2013 년도표준화활동결과보고서 ITU-T SG17 정보보호분야 연구결과요약 총괄표세부수행결과위원명단제1장 ITU-T SG17 연구과제분석및대응방안연구제2장 ITU-T SG17 연구반중점과제연구결과제3장 ITU-T SG17 국제회의참가및기고서제출결과제4장 ITU-T S

Transcription

1 2013 년도표준화활동결과보고서 ITU-T SG17 정보보호분야

2 2013 년도표준화활동결과보고서 ITU-T SG17 정보보호분야 연구결과요약 총괄표세부수행결과위원명단제1장 ITU-T SG17 연구과제분석및대응방안연구제2장 ITU-T SG17 연구반중점과제연구결과제3장 ITU-T SG17 국제회의참가및기고서제출결과제4장 ITU-T SG17 회람문서검토결과제5장 ITU-T SG17 연구반회의및워크숍개최결과부록1 ITU-T SG17 회람문서검토의견서부록2 ITU-T SG17 국제회의제출기고서

3 연구결과요약 총괄표 연구과제명 담당위원회명 연구책임자 연구반장 연구기간 국제공식표준화기구 등 협력및대응연구한국 연구위원회 정보보호 성명염흥열전화 소속단체순천향대학교직위교수부서명정보보호학과전문분야정보보호 년 월 년 월 개월 활동내용구분계획실적완료율비고 주요 연구 건 건 ITU 총 12 개 연구반중점과제총 건총 건 ITU 총권고 : 131 건 연구활동 일반과제 우선순위권고안검토 일반과제 국내규정과비교검토 심화과제 기준 정책 표준제안 건 건 건 건 건건 해당사항없음 기타연구과제 건 건 A 등급이슈 : 1 건 용역과제건건 해당사항없음 회람문서검토 건 수시진행 국제회의참가 회 회 SG17 국제회의 : 2 회 위원회활동 기고서제출 건 건 국가기고서 : 32 건 섹터기고서 : 5 건 의장단 TD : 17 건 연구반회의 회 회 연구반워크숍 회 회 공동연구연구반원 명 ITU-T SG17 ( 정보보호분야 )Ⅰ3

4 세부수행결과 가 주요 연구결과 ITU NO. 과제번호 1 Q.1/17 2 Q.2/17 3 Q.3/17 4 Q.4/17 5 Q.5/17 6 Q.6/17 7 Q.7/17 8 Q.8/17 9 Q.9/17 10 Q.10/17 11 Q.11/17 12 Q.12/17 과제명 ( 국문 ) 정보통신 /ICT 보안조정그룹 ( 영문 ) Telecommnication/ICT security coordination ( 국문 ) 보안구조및프레임워크 ( 영문 ) Security Architecture and framework ( 국문 ) 정보통신보안관리 ( 영문 ) Telecommunications information security management ( 국문 ) 사이버보안 ( 영문 ) Cybersecurity ( 국문 ) 기술적방법에의한스팸대응 ( 영문 ) Countering spam by technical means ( 국문 ) 유비쿼터스통신서비스에서의보안 ( 영문 ) Security aspects of ubiquitous telecommunication services ( 국문 ) 안전한응용서비스 ( 영문 ) Secure application services ( 국문 ) 클라우드컴퓨팅보안 ( 영문 ) Cloud computing security ( 국문 ) 텔레바이오인식 ( 영문 ) Telebiometrics ( 국문 ) 아이덴티티관리구조및메커니즘 ( 영문 ) Identity management architecture and mechanisms ( 국문 ) 안전한응용을지원하기위한일반기술 ( 영문 ) Generic technologies to support secure applications ( 국문 ) 통신소프트웨어및테스트를위한 형식언어 ( 영문 ) Formal languages for telecommunication software and testing 우선담당WP 순위 연구 진행상태 위원 ( 완료 / 계속 ) WP1 3 오흥룡 계속 WP1 3 오흥룡 계속 WP1 2 오경희 계속 WP2 1 김종현 계속 WP2 3 김미주 계속 WP4 1 백종현 계속 WP4 1 나재훈 계속 WP3 1 박종열 계속 WP4 2 신용녀 계속 WP3 2 조상래 계속 WP5 3 염흥열 계속 WP5 3 백종현 계속 4Ⅰ2013 년도 ITU-T 표준화활동결과보고서

5 나 연구반중점과제수행결과 일반과제 우선순위권고안검토 NO. 권고번호권고명담당 WP 연구위원 1 X.sgsm ( 국문 ) 중소규모통신조직을위한정보보호관리가이드라인 ( 영문 ) Information security management guidelines for small and medium telecommunication organizations WP1 오경희 2 X.csmc 3 X.cybex-tp 4 X.sisnego 5 X.fsspvn 6 X.goscc 7 X.sfcse ( 국문 ) CYBEX 기술을사용하는사이버보안운영의반복적인모델 ( 영문 ) Continuous security monitoring using CYBEX techniques ( 국문 ) 사이버보안정보교환을위한전송프로토콜 ( 영문 ) Transport protocols supporting cybersecurity information exchange ( 국문 ) 보안정보공유협상프레임워크 ( 영문 ) Framework of security information sharing negociation ( 국문 ) 가상화네트워크를위한안전한서비스플랫폼프레임워크 ( 영문 ) Framework for a secure service platform for virtual network ( 국문 ) 클라우드컴퓨팅을위한운영적인보안지침 ( 영문 ) Guidelines of operational security for cloud computing ( 국문 ) 소프트웨어서비스응용환경을위한보안기능요구사항 ( 영문 ) Security functional requirements for Software as a Service (SaaS) application environment WP2 WP2 WP2 WP3 WP3 WP3 김종현김종현김종현박종열박종열박종열 8 X.tif ( 국문 ) 바이오인식기반원격의료통합프레임워크 ( 영문 ) Integrated framework for telebiometric data protection in e-health and worldwide telemedicines WP2 신용녀 ITU-T SG17 ( 정보보호분야 )Ⅰ5

6 일반과제 국내규정과비교검토 NO. 권고번호권고명담당 WP 연구위원 1 X X.1570 ( 국문 ) 공통플랫폼목록 ( 영문 ) Common platform enumeration ( 국문 ) 사이버보안정보교환에서의탐색메커니즘 ( 영문 ) Discovery mechanisms in the exchange of cybersecurity information WP2 WP2 김미주 김미주 기타연구과제 등급이슈 NO. 권고번호권고명담당 WP 연구위원 1 A 등급이슈 ( 국문 ) 클라우드컴퓨팅보안 WP3 박종열 ( 영문 ) Cloud Computing Security 심화과제 기준 정책 표준제안 해당사항없음 다 국제회의참가및기고서제출결과 회의명기간장소참가자 국제회의 국제회의 기고서제출 반영 건 스위스제네바염흥열등 명 스위스제네바염흥열등 명 라 회람문서검토결과 회람문서번호제목검토 회신 건 6Ⅰ2013 년도 ITU-T 표준화활동결과보고서

7 회람문서번호제목검토 회신 건 마 용역과제수행결과 해당사항없음 바 회의개최내역 회의차수일시장소참가자수주요회의안건 차 금 차 화 차 수 목 중회의실 제 회의실 용인한화콘도 명 명 명 년도 연구반활동계획서 국제회의 월 참가준비 검토결과보고 표준화성과보고서원고작성 국제회의 월 참가준비 검토보고 년도 연구반활동보고서 국제회의 월 참가준비 사 워크숍개최내역 행사명일시장소참가자수주요행사내용 연구반워크숍 수 목 용인한화콘도 명 국제회의 월 기고서발표 주요이슈및대응전략논의 ITU-T SG17 ( 정보보호분야 )Ⅰ7

8 위원명단 성명 소속 직위 전화 비고 위원회직책 염흥열 순천향대학교 교수 반장 나재훈 한국전자통신연구원 전문위원 부반장 백종현한국인터넷진흥원책임 부반장 오흥룡한국정보통신기술협회선임 간사 길연희한국전자통신연구원선임 반원 김근옥 금융보안연구원 선임 반원 김미주 한국인터넷진흥원 선임 반원 김영화 한국정보통신기술협회 부장 반원 김재성한국인터넷진흥원수석 반원 김종현한국전자통신연구원선임 반원 김태경서울신학대학교교수 반원 김학일 인하대학교 교수 반원 박종열 한국전자통신연구원 팀장 반원 변순정 한국인터넷진흥원 책임 반원 송성현금융보안연구원주임 반원 송중석 한국과학기술정보연구원 선임 반원 신용녀 한양사이버대학교 교수 반원 심희원 금융보안연구원 팀장 반원 안개일 한국전자통신연구원 선임 반원 엄지현 미래부 사무관 반원 오경희 티씨에이서비스 대표 반원 이석준 한국전자통신연구원 선임 반원 임형진 금융보안연구원 책임 반원 전명근 충북대학교 교수 반원 전인자 와이즈오토모티브 책임 반원 조상래 한국전자통신연구원 선임 반원 진병문 한국정보통신기술협회 연구위원 반원 계 명 8Ⅰ2013 년도 ITU-T 표준화활동결과보고서

9 2013 년도표준화활동결과보고서 제 1 장 ITU-T SG17 연구과제분석및대응방안연구 ANSI

10

11 주요 연구 ITU NO. 과제번호 1 Q.1/17 2 Q.2/17 3 Q.3/17 4 Q.4/17 5 Q.5/17 6 Q.6/17 7 Q.7/17 8 Q.8/17 9 Q.9/17 10 Q.10/17 11 Q.11/17 12 Q.12/17 과제명 ( 국문 ) 정보통신 /ICT 보안조정그룹 ( 영문 ) Telecommnication/ICT security coordination ( 국문 ) 보안구조및프레임워크 ( 영문 ) Security Architecture and framework ( 국문 ) 정보통신보안관리 ( 영문 ) Telecommunications information security management ( 국문 ) 사이버보안 ( 영문 ) Cybersecurity ( 국문 ) 기술적방법에의한스팸대응 ( 영문 ) Countering spam by technical means ( 국문 ) 유비쿼터스통신서비스에서의보안 ( 영문 ) Security aspects of ubiquitous telecommunication services ( 국문 ) 안전한응용서비스 ( 영문 ) Secure application services ( 국문 ) 클라우드컴퓨팅보안 ( 영문 ) Cloud computing security ( 국문 ) 텔레바이오인식 ( 영문 ) Telebiometrics ( 국문 ) 아이덴티티관리구조및메커니즘 ( 영문 ) Identity management architecture and mechanisms ( 국문 ) 안전한응용을지원하기위한일반기술 ( 영문 ) Generic technologies to support secure applications ( 국문 ) 통신소프트웨어및테스트를위한 형식언어 ( 영문 ) Formal languages for telecommunication software and testing 담당 WP 우선 연구 진행상태 순위 위원 ( 완료 / 계속 ) WP1 3 오흥룡 계속 WP1 3 오흥룡 계속 WP1 2 오경희 계속 WP2 1 김종현 계속 WP2 3 김미주 계속 WP4 1 백종현 계속 WP4 1 나재훈 계속 WP3 1 박종열 계속 WP4 2 신용녀 계속 WP3 2 조상래 계속 WP5 3 염흥열 계속 WP5 3 백종현 계속 ITU-T SG17 ( 정보보호분야 )Ⅰ11

12 NO. 01 연구과제번호 Q.1/17 연구위원오흥룡진행상태계속 ( 영문 ) Telecommunication/ICT security coordination 과제명 ( 국문 ) 정보통신 /ICT 보안조정그룹 1. 배경 ITU-T 내에전체적인보안요약물, 전략, 비전, 계획, 로드맵등을연구하고있으며, 정보보호표준화정보공유를위한워크숍및타표준화기구들과의협력체계구축, 보안표준들간에이해격차분석을담당한다. 특히, 연구반간에혹은연구반내에정보보호표준화활동영역을조정하는역할을수행하고있다. 2. 주요쟁점사항 월, 일본의제안으로암호프로토콜안전성에대한검증프로세스개발을위한서신그룹 (Correspondence Group) 을신설하였다. 이는 ITU-T SG17 국제표준에서 ISO/IEC JTC1/SC27 이나암호협의체에서개발된암고리즘들이많이활용되고있으나이를검증하는절차가없어이에대한향후국제표준개발가능성을검토하기위한그룹이다 월, 미국, 유럽등상기이슈에대한국제표준개발이불필요하다는의견도있었으나, 암호프로토콜표준화협의체활동, 비검증된암호프로토콜의위험성, 암호프로토콜검증수단에대해추가적인조사활동을진행하기로합의하고, 차기 SG17 국제회의까지활동을연장하기로결정하였다. 3. 국내외동향 정보통신환경에서통신주체들간에송수신되는데이터들에대한무결성, 기밀성, 가용성등을보장하기위해반드시암호프로토콜적용이필요하다. 하지만, ISO/IEC JTC1/SC27 및지역별암호그룹등에서새로운알고리즘들이개발되고있어, 국제표준에포함시키기위해서는안전성검증이반드시필요하다. 현재, 모바일에탑재되는암호프로토콜을 ETSI TC SAGE 그룹에서검증하는활동이이루어지고있어, 이들간에협력이이루어지예정이다. 서신그룹활동에는일본, 한국, 중국, 브라질, 미국, 프랑스등이참여하고있다. 4. 추진방향 ( 우리나라대응방안 ) 한국은제 3 차한중일정보보호실무반 (CJK Security WG) 국제회의에서본이슈에대해필요성 에합의한바, ITU-T SG17 내에신규표준화아이템발굴에있어지지하는입장을취할예정이다. 12Ⅰ2013 년도 ITU-T 표준화활동결과보고서

13 NO. 02 연구과제번호 Q.2/17 연구위원오흥룡진행상태계속 ( 영문 ) Security Architecture and framework 과제명 ( 국문 ) 보안구조및프레임워크 1. 배경 보안시스템의구조, 모델, 개념, 전반적인서비스시나리오등을연구하고있으며, 가장대표적 인것은 X.800(OSI 모델 ) 시리즈표준들을개발하고있다. 또한, 개발도상국들을위한네트워크인프 라를구축함에있어참조할수있는가이드라인표준들을개발하고있다. 2. 주요쟁점사항 일본의제안으로 IPv6 구축에서의기술적보안지침 국제표준이 월국제회의에서대체승인절차 (AAP) 승인되었으나, 프랑스에서약 80여개이상의코멘트를제시하여, 추가검토기간내에합의가이루어지지않아, 월국제회의에서이를해결하기위한집중적인표준초안검토가이루어졌다. 코멘트의주요내용은 IETF RFC 업데이트에따른문구수정과내용에대한표현의문제를주로다루고있어, 월국제회의기간동안에모든코멘트를해결하고, 다시금 AAP로승인되어, 현재최종 ITU-T X.1037 국제표준으로채택되었다. 3. 국내외동향 ITU-T 내에 IPv6 국제표준화활동은일본에서주도하고있으며, 표준개발에간접적으로참여하고있는국가는한국, 중국, 미국, 프랑스, 러시아등이참여하고있다. 향후, IPv6 국제표준화활동은 X.1037 국제표준을구현하기위해조직내에 IPv6 적용을위한보안관리부속서개발을추진할계획이다. 4. 추진방향 ( 우리나라대응방안 ) 한국은 X.mgv6(Supplement to ITU-T X.1037) 부속서개발에간접적으로참여할예정이며, 국내 IPv6 구현하는산업체에관련정보제공할예정이다. ITU-T SG17 ( 정보보호분야 )Ⅰ13

