---

      전자(정보보안) 분야 수출통제 품목 소개 및 통제 동향

---

  

- 성동수 교수(경기대학교, 2011 전략물자 Focus vol.3 기고)

I. 서론

현재 국제사회는 대량살상무기(WMD)와 미사일의 확산 방지를 위하여 각종 무기의 개발, 생산 등에 사용될 수 있는 전략물자의 수출통제를 강화하고 있다. 더불어 핵무기 개발 우려국 등에 대한 국제사회의 제재가 강화되면서 그 제재 수단 중의 하나인 전략물자 수출통제의 중요성이 더욱 부각되고 있다.

 

본고에서는 국내 보안 분야의 무역업체들이 전략물자 수출통제제도를 자율적으로 이행할 수 있도록 보안 분야 전략물자 수출통제 품목에 대해 소개하고 통제품목 개정 동향에 대해 살펴보고자 한다.

 

 

II. 정보보안 분야 수출통제 품목 소개

 

정보보안은 5A002.a, 5D002.a, 5E002에 의하여 통제된다. 5A002.a는 정보보안을 위한 시스템, 장비, 특정응용 전자조립체, 모듈과 집적회로(IC) 및 부품으로서 정보보안을 위해 전용 설계된 것을 통제한다. 5D002.a는 5A002.a에서 통제되는 장비의 개발, 생산, 사용을 위해 전용 설계된 소프트웨어를 통제한다. 5E002는 5A002.a에서 통제되는 장비, 5D002.a에서 통제되는 소프트웨어의 개발, 생산에 따른 기술을 통제한다. 정보보안 분야의 통제 품목은 다음과 같이 일곱 가지로 구분할 수 있다.

 

첫째, 암호화기능을 수행하는 디지털기술이 적용된 암호화를 이용하기 위하여 설계 또는 개조된 것에 관한 내용이다. (그림 1)은 암호기술의 일반적인 구성도이다. 송신자의 평문은 암호화 알고리즘과 암호화 키를 이용하여 암호문으로 암호화되며, 암호문은 복호화 알고리즘과 복호화 키를 이용하여 평문으로 복호화 된다. 암호화 알고리즘은 대칭 암호화 알고리즘과 비대칭 암호화 알고리즘으로 분류 되며, 각각을 설명하고 전략물자 해당 범위를 살펴보면 다음과 같다.

 

대칭 암호 알고리즘은 암호화와 복호화를 위하여 같은 키(대칭키)를 사용한다.

대칭 암호 알고리즘에서 동일 대칭키를 이용하여 평문을 암호화하고 동일 대칭키를 이용하여 암호문을 평문으로 복호화 한다.

대칭 암호 알고리즘은 스트림 암호와 블록 암호로 구분된다.

스트림 암호는 키를 긴 키스트림으로 늘려 평문과 XOR 연산을 하여 암호문을 만든다. 스트림 암호를 이용하는 대표적인 대칭 암호화 알고리즘은 RC4이다.

 

블록 암호는 평문을 일정한 크기의 블록으로 나누고, 키를 이용하여 고정된 크기의 블록 단위의 암호를 생성한다. 블록 암호를 이용하는 대표적인 대칭 암호화 알고리즘은 DES, Triple DES, AES이다. 대칭 암호 알고리즘에서 키 길이가 56비트를 초과하면 전략물자에 해당된다.

 

(그림 1) 암호기술의 구성도

 

 

비대칭 암호 알고리즘은 암호화와 복호화를 위하여 두 개의 키(공개키 및 개인키)를 사용한다. 공개키는 다른 사람들에게 공개하고 개인키는 자신만이 알고 있다. 비대칭 암호 알고리즘에서 평문을 공개키로 암호화하는 방법과 개인키로 암호화하는 방법이 있다.

 

비대칭 암호 알고리즘을 이용하는 첫 번째 방법에서는 평문을 공개키로 암호화 하고 암호문을 공개키에 대응하는 개인키로 복호화 한다.

 

이 방법을 이용하면 상대방의 공개키로 암호화한 내용은 상대방만이 개인키를 이용하여 복호화할 수 있다.

비대칭 암호 알고리즘은 소인수 분해 방법과 이산 대수 방법으로 분류된다.

