘품질 저하’로 이어지지 않도록 철저히 관리해야 한다. 또한, 정책 결정 과정에 산업계와 학계의 목소리를 제도적으로 반영할 수 있는 공식적인 협의 채널을 확대하여, 시장의 요구와 기술 발전을 신속하게 정책에 반영하는 선순환 구조를 만들어야 한다.
  3. 양자내성암호(PQC) 전환의 글로벌 선도: 다가오는 양자 시대에 국가 암호체계를 안정적으로 전환하는 것은 KCMVP에 주어진 가장 중대한 임무이다. 한국형 양자내성암호(KpqC)의 표준화와 이를 검증하기 위한 시험 기준 및 방법론 개발을 신속히 완료해야 한다. 이를 통해 국내 기업들이 PQC 시장을 선점할 수 있도록 기술적 기반을 제공하고, 대한민국의 PQC 전환 과정을 성공적으로 이끌어 전 세계적으로 모범적인 사례를 창출해야 한다.

KCMVP는 더 이상 과거의 성공에 안주하는 정적인 규제가 될 수 없다. 끊임없이 진화하는 사이버 위협 환경과 기술 패러다임의 변화에 맞춰 동적으로 발전하는 ‘살아있는 제도(Living System)’로 거듭나야 한다. 폐쇄적 통제에서 개방적 협력으로, 국내 중심에서 글로벌 연동으로, 현재의 위협 대응에서 미래의 위협 예방으로 나아가는 지속적인 혁신을 통해서만, KCMVP는 다가올 디지털 대전환 시대에 대한민국을 안전하게 수호하는 핵심 초석으로서의 역사적 소명을 다할 수 있을 것이다.

  1. KCMVP: 수립 시점과 보급 확산 과정에 대한 심층 분석 - 법무법인 법승 대전, 8월 5, 2025에 액세스, https://www.lawwin.co.kr/daejeon/knowledgedetail?index=7272
  2. KCMVP 암호모듈 검증제도의 중요성과 그 필요성 - Goover, 8월 5, 2025에 액세스, https://seo.goover.ai/report/202504/go-public-report-ko-a60b626e-473d-4124-b7f5-0e543366ae59-0-0.html
  3. 국가정보통신망을 위한 KCMVP 암호모듈 검증 제도의 역할과 중요성 - Goover, 8월 5, 2025에 액세스, https://seo.goover.ai/report/202503/go-public-report-ko-ec9201bb-06f3-455c-8894-b2e12b90885d-0-0.html
  4. KCMVP: 수립 시점과 보급 확산 과정에 대한 심층 분석 - 법무법인 법승 수원, 8월 5, 2025에 액세스, https://www.lawwin.co.kr/suwon/knowledgedetail?index=7272
  5. 암호모듈검증 - 국가사이버안보센터, 8월 5, 2025에 액세스, https://www.ncsc.go.kr:4018/PageLink.do?link=forward:/cop/bbs/selectBoardList.do?bbsId=CryptoQna_main&tempParam1=&menuNo=060000&subMenuNo=060400&thirdMenuNo=
  6. www.ncsc.go.kr, 8월 5, 2025에 액세스, https://www.ncsc.go.kr/PageLink.do?link=forward:/PageContent.do&menuNo=060000&subMenuNo=060100&thirdMenuNo=#:~:text=%EC%95%94%ED%98%B8%EB%AA%A8%EB%93%88%20%EA%B2%80%EC%A6%9D%EC%A0%9C%EB%8F%84%EB%8A%94,%EC%9D%84%20%EA%B2%80%EC%A6%9D%ED%95%98%EB%8A%94%20%EC%A0%9C%EB%8F%84%EC%9E%85%EB%8B%88%EB%8B%A4.