14 NO. 03 연구과제번호 Q.3/17 연구위원오경희진행상태계속 ( 영문 ) Telecommunications information security management 과제명 ( 국문 ) 정보통신보안관리 1. 배경 ITU-T SG17 Q.3에서는통신조직의업무자산을적절히관리하고업무활동을보호하기위한정보보호관리영역의표준을개발하고있다. X.1051을기초로하여거버넌스, 관리프레임워크, 위험, 사건및자산등의구체적인관리영역의표준을개발하고있으며, 클라우드컴퓨팅, IPv6 전환, 개인식별정보의보호등을포함하는전세계적대책을요구하는새로운보안관리현안을연구하여 X.105x 시리즈로개발하고있다. 2. 주요쟁점사항 X.1051이기반으로하고있는 ISO/IEC 27002의개정에따라한국및일본주도로 X.1051의개정작업이진행되고있다. 본개정표준은 ISO/IEC와공동개발하고있으며 2013년 10월초안 (WD1) 에합의하였다. 최종개정시점은 2016년완료를목표로추진하고있다. 또한, 지난회기 (2012) 에서중소규모통신조직을위한보안관리지침인 X.sgsm, 개발도상국을위한사고대응표준제시를위한 X.sup 1056의개발에착수하였으나참가국의기고가저조하여진행이미진한상태이다. X.sgsm은 X.1051의구조를따르고있으므로 X.1051의구조가확정된다음회의부터본격적으로개발이진행될예정이다. 3. 국내외동향 ITU-T SG17 Q3 내의국제표준화활동은일본이가장크게기여하고있으며, 다음으로한국이 주기고자로서참여하고있고러시아, 중국, 레바논, 미국등이참여하여기고및의견을제시하고 있다. 4. 추진방향 ( 우리나라대응방안 ) 한국은기존참여인력의변동및축소로인해일부어려움을겪고있다. 특히 X.sgsm 의경우 최초제안국이었던한국의참여미흡으로신뢰가저하된상태이다. 한국인터넷진흥원등관련기관 의표준화지원이필요하다. 14Ⅰ2013 년도 ITU-T 표준화활동결과보고서

15 NO. 04 연구과제번호 Q.4/17 연구위원김종현진행상태계속 ( 영문 ) Cybersecurity 과제명 ( 국문 ) 사이버보안 1. 배경 ITU-T SG17 Q.4는사이버공간에서발생하는침해사고및취약점등에대한대응방안및정보공유등에대한사이버보안분야의표준개발을담당하고있으며, Q.4에서중점적으로다루고있는표준화작업은 CYBEX( 정보공유프레임워크 ) 관련권고안과일반적인사이버침해대응관련권고안으로나누어서개발되고있다 년까지개발된권고안은 X.1205, X.1206, X.1207, X.1209, X.1303, X.1500, X , X.1520, X.1521, X.1524, X.1528, X , X , X , X , X , X.1541, X.1570, X.1580, X.1581, X.Suppl.8, X.Suppl.9, and X.Suppl.10. 등이완료되었다. 본연구과제는 ITU-T Study Groups, ETSI, FIRST, IETF, IEEE, ISO/IEC JTC 1, OASIS, OMA, TCG, 3GPP, 3GPP2 등과협력해표준화를추진하고있다. 2. 주요쟁점사항 한국주도로개발된사이버보안지수에대한권고안 (X.sci) 이 2013년 8월 SG17회의기간동안, 총 5회의회의를통해모든국가들의의견을반영하였으며, SG17 국제회의종료후, 4주간에서면회람후, 특별한의견이없을경우, 최종국제표준 X.1208로채택 (approval) 하기로승인되었다. 하지만, 회람기간중에미국, 캐나다, 일본에서추가적인코멘트가개진되어, 이를반영한표준초안이현재채택준비과정 (determination) 단계로재회람중에있다. - 본표준은미래부에서개발된국가정보보호지수를국제표준으로개발하는데그목적이있다. 즉, 사이버공간에서안정성을평가하기위한기준은국가별로상이하고, 고려대상이다양하여이에대한정형화된기준을개발함으로써사이버공간에서안정성평가에객관적인기준을정의하기위함이다. 다. 한국주도로개발된역추적메커니즘 (X.trm) 에대한채택준비과정 (Determination) 을승인되었 - 캐나다는이표준이부속서로개발되어야한다고주장했으며, 미국은역추적기술보다는순 ITU-T SG17 ( 정보보호분야 )Ⅰ15

16 화된 troubleshooting 이라고수정을제안했으며, 일본은학술적또는실험적메커니즘은부속서로개발하고, 실용적인메커니즘을중심으로개발하자고주장하였다. 한국은이러한의견을반영해실용적인메커니즘과구현을위한요구사항, 그리고선택기준을본문에반영함으로써최종회의결과, 국제표준채택을위한준비과정 (determination) 으로승인되었다. 미국주도로개발된 CYBEX 관련권고안 (X.capec, X.oval) 이국제표준 (X.1544, X.1526) 으로승인되었으며, 권고안 (X.cve, X.maec, X.cybex-tp) 이국제표준채택을위한준비과정 (determination) 으로승인되었다. 특히, 권고안 2건 (X.abnot, X.sisnego) 을 X.1205 권고안의부속서 (Supplement 18, Supplement 20) 로승인하였고, X.1500(CYBEX) 권고안의개정안 (X.1500/Amd.4) 도승인되었다. 3. 국내외동향 사이버보안정보교환구현을위한표준화항목으로미국의정보보호관련연구개발기관인 MITRE의정보보호관련시스템및기술들과 NIST(National Institute of Standards and Technology) 의정보보호표준들을 ITU-T 국제표준화항목으로채택하였다. 일명 CYBEX (Cybersecurity Information Exchange) 라불리는이표준화작업은미국의주도및일본, 영국, 캐나다, 러시아, 한국등주요국의적극적인참여로빠른속도로진행되고있다. 한국은사이버보안지수, 역추적메커니즘에대한표준개발을주도하고있다. 4. 추진방향 ( 우리나라대응방안 ) 한국의표준화활동이타국가에비해왕성하게전개되고있으며, 서방국가는방어적입장으로 신규아이템에대한신설을강하게제어하고있다. 따라서신규아이템제안및표준아이템드래프 팅에있어서기술격차분석및필요성에대한준비가필요하다. SG17 Q.4 는 CYBEX 관련표준을중점적으로다루고있으나최근 CYBEX 관련시리즈권고안 이대부분종료될예정이여서한국이주도할수있는새로운기술아이템발굴이필요하다. 16Ⅰ2013 년도 ITU-T 표준화활동결과보고서

17 NO. 05 연구과제번호 Q.5/17 연구위원김미주진행상태계속 ( 영문 ) Countering spam by technical means 과제명 ( 국문 ) 기술적인방법에의한스팸대응 1. 배경 상업적인메시지를전송하는것으로시작된스팸이근래에는바이러스, 웜과같은네트워크보안및안정성에부정적인영향을미치는악성코드를전파하는데사용되면서심각한문제를일으키고있다. 또한, 이메일, SMS, 멀티미디어메시징서비스와같은메시징서비스를통해원치않는정보, 피싱, 스파이웨어및다른악성코드를전달하기도하며, 봇넷을통해전파되기도한다. 스팸문제를해결하기위한대응활동의일환으로 ITU-T SG17 Q.5에서는기술적인방법에의한스팸대응에대한연구및표준화작업을추진하고있다. 2. 주요쟁점사항 음성스팸대응기술 (X.ticvs), 모바일메시징스팸대응기술프레임워크 (X.tfcmm) 에대한표준화작업이진행중에있으며, 각각 2014, 2015년표준개발을완료하여 Determination 추진예정임 2013년 9월, X.1243( 스팸대응을위한인터랙티브게이트웨이시스템 ) 표준일부용어에대한정정작업을진행함 3. 국내외동향 ITU-T SG17 Q.5에서는스팸대응에대한기술적전략 (X.1231), 이메일스팸대응기술 (X.1240), 이메일스팸대응을위한기술적프레임워크 (X.1241), 사용자설정기반 SMS 스팸필터링시스템 (X.1242), 스팸대응을위한인터랙티브게이트웨이시스템 (X.1243), IP 기반멀티미디어응용에서의스팸대응개요 (X.1244), IP 멀티미디어스팸대응프레임워크 (X.1245) 에대한표준및스팸관련위협대응 (X.Suppl.6), RBL 기반 VoIP 스팸대응프레임워크 (X.Suppl.11), 모바일메시징스팸대응개요 (X.Suppl.12), 봇넷정보를이용한이메일스팸대응참조모델 (X.Suppl.12) 에대한부속서를개발하고있다. 국내에서는 TTA PG503( 사이버보안프로젝트그룹 ) 에서스팸대응표준화를담당하고있으며, 독자적인표준을개발하거나 ITU-T, IETF와같은국제표준화기구에서제정된표준을준용하는작업을진행하고있다. ITU-T SG17 ( 정보보호분야 )Ⅰ17

18 4. 추진방향 ( 우리나라대응방안 ) 우리나라는 IP 멀티미디어응용에서의스팸대응기술에대한표준화를추진한바있음 스마트폰등다양한매체를통해전파되는스팸메시지대응에있어국내에서시도하여효과를본우수기술을국제표준에반영될수있도록적극적인참여가요구된다. 지능적으로진화하는스팸문제에신속하게대처하기위해스팸대응기술국제표준화를추진하고있는 ITU-T, IETF와같은국제표준화기구의활동에대한지속적인관심및필요시국내표준으로준용하는작업이필요하다. 18Ⅰ2013 년도 ITU-T 표준화활동결과보고서

19 NO. 06 연구과제번호 Q.6/17 연구위원백종현진행상태계속 ( 영문 ) Security aspects of ubiquitous telecommunication services 과제명 ( 국문 ) 유비쿼터스통신서비스에서의보안 배경 ITU-T SG17 Q.6 은 USN, IPTV, 모바일, 스마트그리드, ITS, NFC 등유비쿼터스환경에서의다양 한통신서비스환경에서필요한보안기술에대한표준화추진및관련표준유지보수를담당하고 있는연구과제이다. ITU-T SG17 Q.6 은 ITU-T 내의유비쿼터스통신서비스관련표준을개발하는 SG 들뿐아니라 ISO/IEC JTC1/SC 6, 25, 27 그리고 31, ETSI M2M, IETF, 3GPP 등다양한 SDO 들과협력을통해표준 을개발하고있다. 주요쟁점사항 2013 년도유비쿼터스통신서비스보안분야에서의주요쟁점은모바일보안관련워크아이템 인 X.msec-6 ( 스마트폰에서의보안 ) 에대한권고승인문제, 지능형교통시스템 (ITS) 보안분야및 M2M 관련보안기술등에대한신규워크아이템선정관련문제등이있다. 모바일보안관련워크아이템 (X.msec-6) 의경우 2012년 8월회의에서 AAP를통한권고승인을요청하였으나권고안에 Regulation 관련내용이포함되어있기때문에승인절차가 TAP로변경되었으며, 2003년 4월회의에서독일, 미국, 일본, 영국등의반대로인해권고안은최종 Supplement로제정되었다. 그리고, 2013년회의를통해최근전세계적으로많은관심을받고있는지능형교통시스템 (ITS) 및 M2M 관련보안기술에대한신규워크아이템에대한논의를추진하였으며, ITS의경우 2013년 8월회의에서일본에서제안된내용을검토하고, 환경에서의일반아키텍처및 에기반한위협분석및보안요구사항을도출하여차기회의에신규워크아이템을제안하기로하였다 - 또한, M2M에적용가능한부분암호화기반보안통신프로토콜이신규워크아이템으로제안되었으나, 미국, 영국등에서해당암호프로토콜은 권고로추진하기에부적절하며 제시된키관리기법은문제가있다는의견이개진되어신규워크아이템으로채택이되지않았다 그외, 스마트그리드보안권고안 (X.sgsec-1), 유비쿼터스네트워크보안권고안 (X.unsec-1), 모 ITU-T SG17 ( 정보보호분야 )Ⅰ19

20 바일보안권고안 (X.msec-7, X.msec-8) 등이개발중에있다. 국내외동향 최근유비쿼터스환경에서의보안기술은국내뿐아니라미국, 영국, 독일, 일본, 중국등표준화에관심이있는대부분의국가에서많은관심과노력을기울이고있는분야이다. 특히금년에도아시아국가를중심으로모바일보안, ITS 보안, M2M 보안기술관련권고안이제안되고있다. - 하지만, 최근미국, 독일, 영국, 캐나다등서방국가를중심으로아시아국가에서추진하는권고안에대해많은이견을제시하고있으며, 이에따라권고제정이나신규워크아이템선정시지속적으로어려움을겪고있다. 국내에서도 2013 년 4 월회의까지 IPTV 보안분야에서총 8 건의권고를개발완료하였으며, 현 재에도스마트그리드보안및모바일보안분야에서권고안을개발중에있다. 하지만, 최근이슈가 되고있는 ITS 보안, M2M 보안및 NFC 보안등에대한권고안은아직제안되고있지않다. 추진방향 우리나라대응방안 최근미국, 독일, 영국등에서모바일보안관련권고안, ITS 보안및 M2M 관련신규워크아이템등대부분의권고안에대해 Regulation 문제를들어반대의견을개진하고있다. 이에따라, 국내에서도현재개발중인모바일보안및스마트그리드보안관련분야의권고제정을위해기존에제시된반대의견분석등을통한사전대응방안마련이필요하다. 또한, 현재국내에서도산업체를기반으로최근이슈가되고있는 ITS, M2M 그리고 NFC 등과 관련한다양한기술및어플리케이션이개발중에있기때문에, 국내기술의국제경쟁력제고를위 해해당보안기술에대한연구및신규권고안개발노력이필요할것으로판단된다. 20Ⅰ2013 년도 ITU-T 표준화활동결과보고서

