Microsoft Word - src.docx

Transcription

1 TTAS.KO / /R1 개정일 : 2006년 12월 27일 T T A S t a n d a r d 네트워크운영자를위한침입차단시스템선정지침 Firewall System Selection Guide for Network Operator

2 정보통신단체표준 ( 국문표준 ) TTAS.KO /R1 개정일 : 2006 년 12 월 27 일 네트워크운영자를위한침입차단시스템선정지침 Firewall System Selection Guide for Network Operator 본문서에대한 저작권은 TTA에있으며, TTA와사전협의없이 이문서의전체또는일부를 상업적목적으로복제또는배포해서는안됩니다. Copyrightc Telecommunications Technology Association All Rights Reserved.

3 서문 1. 표준의목적 본표준은기관의정보통신망을외부의정보통신망에연결하고자할때나타날수있는위협들을효율적으로차단하고내 외부의정보통신망간에교환되는데이터를안전하고비용효율적으로통제하기위하여각환경의특성에적합한침입차단시스템을선정하기위한지침을제시한다. 2. 주요내용요약 본표준에서는통신망에존재하는위협들을효율적으로차단하기위해사용되는침입차단시스템의개념을설명하고정보통신망에존재하는위험을저, 중, 고의위험수준으로결정한후그에따라적절한침입차단시스템을선정할수있도록한다. 또한위험수준에따라적용될수있는침입차단시스템의구성예도제시한다. 3. 표준적용산업분야및산업에미치는영향 본표준은서로다른통신망을연결할경우이러한환경에존재할수있는위협들을효율적으로차단하고통신망간에교환되는데이터를안전하고비용효율적으로통제하기위하여각환경의특성에적합한침입차단시스템을선정하고자하는관리자를위해제시되며, 조직의환경에존재할수있는위협들을효율적으로차단하고통신망간에교환되는데이터를안전하고비용효율적으로통제하기위해요구되는침입차단시스템의선정을위한지침이나지표설정을위해활용할수있다. 4. 참조표준 ( 권고 ) 4.1. 국외표준 ( 권고 ) - ISO/IEC 15408, Common Criteria for Information Technology Security Evaluation i TTAS.KO /R1

4 4.2. 국내표준 - TTA, TTAS.KO , 침입차단시스템선정지침, 정보통신부고시, 정보보호시스템공통평가기준 4.3 기타표준 ( 권고 ) - NIST Special Publication 800-XX, Internet Security Policy, A Technical Guide, National Institute of Standards and Technology, NIST Special Publication , Keeping Your Site Comfortably Secure, An Introduction to Internet Firewalls, 참조표준 ( 권고 ) 과의비교 5.1. 참조표준 ( 권고 ) 과의관련성 기작성되었던국내표준에대해변경된국내평가기준을반영하여네트워크운영자가 침입차단시스템을선정하기위한가이드를제시한다. 또한, 참조된국제표준들은 단순참조이다 참조한표준 ( 권고 ) 과본표준의비교표 - 해당사항없음 6. 지적재산권관련사항 본표준의 지적재산권확약서 제출현황은 TTA 웹사이트에서확인할수있다. 본표준을이용하는자는이용함에있어지적재산권이포함되어있을수있으므로, 확인후이용한다. 본표준과관련하여접수된확약서이외에도지적재산권이존재할수있다. ii TTAS.KO /R1

5 7. 시험인증관련사항 7.1. 시험인증대상여부 - 해당사항없음 7.2. 시험표준제정현황 - 해당사항없음 8. 표준의이력정보 8.1. 표준의이력 판수제정 개정일제정 개정내역 제 1 판 제 2 판 제정 TTAS.KO 개정 TTAS.KO /R1 iii TTAS.KO /R1

6 8.2. 주요개정사항 TTAS.KO /R1 TTAS.KO 개정판내역 1. 개요 1. 개요수정 2. 침입차단시스템의개념 2. 침입차단시스템의개념수정 3. 침입차단시스템평가기준요약삭제 3. 정보통신망위험수준결정 4. 정보통신망위험수준결정수정 4. 정보통신망의위험수준에따른침입 차단시스템선정방법 5. 정보통신망의위험수준에따른침입 차단시스템선정방법 수정 5. 위험수준별침입차단시스템구성예 6. 위험수준별침입차단시스템구성예수정 7. 결론삭제 6. 참고문헌 8. 참고문헌수정 < 부록 A> 정보보호시스템공통평가기준추가 < 부록 B> w = wo = wp = wa = wf = 1 일경우에대한선정방법 < 부록 > w = wo = wp = wa = wf = 1 일경우에대한선정방법 수정 iv TTAS.KO /R1

7 Preface 1. Purpose of Standard This standard provides guide on how to select a firewall system, which will effectively control and secure data transferred across networks, by providing issues to be considered to minimize threats when connecting trusted inner network with untrusted outer network. 2. Summary of Contents This standard describes a firewall that can be used to prevent threats on a network and allows decision of the risk level - low, medium, or high - and hence selection of an appropriate firewall. It also presents examples of firewall configurations for each level of risk. 3. Applicable Fields of Industry and its Effect This standard is presented as a guideline for an administrator who wants to select a firewall appropriate for each environment of the organization in order to efficiently prevent any possible threats in connected networks and safely and cost-effectively control data transmitted between networks. 4. Reference Standards(Recommendations) 4.1. International Standards(Recommendations) - ISO/IEC 15408, Common Criteria for Information Technology Security Evaluation v TTAS.KO /R1

8 4.2. Domestic Standards - MIC, Common Criteria for Information System Security 4.3. Other standards(recommendation) - NIST Special Publication 800-XX, Internet Security Policy, A Technical Guide, National Institute of Standards and Technology, NIST Special Publication , Keeping Your Site Comfortably Secure, An Introduction to Internet Firewalls, Relationship to Reference Standards(Recommendations) 5.1. Relationship of Reference Standards(Recommendations) - None 5.2. Differences between Reference Standard(Recommendation) and this Standard - None 6. Statement of Intellectual Property Rights IPRs related to the present document may have been declared to TTA. The information pertaining to these IPRs, if any, is available on the TTA Website. No guarantee can be given as to the existence of other IPRs not referenced on the TTA website. And, please make sure to check before applying the standard. vi TTAS.KO /R1

9 7. Statement of Testing and Certification 7.1. Object of Testing and Certification - None 7.2. Standards of Testing and Certification - None 8. History of Standard 8.1. Change History Edition Issued date Outline The 1st edition The 2nd edition Established TTAS.KO Revised TTAS.KO /R1 vii TTAS.KO /R1

10 8.2. Revisions TTAS.KO /R1 Reference standard (TTAS.KO ) Note 1. Introduction 1. Introduction Modify 2. Overview of firewall system 2. Overview of firewall system Modify 3. Summary of security evaluation criteria for firewall system Delete 3. Decision of risk level on information and communication network 4. Decision of risk level on information and communication network Modify 4. Firewall system based on risk levels 5. Firewall system based on risk levels Modify 5. Configuration examples firewall system based on risk levels 6. Configuration examples firewall system based on risk levels Modify 7. Conclusion Delete 6. References 8. References Modify <Annex A> Summary of Common Criteria Add <Annex B> Selection method on w = wo = wp = wa = wf = 1 <Annex> Selection method on w = w O = w P = w A = w F = 1 Modify viii TTAS.KO /R1

11 목차 1. 개요 1 2. 침입차단시스템의개념 침입차단시스템의사용목적및정의 침입차단시스템의유형및구성형태 3 3. 정보통신망위험수준결정 개요 위협수준 피해수준 위험수준의결정 정보통신망의위험수준에따른침입차단시스템선정방법 위험수준별침입차단시스템구성예 낮은위험수준에서의침입차단시스템구성예 중간위험수준에서의침입차단시스템구성예 높은위험수준에서의침입차단시스템구성예 참고문헌 24 부록 Ⅰ. 정보보호시스템공통평가기준 25 부록 Ⅱ. w = wo = wp = wa = wf = 1 일경우에대한선정방법 42 ix TTAS.KO /R1

12 Contents 1. Introduction 1 2. Overview of firewall system Objectives and definition of firewall system Types and Configuration of firewall system 3 3. Decision of risk level on information and communication network Introduction Threat level Damage level Decision of risk level Firewall system based on risk levels Configuration examples firewall system based on risk levels Configuration examples of firewall system at low risk leve Configuration examples of firewall system at minimum risk level Configuration examples of firewall system at high risk level References 24 Appendix Ⅰ. Summary of Common Criteria 25 Appendix Ⅱ. Selection method on w = wo = wp = wa = wf = 1 42 x TTAS.KO /R1

13 네트워크운영자를위한침입차단시스템선정지침 (Firewall System Selection Guide for Network Operator) 1. 개요 조직의내부망을인터넷과같은외부망에연결할경우에가장일반적으로사용될수있는정보보호대책은두망의연결점에침입차단시스템을설치하여조직의정보보호정책에따라접근을통제하는것이다. 이를위하여많은침입차단시스템이개발되어제품으로시장에나와있으나일반사용자들은실제로어떤제품이그들의필요에적합한기능과적절한보증을제공하는지판단하기어렵다. 따라서정보통신망이용촉진및정보보호등에관한법률제 52 조제 1 항에따라정보보호에필요한시책을효율적으로추진하기위해설립된한국정보보호진흥원에서는정보화촉진기본법제 15 조및동법시행령제 16 조에서명시한정보보호시스템기준에관한조항에근거하여국제표준인 ISO/IEC 을한글화한정보보호시스템공통평가기준을개발하였다. 정보통신부가이기준을고시하고한국정보보호진흥원에서는이기준에따라침입차단시스템을평가함으로써안전 신뢰성이객관적으로검증된시스템을사용자들이선택할수있도록하고있다. 평가된제품이나옴으로써사용자들은이제어떤제품이어느정도의기능과보증을제공하는지를판단할수있게되었다. 그러나한편전문가가아닌사용자가어떠한등급의침입차단시스템이자신의조직에가장적합한지를판단하기위하여조직의위험수준과필요기능을분석하기에는어려움이있다. 이침입차단시스템선정지침은조직의내부망을외부의망과연결하기위하여침입차단시스템을도입하고자하는사용자가자신의조직의위험수준을판단하여보호수준에부합하는평가된침입차단시스템을선정할수있도록하기위한것이다. 이를위하여이표준에서는먼저침입차단시스템자체에대한이해를돕고자침입차단시스템의개념을 2 절에서설명하고 3 절에서각조직의정보통신망에대한개략적인위험수준을결정하기위한방법을제시하였다. 일반적으로위험분석은 1 TTAS.KO /R1