  7. KCMVP란 무엇인가? - Hello, World! - 티스토리, 8월 5, 2025에 액세스, https://swiftcam.tistory.com/292
  8. 암호모듈 검증시험 개요 - 한국정보보안기술원, 8월 5, 2025에 액세스, http://www.koist.kr/sh_page/page70.php
  9. 암호모듈검증 - 개요 - KISA 암호이용활성화, 8월 5, 2025에 액세스, https://seed.kisa.or.kr/kisa/kcmvp/EgovSummary.do
  10. 암호모듈 검증 관리 및 사전검증 서비스, 8월 5, 2025에 액세스, https://www.kcmvp.or.kr/privacy.do
  11. 국내 암호모듈검증 제도 ‘KCMVP’의 모든 것 - 보안뉴스, 8월 5, 2025에 액세스, https://m.boannews.com/html/detail.html?idx=117358
  12. 한국형 암호모듈 검증제도 KCMVP를 알아보자 - IT정보 얻자 - 티스토리, 8월 5, 2025에 액세스, https://security-pl.tistory.com/entry/%ED%95%9C%EA%B5%AD%ED%98%95-%EC%95%94%ED%98%B8%EB%AA%A8%EB%93%88-%EA%B2%80%EC%A6%9D%EC%A0%9C%EB%8F%84-KCMVP%EB%A5%BC-%EC%95%8C%EC%95%84%EB%B3%B4%EC%9E%90
  13. TTA, 국정원 인증 ‘암호모듈 검증’ 민간 시험기관 지정 - 디지털투데이 (DigitalToday), 8월 5, 2025에 액세스, https://www.digitaltoday.co.kr/news/articleView.html?idxno=556822&from=naver
  14. 한국정보통신기술협회(TTA) 암호모듈 검증(KCMVP) 민간 시험기관 지정 - 보도자료 - TTA 대표홈페이지, 8월 5, 2025에 액세스, https://www.tta.or.kr/tta/selectBbsNttView.do?key=76&bbsNo=107&nttNo=13980
  15. 국정원, ‘암호모듈 시험체계 민간중심’으로 전환 추진 - 데일리시큐, 8월 5, 2025에 액세스, https://www.dailysecu.com/news/articleView.html?idxno=144247
  16. 개요 < 개요 및 체계 < 암호모듈검증 - 국가사이버안보센터, 8월 5, 2025에 액세스, https://www.ncsc.go.kr/PageLink.do?link=forward:/PageContent.do&menuNo=060000&subMenuNo=060100&thirdMenuNo=
  17. 암호모듈검증 - 시험/검증절차 - KISA 암호이용활성화, 8월 5, 2025에 액세스, https://seed.kisa.or.kr/kisa/kcmvp/EgovProcedure.do
  18. [이슈분석]2000년대 중반 이후 본격화된 ‘사회기반시설’ 공격 - 전자신문, 8월 5, 2025에 액세스, https://m.etnews.com/20190319000065?obj=Tzo4OiJzdGRDbGFzcyI6Mjp7czo3OiJyZWZlcmVyIjtOO3M6NzoiZm9yd2FyZCI7czoxMzoid2ViIHRvIG1vYmlsZSI7fQ%3D%3D
  19. 대한민국의 정보 보안 사고 목록 - 위키백과, 우리 모두의 백과사전, 8월 5, 2025에 액세스, https://ko.wikipedia.org/wiki/%EB%8C%80%ED%95%9C%EB%AF%BC%EA%B5%AD%EC%9D%98%EC%A0%95%EB%B3%B4%EB%B3%B4%EC%95%88%EC%82%AC%EA%B3%A0%EB%AA%A9%EB%A1%9D
  20. 우리나라 정보보안제도의 문제점과 개선방안: 공공부문을 중심으로 - Hanyang University, 8월 5, 2025에 액세스, https://repository.hanyang.ac.kr/bitstream/20.500.11754/116485/1/%EC%9A%B0%EB%A6%AC%EB%82%98%EB%9D%BC%20%EC%A0%95%EB%B3%B4%EB%B3%B4%EC%95%88%EC%A0%9C%EB%8F%84%EC%9D%98%20%EB%AC%B8%EC%A0%9C%EC%A0%90%EA%B3%BC%20%EA%B0%9C%EC%84%A0%EB%B0%A9%EC%95%88%20%EA%B3%B5%EA%B3%B5%EB%B6%80%EB%AC%B8%EC%9D%84%20%EC%A4%91%EC%8B%AC%EC%9C%BC%EB%A1%9C.pdf
  21. KS X ISO/IEC 19790 정보 기술 - 보안 기술 - 암호모듈 보안 요구사항 - 한국표준정보망, 8월 5, 2025에 액세스, https://www.kssn.net/search/stddetail.do?itemNo=K001010064037
  22. KS X ISO/IEC 19790(2020 확인) 정보기술 - 보안기술 - 암호모듈 보안 요구사항 - 한국표준정보망, 8월 5, 2025에 액세스, https://www.kssn.net/search/stddetail.do?itemNo=K001010131103
  23. KS X ISO/IEC 19790 정보기술 - 보안기술 - 암호모듈 보안 요구사항 - 한국표준정보망, 8월 5, 2025에 액세스, https://www.kssn.net/search/stddetail.do?itemNo=K001010106153
  24. KS X ISO/IEC 24759 정보기술 - 보안기술 - 암호모듈 시험 요구사항 - 한국표준정보망, 8월 5, 2025에 액세스, https://www.kssn.net/search/stddetail.do?itemNo=K001010106154
  25. KCMVP 제출물 정리, 8월 5, 2025에 액세스, http://his.pusan.ac.kr/bbs/itrc/5062/540892/download.do
  26. A Study on the Policy of Cryptographic Module … - Korea Science, 8월 5, 2025에 액세스, https://koreascience.kr/article/JAKO201110264496554.pdf
  27. FIPS 140-2 인증이란 무엇입니까? - Entrust, 8월 5, 2025에 액세스, https://www.entrust.com/ko/resources/learn/what-fips-140-2
