목차 제1장개요 1. IoT 보안시험 인증절차 IoT 보안시험 인증기준구성... 7 제2장제출물검토기준 1. 보안요구사항준수명세서 (Security Requirement Specification) 제품사용설명서 (Manual)

Transcription

1 KISA 안내 해설 KISA-GD 사물인터넷 (IoT) 보안 시험 인증기준해설서 STANDARD

2 목차 제1장개요 1. IoT 보안시험 인증절차 IoT 보안시험 인증기준구성... 7 제2장제출물검토기준 1. 보안요구사항준수명세서 (Security Requirement Specification) 제품사용설명서 (Manual) 제3장보안시험 인증기준 1. 인증 (AU, Authentication) 사용자인증 인증정보의안전한사용 기기인증... 24

3 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD 2. 암호 (CR, Cryptography) 안전한암호알고리즘사용 안전한키관리 안전한난수생성 데이터보호 (DP, Data Protection) 전송데이터보호 저장데이터보호 정보흐름통제 안전한세션관리 개인정보보호 플랫폼보호 (PL, Platform Protection) 소프트웨어보안 안전한업데이트 보안관리 감사기록 타임스탬프 물리적보호 (PH, Physical Protection) 물리적인터페이스보호 무단조작방어

4 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

5 제 1 장 개요 1. IoT 보안시험 인증절차 2. IoT 보안시험 인증기준구성

6 제 1 장 개요 이장에서는사물인터넷 (Internet of Things, 이하 IoT 라한다 ) 보안시험 인증을위해한국인터넷. 진흥원 ( 이하 KISA 라한다 ) 이시험을수행하고시험보고서를작성하는시험업무수행과정의주요. 절차및세부활동사항을명시한다. 1 IoT 보안시험 인증절차 신청 접수 / 계약시험인증 제출물및시험신청서제출 접수증발급시험일정협의 제출문서검토보안기능시험 시험결과검토인증서발급 계약체결 취약성시험 시험결과작성 시험 인증을받고자하는신청인은 IoT 보안시험신청서 와제출물 ( 시험대상 IoT 기기, 시험기준준수. 명세서, 제품기능설명서등 ) 을 KISA 에제출한다. 신청서및제출물에이상이없는경우시험신청. 접수증이발급되며, 시험일정협의를거쳐계약을체결한다. 계약체결후제출문서검토및보안기능. 시험을통해기준적합여부를평가하며, 필요시미흡한항목에대해신청인에게보완조치를요청한다. 시험기준을모두만족할경우결과보고서검토후인증서를발급한다. 6 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

7 2 IoT 보안시험 인증기준구성 IoT 보안시험 인증기준 ( 이하 시험기준 이라한다 ) 은 LITE 와 STANDARD 로구분되어있으며, 본해설서에서는 STANDARD 에대해기술하고있다. (1) 인증 유형 보안항목 AU1-1 AU1-2 시험기준 처음기기를사용할때인증정보를설정하도록요구하거나, 초기인증정보를변경하도록요구해야한다. 관리서비스및중요정보접근시사용자신원을검증하기위해식별및. 인증기능이선행되어야한다. 사용자인증 AU1-3 잘못된인증정보를통한반복된인증시도를제한해야한다. AU1-4 기기의초기인증정보는유일한값으로설정되어야한다. AU1-5 기기에서사용되는사용자계정및권한관리기능을제공해야한다. AU1-6 모든사용자계정에대해최소권한의원칙을적용해야한다. AU1-7 관리자계정에대해서는동시접속을제한해야한다. AU1-8 길이, 주기, 복잡성을고려한안전한비밀번호로설정되도록해야한다. 인증정보의. 안전한사용 기기인증 AU2-1 인증정보는하드코딩되거나평문으로저장되지않아야한다. AU2-2 인증을위한비밀번호입력시화면에노출되지않도록마스킹처리해야한다. AU2-3 인증실패시실패사유에대한피드백정보를제공하지않아야한다. AU3-1 기기는각각의고유식별정보를보유해야한다. AU3-2 기기간중요정보전송시혹은기기제어를위한상호연결수행시상호인증이선행되어야한다. (2) 암호 유형 보안항목 안전한암호알고리즘사용 시험기준 CR1-1 암호화시안전한암호알고리즘을사용해야한다. 안전한키관리 CR2-1 암호키는안전성이검증된방법으로생성 갱신 분배 사용 저장 파기. 되어야한다. 안전한난수생성 CR3-1 난수성이검증된난수생성알고리즘을이용하여안전하게난수를생성한다. 7

8 (3) 데이터보호 유형 보안항목 전송데이터보호 저장데이터보호 시험기준 DP1-1 기기간전송되는중요정보는암호화하여전송해야한다. DP1-2 알려진프로토콜기반으로통신채널생성시안전한보안모드를사용해야한다. DP2-1 기기에저장되는중요정보는암호화해야한다. DP2-2 사용자필요에의해기기에저장된중요한정보를삭제한경우, 복원이어렵도록해야한다. 정보흐름통제 DP3-1 허가되지않은네트워크트래픽차단기능을제공해야한다. 안전한세션관리 DP4-1 세션연결후일정시간동안미사용시, 세션을잠그거나종료시켜야한다. DP4-2 세션 ID 는예측할수없는값이어야한다. 개인정보보호 DP5-1 기기에서처리하는개인정보는비식별화조치되어야한다. (4) 플랫폼보호 유형 보안항목 소프트웨어보안 시험기준 PL1-1 보안약점및보안취약점이존재하지않도록시큐어코딩을적용해야한다. PL1-2 기기에연동되는모바일앱개발시보안성을고려해야한다. PL1-3 펌웨어및앱분석방지를위해난독화를적용해야한다. PL1-4 주요설정값및실행코드에대한무결성검증기능을지원해야한다. PL2-1 업데이트수행전인가된사용자여부를확인해야한다. 안전한업데이트 PL2-2 업데이트실패시롤백기능을지원해야한다. PL2-3 업데이트수행전무결성검사를수행해야한다. PL3-1 불필요한서비스는제거하거나비활성화해야한다. 보안관리 PL3-2 원격관리는신뢰할수있는환경에서수행되어야한다. PL3-3 최신보안패치가적용된 3 rd party 라이브러리를사용해야한다. PL3-4 하드웨어및소프트웨어의자체시험기능을제공해야한다. 감사기록 PL4-1 보안과관련된이벤트는감사기록을생성해야한다. PL4-2 감사기록에대한보호기능을제공해야한다. 타임스탬프 PL5-1 신뢰할수있는타임스탬프기능을지원해야한다. 8 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

9 (5) 물리적보호 유형 보안항목 물리적인터페이스보호 시험기준 PH1-1 불필요한외부인터페이스는비활성화하고, 필요시접근통제기능을지원해야한다. PH1-2 비인가자의내부포트접근을방지해야한다. 무단조작방어 PH2-1 비인가자의무단조작을탐지하여대응할수있는기능을지원해야한다. 9

10 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

11 제 2 장 제출물검토기준 1. 보안요구사항준수명세서 (Security Requirement Specification) 2. 제품사용설명서 (Manual)