21 NO. 07 연구과제번호 Q.7/17 연구위원나재훈진행상태계속 ( 영문 ) Secure application services 과제명 ( 국문 ) 안전한응용서비스 1. 배경 ICT 환경의응용서비스정보보호는산업발전에있어서매우중요한부분이다. 본연구과제에서는 PKI 인증서와응용서비스를대치하는타임스탬프서비스, 안전한인증서비스와웹정보보호서비스를연구하고표준화한다. 2. 주요쟁점사항 웹환경에서사용되는 XML 기반의인증토큰, 접근제어와같은표준을기초로웹융합환경의정보보호표준개발, 전통적인인증프로토콜을개선하여모바일환경에서보다안전한인증프로토콜을제공하기위한 OTP(One-Time Password) 프레임워크, OTP를이용한부인방지, 사용자의프라이버시를보장하는익명인증프로토콜, 소셜네트워크서비스환경에서의사용자프라이버시보장및정보보호를위한표준화이슈가주요쟁점사항들이다. 3. 국내외동향 ICT 기술의발전으로말미암아응용서비스는다양화, 복잡화가될것이다. 이에따라사용자들에게안전한서비스환경을제공하기위하여강화된인증프로토콜, 거래부인방지, 프라이버시보장하는익명인증및소셜네트워크서비스안전을보장하는정보보호서비스표준화에집중되고있다. ISO/IEC JTC1 SC27 에서익명인증서는 2013년 4월에, 익명인증알고리즘표준은 2013년 10월에각각제정되었다. OTP 응용서비스는 IETF의표준을기반으로모바일장비에 OTP 응용서비스탑재를위한표준개발에집중하고있으며, 웹융합서비스보안은급변하는기술의발전에후행하는구도로표준개발이진행되고있다. 현재, 응용서비스보안분야에서는한국에서대부분의표준초안들을개발하고있으며, 유럽및북미에서는간접적인의견개진으로만참여하고있다. 4. 추진방향 ( 우리나라대응방안 ) 웹환경에서사용자, 인프라, 서비스를보호하기위한첫단계로서인증프로토콜은매우중요한위치를차지하고있다. 더욱이유해콘텐츠및서비스환경에서온라인청소년보호를위해서도실질적인인증이중요하므로국가적어젠다로추진이필요하다. 또한모바일단말의스마트화로인하여소셜네트워크커머스가증대되고있는상황에서국가경쟁력강화를위하여안전하면서도프라이버시가보장하는익명인증표준개발에선점을확보하는것이필요하다. ITU-T SG17 ( 정보보호분야 )Ⅰ21

22 NO. 08 연구과제번호 Q.8/17 연구위원박종열진행상태계속 ( 영문 ) Cloud Computing Security 과제명 ( 국문 ) 클라우드컴퓨팅보안 배경 ITU-T SG17 Q.8 은국제전기통신서비스의클라우드컴퓨팅서비스에서보안관련표준을연구 하는연구반으로서비스, 보안구조, 운영보안, 인터클라우드보안관련사항을주로표준화하고 있다. 클라우드컴퓨팅기술은 ITU-T SG13 에서요구사항및참조모델을개발하고있으며, 보안기 술에관련된사항은 Q.8/17 에서개발하고전체조율차원에서 SG13 과협력하는구조를가지고있다. SG13 을제외한 Q.8/17 과협력은 Q.3/17 에서클라우드컴퓨팅을위한정보보안제어기능을 Q.10/17 과는 ID 관리기능을협력하고개발하고있으며, 개발되고있는과제는다음과같다. - X.xxsec : Security framework for cloud computing - X.fsspvn : Framework for a secure service platform for virtual network - X.sfcse : Security functional requirements for SaaS application environment - X.goscc : Guideline of operational security for cloud computing - X.cc-control : Control code of practice for information security controls for cloud computing services based on ISO/IEC 주요쟁점사항 2013년도클라우드컴퓨팅보안이슈는 ITU-T 내부에서 SG13과 SG17 사이에주도권에관련된논쟁이주요이슈였다. 이는클라우드컴퓨팅전문가와보안기술전문가사이에서클라우드컴퓨팅을바라보는시각차이에서발생한것이다. 논쟁결론은 SG17에서기술적이슈를다루고전체적인클라우드이슈는 SG13에서다루기로합의되었다. 클라우드컴퓨팅보안기술은중국이표준화를주도하고미국, 영국, 일본, 러시아등에서참여하고있으나기술개발에중국이상당부분참여하면서표준화의품질에대한이슈가자주등장하였으나, 표준문서의품질보다는주요선진국에서 SG13에적극대응하고있어 SG17에대응할인력이부족하여야기된것으로추정된다. 22Ⅰ2013 년도 ITU-T 표준화활동결과보고서

23 국내외동향 클라우드보안기술은사실국제표준화기구인 DMTF, OGF, CSA, SNIA 등을중심으로전문분 야별규격개발이활발하게진행되고있다. 현재제정완료된표준으로는클라우드가입자와서비스간연동을위한규격인 OCCI(OGF), CDMI(SNIA) 기술과가상머신의이동성을위한 OVF(DMTF) 가있다. OVF 는 2011 년 7 월 ISO/IEC JTC1 에국제표준으로상정되어승인되었다. NIST 에서는 2011 년 12 월퍼블릭클라우드컴퓨팅에서의보안및프라이버시를위한가이드라 인, 전가상화기술을위한보안가이드 2 건의보안문서를발간하였다. - 퍼블릭클라우드에서보안및프라이버시보호를위한가이드라인 (Guidelines on Security and Privacy in Public Cloud Computing), SP ( ) - 가상화기술의보안가이드 (Guide to Security for Full Virtualization Technologies), SP ( ) CSA(Cloud Security Alliance) 는클라우드보안위협, 보안가이드, 보안점검체크리스등에관 한문서를발간하였다. - 클라우드 Top 보안위협 (Top Threats to Cloud Computing, v1.0), 클라우드의중요자원보안가이드 (Security Guidance for Critical Areas of Focus in Cloud Computing, V3), 신뢰하는클라우드도입을위한통제기준 (Cloud Control Matrix Trusted Cloud Initiative, v1.2), 클라우드보안참조모델 (Trusted Cloud Initiative Reference Architecture Model, v1.1), 추진방향 우리나라대응방안 우리나라는클라우드보안기술관련하여참관하고있는수준으로전략적인담당전문가가없 는상황이며, 특히전략적으로추진할과제 ( 기술내용 ) 가없는상황으로장기적인모니터링과기존활 동회원과의협력네트워크구축이필요하다. ITU-T SG17 ( 정보보호분야 )Ⅰ23

24 NO. 09 연구과제번호 Q.9/17 연구위원신용녀진행상태계속 ( 영문 ) Telebiometrics 과제명 ( 국문 ) 텔레바이오인식 1. 배경 ITU-T 텔리바이오인식표준화는사용자신원을확인하기위한표준초안들이개발되고있으며, 한국을비롯하여일본, 중국, 프랑스, 스위스, 영국등, 많은국제표준화전문가들이참여하여바이오인식기술의활용및관련데이터의보호에대한커다란관심을표명하고있다. 현재, ITU-T SG17 에서바이오인식기반사용자인증관련표준들이개발되어, 이를기반으로국가인프라및활용에중점을둔표준화작업을추진하고있다. 2. 주요쟁점사항 바이오인식기술은주로일본과한국에서응용기술및원천기술들에대한표준초안을개발하 고있으며, 유럽등에서는학문및용어정의에대한표준들을담당하고있다. 국가별로크게대립되 는상황은없으며, 서로협력하에표준초안들을개발하고있다. 바이오인식관련표준은 ITU-T SG17/Q.9( 텔레바이오인식 ), ISO/IEC JTC1/SC37( 바이오인식 - 원천 기술 ), ISO/IEC JTC1/SC27( 정보보안 - 프라이버시 : 바이오인식 ) 그룹에서주로개발되고있으며, 표준들 간에지속적인협력을통하여유사표준의중복개발을방지하려노력하고있다. 3. 국내외동향 스마트폰기능이모바일쇼핑과금융결제영역까지확대되면서스마트폰제조업체들이보안기술을강화하고있다. 특히공인인증서등의복제가불가능한보안기술을탑재하는한편지문인식기능등바이오인식을적용하기시작했다. 애플은손가락을대면지문이읽히는 에어리어 방식이고, 팬택과 HTC는손가락을쓸어내려스캔하는스와이프 (Swype) 방식을채택했다. 에어리어방식은지문인식이빠르고정확한반면센서소형화가어렵다. 가격도스와이프방식보다 3배이상비싸다. 반면스와이프방식은센서크기가작아다양한모양과크기로적용가능하지만인식률이낮다. 추후, 특정부위터치가아니라화면전체가지문인식을할수있는방식으로발전될전망이다. 24Ⅰ2013 년도 ITU-T 표준화활동결과보고서

25 4. 추진방향 ( 우리나라대응방안 ) 2011 년 9 월, 한국제안으로모바일환경에서바이오정보보호를위한기술적 관리적안전하게 보호하기위한가이드라인표준이개발중에있으며, 2015 년 2 월에국제표준으로제정을목표로적 극적으로개발할예정이다. 한국주도의바이오보안토큰에대한국제표준이 ITU-T SG17 및 ISO/IEC JTC1/SC27 그룹간에 공통표준 (Common Text) 으로개발되고있으며, 각표준화기구간유기적조화및협력을지속적으 로유도하여최종국제표준개발을추진할예정이다. ITU-T SG17 ( 정보보호분야 )Ⅰ25

26 NO. 10 연구과제번호 Q.10/17 담당위원조상래진행상태계속 ( 영문 ) Identity management architecture and mechanisms 과제명 ( 국문 ) 아이덴티티관리구조및메커니즘 1. 배경 ITU-T에서는 SG17 WP3 그룹이 ID 관리기술에관한표준화를리드하는연구그룹으로, 산하 2 개의연구과제 (Question) 를구성하여관련국제표준을개발하고있다. Q.10에서는 ID 관리기술의구조와프레임워크에대하여정보통신환경에서다양하게응용될수있는국제표준들의개발을담당하고있다. Q.10에서는앞서언급된분야로현재까지총 7건의국제표준을제정하였으며, 총 8건의표준초안들이개발중에있다. 2. 주요쟁점사항 미국에서 ITU-T와 ISO에서공통표준으로추진하던개체인증프레임워크인 X.1254는한국에서제기한이슈를해결하지못하여 ITU-T에서만승인을받아표준으로제정되었다. 국내한국전자통신연구원에서추진하는모바일 ID 관리표준인 X.mob-id는 2012년에국제표준으로제정될예정이었으나다른표준과제들과의중복성이슈를들어영국및미국의반대로 Supplement로추진하려고하였으나, 이또한영국및미국등의반대로표준화과제에서제외하기로결정되었다. 클라우드컴퓨팅의중요성이나날이높아지면서클라우드컴퓨팅환경에서의 ID 관리요구사항을정의하는표준화과제를추진하고있다. 3. 국내외동향 국내 ID관리기술표준화는주로 TTA TC5( 정보보호기술위원회 ) 개인정보보호및 ID관리프로젝트그룹 (PG502) 에서담당하고있다. 국내주요표준화활동은 2010년에는스마트디바이스에서의모바일아이덴터티관리를위한요구사항, 모바일아이덴터티관리프레임워크, 아이덴터티관리기본용어정의, 개체인증에대한보증프레임워크, 대용량데이터공유시스템의보안요구사항, 보조기억매체의안전한선택및이용지침, 차세대모바일카드요구사항및시스템구성에대한표준이제정되었다. 2011년에는스마트디바이스에서의모바일아이덴터티관리에대한표준개정과전자서명이 26Ⅰ2013 년도 ITU-T 표준화활동결과보고서

27 용기술에대한표준이제정되었고, 2012년에는사용자 ID 정보를이용하는사용자중심의개인화프레임워크와전자영수증에대한표준을추진하였다. 2013년에는모바일환경에서의지불관련된기술과전자영수증에대한규격들이개발되고, 프라이버시리스크관리프레임워크에서의개인정보보호영향평가가개발되었다. 4. 추진방향 ( 우리나라대응방안 ) 범국가적 ID 관리시스템구축을위해서는일단정부내에전담부서를신설하여주도적으로추진할수있는힘을실어주는것이중요하고, ID 관리분야의전문가를대거육성하는것이필요하다. 그다음으로는필요한요소기술들의표준화를먼저진행하여향후국가 ID 관리시스템구축시제품또는서비스들간의상호호한성문제를미리해결하는것이선결되어야한다. ITU-T SG17 ( 정보보호분야 )Ⅰ27

28 NO. 11 연구과제번호 Q.11/17 연구위원염흥열진행상태계속 ( 영문 ) Generic technologies to support secure applications 과제명 ( 국문 ) 안전한응용을지원하기위한일반기술 배경 ITU-T SG17 Q.11 은디렉토리서비스, PKI( 공개키기반구조 ), PMI( 속성관리기반구조 ), OID( 객체 식별자 ) 와관련 RA( 등록기관 ), 그리고 OSI 표준의유지보수를담당하고있는연구과제이다. 이연구과제는 ISO/IEC JTC 1/SC6/WG8 와 ISO/IEC JTC 1/SC6/WG9 협력해표준화를추진하고 있다. ITU-T SG17 Q.11은아래와같은표준항목을포함하고있다. - Directory services (X.500 series); - Public Key Infrastructures (PKI X.509); - Privilege Management Infrastructure (PMI X.509); - ASN.1 (X.680 and X.690 series), Object Identifiers and their Registration Authorities (X.660 and X.670 series); - Fast Web Services and Fast Infoset (X.890 series); - OSI and ODP maintenance. 주요쟁점사항 2013년도디렉토리서비스분야에서주요쟁점은신규워크아이템인 X.cmail ( 인증된메일전송및인증된전자우편프로토콜 ) 이지난 4월합의되었고, 공개키기반구조의기본표준인 X.509 표준이공개키기반구조 (PKI) 과속성관리구조 (PMI) 만을남기고나머지디렉토리부문은다른표준으로이동키로합의하였다. 2013년도 OID 분야의경우, 신규워크아이템인 X.orf (OID 기반이종식별자해석프레임워크 ) 를지난 4월회의에서합의하였음. 이신규워크아이템은 Q.7/17과공동으로개발키로합의함. 또한, 두개의신규워크아이템인 X.oer( 옥텟부호화룰규격 ), X.cms( 암호학적메시지신택스 ) 를 9월회의에서합의되었다. 특히, 2013 년 9 월회의에서는 X.orf (OID 기반이종식별자해석프레임워크 ) 에대한수정안채 택이이루어졌다. 28Ⅰ2013 년도 ITU-T 표준화활동결과보고서