14 정보자산및취약성, 위협의분석단계를거치는매우복잡하고정교한작업이나이지침에서는침입차단시스템을도입하기위한목적으로적정평가등급을결정하기위해필요한개략적인위험수준의판단을목표로하여위험분석전문가가아니더라도따를수있는방법을제시하였다. 4 절에서는이러한위험수준에대응할수있는침입차단시스템의적정평가등급을 제시하였으며 5 절에서는위험수준에대응하기위한침입차단시스템구성의예를 설명하였다. 또한, 부록 A 와 B 를통해정보보호시스템공통평가기준및침입차단시스템 보호프로파일을소개하고, 특정한상황에서의침입차단시스템선정방법예시를 제공하였다. 2. 침입차단시스템의개념 2.1. 침입차단시스템의사용목적및정의 공개망에대한접속은외부공격자가조직내부의시스템에침투할위험을가져온다. 이것은모든공개망에해당되는문제점이지만인터넷에관해서는더심각한문제이다. 왜냐하면인터넷에는사용자가아주많고거의모든사람이인터넷접속을할수있으며, 내부사용자가인터넷으로부터컴퓨터바이러스와같은악용소프트웨어를반입하는것은비교적쉬운반면이것을막는것은아주어렵기때문이다. 보다근본적인원인은인터넷에서사용되는통신기술이근본적으로안전하지않기때문이다. 일반적으로어떤인터넷사이트에접속을시도하는경우이에따른위험을정량적으로나타내는것은매우어렵지만이러한위험이매우높다는것은분명하다. 최근에는내부사용자가중요정보를외부수신자에게전달하는새로운보안문제들이나타나고있다. 이런경우내부의적은거의노출되지않으면서잠재적으로많은양의정보를외부로유출시킬수있다. 비록자료가합법적으로인터넷을통해전송되는경우에도지명된수신자에게도달하기전까지전세계어느곳을경유하게될지모르기때문에이에대한대책마련이필요하다. 2 TTAS.KO /R1

15 또한회사업무측면에서도직원들의불필요한정보통신망사용으로인해야기되는업무능률의저하도새로운문제로제기되고있다. 이러한문제점들을효율적으로해결하기위하여사용되는일반적인방법이바로망간의접속점에침입차단시스템을설치하여사용하는것이다. 침입차단시스템이란정보통신망간의상호접속이나데이터전송을안전하게통제하기위하여신분확인, 접근통제, 무결성, 비밀성, 감사기록및추적, 보안관리기능을제공하는소프트웨어및하드웨어를말한다. 일반적으로제품화된침입차단시스템은단일한소프트웨어나하드웨어로구성되지만개념적으로는라우터, 개인용컴퓨터, 호스트, 또는호스트의집합이될수도있다 침입차단시스템의유형및구성형태 입차단시스템은구성되는방식, 적용되는네트워크계층, 접근통제방식등정책적, 기술적분류에따라다양하게구분될수있다. 적용되는네트워크계층에따라패킷필터링 (Packet-filtering), 응용계층 (Application-level) 게이트웨이, 혼합형 (Hybrid) 등으로분류되고, 구성및운영방법에따라이중네트워크호스트, 베스천호스트, 스크린서브넷, 스크린호스트게이트웨이침입차단시스템등으로분류될수다. 또한, 내부네트워크와외부네트워크간에전송되는모든정보는침입차단시스템을통해야한다. 이를위해침입차단시스템은 Dual-homed, Screened-host, Screenedsubnet 등과같은형태로구성될수있으며, 조직의정보보호를위하여다양한형태의설치및운영방법이가능하다. 3 TTAS.KO /R1

16 3. 정보통신망위험수준결정 3.1. 개요 정보통신망의위험수준을결정하는일은현재사용중인통신망에존재하는위협을분석하고해당위협이발생하였을경우이로인한피해가어느정도인지를예측하여이를바탕으로예상되는위험수준을결정하는작업이다. 하지만위협의분석이나피해의정도를결정하는작업은일반적으로이에관한과거의자료가부족하고위협의발생경향이나피해가변화하고있어대부분아직일어나지않은사건을대상으로하므로대단히어려운작업이다. 이표준에서는침입차단시스템의도입이라는제한된목적으로적정평가등급을결정하기위해필요한개략적인위험수준의판단을목표로삼았기때문에일반적인정교한위험분석방법론을따르는대신위험분석전문가가아니더라도기관의정보통신망담당자가판단하고따를수있는단순화된위험수준결정공식을제시한다. 이방법은매우단순하나조직의정보통신망을보호하기위하여적절한침입차단시스템의평가등급을결정하기에는충분하며, 이러한분석을통해일반적인위험분석에소요되는비용이나시간을절약할수있다. 특별히높은위험수준으로결정되는경우에는위험수준을낮추기위하여상세한위험분석을수행할것을권장한다. 일반적으로위험을계량적으로파악하기위해서는위협사건의발생빈도와이러한사건이미치는피해의양으로연간예상손실을계산하여이를위험의양으로사용한다. 즉, 연간예상손실 ( 위험 ) = 피해 발생빈도 로나타낸다. 이값을정확히알아낼수없으므로피해와발생빈도를등급으로나누어예상손실의대략적인크기를파악함으로써이비용을기준하여대책을수립하는것이일반적이다. 이표준에서는이러한기본공식을따르되피해와발생빈도의추정에고려하는요소들을단순화하여침입차단시스템의등급결정에활용할수있는위험수준결정방법을제시한다. 4 TTAS.KO /R1

17 이표준에서의위험수준결정방법은위협의발생빈도를높은위협수준, 중간위협수준, 낮은위협수준으로단순화하여파악하고피해를높은피해수준, 중간피해수준, 낮은피해수준으로파악하여이두수준의곱으로위험의수준을결정하는것이다. 이에대한상세한내용은 3.2 이하의절에서설명한다 위협수준 위협의존재정도 위협이란정보를폭로, 수정, 파괴하거나또는중요한서비스를방해함으로서조직에해를주는잠재적인사건이나상황을의미한다. 위협은인간의실수, 하드웨어 / 소프트웨어의고장또는자연재해와같은악의가없는것에서부터허용되지않은정보를얻거나타인의정보를파괴하고기능을떨어뜨리는악의적인것으로범주화될수있다. 이러한일반적인위협은정보처리를위해사용되는모든자동화된시스템에존재할수있는것이지만인터넷과같이안전하지않은통신망에연결된시스템에있어서는더욱중요하게고려해야할요소이다. 이표준에서는위에서언급한모든위협을고려하는것은아니며, 적정평가등급의침입차단시스템을선정한다는목적에맞추어망간의연결에서고려하여야할위협만을분석한다. 따라서침입차단시스템을선정하기위한위협의존재정도는통신망의활용환경에따라다음과같이분류할수있다. 낮음 - 외부망에서내부망으로접속하는경우반드시필요한프로토콜외에는지원하지않으며여러가지제한이있다. 외부망에서내부망으로접속가능한사용자계정역시엄중관리되며수가많지않다. 또는유사한보안조치를취하는신뢰할수있는망과연결하는경우에도위협의존재정도가낮다고본다. 5 TTAS.KO /R1

18 중간 - 외부망에서내부망에접속하여일정한작업의수행이가능하다. 그러나내부망에서접속하는경우보다는제한된기능만을제공하며안전하지않은것으로알려진프로토콜은제한된다. 접속계정은업무상의필요성을검토한후발급된다. 조직의네트워크운영에관한전체적인현황이파악되고관리된다. 높음 - 외부망에서내부망으로접속하는경우와내부망에서접속하는경우에권한이나기능의차이가없다. Finger, SMTP, (T)FTP, RPC, NFS, DNS 등대부분의프로토콜이지원된다. 모든계정이외부망에서접속하여사용가능하다. 또는조직의네트워크접속이부서마다별도관리되어현황파악및통제가어려운경우가해당된다 내부정보공개정도 내부정보의공개정도란악의를가진사용자가내부시스템에흥미를갖도록하는정보가유통되거나그러한사용자가공용도메인에서침투하고자하는시스템에대해얻을수있는정보의양을의미한다. 단순히말하면내부정보공개정도란내부시스템이외부세계에얼마나알려져있는가하는것이다. 모든시스템에는어떤수준의위협이반드시존재하는데이러한위협이위험으로바뀌어실제적인피해를일으키기위해서는어느정도의내부정보를필요로한다. 즉, 시스템이외부세계에어느정도노출이되고위협이시스템보안통제장치의취약성을악용하여야만위협은비로소위험으로바뀌게된다. 예로인터넷에연결된모든조직은외부세계에어느정도의정보를공개하게되는데이것은조직이단지도메인네임서비스 (DNS) 만을제공할때에도적용된다. 내부정보의공개정도는조직에따라다르며한조직의공개정도도주기적으로바뀔수있다. 조직의특별한행사가있는경우더높은내부정보의공개가발생한다. 이표준에서는상세한시기별위험분석을목표로하지않으므로개략적인정책을기반으로내부정보의공개정도를분석한다. 인터넷에기반을둔대부분의위협은본질적으로 6 TTAS.KO /R1

19 기회를노리는성격을갖기때문에조직의내부정보공개정도는악의를가진공격자가 공격을시도하려고마음먹게하는하나의중요한요인이다. 내부정보의공개정도는조직의상황에따라다음과같이분류할수있다. 낮음 - 보안을중요시하여조직의구조나기능이외부에거의알려지지않는다. 웹서비스등은제공하지않거나제공하는정보가제한된다. 중간 - 조직의보안이나공개원칙이뚜렷하지않거나경우에따라달라진다. 행사등을통해정기적으로일반인들에게조직의구조나기능을공개한다. 높음 - 공개원칙에따라조직이운영되고있으며웹이나다양한행사를통하여지속적으로조직의구조나기능을공개한다 위협수준결정 위협수준은위협의존재정도와내부정보공개정도의함수로나타낸다. 이를 표현하기위하여위협의존재정도및내부정보공개정도 ( 낮음, 중간, 높음 ) 에대하여 각각 L, M, H 의값을할당한다. 이를 < 표 3-1> 에서보였다. < 표 3-1> 위협수준을결정하기위한정도값 위협의존재정도 정도값 내부정보공개정도 정도값 낮음 L 낮음 L 중간 M 중간 M 높음 H 높음 H 이때위협의존재정도를 P, 내부정보의공개정도를 O 라하면위협수준 T 는 P 와 O 의합으로결정된다. T = f 1 (P, O) = w P P + w O O 단 O, P = { L, M, H } 이고 w P, w O 는두요소의값을동일한척도로나타내기위한가중치이다. 7 TTAS.KO /R1

20 < 위협수준의수치값결정방법 1> O 와 P 를수치적으로표현하기위해서먼저 낮음 과 중간 의비율과 중간 과 높음 의비율을정하면 낮음 을 1 로놓았을때 중간 과 높음 의크기를수치적으로 정할수있다. 이를 < 표 3-2> 에서보였다. < 표 3-2> 정도의수치값결정 정도값 L M H 수치값 1 중간 / 낮음 높음 / 중간 M 그리고나서위협의존재정도와내부정보공개정도의 낮음 값이위협에미치는영향을고려하여 w O /w P 의비를결정한다. 즉, 위협의존재정도가 낮음 일경우와내부정보공개정도가 낮음 인경우가어느쪽이위협에더큰영향을미칠지, 그리고그영향의비율이어느정도인지를결정한다. 이값을위의식 " T = w P P + w O O " 에대입하면위협수준의수치값을구할수있다. < 위협수준의수치값결정방법 2> 수치값을직접판단하여결정하는데어려움이있는경우에는다음과같은방법을사용할수있다. T 의값의크기는위에서언급한가중치와실제수치값에따라달라지므로이러한값이어떻게결정되더라도 T 를표현할수있도록 O 와 P 의값에따라 < 표 3-3> 과같이표현한다. < 표 3-3> 위협수준표위협의 내부정보 공개정도 존재정도 낮음중간높음 낮음 LL LM LH 중간 ML MM MH 높음 HL HM HH 8 TTAS.KO /R1