12 제 2 장 제출물검토기준 이장에서는 IoT 보안시험 인증을위해신청인이제출한제출물에대한검토기준에대해설명한다. 1 보안요구사항준수명세서 (Security Requirement Specification) SR.1 IoT 보안시험인증기준적용항목식별 -.. 시험대상 IoT 기기에적용된 IoT 보안시험인증기준항목체크 ( 표이용가능 ) -.. 제품보안기능시험및제출문서검토등을통해적용기준이정확한지확인하고, 누락된. 기준이존재하는지확인 SR.2 비적용사유식별 - 시험대상 IoT 기기에적용되지않은항목체크 ( 표이용가능 ) -.. 제품보안기능시험및제출문서검토등을통해비적용기준이적절한지확인하고, 적용이. 필요한경우기준적용요청 12 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

13 2 제품사용설명서 (Manual) MA.1 기기버전및구성요소식별 - 시험대상 IoT 기기를유일하게식별할수있는기기명과버전식별 - 시험대상 IoT 기기를구성하고있는구성요소 ( 하드웨어, 소프트웨어 ) 식별 - 기기버전및구성요소를정확하게식별하였는지확인 ( 외관, GUI/CLI 등 ) MA.2-1 기기주요기능설명 - 시험대상 IoT 기기에구현및제공되는보안기능설명 - 기기에구현되어서비스를제공하는보안기능이정확하게설명되었는지확인 - 누락된보안기능이있는경우, 설명서보완요청 MA.2-2 기기의모든기능설명 -.. 시험대상 IoT 기기에구현및제공되는모든보안기능설명. MA.2-1(Lite) 요구사항을포함하므로, Standard 적용시 MA.2-2 요구사항선택 반영 - 기기에구현되어서비스를제공하는모든기능 ( 보안기능포함 ) 이정확하게설명되었는지확인 - 누락된보안기능이있는경우, 설명서보완요청 13

14 MA.3-1 기기보안기능과관련된명령어및사용방법기술 - 안전한 IoT 기기운영을위한보안기능관련명령어식별 - 식별된명령어사용방법및효과설명 - 식별된명령어사용방법이정확한지확인 - 보안기능과관련된누락된명령어가존재하는경우, 설명서보완요청 MA.3-2 기기의모든외부인터페이스식별 -.. 안전한 IoT 기기운영을위한보안기능관련명령어를포함하여시험대상 IoT 기기의모든외부인터페이스 ( 물리적인입 출력포함 ) 를식별. MA.3-1(Lite) 요구사항을포함하므로, Standard 적용시 MA.3-2 요구사항선택 반영 - 식별된외부인터페이스사용을위한명령어 ( 매개변수포함 ) 사용방법및효과설명 - 모든외부인터페이스가식별되었는지확인 ( 예 : 포트스캔등이용 ) - 식별된외부인터페이스관련명령어사용방법이정확한지확인 - 누락된인터페이스및명령어가존재하는경우, 설명서보완요청 MA.4 보안관련이벤트목록기술 -.. 시험대상 IoT 기기설치, 구동등기기운영간발생하는다양한이벤트 ( 에러메시지포함 ) 중. 보안과관련된이벤트목록식별 - 보안관련이벤트가모두식별되었는지확인 14 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

15 MA.5 기기보안을보장하는데필요한제품설정및환경요구사항 - 안전한 IoT 기기사용및운영을위한제품설정및환경요구사항설명 - 사용자가이해하기쉽게보안기능관련설정및환경요구사항을기술하고있는지확인 3 시험서 (Testing Document) TE.1 제품에구현된보안요구사항별시험수행 -..SR.1 항목에따라시험대상 IoT 기기에적용된보안시험인증기준에대해기기의보안기능이정상동작하는지시험한내용기술 - 개발자에의해자체적으로수행한취약성점검결과기술 - SR.1 항목에식별된모든보안요구사항에대한시험이이루어졌는지확인 - 신청업체의시험결과를동일하게수행하여 IoT 기기의보안기능이정상동작하는지확인 - 개발자에의해자체적으로수행한취약성점검을반복수행하여취약성존재여부확인 15

16 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

17 제 3 장 보안시험 인증기준 1. 인증 (AU, Authentication) 2. 암호 (CR, Cryptography) 3. 데이터보호 (DP, Data Protection) 4. 플랫폼보호 (PL, Platform Protection) 5. 물리적보호 (PH, Physical Protection)

18 제 3 장 보안시험 인증기준 이장에서는 IoT 보안시험 인증기준에대해설명한다. 1 인증 (AU, Authentication) 1.1 사용자인증 AU1-1 처음기기를사용할때인증정보를설정하도록요구하거나, 초기인증정보를변경하도록요구해야한다. -.. 초기인증정보를사용하지않는경우인증정보를새롭게설정하도록해야하며, 초기인증정보를사용하는경우초기인증정보입력후해당인증정보를변경할수있도록해야함 -.. 위항목은사용자가 IoT 기기의포장박스를개봉한후, 기기내사용자인증이필요한기능에처음. 접근을시도할때수행되어야하며, 초기인증정보를사용하는경우는해당시점에초기인증. 정보의입력후수행되어야함 -..IoT 기기의사용자인증이필요한기능을처음사용할때에는사용자가인증정보를설정하거나초기인증정보를변경하도록요구하는단계를거친후, 해당기능이사용가능하도록해야함 -.. 인증정보변경시초기혹은이전인증정보와동일한값으로설정할수없도록해야함 -.. 새로운 IoT 기기를시동하여사용자인증이필요한기능에접근을시도한후, 인증정보를설정. 하도록요구하거나초기인증정보를입력하도록요구하는지확인함 - 초기인증정보의입력을요구하는경우초기인증후에이를변경하도록요구하는지확인함 - 인증정보변경시초기인증정보와동일한값으로설정을시도하여이를허용하는지확인함 -.. 인증정보설정혹은초기인증번호를변경하지않고우회하여사용자인증이필요한기능에. 접근할수있는지확인함 18 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

19 AU1-2 관리서비스및중요정보접근시사용자신원을검증하기위해식별및. 인증기능이선행되어야한다. -..IoT 기기의설정, 사용자계정및권한관리등의관리서비스접근시사용자에대한식별및. 인증을수행해야함 -.. 개인을식별할수있는영상정보와같은중요정보접근시사용자에대한식별및인증을수행해야함. 중요정보 : 개인영상정보, 인증정보 ( 예 : 비밀번호 ), 보안기능설정정보등 - 식별및인증은아이디및비밀번호메커니즘이일반적임 -.. 계정에부여된권한에따라관리서비스및중요정보에대한접근을허용하는경우, 일반사용자등다른권한들과분리하여해당권한을관리해야함 < 관리서비스접근시 > -..IoT 기기의관리서비스에접근을시도하여인증을요구하는지확인함 -.. 계정에부여된권한을통해관리자와일반사용자를구분하는경우, 관리자계정으로로그인하여. 관리서비스에접근이가능한지확인하고관리자계정로그아웃후일반사용자계정으로로그인. 하여관리서비스접근이거부되는지확인함 < 중요정보접근시 > - IoT 기기의중요정보에접근을시도하고인증을요구하는지확인함 -.. 계정에부여된권한을통해관리자와일반사용자를구분하는경우, 중요정보에접근권한이있는. 계정으로로그인하여중요정보에접근이가능한지확인하고, 해당계정로그아웃후일반. 사용자계정 ( 중요정보에접근권한이없는계정 ) 으로로그인하여중요정보에접근이거부되는지확인함 AU1-3 잘못된인증정보를통한반복된인증시도를제한해야한다. -.. 잘못된인증정보를통한반복된인증시도를허용할경우무차별대입공격 (Brute Force. Attack) 에취약할수있으므로, IoT 기기는잘못된인증정보를통한지속적인인증시도에대해이를적절하게대응하는기능을제공해야함 - 다음과같은방법으로해당기능을제공할수있음 19