29 - 한국은 OID 기반이종식별자해석프레임워크시나리오및요구사항에대한수정을제안하여채택했고, 중국은 X.orf에서각단말에 OID를할당할경우를위한서비스시나리오를제안하였으며, 한국은이를수용하였다. 한국은차기회의에서 OID 기반의사물인터넷디바이스식별자를정의하는신규권고안을제안할예정이며, 중국의이번제안은이와연관시킬수있을것으로판단된다. - CNRI(Corporation for National Research Initiatives) 의요청에따라, Handle System과 X.orf에대한상호연동성표준개발관련논의가별도로진행되었다. X.orf은아직표준개발진행중에있으므로, 개발완료후에다시검토하기로합의되었다. 또한, CNRI에서는 X.orf의부록에 Handle System 개요에대한내용을추가하기위해차기회의에관련내용을기고할예정이다. ITU-T X.672 ISO/IEC (OID 해석시스템 ) 개정완료되었다. - ITU-T X.672 ISO/IEC 국제표준에새로운서비스타입인 UINF의추가에대해 ISO/IEC JTC 1/SC 6에서승인이완료되어최종적으로개정이완료되었다. 본개정사항은 ITU-T 웹페이지에게시될예정이다. - 중국은 OID 를식별자로사용하기위한할당및관리에대한지침을제공하는신규권고안의개발 을제안하였으나, 기존 OID handbook 과의차별성에대한분석이필요하다는의견에따라차기회의까 지결정을유보하기로하였다. 국내외동향 2013 년 4 월, SG17 Q.11 은영국, 덴마크, 한국그리고미국전문가를중심으로권고가개발되고 있다. 한국은 X.orf 라는신규워크아이템을제안해지난 4 월에합의한실적이있다. 추진방향 우리나라대응방안 한국은 PKI, PMI, 그리고객체식별자관련표준화결과가국내공인인증체계와한국인터넷진 흥원업무에직접연결되므로적극적대응또는주도가필요하며, 특히, 한국인터넷진흥원이객체 식별자결정을위한등록기관임을고려해 X.orf 국제표준화를주도할필요가있다. ITU-T SG17 ( 정보보호분야 )Ⅰ29

30 NO. 12 연구과제번호 Q.12/17 연구위원백종현진행상태계속 ( 영문 ) Formal languages for telecommunication software and testing 과제명 ( 국문 ) 통신소프트웨어및테스트를위한형식언어 배경 ITU-T SG17 Q.12 는통신시스템설계및테스트에널리사용되는다양한형식언어들을지속 적으로개발지원하는연구과제이며, 통신시스템의요구사항, 구조및행동을규정하는 ITU 시스템 설계언어를개발한다. ITU-T SG17 Q.12 에서개발하는 ITU 시스템디자인언어는 Specification and Description Language(SDL), Message Sequence Chart Language, User Requirements Notation, CHILL-The ITU T Programming Language 등이있다. 주요쟁점사항 2013년도통신소프트웨어및테스트를위한형식언어연구과제의주요쟁점은 TTCN-3 (Testing and Test Control Notation version 3) 에대한 Core 언어및언어확장 (Language Extensions) 분야에대한신규권고안및유지보수추진방향에대한논의가이루어졌다. - 또한, 총 4건의 SDL-2010 형식정의 (Formal Definition) 권고안시리즈에대해지속적인검토를추진하였으며, 2014년 1월정기회의에서 Consent 로추진될예정이다. 또한, 통신소프트웨어및테스트를위한형식언어연구과제는 ITU-T Z 시리즈권고안에대한 유지보수를추진하고있으며, 2013 년에는사용자요구사항표기법 (Z.150, Z.151), UML 프로파일 및방법론 (Z.109), Methodology(Z.Sup1) 등의권고에대한유지보수작업이추진되었다. 그리고, 지속적으로 SDL Forum Society 와연계하여다양한 ITU-T 언어를개발하고있으며, SDL Forum Society 이벤트를통해 ITU-T 언어를적극적으로홍보하고있기때문에, 이번연구회기 에도 SDL Forum Society 와의지속적관계유지가필요하다. 국내외동향 일반적으로통신소프트웨어및테스트관련분야는직접상용서비스에적용가능한분야가 아니기때문에다른연구과제에비해국내또는국외표준화전문가들의관심이적다. 하지만 ITU-T 30Ⅰ2013 년도 ITU-T 표준화활동결과보고서

31 내에서개발된권고기술에대한실서비스적용시효율성제고를위해필요한분야이다. 추진방향 우리나라대응방안 우리나라에서는아직까지통신소프트웨어및테스트를위한형식언어연구과제 (Q12) 에제안한 기고서나권고안이없기때문에별도의대응이필요하지는않다. 다만, ITU-T 언어를이용하는산업 체등에서는 Q.12 에서추진중인권고유지보수및신규권고안에대한지속적인관심이필요하다. ITU-T SG17 ( 정보보호분야 )Ⅰ31

32

33 2013 년도표준화활동결과보고서 제 2 장 ITU-T SG17 연구반중점과제연구결과 ANSI

34

35 일반과제 ( 우선순위권고안검토 ) NO. 권고번호권고명담당 WP 연구위원 1 X.sgsm ( 국문 ) 중소규모통신조직을위한정보보호관리가이드라인 ( 영문 ) Information security management guidelines for small and medium telecommunication organizations WP1 오경희 2 X.csmc 3 X.cybex-tp 4 X.sisnego 5 X.fsspvn 6 X.goscc 7 X.sfcse ( 국문 ) CYBEX 기술을사용하는사이버보안운영의반복적인모델 ( 영문 ) Continuous security monitoring using CYBEX techniques ( 국문 ) 사이버보안정보교환을위한전송프로토콜 ( 영문 ) Transport protocols supporting cybersecurity information exchange ( 국문 ) 보안정보공유협상프레임워크 ( 영문 ) Framework of security information sharing negociation ( 국문 ) 가상화네트워크를위한안전한서비스플랫폼프레임워크 ( 영문 ) Framework for a secure service platform for virtual network ( 국문 ) 클라우드컴퓨팅을위한운영적인보안지침 ( 영문 ) Guidelines of operational security for cloud computing ( 국문 ) 소프트웨어서비스응용환경을위한보안기능요구사항 ( 영문 ) Security functional requirements for Software as a Service (SaaS) application environment WP2 WP2 WP2 WP3 WP3 WP3 김종현김종현김종현박종열박종열박종열 8 X.tif ( 국문 ) 바이오인식기반원격의료통합프레임워크 ( 영문 ) Integrated framework for telebiometric data protection in e-health and worldwide telemedicines WP2 신용녀 ITU-T SG17 ( 정보보호분야 )Ⅰ35

36 ITU-T 우선순위권고안검토서 (1) ITU-T X.sgsm 1. 기본정보 해당 SG SG17 해당 WP WP1 해당 Question Q.3 폐이지수 39 현재상태 초안작성중 완료예상시기 2015년 권고명 ( 영문 ) Information security management guidelines for small and medium telecommunication organizations 권고명 ( 국문 ) 중소규모통신조직을위한정보보호관리가이드라인 2. 권고주요내용 이권고안은 X.1051에기반하여중소규모통신조직의정보보호관리를수립, 구현, 유지및개선하기위한지침및일반원칙을수립하고, 통신설비및서비스의기밀성, 무결성, 가용성을보장하기위하여중소규모의통신조직을위한정보보호관리구현베이스라인을제공한다. 이를위하여중소규모통신기업의특성을상술하고중소규모기업의정보보호관리구현방안을설명하고, X.1051의구조에따라각통제항목을중소규모통신기업에적용하기위한구현방법을설명한다. 부록으로는각국의중소규모기업의정의예를보인다. 3. 참여국및전문가정보 구분 성명 소속 연락처 ( 전화 ) 이메일주소 에디터 Wataru Senga KDDI Japan wa-senga@kddi.com 국내참여자 없음 주요참여국 일본 주요참여국의입장 / 의견 본표준은한국및 KISA의제안으로개발이결정된것이나초기한국및 KISA editor의참여가어려워짐으로써난항에처해있음 36Ⅰ2013 년도 ITU-T 표준화활동결과보고서

37 4. 주요이력 회의명 ( 기간 ) 기고서번호 기고서제목 제출자 반영결과 SG17(2009.9) C 118 Proposed 1st draft text of Information security 장상수, 정정윤, 장항배 ( 한국 ) 가제 X.isgm-sm 개발을제안하여통과됨 management guidelines for small and medium telecommunication organizations (X.ismg-sm) SG17(2010.4) C 210 A Proposal of 2nd Draft text of Information Security 장상수, 정정윤, 장항배 ( 한국 ) 통제항목설명, 정의및약어추가 Management Guidelines for Small and Medium Telecommunication Organizations SG17(2010.4) C 237 A draft proposed text for X.sgsm based on X.1051 Wataru Senga, Koji Nakao(Japan) 범위설명수정, SMTO 현황을부록으로첨부 ISO/IEC SG17( ) C 336 Proposal for the 4th revised text on draft X.sgsm: 장상수, 정정윤, 장항배 ( 한국 ) 개요수정, 일부통제의추가를제안하여통과됨 (Information security management guidelines for small and medium telecommunication organizations) SG17(2010. C 292 A draft proposed text for Wataru Senga, Koji 통신, 접근통제등의 12) X.sgsm, Information security Nakao(Japan) management guidelines for small and medium telecommunication organizations SG17(2011.4) C 382 Proposal of revised text for Wataru Senga, 정정윤, Recommendation ITU-T 장상수, 장항배 ( 일본, X.sgsm, Information security 한국 ) management guidelines for small and medium-sized telecommunication organizations 통제텍스트추가를제안하여통과됨업무연속성, 준거성등의통제텍스트추가를제안하여통과됨 ITU-T SG17 ( 정보보호분야 )Ⅰ37

38 회의명 ( 기간 ) 기고서번호기고서제목제출자반영결과 SG17(2011.9) C 499 Proposal of revised text for Recommendation ITU-T X.sgsm, Information security management guidelines for small and medium-sized telecommunication organizations SG17(2012.2) C 637 Comments on draft Recommendation X.sgsm SG17(2012.8) C 720 A proposal for the revised draft of Recommendation ITU-T X.sgsm, Information security management guidelines for small and medium-sized telecommunication organizations Wataru Senga, Koji 5장의구조변경및 Nakao(Japan) 접근통제텍스트변경을제안하여통과됨 Oscar Avellaneda, 구조변경과편집 Joseph Zebarth( 캐나다 ) 코멘트를제안했으나편집코멘트만반영함김정덕, 이기호 ( 한국 ) Abstract를포함하는구조변경및참조등변경을제안하여통과됨 SG17(2012.8) C 662 Concerns regarding X.sgsm and X.gpim guideline work items Anthony M. Rutkowski 인터림미팅을통한텍스트변경에우려를표했으나현재방식대로진행하기로함 SG17(2013.4) C 86 Proposed modifications to draft X.sgsm, Information security management guidelines for small and Wataru Senga, Koji Nakao(Japan) X.sgsm의기반이되는문서인 X.1051의개정이결정되어기술적논의를차기로미룸 medium-sized telecommunication organizations SG17(2013.8) - X.sgsm의기반이되는문서인 X.1051의개정이진행되고있어기술적논의를이후로미룸 AAP 처리결과 해당사항없음 5. 향후추진방향 38Ⅰ2013 년도 ITU-T 표준화활동결과보고서

39 관련 TTA 표준화위원회 (TC/PG) TC5/PG504 관련국내표준화추진현황국내표준화추진필요성 ( 관련국내표준이없는경우 ) 우리나라의대응방향 해당사항없음 개발진행시검토 지속적으로참가할수있는에디터참여가필요 6. 검토자인적사항 검토자성명오경희검토자소속 TCA 서비스 연락처 ( ) khoh@tcaservices.kr 연락처 ( 휴대폰 ) 검토일 2013 년 08 월 31 일 ITU-T SG17 ( 정보보호분야 )Ⅰ39

40 ITU-T 우선순위권고안검토서 (2) ITU-T X.csmc 1. 기본정보 해당 SG SG17 해당 WP WP2 해당 Question Q.4 폐이지수 17 현재상태초안작성중완료예상시기 2014 년 4/4 분기 권고명 ( 영문 ) 권고명 ( 국문 ) Continuous security monitoring using CYBEX techniques CYBEX 기술을사용하는사이버보안운영의반복적인모델 2. 권고주요내용 본표준의주요내용은사이버정보공유프레임워크 (Cybex) 기술을사용하는반복적인사이버보안운영의개념, 구조및요구사항등을정의한다. 특히, 반복적인사이버보안작업을하기위한필수적인활동모델을제시함으로써, 각조직들이그모델에맞는사이버보안운영도구를개발할수있는지침서가된다. 본표준에서는사이버보안운영절차에대한내용은다루지않는다. 3. 참여국및전문가정보 구분 성명 소속 연락처 ( 전화 ) 이메일주소 Takeshi Takahashi NICT takeshi_takahashi@nict.go.jp Youki Kadobayashi NICT youki-k@is.aist-nara.ac.jp 에디터 Robert Martin MITRE ramartin@mitre.org Kathleen Moriarty EMC kathleen.moriarty@emc.com Inette Furey DHS inette.furey@dhs.gov 국내참여자 없음 주요참여국 일본, 미국 주요참여국의입장 / 의견 일본이에디터로참여하고있으며, CG-CYBEX를중심으로미국, 캐나다및일본등이논의를주도하여글로벌표준마련에적극적으로대응하고있음 40Ⅰ2013 년도 ITU-T 표준화활동결과보고서

41 4. 주요이력 회의명 ( 기간 ) 기고서번호 기고서제목 제출자 반영결과 SG17(2011.3) TD1732Rev2 Proposed Recommendation Takeshi Takahashi, Youki 2011년 3월 SG17 정기 ITU-T X.csmc, Continuous Kadobayashi (Japan) Bob 회의에서 신규아이템을 security monitoring using Martin, Kathleen Moriarty, 제안하여채택되었고, 이 CYBEX techniques Inette Furey (USA) 에따른 TD문서임 SG17(2011.9) TD2096Rev1 Initial draft Rec. ITU-T X.csmc, Takeshi Takahashi, Youki X.csmc 초기드래프트 Continuous security monitoring Kadobayashi (Japan) Bob 문서이며, 문서의많은내 using CYBEX Martin, Kathleen Moriarty, 용을작성후제안하여 Inette Furey, Gregg Schudel 채택됨 (USA) SG17(2012.2) TD2569Rev1 Revised text for the draft Rec. Takeshi Takahashi, Youki 두번째드래프트문서이 ITU-T X.csmc, Continuous Kadobayashi (Japan) Bob 며, 문서범위및 6절내 security monitoring using Martin, Kathleen Moriarty, 용이수정되었음 CYBEX Inette Furey, Gregg Schudel (USA) SG17(2013.3) TD0275 Revised text for the draft Rec. Takeshi Takahashi, Youki 세번째드래프트문서이 ITU-T X.csmc, an iterative model Kadobayashi (Japan) Bob 며, Q4/17 회의를통하 for cybersecurity operation using Martin, Kathleen Moriarty, 여권고안제목이변경되 CYBEX techniques Inette Furey (USA) 었으며, 이에따른내용수정을반영한문서임 AAP 처리결과 해당사항없음. 5. 향후추진방향 관련 TTA 표준화위원회 (TC/PG) 관련국내표준화추진현황국내표준화추진필요성 ( 관련국내표준이없는경우 ) 우리나라의대응방향 TC1/PG503 해당사항없음국내에서도관련기술의발전과효율적인사이버보안시스템의운영을위하여본권고를 TTA 단체표준으로추진할필요가있음세계주요국가들이 CYBEX 기술활용과관련표준안개발에관심이높으므로, 우리나라도정부차원의적극적인참여가필요함 6. 검토자인적사항 검토자성명김종현검토자소속 ETRI 연락처 ( ) jhk@etri.re.kr 연락처 ( 휴대폰 ) 검토일 2013 년 8 월 20 일 ITU-T SG17 ( 정보보호분야 )Ⅰ41