소인수 분해 방법에서 512 비트를 초과하는 정수의 인수분해를 이용하는 경우 전략물자에 해당된다.

소인수 분해 방법을 이용하는 대표적인 비대칭 암호화 알고리즘은 RSA이다.

이산 대수 방법에서 이산의 곱셈군에서 이산로그의 계산이 512 비트를 초과하거나, 이산의 곱셈군이 아닌 군의 이산로그가 112비트를 초과하는 경우 전략물자에 해당된다.

이산 대수 방법을 이용하는 대표적인 비대칭 암호화 알고리즘은 DH이다.

비대칭 암호 알고리즘을 이용하는 두 번째 방법에서는 평문을 개인키로 암호화하고 암호문을 개인키에 대응하는 공개키로 복호화한다.

이 방법을 이용하면 자신의 개인키로 암호화한 평문은 모든 사람에 의해서 개인키에 대응하는 공개키로 복호화 될 수 있다.

이 방법은 자신임을 입증하는 전자서명에 효과적으로 이용될 수 있다. 암호화 알고리즘이 인증 또는 전자서명에 이용한 경우에는 전략물자에 해당되지 않는다.

 

둘째, 암호분석 기능을 수행하기 위해 설계되거나 개조된 것에 관한 내용이다.

암호분석은 암호문을 가지고 암호화 이전의 평문을 알아내거나 암호화하는데 사용한 알고리즘이나 키를 알아내는 것이다.

최근에는 암호화에 사용되는 알고리즘을 거의 공개되어 있기 때문에 암호 분석은 알고리즘에 사용된 키를 찾고 이를 이용하여 평문을 찾는 것이다. 암호분석 기능을 수행하기 위해 설계되거나 개조된 것이면 전략물자에 해당된다.

 

셋째, 건강 또는 안전을 위하여 필요한 것 이상으로 전용 설계되거나 개조된 전자파 차폐장치 관한 내용이다.

외부의 전파 환경으로부터 어떤 특정 공간을 보호하거나 어떤 특정 설비로부터 발생한 전자파가 외부로 유출되는 것을 방지하기 위한 전자파 차폐 장치가 건강 또는 안전을 위하여 필요한 정도 이상으로 전용 설계되거나 개조된 경우 전략물자에 해당된다.

 

넷째, 초광대역 변조기술 시스템 및 확산 스펙트럼 시스템에서 이용하는 암호화기술에 관한 내용이다.

초광대역(ultra-wideband)은 단거리 구간에서 매우 짧은 펄스를 이용하여 많은 양의 디지털 데이터를 송수신하는 무선통신기술이다.

반송파를 이용하지 않고 매우 짧은 펄스를 이용하기 때문에 대역폭이 넓으며, 반송파를 갖지 않으므로 회로의 크기가 작고 전력 소모가 작다는 장점이 있어 군용을 포함하여 여러 분야에 응용될 수 있다.

초광대역 변조기술 시스템을 위한 채널코드, 스크램블링코드 또는 네트워크식별코드를 생성하기위하여 암호화기술을 사용하고자 설계되거나 개조된 것으로 500MHz를 초과하는 주파수대역폭을 가지거나 비대역폭이 20% 이상이면 전략물자에 해당된다.

또한, 주파수 호핑 시스템을 포함하여 확산 스펙트럼 시스템을 위한 스프레딩 부호를 생성하기 위하여 암호화기술을 사용하고자 설계되거나 개조된 것이면 전략물자에 해당된다.

 

다섯째, 비암호 정보통신 기술 보안 시스템 및 장비에 관한 내용이다.

EAL-6 이상의 공통평가기준 등급을 획득하고 비암호 정보통신기술을 이용한 보안 시스템 및 장비는 전략물자에 해당된다.

EAL은 정보 보안 제품의 보증수준을 정하기 위한 보증등급으로 EAL-7은 최고의 평가 보증 등급이며 EAL-6은 그 다음의 보증 등급이다.

 

여섯째, 침입을 탐지하기 위해 기계적, 전기적 혹은 전자적인 방법으로 설계되거나 개조된 통신케이블 시스템에 관한 내용이다.

 (그림 2)는 침입탐지 및 방지를 위한 보안 시스템 기본적인 구조이며, 각각의 요소를 설명하고 전략물자 해당여부를 살펴보면 다음과 같다.

