국가 정보보안 기본지침 제22조

IT 위키

내용

제22조(검증필 암호모듈 목록 및 운용관리)
  • ① 국가정보원장은 안전성을 확인한 상용 암호모듈을 검증필 암호모듈 목록에 등재하여 공지할 수 있다.
  • ② 검증필 암호모듈 목록에 등재되는 암호모듈별 등재 기간은 등재된 날로부터 5년으로 한다.
  • ③ 국가정보원장은 검증필 암호모듈에서 다음 각 호의 어느 하나에 해당하는 사유가 발생한 때에는 그 사유가 없어질 때까지 검증필 암호모듈 목록에서 해당 암호모듈의 등재를 중지하고 그 사유를 각급기관의 장에게 공지할 수 있다.
    • 1. 암호모듈의 명칭ㆍ소스코드(일부 또는 전부)ㆍ해시값이 무단 변경되어 제품의 동일성이 상실되었다고 국가정보원장이 판단한 경우
    • 2. 암호모듈이 안보위해(危害) 공격을 행할 우려가 있는 자와 경영상 또는 기술적 연계점이 있다고 국가정보원장이 판단한 경우
    • 3. 암호모듈 개발업체가 국가정보원장으로부터 암호모듈에 취약점이 존재한다는 사실과 개선 또는 제거할 것을 통보받고도 요청받은 기간 내 조치를 취하지 않은 경우
  • ④ 국가정보원장은 제3항에 따른 암호모듈 등재 중지의 사유가 없어진 경우에는 등재를 재개할 수 있다. 이 경우 등재 기간은 본래의 기간 만료일까지로 한다.
  • ⑤ 국가정보원장은 제1항에 따른 검증필 암호모듈의 안전한 운용ㆍ관리를 위해 필요한 각종 매뉴얼ㆍ가이드라인 등을 각급기관의 장에게 배포할 수 있다. <신설 2021.11.1.>
  • ⑥ 국가정보원장은 검증필 암호모듈 등재 및 안전성 검증요건에 필요한 검증기준 및 시험ㆍ검증절차 등을 별도로 마련하여 공지할 수 있다. <신설 2021.11.1.>
  • [전문개정 2020.7.1.] [제목개정 2021.11.1.]

해설