42 ITU-T 우선순위권고안검토서 (3) ITU-T X.cybex-tp 1. 기본정보 해당 SG SG17 해당 WP WP2 해당 Question Q.4 폐이지수 12 현재상태 Determination 준비중완료예상시기 2013 년 4/4 분기 권고명 ( 영문 ) 권고명 ( 국문 ) Transport protocols supporting cybersecurity information exchange 사이버보안정보교환을위한전송프로토콜 2. 권고주요내용 본표준의주요내용은사이버정보공유프레임워크 (Cybex) 시리즈내에통신주체들간에정보를교환하기위해사용되는 일반적인전송프로토콜을소개하고, 기개발된표준프로토콜의특성과활용을위한기술적, 보안적고려사항등을정의한 다. 3. 참여국및전문가정보 구분 성명 소속 연락처 ( 전화 ) 이메일주소 에디터 Youki Kadobayashi NICT youki-k@is.aist-nara.ac.jp Damir Rajnovic FIRST International gausix@gmail.com 국내참여자 없음 주요참여국 일본, 미국, 한국 주요참여국의입장 / 의견 일본이에디터로참여하고있으며, CG-CYBEX를중심으로미국, 캐나다및일본등이논의를주도하여글로벌표준마련에적극적으로대응하고있음 42Ⅰ2013 년도 ITU-T 표준화활동결과보고서

43 4. 주요이력 회의명 ( 기간 ) 기고서번호 기고서제목 제출자 반영결과 SG17(2009.9) C146 Proposal for the creation of a Craig Schultz, Yuki 2009년 9월 SG17 정기 "Protocol" work item for use Kadobayashi (Japan) and 회의에서사이버보안정 within CYBIEF Damir Rajnovic (USA) 보교환프로토콜에대한신규아이템으로채택됨 SG17(2010.4) TD0818 Revised text for draft Rec. ITU-T Craig Schultz, Yuki 2010년 4월 SG17 정기 X.cybex-tp, Transport protocols Kadobayashi (Japan) and 회의 내용을 반영한 supporting cybersecurity information Damir Rajnovic (USA) exchange X.cybex-tp 초기드래프트에대한수정문서임 SG17(2011.9) TD2058 Draft Recommendation ITU-T Yuki Kadobayashi (Japan), 드래프트문서의전반적 X.cybex-tp, Transport protocols Damir Rajnovic (USA) 인내용을추가작성하여 supporting cybersecurity information exchange 제안하였고, Q4/17회의에서채택됨 SG17(2012.2) TD2567 Draft Recommendation ITU-T Yuki Kadobayashi (Japan), 2012년 2월 SG17 정기 X.cybex-tp, Transport protocols Damir Rajnovic (USA) 회의에드래프트문서 supporting cybersecurity information (TD2058) 의 수정본을 exchange 제안하여채택됨 SG17(2013.4) C026 Draft Recommendation ITU-T Yuki Kadobayashi (Japan), 2013년 4월 SG17 정기 X.cybex-tp, Transport protocols Damir Rajnovic (USA) 회의에드래프트문서의 supporting cybersecurity information exchange 수정내용을제안하여채택됨 SG17(2013.4) TD0276 Draft Recommendation ITU-T Yuki Kadobayashi (Japan), 기고서 (C026) 에 대한 X.cybex-tp, Transport protocols Damir Rajnovic (USA) Q.4/17 회의내용을반 supporting cybersecurity information exchange 영한 TD문서이며, 2013 년 8월 SG17 정기회의 에서 Determination 절 차를진행할예정임 AAP 처리결과 ITU-T SG17 ( 정보보호분야 )Ⅰ43

44 5. 향후추진방향 관련 TTA 표준화위원회 (TC/PG) 관련국내표준화추진현황국내표준화추진필요성 ( 관련국내표준이없는경우 ) 우리나라의대응방향 TC1 / PG503 TTAI.OT ( ), 침해대응전문가간의침해사고전달을위한메시지전달방식 TTAK.KO /R1( ), 네트워크공격에대한시그니처교환프로토콜해당사항없음. 세계주요국가들이사이버보안정보공유를강조하고있고, 관련표준안개발에관심이높으므로, 우리나라도정부차원의적극적인참여가필요함 6. 검토자인적사항 검토자성명김종현검토자소속 ETRI 연락처 ( ) jhk@etri.re.kr 연락처 ( 휴대폰 ) 검토일 2013 년 8 월 20 일 44Ⅰ2013 년도 ITU-T 표준화활동결과보고서

45 ITU-T 우선순위권고안검토서 (4) ITU-T X.sisnego 1. 기본정보 해당 SG SG17 해당 WP WP2 해당 Question Q.4 폐이지수 20 현재상태발간완료완료예상시기 2013 년 2/4 분기 권고명 ( 영문 ) 권고명 ( 국문 ) Framework of security information sharing negotiation 보안정보공유협상프레임워크 2. 권고주요내용 사이버정보공유프레임워크 (Cybex) 시리즈내에통신주체들간에정보를교환하기위해초기협상하는기술로서, 주요내용으로는사이버보안정보를제공하거나제공받는사이버보안주체들간에어떻게사이버보안정보를공유할지를협의하는사이버보안정보공유협상프레임워크를정의하며, 보안정보공유협상을위한기능적요구사항과참조모델, 보안정보공유합의서와보안정보공유정책의개념적인데이터모델링, 그리고보안정보공유합의서협상절차를정의한다. 3. 참여국및전문가정보 구분 성명 소속 연락처 ( 전화 ) 이메일주소 김종현 한국전자통신연구원 jhk@etri.re.kr 에디터 안개일 한국전자통신연구원 fogone@etri.re.kr Kathleen Moriarty EMC Corporation Kathleen.Moriarty@emc.com 국내참여자 없음. 주요참여국 한국, 미국 주요참여국의입장 / 의견 한국이에디터로참여하고있으며, 미국 MITRE측에서공동에디터로참여하고있으며, Q4/17에참여하고있는많은국가로부터반대의견이없음 ITU-T SG17 ( 정보보호분야 )Ⅰ45

46 4. 주요이력 회의명 ( 기간 ) 기고서번호 기고서제목 제출자 반영결과 SG17(2011.3) C429 Proposal for new work item Gae-Il An, Jong-Hyun 2011년 3월 SG17 정기 on a framework of security Kim (Korea) 회의에서보안정보공유 information sharing 협상에대한신규아이템 negotiation (X.sisnego) 채택됨 SG17(2011.9) C465 Proposal for initial draft of Gae-Il An, DaeHee 2011년 9월 SG17 정기 X.sisnego, framework of Seo, Jong-Hyun Kim 회의에제안한 X.sisnego security information sharing (Korea) negotiation 에대한초기드래프트문서임 SG17(2012.8) C723 Proposal for the 1st revised Jong-Hyun Kim, Gae-Il 2012년 8월 SG17 정기 text on draft Recommendation An (Korea) ITU-T X.sisnego, framework of 회의에드래프트문서에서 9절 ( 보안정조공유합 security information sharing 의 ) 내용을제안하여채 negotiation 택됨 SG17(2012.8) TD3165 The 1st revised text on draft Jong-Hyun Kim, Gae-Il 기고서 (C723) 에 대한 Recommendation ITU-T X.sisnego, An (Korea), Kathleen Q.4/17 회의내용을반영 framework of security information Moriarty (USA) 한 TD문서임 sharing negotiation SG17(2013.4) C043 Proposal for the 2nd revised Jong-Hyun Kim, Gae-Il 2013년 4월 SG17 정기 text on draft Recommendation An (Korea) ITU-T X.sisnego, framework of security information sharing 회의에드래프트문서의 10절 (SSA 협상절차 ) 내용을제안하여채택됨 negotiation SG17(2013.4) TD0268 Draft new Supplement 20 to Jong-Hyun Kim, Gae-Il 기고서 (C043) 에 대한 ITU-T X-series Recommendations An (Korea), Kathleen Q.4/17 회의내용을반 - ITU-T X.1205 Supplement on Moriarty (USA) framework of security information sharing negotiation (for agreement) 영하여 ITU-T X.1205에대한 X.Sup20 (X.sisnego) 를제안한문서임 SG17(2013.4) X.Sup 20 (X.sisnego) ITU-T X.1205 Supplement on Jong-Hyun Kim, Gae-Il 2013년 4월 X.sisnego framework of security information An (Korea), Kathleen 에대한내용을기반으로 sharing negotiation Moriarty (USA) 제정된표준문서임 AAP 처리결과 2013년 04월승인됨 46Ⅰ2013 년도 ITU-T 표준화활동결과보고서

47 5. 향후추진방향 관련 TTA 표준화위원회 (TC/PG) 관련국내표준화추진현황국내표준화추진필요성 ( 관련국내표준이없는경우 ) 우리나라의대응방향 TC1 / PG503 TTAK.KO ( ), 사이버보안정보공유협상절차해당사항없음. 세계주요국가들이사이버보안정보공유를강조하고있고, 본권고안의개발에따른파급효과가클것으로예상되므로, 우리나라도정부차원의적극적인참여가필요함 6. 검토자인적사항 검토자성명김종현검토자소속 ETRI 연락처 ( ) jhk@etri.re.kr 연락처 ( 휴대폰 ) 검토일 2013 년 8 월 20 일 ITU-T SG17 ( 정보보호분야 )Ⅰ47

48 ITU-T 우선순위권고안검토서 (5) ITU-T X.fsspvn 1. 기본정보 해당 SG SG17 해당 WP WP3 해당 Question Q.8 폐이지수 6 현재상태초안작성중완료예상시기 2013 년 4/4 분기 권고명 ( 영문 ) 권고명 ( 국문 ) Framework for a secure service platform for virtual network 가상화네트워크를위한안전한서비스플랫폼프레임워크 2. 권고주요내용 가상네트워크환경에서네트워크를가상으로설정하고해지하는등의관리기능을제공하기위한보안서비스플랫폼에 대한기능으로 IPSec, TLS/SSL 과같은 IP 기반의보안네트워크설정을위한내용을제공하는것을목적으로하고있으 며네트워크연결성, 보안서비스, 네트워크관리의기능을표준화하는것을목적으로한다. 3. 참여국및전문가정보 구분성명소속연락처 ( 전화 ) 이메일주소에디터 Jun Shen China Telecom shenjun@gsta.com 국내참여자 주요참여국 없음 주요참여국의입장 / 의견 중국 중국 : 권고안개발에주도권을가지려고적극적으로참여하고있으나 2011 년 이후로업데이트를제공하고있지않음 48Ⅰ2013 년도 ITU-T 표준화활동결과보고서

49 4. 주요이력 회의명 ( 기간 ) 기고서번호 기고서제목 제출자 반영결과 SG17( ) C0315 Proposal for a new work Jun Shen 신규권고안으로채택 item on Requirements and Framework of Secure Service Platform in Complex NAT Environments SG17( ) C0394 X.fsspvn: Framework of the Secure Service Platform for Virtual Network Jun Shen 신규권고안의내용과구조를제안하여승인반영 AAP 처리결과 해당사항없음 5. 향후추진방향 관련 TTA 표준화위원회 (TC/PG) 정보보호기술위원회 관련국내표준화추진현황국내표준화추진필요성 ( 관련국내표준이없는경우 ) 우리나라의대응방향 본권고와관련하여국내에서추진되고있는표준화현황은없음 표준화추진필요없음 특별한대응필요없음 6. 검토자인적사항 검토자성명박종열검토자소속 ETRI 연락처 ( ) jongyoul@etri.re.kr 연락처 ( 휴대폰 ) 검토일 2013 년 8 월 30 일 ITU-T SG17 ( 정보보호분야 )Ⅰ49

50 ITU-T 우선순위권고안검토서 (6) ITU-T X.goscc 1. 기본정보 해당 SG SG17 해당 WP WP3 해당 Question Q.8 폐이지수 15 현재상태초안작성중완료예상시기 2013 년 4/4 분기 권고명 ( 영문 ) 권고명 ( 국문 ) Guideline of operational security for cloud computing 클라우드컴퓨팅을위한운영적인보안지침 2. 권고주요내용 본권고안은매일운행되는클라우드컴퓨팅사업자가운영에서전반적인보안성을향상시키기위해서사용자, 시스템등 의운영상에발생할수있는위험요소를분석하여보안위험을제거하기위한운영보안에관련된요구사항과전반적인운 영프레임워크를제공한다. 3. 참여국및전문가정보 구분 성명 소속 연락처 ( 전화 ) 이메일주소 Laifu Wang China Telecom wanglf@gsta.com Jun Shen China Telecom shenjun@gsta.com 에디터 Huirong Tian CATR, MIIT P.R.China tianhuirong@mail.ritt.com.cn Zhaoji Lin ZTE Corporation lin.zhaoji@zte.com.cn Ming He China Telecom fengm@chinatelecom.com.cn 국내참여자 없음 주요참여국 중국, 미국, 캐나다 주요참여국의입장 / 의견 중국 : 권고안개발에주도권을가지려고적극적으로참여미국 : 빠른진행보다는 SG13 협력을강조 50Ⅰ2013 년도 ITU-T 표준화활동결과보고서

51 4. 주요이력 회의명 ( 기간 ) 기고서번호 기고서제목 제출자 반영결과 C564 Proposed new work item on Requirements and framework of operational security for Cloud Computing Laifu Wang 클라우드컴퓨팅기반의운영보안에대한요구사항과구조를처음제안하여승인 C703 Proposed text for chapter 8 of X.goscc Laifu Wang 일단위운영에따른보안가이드라인을제안하여승인 SG17( ) C063 Proposed edits to X.goscc: Guidelines of operational Lanfang Ren 문서의오타를수정하여제안승인 security for cloud computing SG17( ) C061 Comments on the latest draft of X.goscc Min Zuo X.goscc, X.ccsec의역할을구분할것을제안하는것으로권고안의범위를수정 SG17( ) C028 Proposed text for security audit of X.goscc Laifu Wang 보안감사에대한주요텍스트를제안하여승인 SG17( ) C027 Proposed revised text for security SLArequirementsofX.goscc Laifu Wang SLA 보안요구사항을수정제안한것으로승인 AAP 처리결과 해당사항없음 5. 향후추진방향 관련 TTA 표준화위원회 (TC/PG) 정보보호기술위원회 관련국내표준화추진현황국내표준화추진필요성 ( 관련국내표준이없는경우 ) 우리나라의대응방향 본권고와관련하여국내에서추진되고있는표준화현황은없음 표준화추진필요없음 특별한대응필요없음 6. 검토자인적사항 검토자성명박종열검토자소속 ETRI 연락처 ( ) jongyoul@etri.re.kr 연락처 ( 휴대폰 ) 검토일 2013 년 8 월 30 일 ITU-T SG17 ( 정보보호분야 )Ⅰ51