20 a... 인증시도횟수를제한하여정해진인증시도횟수초과시계정잠금혹은일정시간인증. 기능을비활성화 ( 인증시도횟수는 5 회이하, 인증기능비활성화시간은 5 분이상으로구현. 하도록권고 ) b... 정해진인증시도횟수초과시허가되지않은네트워크트래픽으로판단하여자동차단목록에. 추가 ( 인증시도횟수는 10 회이하로구현하도록권고 ) c. 캡챠 (CAPTCHA) 방식을활용 잘못된인증정보 란? - IoT 기기에저장또는등록되지않은인증정보를말하며, 해당정보로인증시도시실패하게됨 -.. 제출문서를통해잘못된인증정보를통한반복된인증시도시이를제한하는방법을확인하고, 제출문서에기재된방법이요구사항을대응하기에적절한지확인함 - 제출문서에기재된대로대응방법이실제구현되어있는지확인함 AU1-4 기기의초기인증정보는유일한값으로설정되어야한다. - 초기인증정보를사용하는 IoT 기기의경우, 기기별로서로다른초기인증정보를가지고있어야함 초기인증정보 란? -.. 사용자가처음으로 IoT 기기에접근을시도할때입력하는정보 ( 예 : 아이디 / 비밀번호등 ) 로, 초기인증번호입력후새로운인증정보 ( 예 : 아이디 / 비밀번호 ) 로변경을요청함 - 제조사는 IoT 기기에불필요한계정 ( 예 : guest 등 ) 을생성하여배포하지않아야함 -.. 동일한제조사에서제조된같은모델의두 IoT 기기내에입력 / 설정되어있는초기인증정보를확인하여동일여부를확인함 - 단, AU1-1 요구사항을만족하는경우, AU1-4 항목은적용된것으로판단한다. 20 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

21 AU1-5 기기에서사용되는사용자계정및권한관리기능을제공해야한다. -..IoT 기기에서사용되는사용자계정 ( 관리자계정등모든계정포함 ) 에대해사용자계정추가, 제거, 권한부여등의관리를수행할수있어야함 -.. 역할기반의접근통제모델을사용하는경우, IoT 기기의모든기능에대해접근권한을명확하게정의하고이에따라권한을부여하도록해야함 -..IoT 기기가관리자계정외에추가적인사용자계정을지원하는경우, 사용자계정에대한생성및제거, 접근권한부여가접근권한관리자에의해서만수행되는지확인함 접근권한관리자 란? -.. 사용자계정에접근권한을부여할수있는자로관리자가접근권한관리자역할을함께수행할수있음 AU1-6 모든사용자계정에대해최소권한의원칙을적용해야한다. -.. 모든사용자계정은사용자의역할혹은 IoT 기기의운영상명확한목적에따라권한이부여되도록해야하며, 각사용자계정에과도한권한이부여되지않도록해야함 ( 예 : 모니터링권한을가진사용자는계정생성권한을보유하지않아야함 ) 최소권한의원칙 (Principle of least privilege) 이란? - 주체의역할혹은정해진목적에따라필요한정보와리소스에만접근하도록설정하는원칙 - 제출문서에 IoT 기기에서제공하는모든기능별접근가능한권한이명시되어있는지확인함 -.. 목적에따라혹은사용자의역할에따라, 각기능별접근권한이적절히부여되었는지확인하고, 과도하게부여된경우보완요청필요 - IoT 기기에대한제출문서에기재된대로각기능과권한이구현되어있는지확인함 21

22 AU1-7 관리자계정에대해서는동시접속을제한해야한다. -.. 관리서비스에동일한관리자계정을이용하여동시접속시이를제한해야하며, 이전접속에대한연결을끊거나새로운접속에대해제한하는기능을제공해야함 -.. 관리자계정으로접속한상태에서동일한관리자계정을통해동시접속을시도하여이를제한하고있는지확인함 AU1-8 길이, 주기, 복잡성을고려한안전한비밀번호로설정되도록해야한다. -..IoT 기기는사용자가비밀번호설정시아래와같이길이, 주기, 복잡성을고려하여안전한. 비밀번호로설정되도록기능을제공해야함 고려사항 세부 길이 기본 9 자리이상을권고 주기 복잡성 비밀번호의변경주기는 6 개월이내를권고 *.. 비밀번호변경주기가지났을때사용자에게이를알려위험을인지시키고변경하도록유도하는. 편이좋으나, 변경의강제성은개발자의선택사항임 영문자 ( 대 소 ) / 숫자 / 특수문자중 3 가지이상의규칙을혼합한구성으로비밀번호가. 설정되도록권고 -.. 단, 납품처혹은특정기기에대한기기규격이공시되어해당규격을통해비밀번호설정. 기준이제시된경우이를준수하도록함 -.. 신청한 IoT 기기의비밀번호생성규칙을확인하고, 해당규칙이적절하게적용되어있는지확인함. * 참고 : 패스워드선택및이용안내서 한국인터넷진흥원 ( 자료실 8 번게시글 ) 22 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

23 1.2 인증정보의안전한사용 AU2-1 인증정보는하드코딩되거나평문으로저장되지않아야한다. -.. 사용자인증시사용되는인증정보는하드코딩하거나평문으로저장하지않아야함 -.. 사용자계정 ( 및중요설정정보 ) 을파일형태로추출 (export) 하는기능이있는경우, 평문으로. 생성하지않아야함 ( 예 : 파일암호화적용 ) -.. 인증정보는솔트를추가하여해쉬함수또는암호알고리즘을사용하여저장해야하며, 해쉬. 함수나암호알고리즘의보안강도는 112 비트이상의보안강도를권장함 (2017 년 11 월현재기준 ) 인증정보 란? -.. 인증을위해입력해야하는요소 ( 예 : 비밀번호, 지문정보등 ) 로써식별을위해입력해야하는요소 ( 예 : 아이디등 ) 는무관 -..IoT 기기내에저장된인증정보를확인하여하드코딩되거나평문으로저장하고있는지확인. 저장방법은소스코드를통해확인 -.. 사용자계정 ( 및중요설정정보 ) 을파일형태로추출 (export) 하는기능이있는경우, 추출된. 파일이평문으로되어있는지확인 - 동일한두개의인증정보를생성하여저장된인증정보의형태가다른지확인함 AU2-2 인증을위한비밀번호입력시화면에노출되지않도록마스킹처리해야한다. -.. 비밀번호가평문으로표시될경우 어깨너머공격 등에취약할수있으므로, 비밀번호. 입력시화면에평문으로노출되지않도록 * 등의기호를사용하여마스킹처리해야함 -..IoT 기기에서제공하고있는모든인증기능에대해아이디 / 비밀번호매커니즘을사용하는. 경우, 비밀번호가화면에평문으로노출되는지확인 23