21 정의상 L < M < H 의관계가있으므로 T 가갖는각값은다음과같은부분순서 관계를갖는다. LL < LM ; LM < MM ; MH < HH ; LL < ML ; ML < MM ; HM < HH 이때만일내부정보의공개정도와위협의공개정도가위협수준에미치는영향이 비슷하다고판단된다면가중치를 w O = w P = 1 로놓을수있고다음과같은순서관계가 발생한다. LM = ML ; MH = HM 이렇게되면위협수준의각값들의순서관계는 LH = HL = MM ; LH = HL > MM ; LH = HL < MM ; 인세가지경우로나눌수있다. 즉, 이들의대소관계는다음과같은세가지순서가나타날수있다. i) LL < LM = ML < MM = LH =HL < MH = HM < HH ii) LL < LM = ML < MM < LH =HL < MH = HM < HH iii) LL < LM = ML < LH =HL < MM < MH = HM < HH 이러한순서관계는 L, M, H 의상대적크기에따라나타난다. L 과 M 의차이가 M 과 H 의차이와같으면 MM = LH = HL 이되고 L 과 M 의차이가 M 과 H 의차이보다적으면 MM < LH = HL 이된다. 그리고 L 과 M 의차이가 M 과 H 의차이보다크면 MM > LH = HL 이된다. 예를들어, { L, M, H } = { 1, 2, 3 } 인경우 LH = HL = MM 이고 { L, M, H } = { 1, 2, 4 } 인경우 LH = HL > MM 가된다. 또한 { L, M, H } = { 1, 3, 4 } 인경우 LH = HL < MM 이된다. 따라서운영자는 T = MM 인경우와 T = HL 또는 LH 인경우의영향을비교하여자신의판단이나전문가의의견에따라위의세가지예중하나를택하여사용하면된다. 9 TTAS.KO /R1

22 3.3. 피해수준 실제적인피해정도 네트워크에잠재적으로존재하는위협이공격자에의해위험으로현실화되었을경우그로인해발생하는피해의규모를정확히측정하기란대단히어려운일이다. 일반적으로는즉각적으로나타나는비용상의손실을주로파악하게되지만그러한사고로인한기능의손상및내 외부의영향은즉각적일수도있으나주로장기적으로영향을미치게된다. 따라서이표준에서는이두측면을나누어각각의피해정도의합으로전체적인피해정도를나타낸다. 실제적인피해의정도를측정하고자할때이윤추구를목적으로사업을하는기업의경우에는발생된피해로인해입게될비용손실의측면을우선적으로고려하게된다. 그러나직접수익사업을수행하지않는기관의경우에는기회비용의손실이라던가수입의타격과같은항목을적용하기어려우므로이러한경우에는피해로발생되는영향이서비스대상자, 즉국민개개인에게주는영향을고려하여피해의정도를정한다. 실제적인피해정도 ( 기업의경우 ) 낮음 - 피해로인한비용의추가지출이적어계획된예산내에서처리할수있다. 중간 - 피해로인한비용이계획된예산을초과하여기업수입에타격을입는다. 높음 - 기업내부뿐만아니라관련된여타기업까지피해가확산된다. 실제적인피해정도 ( 공공기관의경우 ) 낮음 - 국민개인에미치는피해가거의없거나경미하다. 중간 - 피해로인해관련개인의사생활권이나개인의재산권이침해된다. 높음 - 개인의신체나생명손상이가능하다. 또는피해의범위가넓어불특정다수에게피해가확산된다. 10 TTAS.KO /R1

23 기능손상정도 이항목에서는사건의일차적인영향보다는시간이지나면서지속적인영향을미치는 측면을반영하고자조직의기능이나외부와의관계에미치는영향을다음과같이 분류하였다. 이것은기업체나공공기관모두가동일하게적용한다. 낮음 - 피해가쉽게복구가능하거나대체절차로수행가능하여해당부서내에서해결된다. 중간 - 복구기간이길어업무수행에지속적인영향을미치며대외이미지를손상시킨다. 높음 - 조직의기능이파괴되거나손상되어사회적이나국가적으로문제가된다 절에서언급한경우에는피해발생으로인해영향을받는대상이국민이나비용이었으나이경우에는조직의업무기능이피해의대상이라는점에서앞서분류한내용과는구별된다. 즉, 절의내용이사건발생으로인한구체적인손실의측면을다루는것이라면 절은조직의지속적인기능수행에대한피해의측면을강조한것이다 피해수준결정 전체적인피해수준은실제적인피해정도와기능손상정도의함수로나타낸다. 이를 표현하기위하여실제적인피해정도및기능손상정도 ( 낮음, 중간, 높음 ) 에대하여 L, M, H 의값을할당한다. 이를 < 표 3-4> 에서보였다. < 표 3-4> 피해수준을결정하기위한정도값 실제적인피해정도 정도값 기능손상정도 정도값 낮음 L 낮음 L 중간 M 중간 M 높음 H 높음 H 11 TTAS.KO /R1

24 위협수준의결정시와마찬가지로실제적인피해정도를 A, 기능손상정도를 F 라하면피해수준 D 는 A 와 F 의합으로결정된다. D = f 2 (A, F) = w A A + w F F 단 A, F = { L, M, H } 이고 w A, w F 는두요소의값을동일한척도로나타내기위한 가중치이다. < 피해수준수치값결정방법 1> A 와 F 를수치적으로표현하기위해서먼저 낮음 과 중간 의비율과 중간 과 높음 의비율을정하면 낮음 을 1 로놓았을때 중간 과 높음 의크기를수치적으로 정할수있다. < 표 3-5> 정도의수치값결정 정도값 L M H 수치값 1 중간 / 낮음 높음 / 중간 M 그리고나서위협의존재정도와내부정보공개정도의 낮음 값이전체피해수준에 미치는영향을비교하여 w A /w F 의비를결정한다. 즉, 실제적인피해정도가 낮음 일 경우와기능손상정도가 낮음 인경우가어느쪽이전체적인피해에더큰영향을 미칠지, 그리고그영향의비율이어느정도인지를결정한다. 이값을위의식 " D = w A A + w F F " 에대입하면피해수준의수치값을구할수 있다. 12 TTAS.KO /R1

25 < 피해수준수치값결정방법 2> 위협수준의경우와마찬가지로, D 의값의크기는위에서언급한가중치에따라 달라지므로이러한값이어떻게결정되더라도 D 를표현할수있도록 A 와 F 의값에 따라 < 표 3-6> 과같이표현한다. < 표 3-6> 피해수준표 기능손상 실제적인피해 낮음중간높음 낮음 LL LM LH 중간 ML MM MH 높음 HL HM HH 정의상 L < M < H 의관계가있으므로 T 가갖는각값은다음과같은부분순서 관계를갖는다. LL < LM ; LM < MM ; MH < HH ; LL < ML ; ML < MM ; HM < HH 이때실제적인피해정도와기능손상정도가피해수준에미치는영향이비슷하다면 가중치를 w A = w F = 1 로놓을수있고다음과같은순서관계가발생한다. LM = ML ; MH = HM 이때 LH = HL = MM ; LH = HL> MM ; LH = HL < MM ; 인세가지경우가가능하다. 즉, 이들의대소관계는다음과같은세가지순서가나타날수있다. i) LL < LM = ML < MM = LH =HL < MH = HM < HH ii) LL < LM = ML < MM < LH =HL < MH = HM < HH iii) LL < LM = ML < LH =HL < MM < MH = HM < HH 13 TTAS.KO /R1

26 이러한순서관계는 L, M, H 의상대적크기관계에따라나타난다. L 과 M 의차이가 M 과 H 의차이와같으면 MM = LH = HL 가되고 L 과 M 의차이가 M 과 H 의차이보다적으면 MM < LH = HL 이된다. 그리고 L 과 M 의차이가 M 과 H 의차이보다크면 MM > LH = HL 이된다. 예를들어, { L, M, H } = { 1, 2, 3 } 인경우 LH = HL = MM 이고 { L, M, H } = { 1, 2, 4 } 인경우 MM < LH = HL 가된다. 또한 { L, M, H } = { 1, 3, 4 } 인경우 MM > LH = HL 이된다. 따라서운영자는 D= MM 인경우와 D = HL 또는 LH 의경우의영향을비교하여자신의판단이나전문가의의견에따라위의세가지예중하나를택하여사용하면된다 위험수준의결정 4 절에서는지금까지제시한위협수준및위협발생으로인한피해수준을이용하여실제적인위험수준을제시한다. 앞절에서설명한바와같은방식으로공식을작성한다면위험수준 R 은위협수준 T 와피해수준 D 의함수로결정되며다음과같이표현될수있다. R = f 3 ( T, D ) 여기에서는 4.1 절에서언급한고전적인위험산정공식인연간예상손실 ( 위험 ) = 피해 발생빈도의공식을따른다. 즉, R = T D 가된다. < 위험수준결정방법 1> 위협의존재정도, 내부정보공개정도, 실제적인피해정도, 기능손상정도의수치값을위협수준수치값결정방법 1, 2 에서설명한방식으로결정하고이를수식에대입하면위험의수준을결정할수있다. 그러나이경우각요소의최소값 (L) 은 1 로결정되나최대값은특정의값으로한정되지않는다. 따라서이를보정하기위해위험수준값을최대값으로나누어위험수준의수치값이 0 과 1 사이의값이되도록한다. 14 TTAS.KO /R1

27 R = T/Max(T) D/Max(D) 이렇게하면위험의최대값은 1 이되고다음과같은범위에따라높음, 중간, 낮음의 등급으로분류한다. 낮음 : R < 0.3, 중간 : 0.3 R < 0.6, 높음 : 0.6 R 1 < 위험수준결정방법 2> 위협수준및피해수준결정방법 2 에서설명한 w = w O = w P = w A = w F = 1 인경우에대하여 MM 과 LH 와의관계정립에따라다양한경우가발생할수있다. 예를들어 MM = HL = LH 인경우는 { L, M, H } = { 1, 2, 3 } 으로정함으로써위험수준을계산할수있다. 이때가능한경우는 < 표 3-7> 처럼분류되고최종위험수준치는 < 표 3-8> 로나타난다. 실선과음영으로낮음, 중간, 높음의위험수준을구분하였다. < 표 3-7> 위협수준과피해수준이모두 MM=HL=LH 인경우 MM=LH =HL MM= LH=HL LL LL LM = ML MM=LH=HL MH = HM HH LLLM LLMM, LLLH LLMH LLLL LLHH LLML LLHL LLHM LM = ML LMLL MLLL LMLM, LMML MLLM, MLML LMMM, LMLH LMHL, MLMM MLLH, MLHL LMMH, LMHM MLMH, MLHM LMHH MLHH MMMM, MMLH MM=LH= HL MMLL LHLL HLLL MMLM, MMML LHLM, LHML HLLM, HLML MMHL, LHMM LHLH, LHHL HLMM, HLLH MMMH, MMHM LHMH, LHHM HLMH, HLHM MMHH LHHH HLHH HLHL 15 TTAS.KO /R1