52 ITU-T 우선순위권고안검토서 (7) ITU-T X.sfcse 1. 기본정보 해당 SG SG17 해당 WP WP3 해당 Question Q.8 폐이지수 15 현재상태 초안작성중 완료예상시기 2013년 4/4분기 권고명 ( 영문 ) Security functional requirements for Software as a Service (SaaS) application environment 권고명 ( 국문 ) 소프트웨어서비스응용환경을위한보안기능요구사항 2. 권고주요내용 본권고안은 SaaS 환경에서보안요구사항을정의하는것으로 SaaS 응용환경을지원하기위한요구사항을정리하고각 각의요구사항에따른보안요구사항을제공하는것으로목적으로하고있다. 특히통신사중심의클라우드컴퓨팅환경에서 의요구사항을정리하여응용개발자와같은클라우드서비스기반의응용프로그램개발자와호환성확보를목적으로한다. 3. 참여국및전문가정보 구분 성명 소속 연락처 ( 전화 ) 이메일주소 에디터 Peng Zhao China Telecom zhaopeng@ctbri.com.cn 국내참여자 없음 주요참여국 중국, 미국, 캐나다 주요참여국의입장 / 의견 중국 : 권고안개발에주도권을가지려고적극적으로참여미국 : 빠른진행보다는 SG13 협력을강조 52Ⅰ2013 년도 ITU-T 표준화활동결과보고서

53 4. 주요이력 회의명 ( 기간 ) 기고서번호기고서제목제출자반영결과 SG17( ) C0383 Proposed new work item on secure SOA based service provision platform for cloud computing SG17( ) C0552 Proposed revised baseline text for X.sfcse SG17( ) C0553 Proposed a chapter on SaaS levels for X.sfcse SG17( ) C025 Proposed Edits to clause 8.10, 8.11&8.12 in X.sfcse SG17( ) C023 Proposed derivation method of SaaS security architecture for X.sfcse SG17( ) C022 Proposed revised SaaS security requirements for X.sfcse AAP 처리결과 관련없음 Peng Zhao Peng Zhao Peng Zhao Xie Zhigang Peng Zhao Peng Zhao 클라우드컴퓨팅을위한안전한 SOA 기반의서비스프로비저닝과제제안하여최초승인권고안개발승인에따라문서의구조를정리하여제안하여승인 SaaS 수준을 4단계로구분하여제안하여승인장애시에데이터의복구와복제를위한기능을제안하여승인 SaaS를위한보안아키텍처를제안하여승인보안모델에대한내용을제안하여승인 5. 향후추진방향 관련 TTA 표준화위원회 (TC/PG) 정보보호기술위원회 관련국내표준화추진현황국내표준화추진필요성 ( 관련국내표준이없는경우 ) 우리나라의대응방향 본권고와관련하여국내에서추진되고있는표준화현황은없음 표준화추진필요없음 특별한대응필요없음 6. 검토자인적사항 검토자성명박종열검토자소속 ETRI 연락처 ( ) jongyoul@etri.re.kr 연락처 ( 휴대폰 ) 검토일 2013 년 8 월 30 일 ITU-T SG17 ( 정보보호분야 )Ⅰ53

54 ITU-T 우선순위권고안검토서 (8) ITU-T X.tif 1. 기본정보 해당 SG SG17 해당 WP WP2 해당 Question Q.9 폐이지수 30 현재상태 발간완료 (In force) 완료예상시기 2013년 2/4분기 권고명 ( 영문 ) Integrated framework for telebiometric data protection in e-health and worldwide telemedicines 권고명 ( 국문 ) 바이오인식기반원격의료통합프레임워크 2. 권고주요내용 본권고안은원격의료바이오정보전송에있어서의위협으로부터안전한원격의료서비스를위한사용자인증과, 통신상에서의정보획득, 변조, 불법접근과같은다양한위협으로부터바이오정보를보호하기위한프레임워크를제시한다. 원격의료에서사용자인증은환자, 의사, 연구원등사용자의정보및사생활침해를막고정확한의료정보의전달을위하여바이오인증을사용한다. 통합프레임워크를적용하는데있어서기존표준의활용성을입증하고, 원격의료환경에서만발생할수있는바이오정보전송에있어서의보안문제에대한대처방안을제시한다. 3. 참여국및전문가정보 구분성명소속연락처 ( 전화 ) 이메일주소 에디터김재성한국인터넷진흥원 jskim@kisa.or.kr 국내참여자신용녀한양사이버대학교 ynshin@hycu.ac.kr 주요참여국 주요참여국의입장 / 의견 한국, 일본, 프랑스일본 : 의료환경, 어플리케이션모델에대한동작선행요건 (operational prerequisites) 에대하여명확히할것프랑스 : 모델내각컴포넌트의기능요구사항에대하여명시하는내용을기고서에반영하여작성하라는요청 54Ⅰ2013 년도 ITU-T 표준화활동결과보고서

55 4. 주요이력 회의명 ( 기간 ) 기고서번호 기고서제목 제출자 반영결과 SG17(2008.4) COM17-C312 Proposal for new work item on guideline for biometric data protection procedures in Telemedicine 신용녀 (KISA) X.tif( 바이오인식기반원격의료통합프레임워크 ) 신규표준을제안하고에디터로선출됨 SG17(2008.9) C428/TD4193 Draft Text of X.tif : Integrated Framework for Telebiometric data protection in TeleHealth and WorldWide Telemedicines SG17(2009.2) C68/TD177 Proposal for Revised Draft Text of X.tif: Integrated Framework for biometric data and private information protection in TeleHealth and WorldWide Telemedicines SG17(2010.4) C235/TD0998 Revised draft text of X.tif: Integrated framework for telebiometric data protection in telehealth and worldwide telemedicines SG17( ) C362/TD1300 Proposal for clause 9 of draft Recommendation of ITU-T X.tif: Integrated framework for telebiometric data protection in telehealth and worldwide telemedicines SG17( ) C369/TD1286 Proposal for Revised Draft Text of X.tif: Integrated Framework for Telebiometric data protection in TeleHealth and WorldWide Telemedicines SG17(2011.4) C445/TD1818 ITU-T Draft Recommendation X.tif: Integrated framework for telebiometric data protection in telehealth and worldwide telemedicines 신용녀 (KISA) Telemedicine(TeleHealth) 환경의구성요소를정의하고, 2단계의인증절차를정의하였음신용녀 (KISA) X.tai, X.tsm 등다른권고안과비교하여 X.tif의차별성을명확히하고, 기존표준이원격의료환경에서커버할수없는부분을표를통하여명확히제시신용녀 ( 한국은행 ) 1. 각각의위협에대해 보안요구사항을명시 2. 긴급의료상황에대한환자인증절차에대하여명시 3. 프레임워크동작에대한사용예 (Use Case) 다이어그램을추가한병진 (KISA) 사용케이스및긴급상황에관한처리방법을명시하는 9절을추가하였음 신용녀 ( 한국은행 ) 1. 의료환경, 어플리케이션모델에 대한동작선행요건에대하여명확히함 2. 모델내각컴포넌트의기능요구사항에대하여명시하는내용을기고서에반영정홍순 (KISA) 1. e-health center 정의 2. 유즈케이스추가 3. 특정한명칭들을일반화해서명기 ITU-T SG17 ( 정보보호분야 )Ⅰ55

56 SG17(2011.8) C479/TD2261 X.tif: Integrated framework for telebiometric data protection in e-health and worldwide telemedicine 정홍순 (KISA) Medical staff 정의, 보안모델 추가승인 editorial comments 수정 SG17(2012.9) C741/TD3173 The 4threvised text for Draft Recommendation of X.tif: Integrated framework for telebiometric data protection in e-health and worldwide telemedicine SG17(2013.4) C49/TD30 The 5th revised text for Draft Recommendation of X.tif: Integrated framework for telebiometric data protection in e-health and telemedicine AAP 처리결과 2013년 6월 AAP 승인완료. 이승재 (KISA) 1. 표준범위세분화 :world-wide 삭제, 홈닥터, 병원대상으로원격진료국한 2. 실제적용사례 : 한국의원격진료서비스에적용된응급상황및상시질병환자에대한원격진료서비스적용사례를 appendix로반영이승재 (KISA) 미정의된약어표시등을보완하여표준수정본제출후 Consent 5. 향후추진방향 관련 TTA 표준화위원회 (TC/PG) TC5/PG505 ( 바이오인식 ) 관련국내표준화추진현황국내표준화추진필요성 ( 관련국내표준이없는경우 ) 우리나라의대응방향 영문표준제정완료 ( ) : TTAI.IT-X.tif( 바이오인식기반원격의료통합프레임워크 ) 준용표준제정추진 ( ) : 바이오인식기반원격의료통합프레임워크 ( 과제번호 : ) 해당사항없음해당사항없음 6. 검토자인적사항 검토자성명신용녀검토자소속한양사이버대학교 연락처 ( ) ynshin@hycu.ac.kr 연락처 ( 휴대폰 ) 검토일 2013 년 8 월 20 일 56Ⅰ2013 년도 ITU-T 표준화활동결과보고서

57 일반과제 2 ( 국내규정과비교검토 ) NO. 권고번호권고명담당 WP 연구위원 1 X.1528 ( 국문 ) 공통플랫폼목록 ( 영문 ) Common platform enumeration WP2 김미주 ( 국문 ) 사이버보안정보교환에서의탐색메커니즘 2 X.1570 ( 영문 ) Discovery mechanisms in the exchange of cybersecurity information WP2 김미주 ITU-T SG17 ( 정보보호분야 )Ⅰ57

58 권고와국내규정과의비교검토서 1. 권고주요내용 o 권고번호 ITU-T X.1528 o 권고명 o 해당분과 o 작성자 o 주요내용 2. 국내관련규정 ( 영문 ) Common platform enumeration ( 국문 ) 공통플랫폼목록 ITU-T SG17 연구반 김미주 o 기업내컴퓨팅자원에대한어플리케이션클래스, 운영체계, 하드웨어장비를기술하고식별하는구조화된명명체계정의 o 구분 기술기준 표준 법 / 제도 기타 ( ) 관련규정없음 o 관련규정해당사항없음. o 규정내용해당사항없음. o 권고와의비교 3. 향후처리방향 o 국내반영필요분야 o 필요성 o 추진계획 해당사항없음. o 기타해당사항없음. 기술기준 ( 제 / 개 ) 표준 ( 제 / 개 ) 법 / 제도 ( 제 / 개 ) 정책수립 해당사항없음 o 시스템하드웨어및소프트웨어에대한구조화된명명체계의표준화는사이버보안정보의교환시관련정보에대한표준화된표현방식을제공함으로써정보교환당사자간의혼란을방지하고업무효율성및취약점관리자동화등에기여할수있음 o 2014 년 TTA PG503( 사이버보안프로젝트그룹 ) 을통해표준화추진 58Ⅰ2013 년도 ITU-T 표준화활동결과보고서

59 권고와국내규정과의비교검토서 1. 권고주요내용 o 권고번호 ITU-T X.1570 o 권고명 o 해당분과 o 작성자 o 주요내용 2. 국내관련규정 ( 영문 ) Discovery mechanisms in the exchange of cybersecurity information ( 국문 ) 사이버보안정보교환에서의탐색메커니즘 ITU-T SG17 연구반 김미주 o 사이버보안정보의제공자를찾고, 데이터유형을식별하기위한방법및프레임워크정의 o 사이버보안정보의유형, 수준및접근방법에따른보안정보의식별자정의 o 구분 기술기준 표준 법 / 제도 기타 ( ) 관련규정없음 o 관련규정 정보통신단체표준 (TTAS) TTAE.IT-X.1570 o 규정내용 o 본표준은사이버보안정보의제공자를찾고, 데이터유형을식별하기위한방법및프레임워크를설명하고있으며, 사이버보안정보의유형, 수준및접근방법별로보안정보의식별자를정의하고있다. 또한, 탐색메커니즘으로써객체식별자 (OID) 기반의메커니즘과자원표시프레임워크 (RDF) 기반의메커니즘을소개하고있으며, RDF 기반의메커니즘에대한구조및구현예제를부록에서설명한다. o 권고와의비교 3. 향후처리방향 o 국내반영필요분야 o 필요성 o 추진계획해당사항없음. o 기타해당사항없음. o ITU-T X.1570 에대한준용표준임 기술기준 ( 제 / 개 ) 표준 ( 제 / 개 ) 법 / 제도 ( 제 / 개 ) 정책수립 해당사항없음 o ITU-T X.1570 에대한준용표준이존재하므로, 추가적인대응불필요 ITU-T SG17 ( 정보보호분야 )Ⅰ59

60 기타연구과제 (A 등급이슈표준화정책연구 ) NO. 권고번호권고명담당 WP 연구위원 1 A 등급이슈 ( 국문 ) 클라우드컴퓨팅보안 WP3 박종열 ( 영문 ) Cloud Computing Security 60Ⅰ2013 년도 ITU-T 표준화활동결과보고서

61 [ A 등급이슈표준화정책연구 ] 클라우드컴퓨팅보안 (11) SG17, 박종열, ETRI 분석소프트웨어연구실 1. 기술개요 클라우드컴퓨팅은미래 ICT 서비스의새로운인프라기술확장 클라우드컴퓨팅은고속네트워크기술을활용하여 IT 자원을필요한만큼빌려서사용하는시스템으로, 사용한만큼의비용을지불하는인프라기술 클라우드컴퓨팅은투자비감소, 운영비용절감, 신속서비스제공등의장점으로기존서비스인프라를대체하고있음 세계 IT 시장은 11년부터 17년까지평균 4.1% 성장이예상되나클라우드컴퓨팅분야는 23.0% 성장기대 [ 표 ] 클라우드컴퓨팅세계시장규모 (IDC 2011) ( 단위 : 억 $) 클라우드서비스제공자클라우드응용서비스클라우드플랫폼클라우드인프라클라우드네트워크클라우드클라이언트클라우드서비스브로커 CAGR 888 1,142 1,501 1,899 2,402 2,905 3, % ,118 1,410 1,714 2, % % % % % % 합계 1,399 1,739 2,195 2,696 3,298 3,917 4, % ITU-T SG17 ( 정보보호분야 )Ⅰ61