24 AU2-3 인증실패시실패사유에대한피드백정보를제공하지않아야한다. -.. 인증실패의사유혹은피드백제공시, 공격자에게유용한정보가노출될수있으므로, 결과값을제공하지않아야함 고려사항아이디오류비밀번호오류비밀번호길이오류 세부 공격자가인증정보에대한정보를얻을수있음 ( 입력한아이디는등록되지않은아이디임을알수있음 ) 공격자가인증정보에대한정보를얻을수있음 ( 입력한아이디는등록된아이디. 이며, 비밀번호를변경하여입력해야함을알수있음 ) 공격자가비밀번호의길이를바꿔가며입력함으로써비밀번호의길이를쉽게알아낼수있음 -.. 잘못된인증정보입력으로인증실패유도후생성되는알림메시지가인증실패사유혹은. 피드백을제공하고있는지확인 1.3 기기인증 AU3-1 기기는각각의고유식별정보를보유해야한다. 기기고유식별정보 란? - 기기식별을위해제조사가각기기에부여하는고유번호 - IoT 기기는유추불가능한고유하고변경할수없는고유식별번호를보유해야함 - 고유식별번호는네트워크및스마트디바이스분야에서아래와같이사용되고있음 24 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

25 구분 MAC Address (Media Access Control Address) 설명.. 네트워크세그먼트의데이터링크계층에서통신을위한. 네트워크인터페이스에할당된고유식별자 (48bit) Home ID (Z-wave) IMEI (International Mobile Equipment Identity, 국제모바일단말기인증번호 ) Z-wave 네트워크의 ID 를지칭함 (32bit) 스마트폰기기의고유번호로사용됨 제조사가휴대폰출고시부여됨.. 승인코드 8 자리, 모델일련번호 6 자리, 검증용숫자 1 자리. ( 총 15 자리 ) -..IoT 기기제조사의고유식별번호정책을확인하고, 해당정책에따라식별번호가주어지는지확인함 AU3-2 기기간중요정보전송시혹은기기제어를위한상호연결수행시상호인증이선행되어야한다. -.. 기기간통신을통한중요정보전송시혹은서비스접근시상호인증을선행하도록해야하며, 상호인증방식은다음과같은방법으로구현될수있음 a... 공개키암호방식의개인키를이용한상호인증수행... 제조사 ( 또는서비스제공자 ) 는 IoT 기기제조직후주입되는초기암호키 (PSK, Pre-Shared Key) 를. 안전하게관리해야하며, 초기암호키주입시인가된직원이안전한장소에서, 안전한방법으로주입할. 수있도록관리해야함 b. 보안속성값 (UID, Key 등 ), 보안칩기반의상호인증수행 c... 경량통신프로토콜인 CoAP 또는 L2M2M 에 DTLS 적용하여데이터전송. 기기별고유한인증서를탑재하여서버와 handshake d... 경량통신프로토콜인 MQTT 에 TLS 적용하여데이터전송. 기기별고유한인증서를탑재하여서버와 handshake e... 사전등록된서버 * 로접속하여서버에서인증코드를발급받아인증하는방식사용. 서버정보 ( 예 : IP, 호스트네임등 ) 가저장된기기는서버정보에대한무결성을보장해야함 f... 매뉴얼방식으로사용자가상호인증 (A B) 대상기기 (A) 에로그인하여상호인증대상기기. (B) 를등록하고, 등록된기기 (B) 로전송된인증코드를입력하여상호인증수행. SMS, BLE, NFC 등 25

26 - 기기간통신을통해중요정보전송을시도하여, 상호인증을수행하는지확인함 - 기기간통신을통해기기제어를시도하여, 상호인증을수행하는지확인함 -.. 단, IoT 기기에서적용되는표준프로토콜에서단방향인증만제공하여상호인증을적용할수. 없는경우, 상호인증을단방향인증으로대체할수있음 2 암호 (CR, Cryptography) 2.1 안전한암호알고리즘사용 CR1-1 암호화시안전한암호알고리즘을사용해야한다. -.. 암호모듈검증대상 (KS X ISO/IEC 19790* 또는 FIPS140-2**) 암호알고리즘사용. * ARIA, SEED, HIGHT, KCDSA, EC-KCDSA 등 ( 참고 ). **..AES, Triple-DES, RSA, ECDSA 등 ( 140val-all.htm 참고 ) 종류예시비고 대칭키암호 ARIA, SEED, LEA, HIGH, AES, TRIPLE-DES(TRIPLE-KEY) - 공개키암호 RSA, ECC 보안강도요구사항이상키길이 해시 SHA2, SHA3, HMAC 비검증대상암호알고리즘지원시기본값비활성화. 기본값으로검증대상암호알고리즘사용금지. 예시 ) DES, double length Triple DES, MD-5, SHA-1 비활성화, XOR, checksum, base64 금지 - 보안강도 112bit이상암호알고리즘사용권고 26 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

27 보안강도 < 안전한암호키길이 ( 출처 : 암호알고리즘및키길이이용안내서, KISA) > 대칭키암호 해쉬함수 인수분해 공개키 공개키암호 이산대수 개인키 타원곡선암호 암호알고리즘안전성유지기간 112bit P-224/B-233 ~2030 년 128bit P-256/B bit P-384/B bit P-512/B 년이후 -.. 메모리및저장용량제한으로일반적인암호알고리즘의사용이어려운경우경량화암호. 알고리즘 (HIGHT, LEA 등 ) 사용가능 -..KISA* 및 NIST** 에서배포한각표준알고리즘의테스트벡터값을활용하여구현의정확성. 검증후사용. * ** 부채널분석 * 에대한대응기법이적용된암호알고리즘사용권고. * 암호키사용시발생하는부가정보 ( 전력 전자파량등 ) 를통해암호키정보를탈취 -..KS X ISO/IEC 19790* 또는 FIPS140-2 의검증대상알고리즘사용여부확인. * 검증필암호모듈일필요는없음 -..KISA* 및 NIST** 에서제시한테스트벡터값을적용하여구현정확성검증. * ** 27

28 2.2 안전한키관리 CR2-1 암호키는안전성이검증된방법으로생성 갱신 분배 사용 저장 파기되어야한다. - 안전성이검증된방법 ( 안전한난수발생기등 ) 을이용하여암호키생성 -.. 암호키전송 / 저장시기밀성을보장해야함. 공개키는반드시기밀성을보장할필요는없음. 예시 ).. 물리적으로안전한 H/W 영역 (Secure Element, PUF 등 ) 에보관, 암호화키로비밀키등암호화,. 암호키분산전송 / 저장, 암호키난독화등 - 암호키전송 / 저장시무결성을보장해야함 ( 예 : 해시값생성등 ) - 암호키사용전무결성검증을통해변조여부확인후사용 -.. 데이터중요도, 노출가능성, 노출시위험수준등을고려하여암호키사용기간설정및암호키갱신수행 -.. 사용기간이만료되거나무결성이회손된암호키는즉시파기해야함. 예시 ) 암호키저장파일, 암호키메모리완전삭제등 - 암호키파기시암호키생성관련정보도함께파기해야함 -.. 암호키가저장된메모리와암호키가저장된파일은복구할수없도록영구삭제. 예시 ).. 독일 SVITR : 7 회메모리삭제 (0x00 또는 0xFF 로 6 회덮어쓴후 0xAA 로 1 회덮어쓰기수행 ). 미국국방부 DoD : 메모리 3 회삭제 (0x35, 0xCA, 0x97 으로 3 회덮어쓰기수행 ). 사용자지정횟수만큼지정값 ( 고정값, 난수값등 ) 으로덮어쓰기수행 -.. 암호키저장공간은물리적, 논리적비인가접근으로부터보호되어야함. 기기내부안전한저장소, 폐쇄형 IC, 보안 USB 등에저장...Focus Ion beam(fib) 등회로에직접적인접근을통해암호키등비밀정보를탈취할수있으므로암호키. 저장공간에대한물리적보호필요 28 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