28 MM=LH =HL MM= LH=HL MH = HM LL LM = ML MM=LH=HL MH = HM HH MHMM, MHLH MHLL MHLM, MHML MHMH, MHHM MHHH MHHL, HMMM HMLL HMLM, HMML HMMH, HMHM HMHH HMLH, HMHL HH HHLL HHLM, HHML HHMM, HHLH HHHL HHMH, HHHM HHHH < 표 3-8> 위협수준과피해수준이모두 MM=LH=HL 인경우위험수준 MM=LH =HL MM= LH=HL LL (2) LM = ML (3) MM=LH=HL (4) MH = HM (5) HH (6) LL (2) LM = ML (3) MM=LH= HL (4) MH = HM (5) HH (6) w = w O = w P = w A = w F = 1 일때나타날수있는그외의경우는부록에서다룬다. 이렇게계산된위험수준에적절히대응할수있는침입차단시스템의선정은 4 절에서 설명한다. 16 TTAS.KO /R1

29 4. 정보통신망의위험수준에따른침입차단시스템선정방법 위험수준과침입차단시스템평가등급을대응시키는이표준은각평가등급에서요구되는보안기능요구사항이제안된위험수준에대해적절히대처할수있는가의여부에따라결정하였다. 결정된위험수준에적절히대응할수있는침입차단시스템을선정하고자할때는침입차단시스템평가기준의특성상낮은위험수준의경우 EAL1, EAL2 평가등급을, 중간위험수준의경우 EAL3, EAL4 평가등급을, 마지막으로높은위험수준의경우 EAL5, EAL6, EAL7 평가등급을사용하는것이적절하다. 위험의수준에따른상세한선정지침은 < 표 4-1> 과같다. < 표 4-1> 위험수준의분류 위험수준 R 0 R < R < R < R < R < R < R < R 1 평가등급없음 EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 예를들어 w = wo = wp = wa = wf = 1 이고위협수준과피해수준이모두 LH = HL = MM 일때적절한선정등급은 < 표 4-2> 와같다. < 표 4-2> 위협수준과피해수준이모두 LH=HL=MM 일경우 적합한침입차단시스템의평가등급 피해수준 위협수준 LL LM = ML MM=LH=H L MH = HM HH LL EAL1 EAL1 EAL2 EAL2 EAL3 LM = ML EAL1 EAL2 EAL3 EAL4 EAL4 MM=LH=HL EAL2 EAL3 EAL4 EAL4 EAL5 MH = HM EAL2 EAL4 EAL4 EAL5 EAL7 HH EAL3 EAL4 EAL5 EAL7 EAL7 17 TTAS.KO /R1

30 w = w O = w P = w A = w F = 1 일때나타날수있는그외의경우는부록에서다룬다. EAL1, EAL2 등급의침입차단시스템은모두기본적인수준의침입차단기능을제공하나 위험수준값이 0.2 보다낮을경우에는 EAL1 등급을, 위험수준값이 0.2 이상이고 0.3 보다낮은경우에는 EAL2 등급의침입차단시스템을사용하는것이좋다. 또한위험수준값이 0.3 이상이고 0.4 보다낮은중간위험수준에서는 EAL3 등급을, 0.4 이상이고 0.6 보다낮은중간위험수준에서는 EAL4 등급의침입차단시스템을사용하기를권한다. 표에서나타나듯이 EAL4 등급은일반적인수준에서충분한보안을제공하며가장넓은범위에서사용될수있다. 높은위험수준에서는 EAL5, EAL6, EAL7 등급등이쓰일수있는데위험수준값이 0.6 이상이고 0.7 보다낮은경우에는 EAL5 등급의침입차단시스템을사용하는것이안전하다. 또한위험수준값이 0.7 이상이고 0.8 보다낮은경우에는 EAL6 등급, 그이상의위험수준에서는 EAL7 등급의침입차단시스템을사용할것을권장한다. 예를들어, 유사한보안조치를취하는신뢰할수있는망과연결하고자하는조직을생각해보자. 이때위협의존재정도는낮다 (L). 이조직은사람들에게어느정도기능과구조가알려져있으며웹서비스를제공한다면이때의내부정보공개정도는중간정도이다 (M). 한편이조직의전산정보가주로국민의사생활에관계된것이라면망을통한보안사고가일어날경우개인의사생활권이침해될가능성이높다 (M). 또한망을통한보안사고가일어날경우적시복구가어려워해당업무수행에지장을초래하게되며대외이미지가손상된다고하면 (M) 이때이조직의위협수준은 LM 이고피해수준은 MM 이다. 위협의존재정도, 내부정보공개정도, 실제적인피해정도, 기능 손상정도가같은가중치를갖고, LH = HL = MM 이라가정하면이때의적절한 침입차단시스템은 < 표 4-1> 에서 EAL3 등급임을알수있다. 그러나만약이조직이비슷한수준의신뢰할수있는통신망에연결하는대신인터넷과같은신뢰할수없는통신망에접속하고자하며어느정도망을통한작업을수행해야한다면프로토콜및수행가능한기능에대한제한여부에따라 ( 위협의존재정도의정도값 M 또는 H) 이조직의위협예상발생정도는 MMMM 또는 HMMM 로 18 TTAS.KO /R1

31 높아진다. 이러한경우위험수준은 0.44 또는 0.56 이되므로 EAL4 등급의 침입차단시스템을사용하는것이적절하다. 5. 위험수준별침입차단시스템구성예 여기에제시되는위험수준별침입차단시스템의구성은 4 절의 < 표 4-1> 을기반으로 위험수준에적합한침입차단시스템을도입할경우가능한예를보인것이다. 특히높은 위험수준의경우 EAL5, EAL6, EAL7 등급의침입차단시스템을사용하여야하나 현재로서는 EAL5 등급의제품개발이시도되고있는상황이고 EAL6, EAL7 등급의제품은아직만들어지지않고있는실정이므로이런경우에는 EAL4 등급및그이하평가등급의제품을 2 개직렬형태로연결하여사용할것을권한다. 또한개략적인위험수준의결정및이에따른침입차단시스템의평가등급을 4 절에서제안하였으나조직의특성에따라추가적인보안을제공하기위하여더안전하거나사용에적합한구성을선택할수있는여지는항상남아있다. 따라서이절의제안된침입차단시스템의구성을참고로삼아각운영환경에적합한구성을선택하는것이좋다 낮은위험수준에서의침입차단시스템구성예 낮은위험환경은위협수준이낮고피해수준도낮은환경이다. 즉, 내부망에대한정보가거의알려지지않고신뢰할수있는통신망과연결된침입가능성이적은망으로위협사건이발생하더라도피해가거의없거나쉽게복구가능한경우이다. 이러한환경에서는침입차단시스템이 EAL1 또는 EAL2 를제공하는것으로충분하다. 이렇게단순한침입차단기능은라우터를겸한형태의구성으로제공가능하다. ( 그림 5-1) 에 EAL1 등급이나 EAL2 등급의보안요구사항을적용할수있는단순한형태의침입차단시스템이제시되어있다. 19 TTAS.KO /R1

32 ( 그림 5-1) 낮은위험수준에서의침입차단시스템구성예 5.2. 중간위험수준에서의침입차단시스템구성예 침입차단시스템의비정상적인동작이부서의업무추진이나대외적인신용도또는재정적피해발생에무시하지못할정도의영향을준다면이를방지하기위한적절한수단은더높은등급의신뢰할수있는침입차단시스템을사용하는것이다. 그러나단지이런사실만을가지고무조건높은등급의침입차단시스템을선호하는것은비용이나관리측면에있어상당히비효율적일수있으므로부서의요구조건이나환경을충분히고려하여적절한가격대성능을갖는침입차단시스템을선정하는것이중요하다. 중간위험수준의경우내부망을좀더안전하게보호하기위해서방어용호스트또는듀얼-홈드형태의구조를사용할것을권장한다. 이렇게강화된침입차단시스템을사용하는것외에외부의접근이필요한시스템과내부시스템을구분함으로써내부망을더욱안전하게보호할수있다. 특히추가의보안이필요하고해당비용을충분히감당할수있을경우에는외부망과연결된라우터를 EAL1 등급정도의침입차단시스템기능을제공하는것을사용한다면더좋은효과를거둘수있다. 20 TTAS.KO /R1

33 ( 그림 5-2) 중간위험수준에서의침입차단시스템구성예 5.3. 높은위험수준에서의침입차단시스템구성예 내부망에서사용되는데이터가상당한가치를갖고있으며통신망을통한위협의발생정도가높은환경에서는안전한통신망을구축하는것이아주중요한일이다. 이러한높은위험수준의환경에서사용하기에적합한 EAL5 이상의높은등급의침입차단시스템은아직개발되지않았다. 만일침입차단시스템을사용하고자하는조직이자신의운영환경을조사해본결과 EAL5 등급의침입차단시스템을사용하는것이바람직하다고판단한경우, 적합한등급의침입차단시스템이현재존재하지않는다고해서운영환경의특성을무시하고 EAL4 등급의침입차단시스템을사용한다면이것은매우위험한선택이될수있다. 왜냐하면이런조직에대한공격자의공격위협은대단히클수있는반면적절히구성되지않은침입차단시스템의사용으로인해발생하는피해는일반적으로받아들일수없는높은수준이기때문이다. 이와같이극히중요한데이터를사용하는운영환경에서는해당운영환경에상응하는등급의침입차단시스템을구할수없는경우외부와의연결을차단하는것이부적절한침입차단시스템을사용하여손해를입는것보다더나을수도있다. 그러나현재의 21 TTAS.KO /R1