62 [ 표 ] 클라우드컴퓨팅국내시장규모 (IDC 2011) ( 단위 : 억원 ) CAGR 클라우드서비스제공자 11,006 13,342 15,456 18,292 21,886 23,100 26, % 클라우드 응용서비스 6,645 8,056 9,394 11,217 13,597 14,415 16, % 클라우드플랫폼 908 1,101 1,284 1,506 1,774 1,867 2, % 클라우드인프라 3,453 4,185 4,778 5,570 6,515 6,817 7, % 클라우드네트워크 2,825 3,049 3,223 3,327 3,391 3,482 3, % 클라우드클라이언트 % 클라우드서비스브로커 879 1,071 1,306 1,592 1,940 2,366 2, % 합계 16,493 19,529 22,368 25,944 30,234 32,415 36, % 62Ⅰ2013 년도 ITU-T 표준화활동결과보고서

63 2. 국외동향 2-1. ITU 에서의표준화동향및향후일정 ITU-T 에서는 FG Cloud ( 클라우드컴퓨팅포커스그룹 ) 활동을통해클라우드보안을 포함한 7 가지분야의결과문서를도출하고클라우드컴퓨팅은 SG13 에서보안관련이 슈는 SG17 에서표준화진행 - ITU-T SG17 ( 정보보호 ) 에서는클라우드보안을위한보안요구사항및구조, 운영보 안가이드등에관한표준화를진행중에있음 - 클라우드보안구조및요구사항권고안 X.ccsec, Security requirement and architecture for cloud computing - 안전한가상네트워크를위한서비스구조 X.fsspvn, Framework for a secure service platform for virtual network - SaaS 응용서비스환경의보안기능요구사항 X.sfcse, Security functional requirements for SaaS application environment - 클라우드보안운영가이드 X.goscc, Guideline of operational security for cloud computing 2-2. 기타표준화기구에서의표준화추진현황 사실상국제표준화기구 중심의초기단계표준개발활발 DMTF, OGF, CSA, SNIA 등사실상국제표준화기구를중심으로전문분야별독자적규격 개발이활발하며국제표준으로연계하는노력중 - 현재클라우드가입자와서비스간연동을위한규격인 OCCI(OGF), CDMI(SNIA), 가상 머신의이동성을위한 OVF(DMTF) 가사실상표준으로제정완료 OCCI(OGF): Open Cloud Computing Interface (Open Grid Forum) ITU-T SG17 ( 정보보호분야 )Ⅰ63

64 CDMI(SNIA): Cloud Data Management Interface(Storage Networking Industry Association) OVF(DMTF): Open Virtualization Format (Distributed Management Task Force) DMTF 가개발한클라우드표준인 OVF(Open Virtual Format) 규격은 월 ISO/IEC JTC1 에표준규격으로상정되어승인이됨 NIST 에서는 2011 년 12 월퍼블릭클라우드컴퓨팅에서의보안및프라이버시를위한 가이드라인, 전가상화기술을위한보안가이드 2 건의보안문서를발간 - 퍼블릭클라우드에서보안및프라이버시보호를위한가이드라인 (Guidelines on Security and Privacy in Public Cloud Computing), SP ( ) - 가상화기술의보안가이드 (Guide to Security for Full Virtualization Technologies), SP ( ) CSA(Cloud Security Alliance) 는클라우드보안위협, 보안가이드, 보안점검체크리스트 등에관한문서발간 - 클라우드 Top 보안위협 (Top Threats to Cloud Computing, v1.0), Ⅰ2013 년도 ITU-T 표준화활동결과보고서

65 - 클라우드의중요자원보안가이드 (Security Guidance for Critical Areas of Focus in Cloud Computing, V3), 신뢰하는클라우드도입을위한통제기준 (Cloud Control Matrix Trusted Cloud Initiative, v1.2), 클라우드보안참조모델 (Trusted Cloud Initiative Reference Architecture Model, v1.1), 공적국제표준화기구 는 SG/FG 에서정식 WG 으로전환추진 ISO/IEC 합동기술위원회 (JTC1) 에서는 2009 년 10 월클라우드컴퓨팅분야를포함하는전략 그룹 (SC38) 을신설하고, 2010 년 4 월부터국제표준화본격적논의시작 - 클라우드를전담하는 SGCC(Study Group for Cloud Computing) 를통해표준화방향에 대한종합보고서작성 ( 월완료 ) 2011 년 11 월 ISO/IEC JTC1 총회에서한국이주도하는 WG3 (Working Group) 신설 의결 ISO/IEC JTC1 SC27 에서는클라우드컴퓨팅보안및프라이버시관련표준을개발중 에있으며, SC38 과클라우드구조에대한협의진행 ITU-T SG17 ( 정보보호분야 )Ⅰ65

66 2-3. 국가별동향및입장, 국외업계현황 국외정부정책 미국의 'Cloud First', 영국, 싱가폴의 G- 클라우드, 일본의 가스미가세키 프로젝트 가있으며, 공공분야선도적적용통한정부지출절감, 민간산업 육성을추진 ( 미국 ) 정부와공공부문의클라우드선제도입을통한예산절감, 정부와민간협력통한 클라우드산업의지속적글로벌절대우위확보전략 - `Proposed Security Assessment and Authorization for Cloud Computing` 발표및공개 의견수렴 (CIO 협의회, ) 을통해클라우드컴퓨팅보안요구기준, 지속적인모 니터링방법및평가 인증절차를발표함 - `Cloud First Policy` 발표 ( 백악관 CIO, ) 에서 2012 년 6 월까지각정부기관이 최소 3 개의공공서비스를민간의클라우드기반으로전환하도록강제 1 연간연방정부 IT 예산 (U$800억) 중 25% 를클라우드환경으로전환 년 6월까지각부처별로 3개의서비스를클라우드로전환, 재무부는주요인터넷서비스를아마존 EC2로이관 3 클라우드퍼스트 를우선적으로 CIO의 IT 도입과활용프로세스에접목 - `Federal Cloud Computing Strategy` 발표 (CIO 협의회, ) 에서는기존의발표한 `Cloud First Policy` 를보다구체화하고美연방정부에클라우드컴퓨팅을도입하여효 율성, 신속성및혁신성을높이기위한전략을수립함 - `Memorandum for CIO : Security Authroization of Information System in Cloud Computing Environments` 발표 (OMB( 미국연방예산관리국 ), ) 에서는 FedRAMP (Federal Risk and Authorization Management Program) 의주요요소, 정부기관별책임, 기관별의요구사항등을기술함 - 연방예산관리처 (OMB) 는 1 년내클라우드로전환할 78 개대상시스템및부처리스트 를발표 ( ), 연방정보기술개혁을위한 25 개중점계획에따라연방정부부처 66Ⅰ2013 년도 ITU-T 표준화활동결과보고서

67 는 월까지정보시스템을전환 o 일반정보를담고있은웹사이트나위험도가낮은서비스들은기관이보유 하고있는프라이빗클라우드를활용, 현재운용되고있는클라우드는 정부내이메일서비스 - 연방정부가제공하는애플리케이션공급사이트인 Apps.gov 에접속하여이메일용소프트웨어를다운받은뒤사용가능 - 현재조달청, 재향군인부, 육군, 농무부등 4개부처는이메일클라우드사용 o 연방정부는 2011 년전체 IT 예산 800 억달러중 200 억달러를클라우드 예산으로배정, 클라우드컴퓨팅으로의전환은해마다최소한 50 억달러를 절감할것으로예측 o 표준화가비교적용이하고보안위협이낮은시스템위주로 78 개시스템 및부처를선정 - 이메일, 웹호스팅, 문서관리시스템, 협업시스템, 정보포털, 데이터센터, 지리정보서비스, 응용개발및테스트환경 - 고용기록관리, 예산계획 SW, 클레임관리, 원격접속, 스토리지, 허가관리등 ( 출처 URL : ( 출처 : 글로벌 IT 트렌드 - 미국, 연방기관클라우드전환대상 78 개시스템및부처선정 ) ITU-T SG17 ( 정보보호분야 )Ⅰ67

68 - 주요사례 (NIST) 상무부소속표준연구소인 NIST 를중심으로연방정부에적용가능한표준개 발을촉진하고조기도입추진 : 집중분야는기술영역의표준그리고가이드 (Guidance), 로드맵개발, Interoperability, portability and security requirements 등 (GSA) 총무청에서는전공공기관을대상으로 "StoreFront 라는단계별클라우드컴퓨 팅도입계획을발표, 민간의클라우드서비스를연계활용하는 "Hybrid Cloud 도입 예정 ('09.8) (apps.gov) 공공기관이클라우드컴퓨팅응용프로그램을구매할수있는포털 (apps.gov) 개설 ('09.9) 클라우드기반의원격근무추진 데이터센터를통합하고클라우드컴퓨팅을기반 으로 IT 자원을공유해이를기반으로원격근무를확산한다면정부기관들이환경 보호책임을보다잘실천하게될것 ( 영국 ) Digital Britain 전략의하나로 2012 년까지정부전산자원을클라우드기반으로전환 하는 "G-Cloud" 계획발표 (2009.6) - 공통데스크톱운영시스템, 정부용 IT 서비스들의공유시스템인정부앱스토어 (G-AS, Apple App Store 참조 ) 등을구축 - 총리실에디지털통합국 (Director of Digital Engagement) 을신설하여클라우드기반의 정부 ICT 총괄 공통업무클라우드서비스화 (SaaS), 인프라통합구매, 공공데이터센터정보자원통 합, 정부대상클라우드서비스판매시장구축을통한비용절감에중점 여개의정부데이터센터를 10~12 개의클라우드데이터센터로통합계획발표 ('10.10, 4 천억원투자 ) ( 일본 ) 스마트유비쿼터스네트워크실현전략 에서 15 년까지정부클라우드컴퓨팅 도입 ('09.6) 68Ⅰ2013 년도 ITU-T 표준화활동결과보고서

69 - 총무성은 2015 년을목표로중앙부처대상의 가스미가세키프로젝트, 지자체대상의 지자체클라우드 계획 가스미가세키클라우드추진을통해 정부공통플랫폼 구축 (2013 년 ) - 우정국에서는사용자불만처리및고객관리업무에미국 Salesforce.com 의 CRM 솔루션 도입 - 총무성과경제산업성은기존산업과의융복합과전방위적인클라우드확산과도입을위 해 JCC(Japan Cloud Consortium) 설립 ( 월 ) 총무성은스마트그리드, 교통정보시스템 (ITS) 과클라우드컴퓨팅의융합을추진 JCC 의 6 개 WG : 1 클라우드마이그레이션검토 WG, 2 업무제휴클라우드검토 WG, 3 교육클라우드 WG, 4 차세대클라우드서비스검토 WG, 5 농업클라우드 WG, 6 의료클라우드 WG - 중소기업들이클라우드컴퓨팅을이용해경쟁력을높일수있는방법연구 가이드라인마련, 표준화추진, 스마트클라우드컨소시엄구성등 ( 중국 ) 중앙정부보다는각성별지역특성을고려한지원이주를이룸 - 소프트웨어산업경쟁력강화를위해클라우드기술을활용하여컴퓨팅자원을제공하 는우시 (Wuxi) SW 개발단지추진 ('08.5) 우시 (Wuxi) SW 개발단지내클라우드컴퓨팅센터는글로벌기업참여하며현지 SW 개발기업에게클라우드개발환경제공 - 포산 ( 佛山 ) 난하이현 ( 南海縣 ) 의기술국 (Technology Agency of Nanhai District of Foshan) 에서광저우금융 / 하이테크서비스단지의도시기술산업벨트내클라우드컴 퓨팅센터구축 - 청두市정부와쑤광 ( 曙光 ) 정보산업은전자정부 (e-government) 및과학연구지원을위 해 30TF( 서버 1,500 대규모 ) 급의테스트베드구축 ( ) ITU-T SG17 ( 정보보호분야 )Ⅰ69

70 - 둥잉 (Dongying) 지방정부는소프트웨어산업경쟁력강화및헬스케어서비스보급을 위해 황하델타클라우드컴퓨팅센터 구축 70Ⅰ2013 년도 ITU-T 표준화활동결과보고서

71 3. 국내동향 3-1. 국내표준화동향및향후일정 국내표준은 정보통신표준기술협회 (TTA) 를중심으로표준화착수 산업통상자원부기술표준원을중심으로 2010 년부터클라우드국내표준개발과국제표 준화주도위한 클라우드컴퓨팅표준개발사업 추진 - 표준화협력조정을위해클라우드컴퓨팅표준기술연구회를설치운영 ( 월 ) 하고표 준화전략로드맵수립 ( 월 ) - 한국정보통신기술협회 (TTA) 는클라우드전담조직인 PG420 을구성하고사이버보안프 로젝트그룹 (PG503) 및응용보안및평가인증프로젝트그룹 (PG504) 와함께 TTA 단 체표준개발중 SLA품질요소, 데스크톱 (DaaS) 요구사항, Personal Cloud 보안, 클라우드플랫폼인터페이스등을제정 협업클라우드환경에서의침입탐지프레임워크표준은클라우드환경에서의침입탐지를위한시스템구조및기능을정의하고있음 - 클라우드컴퓨팅포럼 (CCF) 는 2009 년시장요구기반의표준개발을위해설립, 요소기술 및융복합서비스표준개발추진중 년부터표준화과제로클라우드컴퓨팅상호운영성및인터페이스기술을선정하여 표준개발진행중 (ETRI, NIA, KCSA) 국내외표준화활동은대부분공공기관, 연구소, 학계중심으로운영되고있으며, 원천기 술의부족및산업기반취약으로민간중심의표준화활동은미미한상태 미국, 캐나다, 중국, 일본의경우분야별사전역할분담, 대응방향공유, 발표자료작성 등을하게함으로써, 효율성과일관성을동시에확보 방통위, 안행부등 IT 관련다수의기관이상호역할분담하여국내에적용할클라우드 표준화를추진하고있음 ITU-T SG17 ( 정보보호분야 )Ⅰ71