29 종류암호키생성암호키분배암호키사용암호키저장암호키파기암호키갱신 확인방법 안전한난수알고리즘및생성절차에따라생성되는지암호키생성프로세스확인 평문으로전송하지않는지암호키분배프로세스확인 암호키송수신패킷을수집 분석하여암호키정보가통신패킷상에평문으로노출되는지확인 사용전에무결성, 기밀성등이보장되는지암호키사용프로세스확인 평문저장을하지않는지암호키저장프로세스확인 메모리정보를수집 분석하여암호키정보가메모리상에평문으로존재하는지확인 기준에맞는파기절차를수행하는지암호키파기프로세스확인 파기후메모리등잔류여부및재사용가능여부확인 암호키사용기간이적당한지확인.. 암호키사용기간에맞게암호키갱신이정확하게수행되는지확인. 암호키사용기간이제품생명주기와같이하는경우, 갱신기능불필요 2.3 안전한난수생성 CR3-1 난수성이검증된난수생성알고리즘을이용하여안전하게난수를생성한다. -.. 암호모듈검증대상 (KS X ISO/IEC 19790* 또는 FIPS140-2**) 난수생성알고리즘사용. * 참고. ** 참고. 예시 ) CTR_DRBG, HASH_DRBG, HMAC_DRBG -.. 국가정보원또는 NIST 에서배포한각표준알고리즘의테스트벡터값을활용하여구현의정확성검증후사용. * ** - KS X ISO/IEC 19790* 또는 FIPS140-2 의검증대상알고리즘사용여부확인 -.. 국가정보원또는 NIST 에서제시한테스트벡터값을적용하여구현정확성검증. * ** 29

30 3 데이터보호 (DP, Data Protection) 3.1 전송데이터보호 DP1-1 기기간전송되는중요정보는암호화하여전송해야한다. -.. 기기간에중요정보가전송되는경우, 중요한정보가노출되지않도록검증된암호알고리즘으로암호화하여전송해야하며암호화방법과강도는 CR1-1 항목을따름 중요정보 란? -.. 인증정보 ( 예 : 비밀번호 ), 암호키 ( 예 : 개인키, KEK, DEK), 개인영상정보, 결제정보등을. 말하며, 기기의특성에따라다른정보 ( 예 : CCTV 기기의경우, 촬영영상 ) 들도중요한정보가될수있음. 단, 기기인증 ( 등록 ) 을위한고유식별정보는중요정보에해당하지않으나기기특성에따라포함될수있음 - 암호키를전송하는경우기밀성과무결성을보장해야하며자세한내용은 CR2-1 항목을따름 - 전송되는중요정보목록을확인함 - 중요정보를암호화한암호알고리즘을확인함 - 전송방법이무엇인지확인함 DP1-2 알려진프로토콜을기반으로통신채널생성시안전한보안모드를사용해야한다. - 중요정보암호화전송시보안프로토콜을사용하는경우에는신뢰된보안프로토콜을사용해야함 -.. 신뢰할수있는보안프로토콜을사용하는경우라도, 버전, 모드, 옵션등에따라취약성이존재할수있으므로안전하게설정해야함 30 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

31 유형 Bluetooth 보안프로토콜사용방법 BLE(Bluetooth Low Energy) 는 BLE 4.0/4.1 를포함하여낮은버전의제품은보안모드 1 의보안레벨 3( 암호화된인증페어링 ) 을적용해야하고, BLE 4.2 제품및. 서비스는보안모드 1 의보안레벨 4( 암호화된저전력보안연결인증 ) 를적용해야함 Zigbee ZigBee 의 CCM 운영모드는 AES-CBC-MAC-128( 보안강도 128 비트이상의. 메시지인증 ) 또는 AES-CCM-128( 보안강도 128 비트이상의암호화및메시지인증 ) 로선택적으로사용해야함 Z-Wave WiFi Z-Wave 인증을받고 S2( 시큐리티 2) 프레임워크를적용해야함 WPA2 방식을적용해야함..WPA2-PSK 의경우초기무선랜인증시 4-way 핸드셰이킹단계의무선패킷수집을 통해비밀키유추가가능하다는문제가있으므로비밀키는특수문자를포함한임의의 문자를사용하여최대한의자릿수를사용 TLS 최신버전 ( 예 : TLS 1.2 및 TLS 1.3 활성화및 TLS 1.1 이하비활성화 ) 을. 사용하고, 안전한암호알고리즘조합을적용 SSL/TLS.. 안전한암호알고리즘조합. TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256. TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384. TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA. TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA. TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256. TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384. TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 등 기타 안전한통신채널제공을위한특정프로토콜규격을사용하고있지않은경우. 상호인증및키일치 ( 공유 ) 를수행후안전한구간암호화를수행해야함 - 전송되는중요한정보목록을확인함 - 통신채널별보안프로토콜의적합성을확인함 - 중요정보를암호화한암호알고리즘을확인함 31

32 3.2 저장데이터보호 DP2-1 기기에저장되는중요정보는암호화해야한다. -.. 기기에중요정보가저장되는경우, 중요한정보가노출되지않도록검증된암호알고리즘으로. 암호화하여저장해야하며암호화방법과강도는 CR1-1 항목을따름 - 중요정보를암호화하기위해정보가저장된저장소를암호화하거나중요정보만암호화할수있음 -.. 개인영상, 인증정보, 중요설정정보등과같은중요정보를파일로추출하여저장하는기능이. 있는경우, 해당파일또는해당중요정보를암호화할수있어야함 - 암호키저장시에는기밀성과무결성을보장해야하며자세한내용은 CR2-1 항목을따름 메모리에서키정보삭제 -.. 암호화저장된정보를복호화할때, 복호화키정보가메모리에평문으로로드되는경우에는. 메모리덤프공격으로복호화키가노출될수있으므로, 사용후복호화키정보를메모리에서. 삭제해야함 -.. 개인정보저장시에는암호화, 마스킹등비식별화기능을제공할수있어야하며자세한. 내용은 DP5-1 항목을따름 -.. 개인영상정보와같이저장용량이큰정보의경우, 특정영역마스킹또는부분암호화적용을통해중요정보암호화요구사항을대체할수있음 - 저장되는중요정보목록을확인함 - 중요정보를암호화한암호알고리즘을확인함 - 저장방법이무엇인지확인함 DP2-2 사용자필요에의해기기에저장된중요한정보를삭제한경우, 복원이어렵도록해야한다. -.. 기기의폐기또는업데이트, 교체등의요구발생시중요정보를사용할수없도록삭제 * 기능. ( 예 : 공장초기화등 ) 을제공해야함 32 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

