FIPS 140이란 무엇인가요?

암호화 보안 측면에서는 중요한 데이터를 보호하고 규정 준수 및 규제 요건을 충족하기 위해 표준을 준수하는 것이 무엇보다 핵심적입니다. FIPS 140(Federal Information Processing Standard)은 NIST(National Institute of Standards and Technology)에서 정의했으며, CMVP (Cryptographic Module Validation Program)의 일환으로 미국과 캐나다에서 관리하는 일련의 암호화 모듈 보안 요건입니다. FIPS 140 인증 모듈은 많은 정부 애플리케이션에서 암호키를 보호하고 암호화 작업을 수행하는 데 필수입니다.

FIPS 140-3의 전신인 FIPS 140-2는 지난 20년 동안 조직이 따라야 할 보안 벤치마크 및 모범 사례로 널리 채택되었습니다. 또한 북미 이외의 많은 국가에서 정부, 민간 부문에 걸쳐 국내 규정을 마련하는 데 있어 명실상부한 표준으로 자리 잡았습니다.

FIPS 140-3이란 무엇인가?

FIPS 140-3은 중요한 데이터를 관리, 수집 또는 보관하는 모든 조직, 특히 규제가 엄격한 산업에 종사하는 조직이 준수해야 할 표준입니다.

FIPS 140-3은 PQC(Post-Quantum Cryptography) 알고리즘의 인증을 허용합니다. 이 알고리즘으로 암호화 모듈이 양자 공격으로 인한 문제와 위협에 대비할 수 있기 때문입니다. FIPS 140-3 인증 보안 솔루션을 구현하는 것은 양자 컴퓨터에 안전하도록 암호화 민첩성을 갖춘 보안 태세를 구축하는 데 필수적인 부분으로, 조직이 현재는 물론 미래에도 데이터를 보호할 수 있도록 보장합니다.

FIPS 140-2와 FIPS 140-3의 차이점은 무엇인가?

FIPS 140-3은 암호화 하드웨어의 효율성을 검증하기 위한 최신 버전으로, 국제 표준인 ISO/IEC 19790 표준에 부합하며 다음 요건을 포함한 FIPS 140-2 표준의 보안 요건에 향상된 신규 기능을 도입합니다.

더욱 엄격한 무결성 테스트 요건.
새로운 필수 서비스: 모듈 이름/식별자를 표시하고, 유효성 검사 레코드/인증서에 매핑할 수 있는 버전.
공개 키를 포함하여, 모든 수준에서 보호되지 않은 모든 ‘민감한 보안 매개 변수’(SSP)를 대상으로 키 제로화 요구.
역할, 서비스 및 인증: 비밀번호 크기 제한과 같은 암호화 모듈을 구현하여(정책, 규칙 등을 통한 방식 제외) 충족해야 합니다.
수명주기 보증: 공급업체는 검증 실험실 테스트 외에도 적절한 내부 모듈 테스트를 입증해야 합니다.

조직은 FIPS 140-3 표준을 사용하여, 선택한 하드웨어가 특정 보안 요건을 충족하게 해야 합니다. FIPS 140-2 인증 표준은 네 가지 향상되는 질적 보안 수준을 정의하며, 이는 FIPS 140-3에서도 그대로입니다.

FIPS 140-3으로의 전환

현재 FIPS 140-2를 준수하는 조직은 지속해서 규정 준수를 보장할 수 있도록 FIPS 140-3으로의 전환 계획을 수립해야 합니다. FIPS 140-3의 목표는 국제 ISO/IEC 표준과 더욱 밀접하게 부합하고, 오늘날의 기술에 더 적합해지기 위한 것입니다.

ISO/IEC 19790:2012: 컴퓨터 및 통신 시스템의 민감한 정보를 보호하는 보안 시스템 내에서 사용되는 암호화 모듈에 대한 보안 요구 사항이 정리되어 있습니다. 이 국제 표준은 광범위한 데이터 민감도(예: 소액 행정 데이터, 백만 달러 자금 이체, 생명 보호 데이터, 개인 신원 정보 및 정부에서 사용하는 민감한 정보)와 다양한 애플리케이션 환경(예: 보호 시설, 사무실, 이동식 미디어 및 완전히 보호되지 않는 위치)에 따라 구현될 수 있도록 암호화 모듈의 4가지 보안 수준을 정의합니다.

ISO/IEC 24759:2017: 암호화 모듈의 테스트 요건을 간략하게 설명합니다. 이 방법은 테스트 과정에 높은 수준의 객관성을 제공하고 다양한 테스트 실험실에서 일관성을 보장하기 위해 개발되었습니다.

이렇게 국제 표준에 부합함으로써 FIPS 140-3으로 원활하게 전환하고 상호 운용성을 높이며 전 세계적으로 일관된 보안 관행을 보장할 수 있습니다. 기존 FIPS 140-2 인증은 취소되지 않지만 2026년 9월 21일 기준으로 과거 목록으로 이동됩니다.