방화벽에서 인터넷 주소와 포트를 제어함으로써 인가된 사용자에 대해서만 내부망으로의 접근을 허용하며 비인가 인터넷 주소와 포트를 차단한다.

방화벽에서의 보호대상은 내부망의 모든 컴퓨터이다.

패킷 필터링은 특정 송신원 주소 또는 발신원 주소 등을 가진 패킷의 통과를 제한하는 기능을 가지고 있는데, 이와 같은 패킷 필터링의 기능만을 포함한 단순 방화벽 장비는 침입을 탐지하는 기능이 없기 때문에 전략물자에 해당되지 않는다.

반면, 개선된 방화벽 장비는 단순 방화벽 기능에 저수준의 침입 탐지 및 침입 방지 기능을 포함하고 있기 때문에 전략물자에 해당 된다.

 

(그림 2) 침입탐지 및 방지를 위한 보안 시스템 구조

 

 

패킷의 내용을 분석하여 유해한 패킷을 차단하거나, 즉시 차단하지 않고 다수의 패킷의 내용을 분석하여 차단 여부를 결정하는 침입 탐지 기능 또는 침입 방지 기능을 포함하고 있는 경우 전략물자에 해당된다.

침입 탐지 시스템은 특정 패턴을 기반으로 패킷의 내용을 분석하여 공격자의 침입을 탐지한다.

 

일반적으로 침입 탐지 시스템은 공격자의 침입을 탐지한 후 방화벽에 차단을 요청한다. 침입 방지 시스템은 침입 탐지 및 차단 기능을 포함하고 있다.

 

즉, 탐지된 공격에 대해 연결을 끊는 등 적극적으로 막아주는 기능을 포함한다. 이를 이용하여 침입에 대한 트래픽의 근원지를 차단할 수도 있다.

일반적으로, 방화벽을 이용하여 일차적으로 비정상 패킷의 접근을 차단한 후 방화벽을 통과한 패킷에 대하여 이차적으로 침입 탐지 또는 침입 방지 시스템을 이용하여 패킷의 내용을 필터링한다.

침입 탐지 시스템 및 침입 방지 시스템은 대부분의 부정한 침입을 탐지하고 차단하지만 침입의 방법이 계속 발전하고 내부망의 모든 컴퓨터 및 모든 응용 프로그램에 대하여 부정한 침입을 탐지하고 차단하기에는 다소 어려움이 있다. 이를 위하여 특정 응용 프로그램 단위의 침입 탐지 및 방지 시스템이 이용되고 있으며, 대표적으로 외부 침입의 70%를 차지하는 웹서버 공격에 대한 탐지를 위한 웹 방화벽 장비가 있다.

웹 방화벽 장비는 HTTP/HTTPS 내부에 포함된 트래픽을 검사하고 공격시도나 위협으로 간주될 경우에 차단한다.

보호대상은 내부망에서 웹 서비스를 하는 모든 웹서버이다.

웹 방화벽 장비는 방화벽 또는 침입탐지/방지 시스템에서 걸러주지 못하는 위험한 유해 트래픽을 웹 서버에 도달 하지 못하도록 차단한다.

이를 이용하여 고도로 지능화, 다양화되고 있는 웹 공격을 효율적으로 탐지 및 차단하여 안정적이고 신뢰할 수 있는 웹 애플리케이션의 운영을 가능하게 한다.

대부분의 침입 방지 시스템은 네트워크 기반 침입방지 시스템이나 특정 컴퓨터의 침입 방지를 위한 호스트 기반 침입 방지 시스템도 있다.

네트워크 기반 침입 방지 시스템은 방화벽처럼 네트워크에 인라인 모드로 설치돼 공격을 차단해주는 기능을 하고 호스트 기반 침입 방지 시스템은 내부 사용자 및 외부 통신망을 이용한 외부 사용자의 잠재적 위반분석 및 대응 기능이 있어 부정한 침입을 탐지하고 대응할 수 있으며, 부정한 사용자가 접속한 서버를 다른 서버로 부정 접속하기 위한 중간 경유지로 이용하는 것을 차단할 수도 있다.

 

일곱째, 양자암호화를 사용하기 위해 설계되거나 개조된 것에 관한 내용이다.