33 * 완전삭제 권고 -.. 완전삭제는미국 NIST SP , 독일 VISITR, 호주 ACSI 33 표준등을따르기를권고함, 단, 적용이어려울경우해당정보의기록영역을 0x00, 랜덤한값, 0x00 순으로 3 회이상의덮어쓰기를할수있음 - 삭제되는중요한정보목록을확인함 - 중요한정보를삭제하는방법을확인함 3.3 정보흐름통제 DP3-1 허가되지않은네트워크트래픽차단기능을제공해야한다. -.. 네트워크기능을보유하는기기 * 의경우, 허가되지않은네트워크트래픽 ** 을차단하는기능을제공해야함 * 네트워크기능보유기기 란? - CCTV, 홈게이트웨이, 월패드등네트워크중계역할을담당하는기기 ** 허가되지않은네트워크트래픽 이란? - 네트워크접근통제정책에등록되지않은기기에서발생되는트래픽 -.. 기기에서특정포트오픈이필요할경우, 기본적으로모든트래픽을거부 (Deny) 로설정해야. 하며, 사용자의요구에의해특정포트를허가 (allow) 해야함. 관리자에게만제공되는웹페이지등은미리정의된 IP 만접근할수있도록 IP 기반필터링기능제공... AU1-3 잘못된인증정보를통한반복인증시도로제한된 ID 는허가되지않은네트워크트래픽으로차단. 되며, 관리자에의해해제될수있음 -..SNMP 를사용하는기기의경우, SNMP V3 이상의버전을적용해야함. SNMP V3 : SNMP V1, V2 와는다르게패스워드를암호화하여전송함. 무작위대입공격에취약하지않도록,. 디폴트명사용금지및패스워드조합규칙준수가필요하며, 사용하는암호알고리즘은암호유형기준을따름. SNMP V1, V2 를사용해야하는경우, 쓰기 (write) 방지 (read 권한만제공 ), 디폴트및공개된커뮤니티이름. 사용금지 ( 예 : public, admin 등 ), 디폴트패스워드사용및평문저장금지, MIB 데이터내기밀정보사용. 삭제등의보안방법을적용해야함 33

34 - 네트워크트래픽허용및차단목록을확인함 - 허가된프로토콜목록및등록사유를확인함 3.4 안전한세션관리 DP4-1 세션연결후일정시간동안미사용시, 세션을잠그거나종료시켜야한다. - 일정시간동안동작이없을경우, 기기는세션을잠그거나세션을종료시켜야함 일정시간 이란? -.. 기기의특성에따라사용자가설정한세션잠금및세션종료시간. 예 ).. 민감한제어명령처리가포함되는세션은 30 초이후세션을잠금또는종료, 민감하지. 않은제어명령처리세션은 10 분이후잠금또는종료 - 세션잠금및세션이종료된후, 재접속할경우에는재인증을수행해야함 - 모니터링모드로동작시에는세션잠금요구사항을적용하지않아도무관 - 세션잠금또는세션종료시간 ( 기기특성에적합여부 ) 을확인함 - 세션잠금 종료후재접속시, 재인증수행여부를확인함 DP4-2 세션 ID 는예측할수없는값이어야한다. - 해당요구사항은주로 HTTP 프로토콜에적용됨 -.. 사용자인증등에사용하는세션 ID 가순차적으로늘어나는경우, 예측하기쉽거나재사용이. 가능할수있으므로, 예측할수없도록설정해야함 - 안전한난수알고리즘을적용하여최소 128 비트의길이로생성되도록권고함 - 세션인증시마다세션 ID 는변경되어야하고, 사용된세션 ID 는재사용할수없도록폐기되어야함 34 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

35 - 세션 ID 생성방법을확인함 ( 세션간연관성확인 ) - 사용중이거나사용된세션을재사용하여연결되는지확인함 3.5 개인정보보호 DP5-1 기기에서처리하는개인정보는비식별화조치되어야한다. - 기기에서처리하는개인정보는중요정보로분류되며, 저장및전송시비식별화조치되어야함 비식별화 란? -.. 개인정보의일부또는전부를삭제하거나다른정보로대체함으로써다른정보와쉽게결합하여도. 특정개인을식별하기어렵도록하는일련의조치 ( 공공정보공유 개발에따른개인정보보호지침, ) 개인정보 란? 분류고유식별정보민감정보개인식별정보개인관련정보 개인정보종류 주민번호, 여권번호, 운전면허번호, 외국인등록번호 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 병력 ( 病歷 ),. 신체적 정신적장애, 성적 ( 性的 ) 취향, 유전자검사정보, 범죄경력정보등. 사생활을현저하게침해할수있는정보 이름, 주소, 전화번호, 핸드폰번호, 이메일주소, 생년월일, 성별등 학력, 직업, 키, 몸무게, 혼인여부, 가족상황, 취미등 인증정보비밀번호, 바이오정보 ( 지문, 홍채, 정맥등 ) 신용정보 / 금융정보의료정보위치정보자동생성정보가공정보 신용정보, 신용카드번호, 계좌번호등건강상태, 진료기록등개인위치정보등 IP정보, MAC주소, 사이트방문기록, 쿠키 (cookie) 등통계성정보, 가입자성향등 제한적본인식별정보 회원번호, 사번, 내부용개인식별정보등 소프트웨어개발보안가이드 ( , 행정자치부 /KISA) 35

36 -.. 비식별화조치방법으로는가명처리 (Pseudonymization), 총계처리 (Aggregation), 데이터삭제 (Data Reduction), 데이터범주화 (Data Suppression), 데이터마스킹 (Data Masking) 등이있음. 개인정보비식별조치가이드라인 (2016) 또는빅데이터개인정보보호가이드라인해설서 (2015) 참조 -.. 개인영상정보의경우, 특정영역마스킹또는부분암호화를적용을통해비식별화요구사항을대체할수있음 -.. 개인정보를기반으로서비스를제공하거나서버에개인정보를저장하는경우, 개인정보보호법및동법시행령등관련법규의요구사항을만족해야함 - 기기에서처리되는개인정보의종류를확인함 - 개인정보비식별화방법의적절성을확인함 4 플랫폼보호 (PL, Platform Protection) 4.1 소프트웨어보안 PL1-1 보안약점및보안취약점이존재하지않도록시큐어코딩을적용해야한다. -.. 보안항목을고려하여제품을설계하고, 보안약점을최소화하여안전하게구현해야함 -. 소프트웨어개발보안가이드 ( , 행정안전부 / 한국인터넷진흥원 ) 를참고할수있음 -.. 기존에알려진보안취약점을내포한프로토콜, 라이브러리 /API/ 패키지 / 오픈소스등을사용. 하여개발된소프트웨어의경우, 펌웨어, 운영체제도보안에취약할수있으므로제품을점검. 하여보안취약점을제거해야함 -.. 알려진보안취약점공개영역 ( 예 : KrCERT, CVE, NVD, Security Focus, 논문등 ) 을통해. 기기에해당하는보안취약점존재여부를확인하고제거해야함 알려진보안취약점 - 예 ) XSS, SQLi, CSRF, 버퍼오버플로우, 퍼징, 서비스거부 (DoS) 공격등 36 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