34 네트워크발전추세에비추어보면내부조직에서만사용되는네트워크는그조직의발전에저해요소로작용할수있으므로모든외부연결을차단하는것은적절한선택이아니다. 따라서이표준에서는이런모든문제점들을해결하기위한대안으로서침입차단시스템을이중으로사용하는방법을제시한다. 이중침입차단시스템은내부의네트워크를데이터의중요성정도에따라일차내부망과이차내부망의두개의네트워크로분류하여각네트워크에독립적인두개의침입차단시스템을사용하는것이다. 이러한구성의예를 ( 그림 5-3) 에보였다. 각네트워크에사용되는침입차단시스템을선정할때는가급적이면서로다른등급및서로다른제품의침입차단시스템을사용하는것이바람직하다. 일반적으로높은등급의침입차단시스템을두대사용하는것은낮은등급의침입차단시스템과높은등급의침입차단시스템을혼용하여사용하는것보다높은수준의보안을제공할수있으나이러한구성은비용부담을높이게된다. 따라서적절한수준의향상된보안을더적은비용으로제공하기위하여서로다른등급의침입차단시스템을사용하는것이좋다. 또한두개의침입차단시스템을사용할경우이차내부망을일차내부망과같거나높은등급의침입차단시스템을이용하여보호하는것이더바람직하다. 그렇지않을경우이차내부망을보다안전하게보호한다는취지가약화된다. 같은등급의침입차단시스템을사용할경우서로다른제품의침입차단시스템을사용하는것이바람직한데이것은한침입차단시스템의취약성이노출되었을때나머지침입차단시스템은그런취약성에취약하지않을수도있기때문이다. 따라서 EAL5 등급의침입차단시스템이필요한위험수준의환경에서는다음과같은이중침입차단시스템을사용하는것이바람직하다. 예 1) 일차내부망 : EAL3 등급의침입차단시스템이차내부망 : EAL4 등급의침입차단시스템 예 2) 일차내부망 : EAL4 등급의침입차단시스템이차내부망 : 일차내부망에서사용된것과는다른종류의 EAL4 등급 22 TTAS.KO /R1

35 ( 그림 5-3) 높은위험수준에서의침입차단시스템구성예 어떠한구성을사용하느냐하는것은일차내부망에설치될시스템의피해수준에따라결정한다. 예를들어 EAL3 등급의침입차단시스템을일차내부망에사용하는경우에는 EAL3 등급의침입차단시스템으로도충분한보호를제공할수있는피해수준의시스템만을일차내부망에설치하여야한다. 또한 EAL6 등급의침입차단시스템이필요한위험수준의경우, 위와같은구성을사용하되독립적인침입탐지제품을사용하게되면기능수준의요구사항을어느정도만족할수있다. EAL7 등급이필요한위험수준의경우는극히드물것이나, 이런경우에는통신망을분리하여유지하는것이현재의기술수준에서가장적절한해결책이라고판단된다. 이중침입차단시스템을사용하는것은높은보안수준을제공하나두대의서로다른침입차단시스템을구입하고관리하기위하여필요한구매비용및인적자원비용이 23 TTAS.KO /R1

36 높아지고관리가어렵다는단점을갖는다. 그러나위험수준이높고통신망의접속이 반드시필요한상황이라면높은등급의침입차단시스템이개발되지않은현재의 환경에서는고려할만한선택이될것이다. 6. 참고문헌 [1] 정보통신부, 정보보호시스템공통평가기준, [2] 한국정보보호진흥원, 국가기관용침입차단시스템보호프로파일 V1.2, [3] NIST Special Publication 800-XX, Internet Security Policy, A Technical Guide, National Institute of Standards and Technology, July 21, [4] NIST Special Publication , Keeping Your Site Comfortably Secure, An Introduction to Internet Firewalls, December TTAS.KO /R1

37 부록 Ⅰ 정보보호시스템공통평가기준 정보보호시스템공통평가기준은다양한정보보호시스템의보안성평가에공통으로적용할수있는단일화된평가기준으로써미국, 영국, 독일등선진국을중심으로개발된국제표준 ISO/IEC 15408( 공통평가기준, Common Criteria) 을국내실정에맞게한글화한것이다. 우리나라는 2002 년부터공통평가기준을수용하였으며, 2005 년부터는 K- 시리즈로알려진국내평가기준을공통평가기준으로완전히대체하였다. 공통평가기준은 3 부로구성되어있으며, IT 제품및시스템의보안성을평가하기위한기초가되는기준을정의하고있다. 먼저, 제 1 부는소개및일반모델로써 IT 보안성평가의원칙및일반개념을정의하고, 제 2 부는보안기능요구사항으로써운영환경의위협에대처하고조직의보안정책과가정사항을만족시키기위한기능요구사항을표준화된방법으로기술하고있으며, 제 3 부는보증요구사항으로써제품의보증수준을정의한평가보증등급 (EAL) 을포함한보증요구사항을표준화된방법으로서술하고있다. 이절에서는공통평가기준의보안기능요구사항, 보증요구사항및평가보증등급 (EAL) 을간단히설명하고, 국가기관용침입차단시스템의평가기준이라할수있는침입차단시스템보호프로파일의특징을요약설명한다. 정보보호시스템공통평가기준구조 o 보안기능요구사항 공통평가기준제 2 부보안기능요구사항은 11 개의클래스로구성되어있으며 주요내용은다음과같다. - 보안감사클래스 보안감사클래스는보안관련행동과관련된정보의인식, 기록, 저장, 분석과관련된 기능요구사항을기술하고있으며감사데이터생성 / 분석 / 검토, 감사사건선택기능등 으로구성되어있다. 25 TTAS.KO /R1

38 - 통신클래스통신클래스는정보의발신자가메시지의발신을부인할수없고수신자도수신사실을부인할수없도록보장하는기능요구사항을기술하고있으며발신부인방지, 수신부인방지기능으로구성되어있다. - 암호지원클래스 암호지원클래스는보안목적을만족하기위해암호기능을구현할경우필요한기능 요구사항을기술하고있으며암호키관리, 암호연산기능으로구성되어있다. - 사용자데이터보호클래스사용자데이터보호클래스는사용자데이터와직접적으로관련된보안속성뿐만아니라유입, 유출, 저장시의사용자데이터의보호에필요한기능요구사항을기술하고있으며접근통제, 정보흐름통제, 저장데이터무결성기능등으로구성되어있다. - 식별및인증클래스 식별및인증클래스는요청된사용자의신원을설정하고증명하기위한기능요구사 항을기술하고있으며사용자식별, 사용자인증기능등으로구성되어있다. - 보안관리클래스보안관리클래스는보안속성, TSF(TOE 보안기능 ) 데이터, TSF 기능등의관리에필요한기능요구사항을기술하고있으며 TSF 기능관리, 보안속성관리, TSF 데이터관리기능등으로구성되어있다. - 프라이버시클래스 프라이버시클래스는다른사용자에의해신원이발견되고오용되는것으로부터사 용자를보호하기위한기능요구사항을기술하고있으며익명성, 가명성기능등으로 구성되어있다. 26 TTAS.KO /R1

39 - TSF 보호클래스 TSF 보호클래스는보안기능을제공하는메커니즘의무결성과관리, TSF 데이터의무결성과관련된기능요구사항을기술하고있으며하부추상기계시험, 안전한복구, TSF 자체시험기능등으로구성되어있다. - 자원활용클래스자원활용클래스는저장용량과같은요구된자원의가용성과관련된기능요구사항을기술하고있으며오류에대한내성, 자원사용우선순위기능등으로구성되어있다. - TOE 접근클래스 TOE 접근클래스는사용자의세션설정을통제하기위한기능요구사항을기술하고 있으며동시세션수의제한, 세션잠금기능등으로구성되어있다. - 안전한경로 / 채널클래스안전한경로 / 채널클래스는사용자와 TSF간의신뢰된통신경로와 TSF와다른신뢰된 IT 제품간의신뢰된통신채널과관련된기능요구사항을기술하고있으며 TSF간안전한채널, 안전한경로기능으로구성되어있다. 27 TTAS.KO /R1

40 o 보증요구사항 공통평가기준제 3 부보증요구사항은 9 개의클래스로구성되어있으며주요내용은 다음과같다. - 보호프로파일클래스 보호프로파일은동일한유형의제품이나시스템에적용할수있는일반적인보안기 능요구사항및보증요구사항을정의한것으로써보호프로파일소개, TOE( 평가대상 ) 설명, TOE 보안환경, 보안목적, IT 보안요구사항, 이론적근거로구성되어있다. 보호 프로파일클래스는이러한보호프로파일의각구성요소별로포함되어야할요구사항 을기술하고있다. - 보안목표명세서클래스 보안목표명세서는특정제품이나시스템에적용할수있는보안기능요구사항및보 증요구사항을정의하고, 요구사항을구현할수있는보안기능및보증수단을정의한 것으로써보안목표명세서소개, TOE 설명, TOE 보안환경, 보안목적, IT 보안요구사 항, TOE 요약명세, 보호프로파일수용, 이론적근거로구성되어있다. 보안목표명세 서클래스는이러한보안목표명세서의각구성요소별로포함되어야할요구사항을 기술하고있다. - 형상관리클래스 형상관리클래스는 TOE 및다른관련정보를세분화하고변경하는과정에서규칙적 이고체계적인관리를통해 TOE 의무결성이유지됨을보장하는데필요한보증요구 사항을기술하고있으며형상관리자동화, 형상관리능력등으로구성되어있다. - 배포및운영클래스 배포및운영클래스는 TOE 의안전한배포, 운영에대한대책, 절차, 표준에대한 보증요구사항을기술하고있으며배포, 설치 / 생성 / 시동으로구성되어있다. 28 TTAS.KO /R1

41 - 개발클래스개발클래스는 TOE 보안기능을보안목표명세서의 TOE 요약명세단계부터실제구현단계까지단계적으로세분화하기위한보증요구사항을기술하고있으며기능명세, 기본설계, 상세설계등으로구성되어있다. - 설명서클래스 설명서클래스는개발자가제공한운영문서의이해용이성, 범위, 완전성과관련된 보증요구사항을기술하고있으며관리자설명서, 사용자설명서로구성되어있다. - 생명주기지원클래스생명주기지원클래스는결함교정절차및정책, 도구와기법의정확한이용, 개발환경을보호하기위해사용되는보안대책등을포함한제품개발의모든단계에대해잘정의된생명주기모델을채택하기위한보증요구사항을기술하고있으며개발보안, 결함교정, 생명주기정의등으로구성되어있다. - 시험클래스시험클래스는 TOE 보안기능이보안기능요구사항을만족함을입증하기위한보증요구사항을기술하고있으며시험범위, 시험상세수준, 기능시험등으로구성되어있다. - 취약성평가클래스취약성평가클래스는 TOE의구조, 운영, 오용, 부정확한환경설정등으로초래되는악용가능한취약성을식별하기위한보증요구사항을기술하고있으며비밀채널분석, 오용, 취약성분석등으로구성되어있다. 29 TTAS.KO /R1

42 o 평가보증등급 (EAL) 평가보증등급 (EAL, Evaluation Assurance Level) 은해당보증등급획득가능성및비용의균형을고려한단계적인척도를제공한다. 공통평가기준은 TOE 의보증등급을 7 단계의계층적인평가보증등급 (EAL1~EAL7) 으로정의한다. 각평가보증등급은모든하위의평가보증등급보다더높은보증을표현하고있으므로, 계층적으로순서화되어있다. 다음표는평가보증등급을요약하여나타낸다. 행렬의각번호는적용가능한구체적인보증컴포넌트를나타내며, 숫자가높아질수록동일한보증패밀리에대한엄밀성, 범위, 상세수준이높아짐을의미한다. < 표 Ⅰ-1> 평가보증등급요약 보증클래스 보증패밀리 평가보증등급에따른보증컴포넌트 EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 ACM_AUT 형상관리 ACM_CAP ACM_SCP 배포및운영 ADO_DEL ADO_IGS ADV_FSP ADV_HLD ADV_IMP 개발 ADV_INT ADV_LLD ADV_RCR ADV_SPM 설명서 AGD_ADM AGD_USR TTAS.KO /R1