양자 암호화는 빛의 양자 역학적 특성을 이용하는 암호화 기술로, 광섬유의 양자 채널을 이용하여 암호화에 필요한 키를 주고받는다.

키가 전송되는 도중에 도청되면 키 교환을 위한 통신내용이 변질되므로 도청된 사실을 쉽게 확인할 수 있다.

수신자는 이러한 특성을 이용하여 도청이 확인되면 다른 경로를 이용하여 새로운 키를 재송신 받음으로써 도청이 매우 어렵다. 양자암호화를 사용하기 위해 설계되거나 개조된 시스템 및 장비는 전략물자이다.

 

 

다음에 해당되는 품목은 예외 규정에 의하여 정보보안에서 통제하지 않는다.

 

 첫째, 개인정보의 보호만을 위해 사용되고, 공공이나 상업용 거래 혹은 개인 신분 확인 등으로 한정되고, 암호 기능에 사용자 접근이 불가능한 스마트카드, 스마트카드 리더 및 라이트, 전자여권과 같이 전자적으로 읽기가 가능한 개인 문서는 통제하지 않는다.

둘째, 은행업무와 요금정산 또는 신용거래를 포함하여 금전거래에만 한정되도록 전용 설계된 암호화장비는 통제하지 않는다.

셋째, 민간 사용목적의 휴대 무선전화나 이동 무선전화로서 암호화된 정보를 직접적으로 RAN(Radio Access Network - 예: 무선 네트워크 제어기 또는 기지국 제어기) 이외의 장비 또는 다른 무선전화에 전송할 수 없으며 암호화된 정보를 RAN 장비를 통해 전송할 수 없는 것은 통제하지 않는다.

넷째, 생산자의 기준에 따라 증폭 없는 무선 통신의 최대효과범위(예, 단말기와 댁내 기지국의 직접통신)가 400미터 미만이고 종단간의 암호화 기능이 불가능한 무선 전화기는 통제하지 않는다.

다섯째, 공개되거나 상업용 암호화 표준이 구현된 민간용도의 휴대용 또는 이동용 무선전화기는 통제하지 않는다. 여섯째, 공개된 또는 상업용 암호 기준만을 이행하고 암호 성능이 30미터를 초과하지 않는 제한된 운영 범위를 갖는 무선 개인 영역 네트워크 장비는 통제하지 않는다.

 

 

III. 정보보안 통제품목 통제 동향 및 결론

 

2009년도 WA 통제품목의 개정에서 정보통신 및 정보보호 분야는 8개(19.5%)의 의제가 논의되었으며, 논의결과 정보보안 품목 중 보조용으로 사용되는 보조 암호가 향후 전략물자에서 제외되어 통제가 완화될 예정이다.

암호 제품은 게임, 가정용품 및 가전, 소프트웨어 및 기타 미디어의 도난 및 저작권 침해 방지, 자동차, 항공 및 기타 운송 시스템에 사용되는 경우가 많은데, 정보보안을 목적으로 판매되거나 교환되지 않는 보조 암호 품목을 통제 대상에서 제외하여 관련 품목의 전략물자 관리를 완화시키기 위한 것이며, 통신, 컴퓨터 및 네트워크 보안을 위한 암호 품목은 기존과 같이 통제된다.

즉, 정보보안 분야는 통제되는 품목 중 암호기능이 있어 수출시 통제가 되는 품목이라 할지라도, 품목의 용도가 정보통신, 네트워크 등이 아닌 게임, 가전제품 등의 보조용으로 사용될 경우 통제 대상에서 제외하도록 통제기준이 완화될 예정이다.

따라서, 정보 보안의 경우 용도에 따라 판정 결과가 상이해지므로 정보보안 품목의 사전판정 신청 업체가 판정을 신청할 경우 용도에 대한 명확한 기입이 필수적일 것으로 보인다.

 

전략물자수출통제제도는 초기에는 대량파괴무기 관련물품이 확산되는 것을 차단하기 위한 목적으로 출발하였으나, 현재는 통제대상인 이중용도 물자가 증가되어 품목의 범위가 확대되고 있다. 국제평화를 위하여 대량파괴무기의 비확산이 필요하며, 대외무역에 의존적인 우리나라의 현실 여건을 고려할 때 전략물자수출통제 제도의 투명한 이행과 적극적인 실천이 매우 중요하다.