37 -.. 소스코드보안분석도구를이용하여소프트웨어에대한보안약점을점검하고, 보안약점이존재하는지확인함 -.. 상용또는신뢰할수있는공개용보안취약점점검도구를사용하여개발기기의보안취약점. 점검및제거여부를확인함 PL1-2 기기에연동되는모바일앱개발시보안성을고려해야한다. -. 모바일전자정부서비스앱소스코드검증가이드라인 ( , 행정안전부 / 한국인터넷. 진흥원 ) 에제시된 기능보안취약점 등을고려하여개발 기능보안취약점고려사항 -.. 임의기능존재여부, 최소권한, 입력값유효성, 중요정보관리, 플랫폼보안모델,. 상용 / 공개용모듈, 공개영역취약점등 -.. 모바일앱기능시험을통해 모바일전자정부서비스앱소스코드검증가이드라인 에제시된. 기준에부합한지확인함 PL1-3 펌웨어및앱분석방지를위해난독화를적용해야한다. -.. 해당요구사항은주로소스코드복원이용이한 JAVA( 및 Android JAVA) 로개발된앱 ( 어플리케이션 ) 에적용될수있음 -.. 공개된역공학도구를통해중요로직이나키정보등을추출할수있으므로적절한수준의보호방법을적용해야함 -.. 소스코드난독화도구 ( 또는컴파일러옵션을활용한난독화 ) 를적용하여메모리보호기법을. 적용해야함 - 패키지구성요소중중요정보를선별하여난독화를해야함 - 펌웨어의경우, 필수적으로난독화적용이어렵다면선택적으로난독화적용을권고함 37

38 - 난독화적용방법 ( 난독화도구등 ) 을확인함 - 앱 ( 어플리케이션 ) 에대한소스코드복원을시도하여난독화여부를확인함 PL1-4 주요설정값및실행코드에대한무결성검증기능을지원해야한다. -..IoT 기기의정상동작을보장하기위해서는주요설정값및실행코드에대한무결성검증이수반되어야함 - 기기시동시 ( 필수 ), 사용자요청또는주기적으로 ( 선택 ) 무결성검증수행 무결성검증대상 -.. 기기구동에영향을미치는설정값, 보안기능및제품의중요기능에관련된실행코드,. 업데이트서버주소등 무결성검증방법 - ( 예시 ) 위변조시영향이큰경우 : HMAC, RSA 서명방식적용 - ( 예시 ) 위변조시영향이크지않은경우 : SHA-2 family 허용 - ( 예시 ) 위변조시영향이미미한경우 : SHA-1, MD-5, Checksum 허용 - 무결성검증실패 ( 오류 ) 시적절한대응절차를수행해야함 무결성검증실패시대응절차 -.. 관리자에게알림 ( 이메일, 팝업, 경고음등 ), 무결성오류이전설정값및실행코드로복구,. 기기에서제공하는기능잠금및서비스중단, 공장초기화수행등 38 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

39 - 시동시무결성기능이실행되는지확인함 - 사용자요청시또는주기적으로무결성기능이실행되는지확인함 - 무결성검증실패시적절한대응절차를수행하는지확인함 4.2 안전한업데이트 PL2-1 업데이트수행전인가된사용자여부를확인해야한다. - 인가된사용자 ( 관리자 ) 에의해업데이트가진행되어야함 -.. 업데이트는인가된사용자 ( 관리자 ) 에의해서만수행될수있도록업데이트수행전사용자인증기능을. 제공하는지확인함 사용자인증방법 - 아이디, PIN 입력, 소유자보유카드태깅등사용가능 PL2-2 업데이트실패시롤백기능을지원해야한다. - 업데이트를위한안전한프로세스를정의해야함 - 업데이트실패시안전한상태로의복구될수있도록롤백기능을지원해야함 - 기능시험을통해업데이트실패시롤백기능의존재여부를확인함 - 기능시험을통해롤백후, 기기가정상동작하는지확인함 39

40 PL2-3 업데이트수행전무결성검사를수행해야한다. 업데이트알림및사용자선택 업데이트서버주소무결성 업데이트파일무결성 업데이트알림기능을제공하는경우, 사용자가업데이트를적용할수. 있도록해야함 단, 사용자가업데이트알림을받고업데이트를적용하지않을수있음 업데이트서버주소는주요설정값에포함되므로, PL1-4 항목에따라. 서버주소변경여부가확인되어야함 업데이트파일다운로드후, 업데이트파일설치전업데이트파일에대한. 무결성검증을수행하여무결성에오류가발생한경우설치를금지해야함 - 업데이트알림기능제공여부및사용자에의해업데이트를적용할수있는지확인함 - 업데이트서버주소를포함한주요설정값에대한무결성검사가수행되는지확인함 -.. 업데이트수행전업데이트파일에대한무결성검사를수행하는지확인하고, 무결성오류시에도업데이트가진행되는지확인함 4.3 보안관리 PL3-1 불필요한서비스는제거하거나비활성화해야한다. - 기기에서제공하는필요서비스를정의해야함 - 불필요한서비스 ( 예 : Telnet, FTP, UPnP, SNMP) 는비활성화해야함 - 외부접속을허용할경우접근 IP 제한, 접근비밀번호설정등의추가적인보안조치를수행해야함 - 인가된사용자에의해서만서비스활성화기능이수행되어야함 인가된사용자 란? - 관리서비스접근이허용된사용자 ( AU1-5 항목참조 ) 40 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

41 - 기기에서제공하는서비스 ( 포트 ) 및목적, 용도등을확인함 - 포트스캔등을통해불필요한서비스가존재하는지확인함 - 외부접속포트사용시, 해당포트접근을위한추가적인보안조치를확인함 - 인가된사용자에의해서비스활성화가능여부를확인함 PL3-2 원격관리는신뢰할수있는환경에서수행되어야한다. - 관리자는원격관리를신뢰할수있는환경에서수행해야함 원격관리 란? -.. 원격조종자로하여금해당시스템에물리적으로접근권한이있는것처럼시스템을제어하게해주는소프트웨어및프로그래밍모음등을모두일컬음 신뢰할수있는환경 이란? -.. 내부망, 사전지정된원격관리용 IP, 안전한채널 (TLS, SSH 등 ) 이적용된시스템등 - 지정되지않은 IP 로접근또는안전하지않은채널로접근시, 원격관리서비스가가능한지확인함 PL3-3 최신보안패치가적용된 3 rd party 라이브러리를사용해야한다. -.. 개발시사용되는 3 rd party 라이브러리및모듈은알려진취약점이나결함이존재하지않는. 최신버전을사용하여야함 -..3 rd Party 소프트웨어는최신보안패치가적용된버전을사용하여야함 41