43 ALC_DVS 생명주기 지원 ALC_FLR ALC_LCD ALC_TAT ATE_COV 시험 ATE_DPT ATE_FUN ATE_IND AVA_CCA 취약성평가 AVA_MSU AVA_SOF AVA_VLA EAL1 EAL1은정확한운영에대한신뢰가어느정도요구되지만, 보안에대한위협이심각하지않은경우에적용된다. EAL1은보안행동을이해하기위하여기능명세, 인터페이스명세, 설명서를이용하여보안기능을분석함으로써기초적인수준의보증을제공하며, TOE 보안기능의독립적인시험은이러한분석을뒷받침한다. EAL1은평가되지않은 IT 제품또는시스템보다높은보증을제공한다. - EAL2 EAL2는설계정보와시험결과를제출하기위하여개발자의협력을필요로하지만, 견실한상업적방법론을따르는것이상의개발자의노력을요구하지는않는다. EAL2는보안행동을이해하기위하여기능명세, 인터페이스명세, 설명서, TOE에대한기본설계를이용하여보안기능을분석함으로써보증을제공한다. 또한, TOE 보안기능의독립적인시험, 기능명세에기반하여개발자가수행한시험의증거, 개발자가수행한시험결과표본의독립적인확인, 기능강도분석, 공개된명백한취약성에대 31 TTAS.KO /R1

44 한개발자조사증거등은이러한분석을뒷받침하며, TOE 형상목록및안전한배포절차의증거를통하여보증을제공한다. 이평가보증등급은개발자의시험, 취약성분석, 보다상세한 TOE 명세에기반한독립적인시험을요구함으로써 EAL1보다높은보증을제공한다. - EAL3 EAL3은개발자가설계단계에서기존개발방법론의많은변경없이실용적인보안공학을적용하여최대한의보증을얻을수있도록한다. EAL3은보안행동을이해하기위하여기능명세, 인터페이스명세, 설명서, TOE에대한기본설계를이용하여보안기능을분석함으로써보증을제공한다. 또한, TOE 보안기능의독립적인시험, 기능명세, 기본설계에기반하여개발자가수행한시험의증거, 개발자가수행한시험결과표본의독립적인확인, 기능강도분석, 공개된명백한취약성에대한개발자조사증거등은이러한분석을뒷받침하며, 개발환경통제, TOE의형상관리, 안전한배포절차의증거를통하여보증을제공한다. 이평가보증등급은보다완전한범위의보안기능시험, TOE가개발과정에서변경되지않도록하는메커니즘또는절차를요구함으로써 EAL2보다높은보증을제공한다. - EAL4 EAL4는개발자가견실한상업적개발방법론에기반한실용적인보안공학으로부터최대한의보증을얻을수있도록한다. 견실한상업적개발방법론은엄밀하지만, 방대한전문지식, 기술, 기타자원들을요구하지않는것을말한다. EAL4는기존의생산라인을갱신하는것이경제적측면에서실현가능한가장높은등급이다. EAL4는보안행동을이해하기위하여기능명세, 완전한인터페이스명세, 설명서, TOE에대한기본설계및상세설계, TSF 일부에대한구현의표현을이용하여보안기능을분석함하며 TOE 보안정책의비정형화된모델을통하여보증을제공한다. 또한, TOE 보안기능의독립적인시험, 기능명세, 기본설계에기반하여개발자가수행한시험의증거, 개발자가수행한시험결과표본의독립적인확인, 기능강도분석, 취약성에 32 TTAS.KO /R1

45 대한개발자조사증거, 낮은공격성공가능성을소유한공격자의침투에대한내성을보이는독립적인취약성분석등은이러한분석을뒷받침하며개발환경통제, 자동화를포함한추가적인 TOE의형상관리, 안전한배포절차의증거를통하여보증을제공한다. 이평가보증등급은더많은설계설명, TSF 일부에대한구현의표현, TOE가개발과정에서변경되지않도록하는개선된메커니즘또는절차를요구함으로써 EAL3보다높은보증을제공한다. - EAL5 EAL5는개발자가엄격한상업적개발방법론에기반한보안공학으로부터최대한의보증을얻을수있도록한다. 엄격한상업적개발방법론이란전문적인보안공학기법을완화시켜응용하는것을말한다. 이러한 TOE는 EAL5 보증을달성할의도로설계되고개발되어야한다. EAL5에서전문기법을응용하지않은엄격한개발로인한추가비용은많지않다. EAL5는보안행동을이해하기위하여기능명세, 완전한인터페이스명세, 설명서, TOE에대한기본설계및상세설계, 구현의전부를이용하여보안기능을분석하고 TOE 보안정책의정형화된모델, 기능명세및기본설계의준정형화된표현, 그들간의준정형화된일치성입증을통하여보증을제공한다. 또한, 모듈화된 TOE 설계가요구되고 TOE 보안기능의독립적인시험, 기능명세, 기본설계, 상세설계에기반하여개발자가수행한시험의증거, 개발자가수행한시험결과표본의독립적인확인, 기능강도분석, 취약성에대한개발자조사증거, 중간의공격성공가능성을소유한공격자의침투에대한내성을보이는독립적인취약성분석등은이러한분석을뒷받침한다. 또한, 분석은개발자에의한비밀채널분석의검증을포함한다. 또한, EAL5는개발환경통제, 자동화를포함하는포괄적인 TOE의형상관리, 안전한배포절차의증거를통하여보증을제공한다. 이평가보증등급은준정형화된설계설명, 완전한구현, 보다구조화된구조, 비밀채널분석, TOE가개발과정에서변경되지않도록하는개선된메커니즘또는절차를요구함으로써 EAL4보다높은보증을제공한다. 33 TTAS.KO /R1

46 - EAL6 EAL6은개발자가심각한위험으로부터높은가치의자산을보호하기위한최상의 TOE를생산하기위하여엄격한개발환경에서보안공학기법을응용하여얻을수있는높은보증을제공한다. EAL6은보안행동을이해하기위하여기능명세, 완전한인터페이스명세, 설명서, TOE에대한기본설계및상세설계, 구현의구조화된표현을이용하여보안기능을분석하고 TOE 보안정책의정형화된모델, 기능명세, 기본설계, 상세설계의준정형화된표현, 그들간의준정형화된일치성입증을통하여보증을제공한다. 또한, 모듈화되고계층화된 TOE 설계가요구된다. TOE 보안기능의독립적인시험, 기능명세, 기본설계, 상세설계에기반하여개발자가수행한시험의증거, 개발자가수행한시험결과표본의독립적인확인, 기능강도분석, 취약성에대한개발자조사증거, 높은공격성공가능성을소유한공격자의침투에대한내성을보이는독립적인취약성분석등은이러한분석을뒷받침한다. 또한, 분석은개발자의체계적인비밀채널분석의검증을포함한다. 또한, EAL6은구조화된개발과정, 개발환경통제, 완전한자동화를포함하는포괄적인 TOE의형상관리, 안전한배포절차의증거를통하여보증을제공한다. 이평가보증등급은보다포괄적인분석, 구조화된구현의표현, 보다체계적인구조, 보다포괄적이고독립적인취약성분석, 체계적인비밀채널식별, 개선된형상관리와개발환경통제등을요구함으로써 EAL5보다높은보증을제공한다. - EAL7 EAL7은극도로높은위험상황이나자산의가치가높아서많은비용을정당화할수있는상황에서사용하기위한보안 TOE의개발에적용가능하다. 현재 EAL7의실제적인적용은광범위한정형화된분석을필요로하는보안기능성을최대의목표로삼는 TOE에국한된다. EAL7은보안행동을이해하기위하여기능명세, 완전한인터페이스명세, 설명서, TOE에대한기본설계및상세설계, 구현의구조화된표현을 34 TTAS.KO /R1

47 이용하여보안기능을분석하고 TOE 보안정책의정형화된모델, 기능명세및기본설 계의정형화된표현, 상세설계의준정형화된표현, 그들간의적절한정형및준정형 화된일치성입증을통하여보증을제공한다. 또한, 모듈화되고계층화된단순한 TOE 설계가요구된다. TOE 보안기능의독립적인시험, 기능명세, 기본설계, 상 세설계에기반하여개발자가수행한시험의증거, 구현의표현, 개발자가수행한시험결과전체의독립적인확인, 기능강도분석, 취약성에대한개발자조사증거, 높은공격성공가능성을소유한공격자의침투에대한내성을조사하는독립적인취약성분석등은이러한분석을뒷받침한다. 또한, 분석은개발자의체계적인비밀채널분석의검증을포함한다. 또한, EAL7은구조적인개발과정, 개발환경통제, 완전한자동화를포함하는포괄적인 TOE의형상관리, 안전한배포절차의증거를통해보증을제공한다. 이평가보증등급은정형화된표현, 정형화된일치성입증, 포괄적인시험을이용한포괄적인분석을요구함으로써 EAL6보다높은보증을제공한다. 국가기관용침입차단시스템보호프로파일구조 국가기관용침입차단시스템보호프로파일은사용자식별및인증, 접근통제및정보흐름통제, 데이터보호, 보안감사, 보안관리등국가기관용침입차단시스템이갖추어야하는보안기능요구사항과보증요구사항을정의하고있으며, 본보호프로파일이목표로하는평가보증등급은상세설계, TSF 에대한구현의표현등의요구사항을추가한 EAL3+ 이다. o 보안기능요구사항 침입차단시스템보호프로파일에서요구하는보안기능요구사항은보안감사, 사용자데이터보호, 식별및인증, 보안관리, TSF 보호, TOE 접근의 6 가지사항으로 이루어진다. 35 TTAS.KO /R1

48 - 보안감사 보안경보 : 잠재적인보안위반을탐지한경우대응행동을취하는기능이다. 감사데이터생성 : 감사대상사건의수준을정의하고, 각레코드에기록해야할데이터의목록을지정하는기능이다. 잠재적인위반분석 : 설정된규칙집합에근거하여기본적인임계치를탐지하는기능이다. 감사검토 : 감사레코드의정보를읽을수있는기능이다. 선택가능한감사검토 : 감사검토도구가검토될감사데이터를기준에기반하여선택할수있는기능이다. 선택적인감사 : 보호프로파일 / 보안목표명세서작성자가명세한속성에기초하여감사된사건집합으로부터사건을포함하거나배제할수있는기능이다. 감사증적보호 : 인가되지않은삭제또는변경으로부터감사증적을보호하는기능이다. 감사데이터손실예측시대응행동 : 감사증적의임계치를초과할경우에취해야할대응행동을명세하는기능이다. 감사데이터손실방지 : 감사증적저장소가포화되는경우의대응행동을명세하는기능이다. - 사용자데이터보호 완전한접근통제 : 각식별된접근통제보안기능정책이보안기능정책에의해서다루어지는주체와객체에대한모든오퍼레이션을다루는기능이다. 보안속성에기반한접근통제 : TOE 보안기능이보안속성및명명된속성그룹에기반하여접근통제를수행하도록하는기능이다. 완전한정보흐름통제 : 각식별된정보흐름통제보안기능정책이보안기능정책에의해서다루어지는주체와정보에대한모든오퍼레이션을다루는기능이다. 단일계층보안속성 : 정보의보안속성과정보흐름을유발하고정보의수신자로서행동하는주체의보안속성을요구하는기능이다. 36 TTAS.KO /R1

