최근 모 업체가 CC 인증 평가를 받으려고 제출물설명회를 할 때, 인증자가 NTP 통신을 암호화하라고 되지도 않는 요구를 해서, 아예 제품에서 NTP 동기화 기능을 빼기로 했다는 이야기를 들었다. IT보안인증사무국 인증자 여러분, 여러분들이 요구하는 얼토당토않은 것들, 결국은 모두 다 알게 됩니다. 제발 좀 그러지 마요.

NTP, 이미 오래 전에 나온 UDP 기반 통신이구요, 어디에도 NTP 통신을 암호화해 제공하는 서버는 없습니다. 기밀성을 제공하는 암호화를 지원하지 않는 프로토콜이구요. 보안규격에 모든 외부 통신을 암호화해야 한다는 규정이 있다며 이런 말도 안되는 요구를 하신 분, 반성하세요.

(ADDED. Jan 30, 2017)NTP에서 메시지 인증기능은 제공합니다. 공개된 NTP 서버가 메시지 인증을 지원하는지는 모르겠습니다. 미국은 NIST가 메시지 인증을 지원하는 NTP 서버를 운영합니다. IT보안인증사무국이 이런 요구를 하려면 먼저 국가 공공기관이 사용할 NTP 서버와 같은 인프라를 정부 차원에서 구축하는 일이 선행해야 한다고 생각합니다.