FIPS 140-3 보안 표준에 대한 탈레스의 지원

탈레스는 FIPS 140-3 보안 표준을 준수하는 암호화 제품과 하위 시스템을 개발합니다. 표준을 충족하는 탈레스 솔루션에는 Luna 하드웨어 보안 모듈(HSM), 고속 암호기(HSE) 및 인증 솔루션이 포함됩니다.

FIPS 140-3 인증 하드웨어 보안 모듈

Luna HSM은 업계 최초로 FIPS 140-3 레벨 3 검증을 받았으며 강화된 변조 방지 환경으로 안전한 암호화 처리, 키 생성 및 보호, 암호화 등을 제공합니다.

탈레스 Luna 7 HSM(네트워크 및 PCIe*) 이제 FIPS 140-3 레벨 3 인증을 받아 고객에게 다음과 같은 이점을 제공합니다

HSM 사용자를 위한 유연성: FIPS 140-3은 동일한 플랫폼에서 인증 서비스와 미인증 서비스를 동시에 지원할 수 있습니다. 이러한 유연성을 통해 사용자는 새로운 애플리케이션에 새로운 표준을 채택하는 동시에, 레거시 애플리케이션의 제약 조건을 충족할 수 있습니다.
향상된 모듈 자체 테스트: FIPS 140-3은 레벨 3에서 HSM과 같은 모듈에 대한 주기적인 자체 테스트를 추가합니다. 이러한 모듈은 종종 몇 년에 걸친 긴 가동 시간을 갖습니다. 이를 통해 지속적으로 안전하게 운영할 수 있습니다.
실험실의 엄격한 테스트: 이 표준은 테스트 실험실에 더욱 엄격한 요건을 적용하여 모듈에 대한 적절한 공급업체 테스트를 검토하고 보장합니다. 그 결과 다양한 실험실과 국가에서 더욱 일관성 있는 보안 수준이 유지됩니다.
CVE 추적 및 코드 품질: FIPS 140-3에서는 모듈에서 사용하는 라이브러리에 영향을 줄 수 있는 CVE(Common Vulnerabile and Exposures)를 검토하고 추적하는 기능을 입증해야 합니다. 이는 내부 코드가 외부 환경에 직접 노출되지 않아 HSM 사용자가 스캔하고 감지할 수 없는 경우에도 내부 코드의 품질을 유지하는 규칙을 강화합니다.

FIPS 140-3 레벨 3 인증 Luna HSM을 디지털 신뢰 측면에서 시장을 선도하는 암호화 민첩성의 기반으로 활용하여, 위험을 줄이고 유연성을 보장하며 키를 쉽게 관리하고 통합을 단순화할 수 있습니다.

*FIPS 140-3 레벨 3은 현재 Luna USB 및 Luna 백업 HSM을 대상으로 검토 중입니다.

탈레스 Luna K7 암호화 모듈(Luna Network 및 Luna PCIe HSM에 사용됨)은 이제 FIPS 140-3 레벨 3 인증을 받았습니다(NIST 인증서 #4684)

FIPS 140-3 인증 고속 암호화 솔루션

탈레스 네트워크 암호화 솔루션은 데이터센터와 본사 간의 네트워크 트래픽부터 백업·재해 복구 사이트에 이르기까지, 온프레미스나 클라우드를 포함한 모든 곳에서 암호화할 수 있는 단일 플랫폼을 제공합니다. 엄격한 테스트를 거치고 인증을 받은 탈레스의 네트워크 암호화 솔루션은 미국 국방 정보 시스템국(DoDIN APL) 및 NATO와 같은 기관에서 검증받았습니다.

탈레스 고속 암호기 는 10년 넘게 FIPS 인증을 받았으며 FIPS 140-3 및 PQC(Post Quantum Cryptography)처럼 발전하는 NIST 요건을 계속해서 충족하고 있습니다. 네트워크 암호화 솔루션은 FIPS 140-2 레벨 3 인증을 받았으며, 현재 FIPS 140-3 검토 대기 중입니다.

FIPS 140-3 인증됨* SafeNet IDCore 230/3230 Java 기반 스마트카드

Java 운영 체제를 사용하는 SafeNet IDCore 스마트카드는 고급 마이크로컨트롤러와 강력한 보안 인증을 포함합니다. SafeNet IDCore Java 카드 OS는 업계 최고의 보안팀이 개발을 담당하여 부채널 공격, 침입, 지능형 오류 등 기타 유형의 공격을 포함한 다양한 위협에 대응하는 조치를 구현하도록 만들어졌습니다. SafeNet IDCore Java 카드 OS는 FIPS 140, CC EAL5+ / PP Javacard와 같이 업계에서 가장 엄격한 보안 인증까지도 충족합니다.

SafeNet IDCore 230/3230은 다음과 같이 대규모 글로벌 조직에서 배포하는 프로그램을 포함하여 장기적인 프로그램, 다중 애플리케이션 프로그램의 최고급 보안 요건을 충족하는 공개 키 Java 카드(RSA 및 타원 곡선 모두 지원)입니다.