42 - 소프트웨어정보홈페이지를통해최신소프트웨어버전의사용여부를확인함 확인방법 -.. 어플리케이션및 Bootloader, Busybox, OpenSSL, OpenSSH, Linux 를포함한. 소프트웨어에대한보안취약점점검 -.. 시험대상기기에적용된 3 rd party 소프트웨어 ( 라이브러리 ) 가 IoT 보안시험 인증기간이. 변경되는경우, 신청업체로부터패치일정을받아서해당요구사항을처리할수있음. 단, 신청업체가제출한패치일정을준수하지않는경우기발급된인증서취소사유가될수있음 PL3-4 하드웨어및소프트웨어의자체시험기능을제공해야한다. -..IoT 기기시동시 ( 전원인가시 ) 또는시동후주요하드웨어및소프트웨어에대한오류를. 탐지할수있는자체검사기능을제공해야함 - 오류탐지시관리자에게오류에대한내용을알릴수있도록권고함 오류알림방법 - 이메일전송, SMS 발송, LED 점멸, 경고음등 - 하드웨어및소프트웨어자체시험기능은개발업체에서제공한문서내용을기반으로확인함 - 하드웨어및소프트웨어의오류를발생시킨후자체시험기능이오류를탐지하는지확인함 - 오류탐지시사용자 ( 관리자 ) 에게알림기능을제공하는지확인함 42 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

43 4.4 감사기록 PL4-1 보안과관련된이벤트는감사기록을생성해야한다. - 감사기록생성기능을구현해야하며, 기기의이상행위를탐지및추적할수있어야함 -.. 감사기록은사건발생일시, 유형, 사건을발생시킨주체의신원, 작업내역및결과 ( 성공 / 실패 ). 등을고려하도록권고함 감사기록대상 - 사용자로그인성공 / 실패, 제품설정변경내역, 기능수행내역 ( 보안기능포함 ) 등감사기록제외대상 - 비밀번호, 암호키등민감한정보등 -.. 인가된사용자 ( 관리자 ) 가해석할수있도록감사기록을생성하고, 검토할수있는기능을제공해야함 - 감사기록 ( 로그 ) 을기기에저장하지않고외부서버또는기타저장장치로전송할수있음 - 보안관련이벤트를수행한후감사기록로그를확인함 - 외부서버로감시기록 ( 로그 ) 을전송하는경우정상적으로전송및저장되는지확인함 PL4-2 감사기록에대한보호기능을제공해야한다. -.. 감사기록의유실및비인가된변경 ( 삭제포함 ) 에대비하기위해감사기록을보호하는장치를. 마련해야함 감사기록보호하는장치 -.. 저장공간이일정이상채워지면오래된감사기록덮어쓰기또는인가된사용자에게경고를통해저장공간을확보할수있는기능 ( 예 : 감사기록백업등 ) 제공 43

44 -.. 비인가된삭제또는변경이발생하지않도록보호해야함 ( 예 : 감사기록에대한삭제및변경. 기능및 UI 를제공하지않음 ) - 클라우드등안전성이검증된외부저장소를사용하여감사기록저장가능 - 감사기록보호기능확인 - 감사기록삭제기능존재여부확인 4.5 타임스탬프 PL5-1 신뢰할수있는타임스탬프기능을지원해야한다. -.. 신뢰할수있는타임스탬프를사용해서보안관련사건이벤트를정확하게기록해야함. ( 예 : NTP 등 ) -.. 공인된시간소스와동기화를지원해야하며하루에 1 초이내의정확성을가져야함... 외부 NTP 서버와연결이어려운경우, 운영체제시간을기반으로적용할수있으며 RTC 는일정시간으로. 사용을제한하고주기적으로업데이트를수행해야함 - 감사기록생성시신뢰할수있는타임스탬프가제공되어야함 - 기기의현재시간을임의로변경및재부팅후정확한시간으로복귀하는지확인함 44 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

45 5 물리적보호 (PH, Physical Protection) 5.1 물리적인터페이스보호 PH1-1 불필요한외부인터페이스는비활성화하고, 필요시접근통제기능을지원해야한다. - 외부에노출된모든인터페이스종류와기능은제품사용설명서에기술되어야함 -.. 불필요한외부인터페이스에대하여비활성화대책이구현되어야하며제품사용설명서에. 기술해야함 -.. 필요시, 비인가된접근방지를위해접근통제기능을제공해야하며, 제품사용설명서에. 기술해야함 외부인터페이스의예 - USB, Ethernet, 시리얼통신인터페이스 (RS232, RS485 등 ), SD Card Slot 등 -.. 외부에노출된인터페이스의필요여부는제품사용설명서또는제조사가제공하는문서로확인함 - 필요한외부인터페이스라도비인가된접속을방지하기위한접근통제기능이적용되었는지확인 - 불필요한외부인터페이스가존재할경우제거하거나비활성화가능여부를확인함 PH1-2 비인가자의내부포트접근을방지해야한다. - 모든내부인터페이스종류와기능은제품사용설명서에기술되어야함 -.. 불필요한내부인터페이스에대하여제거또는비활성화대책이구현되어야하며제품사용. 설명서에기술해야함 - 필요시, 비인가된접근방지를위해접근통제기능을제공해야하며, 제품사용설명서에기술해야함 45

46 내부인터페이스의예 - JTAG, UART, USB, SPI, I2C, SDIO, Ethernet 등표준 / 비표준통신인터페이스 - 제조사에서제출한제품사용설명서를기반으로내부인터페이스유무를확인함 -.. 제거가불가능한인터페이스는비활성화여부를확인하고, 사후관리및디버깅에필요한. 인터페이스는접근통제기능이적용되어있는지확인함 5.2 무단조작방어 PH2-1 비인가자의무단조작을탐지하여대응할수있는기능을지원해야한다. - 무단조작접근방지및검출방법으로아래와같은기능을구현해야함 접근방지 / 검출방법의강도는제품의성능과저장된데이터에따라서조절할수있고. 대응기술도구현가능 높은강도의외부접근방지및검출방법구현시기기인터페이스명세서에기재 구분접근방지방법접근검출방법대응기술 설명 자체제작된조립스크류 ( 나사 ) 적용 ( 예 : 별나사, 팔각나사등 ), 제품내부몰딩,. 주요 IC CAN 적용, IC 레이저마킹삭제, 주요통신선내층설계등 파괴테입, Tamper Proofing 기능구현 - 케이스내부에그물망형상의센서또는스위치를구현 - 케이스의변형또는열림을검출후관리자알람또는메모리전체 ( 민감정보 ) 초기화 - 접근방지 / 검출방법은제품의성능과저장된데이터의중요도에따라강도조절가능함 - 무단조작접근방지기능과접근검출방법이구현되어있는지확인함 46 사물인터넷 (IoT) 보안시험 인증기준해설서 STANDARD

47

48 사물인터넷 (IoT) 보안시험 인증해설서 (STANDARD) 인쇄 2017 년 12 월 발행 2017 년 12 월 발행처한국인터넷진흥원전라남도나주시진흥길 9 (KISA 본원 ) 인쇄처호정씨앤피 Tel. (02) 본가이드라인내용의무선전재및복제를금하며, 가공 인용하는경우반드시 한국인터넷진흥원의 사물인터넷 (IoT) 보안시험 인증해설서 라고출처를밝혀야합니다. < 비매품 > * 본가이드관련최신본은한국인터넷진흥원홈페이지 ( 또는정보보호산업진흥포털 ( 에서얻으실수있습니다.