49 - 식별및인증 인증실패처리 : 사용자인증시도실패회수가명세된값을넘으면 TOE 보안기능이세션설정과정을종료시킬수있을것을요구하는기능이다. 사용자속성정의 : 각사용자에대한사용자보안속성이개별적으로관리될수있도록하는기능이다. 비밀정보의검증 : 비밀정보가정의된허용기준을만족시킴을 TOE 보안기능이검증할것을요구하는기능이다. 인증 : 사용자가사용자신원을인증하기전에어떤행동을수행할수있도록허용하는기능이다. 재사용방지인증메커니즘 : 일회용인증데이터와동작하는인증메커니즘을요구하는기능이다. 인증피드백보호 : 인증하는동안제한된피드백정보만이사용자에게제공될것을요구하는기능이다. 모든행동이전에사용자식별 : TOE 보안기능에의해서허용될모든행동이전에사용자를식별할것을요구하는기능이다. - 보안관리 보안기능관리 : 규칙을사용하거나관리가능한조건을가진 TSF 기능을인가된사용자가관리할수있도록하는기능이다. 보안속성관리 : 인가된사용자가명세된보안속성을관리하도록하는기능이다. 정적속성초기화 : 보안속성의디폴트값이적절하게허가되거나제한됨을보장하는기능이다. TSF 데이터관리 : 인가된관리자가 TSF 데이터를관리하도록하는기능이다. TSF 데이터한계치의관리 : TSF 데이터가한계에도달하거나초과되는경우취해질대응행동을명세하는기능이다. 37 TTAS.KO /R1

50 관리기능명세 : TOE 보안기능이특정관리기능을제공할것을요구하는기능이다. 보안역할 : TOE 보안기능이인식할수있는보안에관련된역할을명세하도록요구 하는기능이다. - TSF 보호 추상기계시험 : 하부추상기계의시험을제공하도록요구하는기능이다. TSP 우회불가성 : TOE 보안정책의모든보안기능정책에대하여우회불가성을요구하는기능이다. 보안기능영역분리 : TOE 보안기능에별개의보호된영역을제공하고 TOE 보안기능통제내의주체간에분리를제공하는기능이다. 신뢰할수있는타임스탬프 : TSF가 TSF 기능에대하여신뢰할수있는타임스탬프를제공할것을요구하는기능이다. TSF 자체시험 : TOE 보안기능의올바른운영을시험하는능력을제공하도록요구하는기능이다. - TOE 접근 TSF에의한세션잠금 : 명세된사용자비활동기간후시스템에의한상호작용세션의잠금을요구하는기능이다. TSF에의한세션종료 : TSF가사용자비활동기간후세션의종료를요구하는기능이다. o 보증요구사항 침입차단시스템보호프로파일에서요구하는보증요구사항은형상관리, 배포및운영, 개발, 설명서, 생명주기지원, 시험, 취약성평가의 7 가지사항으로이루어진다. 38 TTAS.KO /R1

51 - 형상관리 인가통제 : 각버전의 TOE를유일하게참조하고, 형상항목을유일하게식별하고, TOE에인가되지않은변경이일어나지않음을보장하기위한통제를제공하며, 형상관리시스템의적절한기능성과사용에대한보증을요구한다. TOE 형상관리범위 : 형상관리의범위에 TOE 구현및보안목표명세서의보증컴포넌트에서요구하는평가증거를포함하도록요구한다. - 배포및운영 배포절차 : TOE나 TOE 일부를배포하는절차를문서화하고배포절차를사용하도록요구한다. 설치, 생성, 시동절차 : 개발자가의도한안전한방식으로 TOE가설치, 생성, 시동되고있음을보장하도록요구한다. - 개발 비정형화된기능명세 : TSF 및 TSF 외부인터페이스를비정형화된방식으로서술하는기능명세를요구한다. 보안기능과비보안기능을분리한기본설계 : TSF의구조를서브시스템으로서술하고, 서브시스템의인터페이스를비정형화된방식으로서술하는기본설계를요구한다. TSF에의한구현의표현 : 모든 TSF에대한구현의표현을일관성있고모호하지않게정의하는구현의표현을요구한다. 서술적인상세설계 : TSF의구조를모듈로서술하고, 모듈의인터페이스를비정형화된방식으로서술하는상세설계를요구한다. 비정형화된일치성입증 : 제공되는모든인정한 TSF 표현들간의일치성분석을요구한다. 39 TTAS.KO /R1

52 - 설명서 관리자설명서 : 정확한방식으로 TOE를구성, 유지, 관리할책임이있는사람들이사용할문서화된자료를요구한다. 사용자설명서 : 관리자가아닌 TOE 사용자및 TOE의외부인터페이스를사용하는다른사람들이사용할자료를요구한다. - 생명주기지원 보안대책의식별 : 개발환경내에서 TOE 설계및구현과정의비밀성과무결성을보호하기위하여필요한모든물리적, 절차적, 인적및기타보안대책을서술하고증거를제공하도록요구한다. 잘정의된개발도구 : TOE 개발에사용된개발도구를식별하고, 개발도구의구현- 종속적인선택사항의기술을요구한다. - 시험 시험범위의분석 : 기능명세에따라체계적으로 TOE 보안기능이시험되었음을입증하도록요구한다. 상세설계시험 : TSF 서브시스템및모듈이올바르게구현되었음을보증하도록요구한다. 기능시험 : 개발자로하여금모든보안기능이명세된대로수행됨을입증하도록요구한다. 독립적인시험 ( 표본시험 ) : 평가자로하여금보안기능이명세된대로수행됨을입증하도록요구한다. - 취약성평가 설명서조사 : 설명서내에오도, 불합리, 상충하는지침이없으며, 모든운영모드 에대한안전한절차를다루고있음을보장하도록요구한다. 40 TTAS.KO /R1

53 TOE 보안기능강도에대한평가 : TOE 보안기능강도가선언된보안목표명세서에서식별된각메커니즘에대하여 TOE 보안기능강도분석을수행하도록요구한다. 독립적인취약성분석 : 보안취약성이존재함을확인하고, TOE의의도된환경에서취약성이악용될수없음을확인하도록요구한다. 41 TTAS.KO /R1

54 부록 Ⅱ w = wo = wp = wa = wf = 1 일경우에대한선정방법 다음의 < 표 Ⅱ-1> 이하에서는 w = w O = w P = w A = w F = 1 일경우나타날수있는다양한경우를보였다. 이중위협수준과피해수준이모두 MM = LH = HL 인경우는본문에서설명하였으므로생략한다. 표의수가많으므로편의상위협수준과피해수준을구분하지않고대소관계의특징만나타내었으며계산된위험수준의낮음, 중간, 높음을실선및음영으로구분하였다. < 표 Ⅱ-1> 은위협수준과피해수준중하나는 MM = LH = HL 이고하나는 MM > LH = HL 인경우를나타낸것이다. 즉, 가로축은 { L, M, H } = { 1, 2, 3 } 이고세로축은 { L, M, H } = { 1, 3, 4 } 인경우이다. 이해를돕기위하여각경우의수치값을괄호안에넣었다. < 표 Ⅱ-1> 위협수준과피해수준이하나는 MM=HL=HL, 하나는 MM>HL=LH 인경우 MM=LH =HL MM> LH=HL LL (2) LM = ML (3) MM=LH=HL (4) MH = HM (5) HH (6) LL (2) LLLL (0.08) LLLM LLML (0.13) LLMM, LLLH LLHL (0.17) LLMH LLHM (0.21) LLHH (0.25) LMLL LMLM, LMML LMMM, LMLH LMMH, LMHM LMHH LM = ML MLLL MLLM, MLML LMHL, MLMM MLMH, MLHM MLHH (4) MLLH, MLHL (0.17) (0.25) (0.33) (0.42) (0.5) LHLL LHLM, LHML LHMM, LHLH LHMH, LHHM LHHH LH=HL HLLL HLLM, HLML LHHL, HLMM HLMH, HLHM HLHH (5) HLLH, HLHL (0.21) (0.31) (0.42) (0.52) (0.63) MM (6) MMLL (0.25) MMLM, MMML (0.38) MMMM, MMLH MMHL (0.45) MMMH, MMHM (0.63) MMHH (0.75) 42 TTAS.KO /R1

55 MHLL MHLM, MHML MHMM, MHLH MHMH, MHHM MHHH MH = HM HMLL HMLM, HMML MHHL, HMMM HMMH, HMHM HMHH (7) HMLH, HMHL (0.29) (0.44) (0.58) (0.73) (0.88) HH (8) HHLL (0.33) HHLM, HHML (0.5) HHMM, HHLH HHHL (0.67) HHMH, HHHM (0.83) HHHH (1) < 표 Ⅱ-2> 위협수준과피해수준이하나는 MM=HL=HL, 하나는 MM>HL=LH 인경우적합한 MM> LH=HL MM=LH =HL 침입차단시스템평가등급 LL LM = ML MM=LH=HL MH = HM HH LL 불필요 EAL1 EAL1 EAL2 EAL2 LM = ML EAL1 EAL2 EAL3 EAL4 EAL4 LH=HL EAL2 EAL3 EAL4 EAL4 EAL5 MM EAL2 EAL3 EAL4 EAL5 EAL6 MH = HM EAL2 EAL4 EAL4 EAL6 EAL7 HH EAL3 EAL4 EAL5 EAL7 EAL7 < 표 Ⅱ-3> 은위협수준과피해수준중하나는 MM = LH = HL 이고하나는 MM < LH = HL 인경우를나타낸것이다. 즉, 가로축은 { L, M, H } = { 1, 2, 3 } 이고세로축은 { L, M, H } = { 1, 2, 4 } 인경우이다. 이해를돕기위하여각경우의수치값을괄호안에넣었다. < 표 Ⅱ-3> 위협수준과피해수준이하나는 MM=HL=HL, 하나는 MM<HL=LH 인경우 MM=LH =HL MM< LH=HL LL (2) LM = ML (3) MM=LH=HL (4) MH = HM (5) HH (6) LL (2) LLLL (0.08) LLLM LLML (0.13) LLMM, LLLH LLHL (0.17) LLMH LLHM (0.21) LLHH (0.25) 43 TTAS.KO /R1