  28. 정보보안 - 정보보안/정보보호 인증 - 암호모듈 검증(KCMVP) - Char - 티스토리, 8월 5, 2025에 액세스, https://charstring.tistory.com/402
  29. The Korea Cryptographic Module Validation Program (KCMVP): A Cornerstone of National Cybersecurity - 법무법인 법승 광주, 8월 5, 2025에 액세스, https://www.lawwin.co.kr/gwangju/knowledgedetail?index=7281
  30. 암호화 모듈 원칙, 8월 5, 2025에 액세스, http://kocw-n.xcache.kinxcdn.com/data/document/2021/dju/choyeongbok0210/15.pdf
  31. 펜타시큐리티, IoT용 암호모듈 KCMVP 인증 획득 - 지디넷코리아, 8월 5, 2025에 액세스, https://zdnet.co.kr/view/?no=20181227142603
  32. Study on Selftest Requirements in Cryptographic Module Validation Program with FIPS-OpenSSL Source Code Analysis - Korea Science, 8월 5, 2025에 액세스, https://koreascience.kr/article/JAKO201931765047921.page
  33. 검증필 암호모듈 (KCMVP) - 드림시큐리티, 8월 5, 2025에 액세스, https://kcmvp.dreamsecurity.com/kcmvp.html
  34. 암호모듈검증 절차 - 한국시스템보증(주), 8월 5, 2025에 액세스, https://www.kosyas.com/html/module/module02.php
  35. [설계보안] 보안기능 05 - 암호키 관리 - Become a Good Analyst - 티스토리, 8월 5, 2025에 액세스, https://prokyhsigma.tistory.com/32
  36. 암호화 키 관리, 8월 5, 2025에 액세스, http://kocw-n.xcache.kinxcdn.com/data/document/2021/dju/choyeongbok0210/16.pdf
  37. [암호화 키 관리 A to Z(2)] 암호화 키 관리 권고 사항 - 데일리시큐, 8월 5, 2025에 액세스, https://www.dailysecu.com/news/articleView.html?idxno=7565
  38. 국정원, 사이버안보 정책 구체화…‘망분리 개선안’ 공개 - 지디넷코리아, 8월 5, 2025에 액세스, https://zdnet.co.kr/view/?no=20240909165617
  39. TTA 고객서비스포털, 8월 5, 2025에 액세스, https://cs.tta.or.kr/
  40. 정부, ‘암호모듈검증’ 신청 안내서 배포 - 지디넷코리아, 8월 5, 2025에 액세스, https://zdnet.co.kr/view/?no=20220831103441
  41. KISA, ‘암호모듈 제출물 작성 안내서’ 제작/배포 - 보안뉴스, 8월 5, 2025에 액세스, https://www.boannews.com/media/view.asp?idx=109480&page=376&kind=2
  42. 암호모듈 검증제도 체계 개선방안 연구 - Korea Science, 8월 5, 2025에 액세스, https://koreascience.kr/article/JAKO202020363947033.page
  43. 암호모듈 검증제도 체계 개선방안 연구 -Review of KIISC, 8월 5, 2025에 액세스, https://koreascience.kr/article/JAKO202020363947033.view?orgId=anpor&hide=breadcrumb,journalinfo
  44. Analysis of the Trends of Domestic/International IT … - Korea Science, 8월 5, 2025에 액세스, https://koreascience.kr/article/JAKO201926072346488.page
  45. 한컴위드, PQC 포함 암호모듈 국정원 KCMVP 검증 획득 - ITBizNews, 8월 5, 2025에 액세스, https://www.itbiznews.com/news/articleView.html?idxno=157586
  46. 정부, 양자내성암호 전환 위한 마스터플랜 수립한다 - 한국양자협회, 8월 5, 2025에 액세스, https://www.kquantum.or.kr/post/%EC%A0%95%EB%B6%80-%EC%96%91%EC%9E%90%EB%82%B4%EC%84%B1%EC%95%94%ED%98%B8-%EC%A0%84%ED%99%98-%EC%9C%84%ED%95%9C-%EB%A7%88%EC%8A%A4%ED%84%B0%ED%94%8C%EB%9E%9C-%EC%88%98%EB%A6%BD%ED%95%9C%EB%8B%A4
  47. 국내/외 양자내성암호 표준화 및 전환 정책 동향 분석 -Review of KIISC - Korea Science, 8월 5, 2025에 액세스, https://koreascience.kr/article/JAKO202406539604870.pub?orgId=kiisc
  48. 한컴위드, 양자내성암호 시장 본격 공략…국내 최초, 양자내성 암호모듈 국정원 KCMVP 검증 획득 - 양자신문, 8월 5, 2025에 액세스, https://www.quantumtimes.net/news/articleView.html?idxno=54604
  49. 차세대 암호 - 양자내성암호 - KISA 암호이용활성화, 8월 5, 2025에 액세스, https://seed.kisa.or.kr/kisa/ngc/pqc.do
  50. 미래 전장의 새로운 방패, 양자내성암호로의 대전환 인사이트리포트 삼성SDS, 8월 5, 2025에 액세스, https://www.samsungsds.com/kr/insights/the-great-transition-to-pqc.html
  51. 한컴위드, 국내 최초 양자내성암호 포함 암호모듈 국정원 KCMVP 검증 - 지디넷코리아, 8월 5, 2025에 액세스, https://zdnet.co.kr/view/?no=20250113105118
  52. 2026년부터 우리나라에 국제표준암호 AES 도입 허용된다 - 보안뉴스, 8월 5, 2025에 액세스, https://m.boannews.com/html/detail.html?idx=132764