56 LM = ML LMLL MLLL LMLM, LMML MLLM, MLML LMMM, LMLH LMHL, MLMM LMMH, LMHM MLMH, MLHM LMHH MLHH (3) MLLH, MLHL (0.13) (0.19) (0.25) (0.31) (0.38) MM (4) MMLL (0.17) MMLM, MMML (0.25) MMMM, MMLH MMHL (0.33) MMMH, MMHM (0.42) MMHH (0.5) LH=HL LHLL HLLL LHLM, LHML HLLM, HLML LHMM, LHLH LHHL, HLMM LHMH, LHHM HLMH, HLHM LHHH HLHH (5) HLLH, HLHL (0.21) (0.31) (0.42) (0.52) (0.63) MH = HM MHLL HMLL MHLM, MHML HMLM, HMML MHMM, MHLH MHHL, HMMM MHMH, MHHM HMMH, HMHM MHHH HMHH (6) HMLH, HMHL (0.25) (0.38) (0.5) (0.63) (0.75) HH (8) HHLL (0.33) HHLM, HHML (0.5) HHMM, HHLH HHHL (0.67) HHMH, HHHM (0.83) HHHH (1) < 표 Ⅱ-4> 위협수준과피해수준이하나는 MM=HL=HL, 하나는 MM<HL=LH 인경우적합한 침입차단시스템평가등급 MM< LH=HL MM=LH =HL LL LM = ML MM=LH=HL MH = HM HH LL 불필요 EAL1 EAL1 EAL2 EAL2 LM = ML EAL1 EAL1 EAL2 EAL3 EAL3 MM EAL1 EAL2 EAL3 EAL4 EAL4 LH=HL EAL2 EAL3 EAL4 EAL4 EAL5 MH = HM EAL2 EAL3 EAL4 EAL5 EAL6 HH EAL3 EAL4 EAL5 EAL7 EAL7 < 표 Ⅱ-5> 는위협수준과피해수준중하나는 MM < LH = HL 이고하나는 MM > LH = HL 인경우를나타낸것이다. 즉, 가로축은 { L, M, H } = { 1, 2, 4 } 이고세로축은 { L, M, H } = { 1, 3, 4 } 인경우이다. 이해를돕기위하여각경우의수치값을괄호안에넣었다. 44 TTAS.KO /R1

57 < 표 Ⅱ-5> 위협수준과피해수준이하나는 MM<HL=LH, 하나는 MM>HL=HL 인경우 MM<LH =HL MM> LH=HL LL (2) LM = ML (3) MM (4) LH=HL (5) MH = HM (6) HH (8) LL (2) LLLL (0.06) LLLM, LLML (0.09) LLMM (0.13) LLMM, LLLH LLHL (0.16) LLMH, LLHM (0.19) LLHH (0.25) LM = ML (4) LMLL MLLL (0.13) LMLM, LMML MLLM, MLML (0.19) LMMM MLMM (0.25) LMLH, LMHL MLLH, MLHL (0.31) LMMH, LMHM MLMH, MLHM (0.38) LMHH MLHH (0.5) LH=HL (5) LHLL HLLL (0.16) LHLM, LHML HLLM, HLML (0.23) LHMM HLMM (0.31) LHLH, LHHL HLLH, HLHL (0.39) LHMH, LHHM HLMH, HLHM (0.47) LHHH HLHH (0.63) MM MMLL MMLM,MMML MMMM MMLH, MMHL MMMH, MMHM MMHH (6) (0.19) (0.28) (0.38) (0.47) (0.56) (0.75) MH = HM (7) MHLL HMLL (0.22) MHLM, MHML HMLM, HMML (0.33) MHMM HMMM (0.44) MHLH, MHHL HMLH, HMHL (0.55) MHMH, MHHM HMMH, HMHM (0.66) MHHH HMHH (0.88) HH HHLL HHLM, HHML HHMM HHLH, HHHL HHMH, HHHM HHHH (8) (0.25) (0.38) (0.5) (0.63) (0.75) (1) < 표 Ⅱ-6> 위협수준과피해수준이하나는 MM<HL=LH, 하나는 MM>HL=HL 인경우적합한 침입차단시스템평가등급 MM> LH=HL MM<LH =HL LL LM = ML MM LH=HL MH = HM HH LL 불필요불필요 EAL1 EAL1 EAL1 EAL2 LM = ML EAL1 EAL1 EAL2 EAL3 EAL3 EAL4 LH=HL EAL1 EAL2 EAL3 EAL3 EAL4 EAL5 MM EAL1 EAL2 EAL3 EAL4 EAL4 EAL6 MH = HM EAL2 EAL3 EAL4 EAL4 EAL5 EAL7 HH EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 45 TTAS.KO /R1

58 < 표 Ⅱ-7> 은위협수준과피해수준이모두 MM > LH = HL 인경우를나타낸것이다. 즉, 가로축과세로축이모두 { L, M, H } = { 1, 3, 4 } 인경우이다. 이해를돕기위하여 각경우의수치값을괄호안에넣었다. < 표 Ⅱ-7> 위협수준과피해수준이모두 MM>HL=HL 인경우 MM>LH =HL MM> LH=HL LL (2) LM = ML (3) LH=HL (5) MM (6) MH = HM (7) HH (8) LL (2) LLLL (0.06) LLLM, LLML (0.09) LLMM,LLLH LLHL (0.13) LLMM (0.16) LLMH,LLHM (0.19) LLHH (0.25) LM = ML (3) LMLL MLLL (0.13) LMLM,LMML MLLM,MLML (0.25) LMLH,LMHL MLLH,MLHL (0.31) LMMM MLMM (0.38) LMMH,LMHM MLMH,MLHM (0.44) LMHH MLHH (0.5) LH=HL LHLL LHLM,LHML LHLH,LHHL LHMM LHMH,LHHM LHHH HLLL HLLM,HLML HLLH,HLHL HLMM HLMH,HLHM HLHH (5) (0.16) (0.31) (0.39) (0.47) (0.55) (0.63) MM MMLL MMLM,MMML MMLH,MMHL MMMM MMMH,MMHM MMHH (6) (0.19) (0.38) (0.47) (0.56) (0.66) (0.75) MH = HM (7) MHLL HMLL (0.22) MHLM,MHML HMLM,HMML (0.44) MHLH,MHHL HMLH,HMHL (0.55) MHMM HMMM (0.66) MHMH,MHHM HMMH,HMHM (0.77) MHHH HMHH (0.88) HH HHLL HHLM,HHML HHLH,HHHL HHMM HHMH,HHHM HHHH (8) (0.25) (0.5) (0.63) (0.75) (0.88) (1) < 표 Ⅱ-8> 위협수준과피해수준이모두 MM>HL=HL 인경우적합한 침입차단시스템평가등급 MM>LH =HL MM> LH=HL LL LM = ML LH=HL MM MH = HM HH LL 불필요 EAL1 EAL1 EAL1 EAL2 EAL2 LM = ML EAL1 EAL2 EAL3 EAL3 EAL4 EAL4 46 TTAS.KO /R1

59 LH=HL EAL1 EAL3 EAL3 EAL4 EAL4 EAL5 MM EAL1 EAL3 EAL4 EAL4 EAL5 EAL6 MH = HM EAL2 EAL4 EAL4 EAL5 EAL6 EAL7 HH EAL2 EAL4 EAL5 EAL6 EAL7 EAL7 < 표 Ⅱ-9> 는위협수준과피해수준이모두 MM < LH = HL 인경우를나타낸것이다. 즉, 가로축과세로축이모두 { L, M, H } = { 1, 2, 4 } 인경우이다. 이해를돕기위하여 각경우의수치값을괄호안에넣었다. < 표 Ⅱ-9> 위협수준과피해수준이모두 MM<HL=HL 인경우 MM<LH =HL MM< LH=HL LL (2) LM = ML (3) MM (4) LH=HL (5) MH = HM (6) HH (8) LL (2) LLLL (0.06) LLLM, LLML (0.09) LLMM (0.13) LLMM, LLLH LLHL (0.16) LLMH, LLHM (0.19) LLHH (0.25) LM = ML (3) LMLL MLLL (0.09) LMLM, LMML MLLM, MLML (0.14) LMMM MLMM (0.19) LMLH,LMHL MLLH,MLHL (0.23) LMMH, LMHM MLMH, MLHM (0.28) LMHH MLHH (0.38) MM (4) MMLL (0.13) MMLM, MMML (0.19) MMMM (0.25) MMLH MMHL (0.31) MMMH, MMHM (0.38) MMHH (0.5) LH=HL (5) LHLL HLLL (0.16) LHLM, LHML HLLM, HLML (0.23) LHMM HLMM (0.31) LHLH LHHL HLLH HLHL (0.39) LHMH, LHHM HLMH, HLHM (0.47) LHHH HLHH (0.63) MH = HM (6) MHLL HMLL (0.19) MHLM,MHML HMLM,HMML (0.28) MHMM HMMM (0.38) MHLH,MHHL HMLH,HMHL (0.47) MHMH,MHHM HMMH,HMHM (0.56) MHHH HMHH (0.75) HH (8) HHLL (0.25) HHLM, HHML (0.38) HHMM (0.5) HHLH HHHL (0.63) HHMH, HHHM (0.75) HHHH (1) 47 TTAS.KO /R1

60 MM<LH =HL MM< LH=HL < 표 Ⅱ-10> 위협수준과피해수준이모두 MM<HL=HL 인경우 적합한침입차단시스템평가등급 LL LM=ML MM LH=HL MH=HM HH LL 불필요불필요 EAL1 EAL1 EAL1 EAL2 LM = ML 불필요 EAL1 EAL1 EAL2 EAL2 EAL3 MM EAL1 EAL1 EAL2 EAL3 EAL3 EAL4 LH=HL EAL1 EAL2 EAL3 EAL3 EAL4 EAL5 MH = HM EAL1 EAL2 EAL3 EAL4 EAL4 EAL6 HH EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 48 TTAS.KO /R1

61 표준작성공헌자 표준번호 : TTAS.KO /R1 이표준의제정 개정및발간을위해아래와같이여러분들이공헌하였습니다. 구분성명위원회및직위 과제제안조대일 PG102 위원 연락처 ( 등 ) chodi@kisa.or.kr 소속사 KISA 표준초안제출 조대일장형진 PG102 위원 PG102 위원 chodi@kisa.or.kr chj760@kisa.or.kr KISA KISA 원유재 PG102 의장 yjwon@kisa.or.kr KISA 표준초안검토 은성경 PG102 부의장 skun@etri.re.kr ETRI 및작성 신동명 PG102 간사 dmshin@kisa.or.kr KISA 외 PG102 위원 정교일 공통기반기술위원회의장 kyoil@etri.re.kr ETRI 원유재 공통기반기술위원회부의장 yjwon@kisa.or.kr KISA 표준안심의 이필중 공통기반기술위원회부의장 pjl@postech.ac.k 포항공대 김응배 공통기반기술위원회부의장 ebkim@etri.re.kr ETRI 외 TC1 위원 49 TTAS.KO /R1

62 구분 성명 위원회및직위 김선 팀장 사무국담당 오흥룡 과장 연락처 ( 등 ) skim@tta.or.kr hroh@tta.or.kr 소속사 TTA TTA 50 TTAS.KO /R1

63 네트워크운영자를위한침입차단시스템선정지침 (Firewall System Selection Guide for Network Operator) 발행인 : 김홍구발행처 : 한국정보통신기술협회 , 경기도성남시분당구서현동 Tel : , Fax : 발행일 :