72 - 공공기관클라우드서비스 SLA 표준안및서비스관리지침마련 ( 안행부, ) - 전자정부표준 SW 개발플랫폼구축및표준모델화추진중 ( 안행부, ) - 클라우드서비스품질측정및미터링기준마련중 ( 안행부, 2011) - 클라우드서비스의서비스구조, 성능및보안성등평가인증실시 ( 방통위, ), 클라우드서비스 SLA 가이드라인마련 ( ) [ 표 ] 표준화참여기관현황 표준구분주관기관협력기관국내회의체 국가표준 (KS) 기술표준원 ETRI, KSA, NIA, TTA 국가표준 (KCS) 단체표준사실상표준 방통위 ( 전파연구소 ) 한국정보통신기술협회 (TTA) 클라우드컴퓨팅포럼 (CCF) 클라우드서비스협회 SaaS 포럼 K I S A, KISTI, TTA 공공기관, 민간기업민간회원사 - 표준기술연구회 - TTA PG CCF 표준화분과위원회 - DAPS 위원회 정부표준행정안전부 (NCIS) NIA, NIPA 범부처차원의클라우드컴퓨팅보안정책마련 - (( 구 ) 지경부 ) 클라우드보안, 가상화, 모바일클라우드등클라우드컴퓨팅핵심 R&D 및 표준화를추진함 (2012 년 272 억원 ) - 행안부는정부통합전산센터 `G- 클라우드 ` 를운영 (2012) 하여공공부문에서선도적으 로수용을창출하고, 2015 년ㄲ자ㅣ부처업무의 50% 를클라우드로전환할계획 ( 연 간 IT 운영예산 30% 절감목표 ) - 국정원에서중요자료의외부유출, 좀비 PC 양산에악용등을우려하여정부부처클라 72Ⅰ2013 년도 ITU-T 표준화활동결과보고서

73 우드서비스차단권고 ( ) 로, 클라우드보안을강화시키는계기가됨 - 클라우드서비스도입을어렵게하는전산설비구비의무를완화하고, 서비스장애, 정보유출등으로부터이용자를보호하기위한 `( 가칭 ) 클라우드이용촉진법 ` 준비 중 - ` 클라우드서비스협회 ( 인증위원회 )` 에서클라우드서비스의품질 보호 기반제공분야 ( 가용성 확장성 보안등 7 개항목 ) 을심사하여, 우수서비스에대해인증제를도입 함 ( 민간인증 /`Pass Fail` 방식 ) 3-2. 국내업계및지적재산권현황 국내산업동향 삼성 SDS, LG-CNS, KT, SKT, NHN, 다음, 클루넷등이클라우드서비스를자사에시범 적용하여왔으며, 최근상용화출시 ('11.6) - 주로 Mobile Office 등내부효율화업무에중점을두고있으며, 개인과기업용 Public Cloud 는테스트마케팅을시작 기업에서의클라우드적용은공급자와소비자의신뢰기반부족으로채택여부관망 상태 - KT, SKT, LG U+ 등대기업은 IaaS 및 SaaS 위주의개인용및기업용클라우드컴퓨 팅서비스를제공중이며이와관련한인프라구축중 KT- 클라우드데이터센터 ( 천안, ), SKT- 클라우드데이터센터 ( 일산 IDC, ), SK C&C- 클라우드센터 ( 판교, 2013 예정 ) - 해외파트너와전략적제휴를통한국내시장진입도활발 삼성 SDS- 테라데이터, LG CNS-Microsoft, SK C&C- 레드햇등과제휴 공개 SW 솔루션을도입하여시스템구축사업을지원하는기업이다수출현 ITU-T SG17 ( 정보보호분야 )Ⅰ73

74 - DB, 분산파일관리시스템, 가상화 (VM) 분야를중심으로상용화본격화 대표적기업 : 큐브리드 (DB,CMS), 유엔진 (BPM), 넥스알 ( 분산파일관리 ), 수퍼유저코리 아 (SU Linux) 사용량측정 (measure), 데이터수집 (aggregation) 및처리 (mediation), (accounting), 빌링 (billing) 기술은통신사업자중심의개발 요금산정 - 실제로과금은하지않아도제공한서비스의금액적가치를사용자에게알려주기위 해미터링및과금기능을구현 기존의요금및빌링모듈을활용하여자체개발 (KT) 하거나, IBM 등외산솔루션활 용하여미터링및과금기능을추가구현 (SDS), 사용량측정이아닌신청또는할당 한자원의사용시간에기반한과금을구현 (LG CNS) 표준화에대한업계의니즈는표면화되지는않은상태이나관련산업체및표준화단 체에서조기표준화의필요성인식 - 비교적국내보급이빠른 Desk Top 가상화분야의표준화요구발생 민간기술개발 중소벤처기업, 대형 SI 기업, 통신사업자를중심으로주로오픈소스를활용한국산 Cloud Solution 이다수출시 - 서비스사업자나 SI 기업은과금, 측정, 보안등을중점개발, 차별화 국내에기반을둔오픈소스 SW 프로젝트들의성과가가시화 - 과거오픈소스 SW 들은대부분외국에기반을두고개발되었으나, 최근 2~3 년전부터 국내의자생력생성되기시작하고있음 해외소프트웨어기업의특징은오픈소스소프트웨어로출발해빠르게사용자층을확 74Ⅰ2013 년도 ITU-T 표준화활동결과보고서

75 대하고해외시장의고객을흡수 3-3. 국내전문가현황 국내클라우드컴퓨팅기술개발은장비위주의기술개발로인해보안기술에대한투 자는미비함 - 클라우드컴퓨팅기술에대한핵심기술을확보하고있지않아, 하이퍼바이저및프로 세스제어등의산업적경쟁력을갖춘인력이없음 - 국내클라우드컴퓨팅보안기술은서비스보안이나인증, 접근제어, 침입탐지와 같은전통적인산업에집중되어있으며, 멀티테넌트지원기술, 프로세스 메모리간 섭제거, 악성코드패턴감지와같은분야는대응할수있는인력이없음 3-4. 국내정책담당자및정책현황 정부는세계최고의클라우드강국달성위한관계부처공동계획을수립 범정부클라우드컴퓨팅활성화대책 을발표하고, 2014 년세계최고의클라우드 컴퓨팅강국 목표를설정 ( 월 ) - 공공부문선제도입, 민간클라우드컴퓨팅서비스기반마련, 핵심클라우드기술 R&D, 여건조성등 4 대분야 10 대세부과제추진 14 년클라우드컴퓨팅세계시장점유율 10% 목표로 5 년간 6,226 억원투입예정, 클 라우드컴퓨팅테스트베드구축 운영, SaaS 플랫폼개발과제포함 산업통상자원부, 방송통신위원회, 안전행정부에서공동으로 클라우드컴퓨팅확산및 경쟁력강화전략 을발표 ( 월 ) - 특정기술 사업자에의종속을줄이기위해표준 ( 상호운용성, Data 호환성등 ) 을개발 하고국제표준활동강화 ITU-T SG17 ( 정보보호분야 )Ⅰ75

76 국가표준코디네이터를활용하여, 표준화요구사항수용, 보급및확산, 모바일클라우 드의상호운용성확보, 공공데이터센터기술 보안등표준화 - 업계 학계 연구소 커뮤니티등이참여하는 클라우드공개 S/W 네트워크 를구성하 여공개 S/W 확산지원사업추진 우리나라가취약한 " 클라우드소프트웨어분야 ( 가상화및분산처리 S/W) 를중심으 로, 누구나값싸게사용할수있는공개소프트웨어의적극이용유도 부처별자체적으로추진계획을수립하여시행하되, 부처간현안사항의조정은 범정부 클라우드컴퓨팅정책협의회 를통하여해결 정부지원공공기술개발 (( 구 ) 지경부 ) 산업원천기술개발사업, 미래선도기술개발사업등의일환으로클라우드 요소기술개발중 - SW, 차세대컴퓨팅과제의일환으로 9 개 R&D 과제추진중 (163 억원 ) - 클라우드인프라, 플랫폼, 응용서비스분야의기술병목해결위한신규 R&D 추진 모바일클라우드기술개발 ( , 18 억원 ), 상용 SW 를웹으로제공위한 SaaS 과제 공모 (21 억원 ), 클라우드용그린서버및스토리지개발 (2011, 17 억원 ) 등 (( 구 ) 방통위 ) 직접적인기술개발보다는클라우드서비스테스트베드고도화, 전문인력양성, 법령정비, 국제협력등환경조성에투자집중 - 클라우드테스트베드고도화 ( 서버 200 대 ->300 대 ) 로중소 IT 기업의기술개발시험, 검 증을지원 (15 개기업, 8 개서비스이용중 ) - 오픈소스활용클라우드구축전문인력양성, IT 분야인력재교육등추진 - The Clouds 2011', Asia Cloud 포럼 등통한글로벌교류활성화추진 ( 월 ) 76Ⅰ2013 년도 ITU-T 표준화활동결과보고서

77 ( 안행부 ) 중앙부처, 정부통합전산센터대상의클라우드환경시범적용및기술지원체계 를중심으로추진중 - PC 기반스마트오피스업무환경구축, 단계적클라우드전환위한중점과제발굴등 - 정부클라우드컴퓨팅센터구현위한 ISP 추진 ( 월 ), 클라우드관리자동화시스 템구축 ( 월 ) - x86 서버및공개 SW 활용한클라우드긴급자원풀구축 ( 월 ) ( 공통 ) 연구개발결과물시험, 검증을위한테스트베드, 시범사업등은부처별특성에 따라각각추진 테스트베드이름 ( 주관기관 ) 클라우드컴퓨팅테스트베드, ( 월 ), 산업부 (KAIST) 클라우드서비스테스트베드 ( 월 ), 방통위 (KISTI) 클라우드개발가상플랫폼, ( 월 ), 안행부 (NIPA) 주요내용 - 독립형컴포넌트기반서비스지향형페타급컴퓨팅플랫폼기술개발의일환으로설치 - 중소벤처기업과대학의기술개발결과검증에활용 - 클라우드테스트베드고도화 ( 서버 200대-> 300대 ) 로중소 IT기업의기술개발시험, 검증지원 (15개기업이 8개서비스이용 ) - 전자정부사업에참여하는정보화사업기업을위한클라우드서비스기반환경 ITU-T SG17 ( 정보보호분야 )Ⅰ77

78 4. 표준추진을통한파급 ( 기대 ) 효과 기술중심의클라우드서비스에서산업중심의표준강화 - 클라우드컴퓨팅구축의최대걸림돌로보안이거론되고있으나표준화를통한보안위협 을분석하고대처하여서비스활성화에크게기여할것임 - 국내보안시장이형성되지않은상황에서해외글로벌제품의국내시장잠식이우려되나 표준기술의도입으로수입대체및국내산업보호기대 국내기술이열약한클라우드컴퓨팅분야에서보안분야특화가능 - 국낸기술개발수준은초기단계로핵심기술에대한외국의존도가심화될우려가높아정 부차원의원천기술개발지원이필요함 - 가상머신내부상태분석과가상네트워크패킷분석, 가상화환경취약성탐지등의핵심 기술의산업경쟁력확보를위해전략적표준화추진필요 - 다수의사용자가참여하는클라우드컴퓨팅환경에서데이터관리의안전성확보를위 해멀티테넌시지원기술의선점이필요 ( 표준화연계 ) 시장경쟁력확보를위한클라우드컴퓨팅보안관련산업화여건조성및지원 - 정부의범부처클라우드컴퓨팅확산및경쟁력강화전략발표로, 클라우드보안, 가상화, 모바일클라우드등클라우드컴퓨팅핵심연구개발및표준화추진필요 - 클라우드서비스의품질 보호 기반제공분야를심사하여우수서비스에대한인증제 시행, 서비스장애, 정보유츨등의문제를차단하기위한규제정비 - 중요자료의외부유출, 좀비 PC 양산에악용등을우려한정부부처클라우드서비스차단권 고등으로클라우드컴퓨팅보안강화필요 78Ⅰ2013 년도 ITU-T 표준화활동결과보고서

79 5. 향후대응방안 5-1. 국가기본입장제안 17 년시장진입을목표로새로운아이디어와신기술, 타산업융합기술개발로미래시장선도 새로운아이디어나게임체인저역할을할신기술장기 R&D(5 년이상 ) 다양한데이터를융합하는데이터클라우드와데이터분석처리기술의개발을통해 클라우드 & 빅데이터시대를준비필요 ( 표준화연계 ) - 활용가능한분야및데이터 : 보건, 복지, 기상, 교통, 물류, 항만, 센서데이터, 소셜데 이터등의상호융합 - 차세대분석기술과결합을통한산업적가치상승필요 : 클라우드컴퓨팅과분석기 술의결합을통한새로운가치창조기대 개별서비스로묶여있는클라우드컴퓨팅환경을활용과공유차원에서호환성을확보 할수있는인터클라우드서비스연동기술 다양한분산 / 이종클라우드간연계통합운영기술, 장애극복형클라우드연동기술, 다양 한분산 / 이종클라우드간연동을위한서비스브로커기술 클라우드를기반으로한비 IT 산업의융합발굴을위해클라우드지원센터의역할확대및 ITU-T SG17 ( 정보보호분야 )Ⅰ79

80 R&D 과제발굴 ( 표준화연계 ) 각산업군별모바일융합의산업공통서비스및산업특화서비스구축을위한클라 우드기반의모바일플랫폼서비스개발 클라우드기반타산업견인기술확보 클라우드기반스마트자동차제어플랫폼, 클라우드로보틱스, 클라우드기반스마트 교육플랫폼, 스마트의료, 스마트방송등 클라우드기반사회인프라고도화기술개발 기술적문제해결과국내산업을보호하기위해기술중심의 R&D 발굴및표준화연 계방안마련 상용화단계에있는국내기술을국제표준화하기위한정책적지원이필요하며, 국내 경쟁력있는기술에대한연계표준화를강화 미래전략기술에대한표준화는기술적배경을바탕으로새로운시장을개척하는방 향으로추진하고, 기존의 R&D 과제연계를강화필요 80Ⅰ2013 년도 ITU-T 표준화활동결과보고서

81 5-2. 실질적대응방안제안 내용 산업체주도의국제표준화조기참여와강점분야차별화병행필요 미국의글로벌 IT 기업이공적국제표준화기구, 사실상국제표준화기구장악 클라우드공통표준개발및한국의강점분야에대한표준경쟁력강화필요 한국은민간기업중심의국제표준화대응체계로의전환이시급히요구 산업체중심의표준화는민간기술의표준연계, 세계시장진출의필수요소 우리나라는공공연구소및학계가표준화를주도함에따라, 산업기술의국제표준연계미흡 오픈소스를활용한기술개발과이를통한표준경쟁력강화가요구됨 패키지화된상용서버, OS, DB, Storage, 응용 SW 기업의글로벌시장장악 오픈소스기반의 OS, DB, Storage, 응용 SW 가이들을위협하는수준에도달 연구개발의방향은개방형 PaaS 를중점추진하고성공사례를만들필요 시장확산위한공공분야선도적용및이를위한표준화병행필요 미국연방정부의 Cloud 우선적용, NIST 중심의가이드, 표준규격제정 특히클라우드컴퓨팅의플랫폼종속문제 (Lock-in), 보안문제해결위한표준화에중점 한국은세계최고수준의전자정부, u-city 에클라우드접목시글로벌선도가능 외부클라우드서비스활용확산에는이용자의신뢰확보가필수로요구됨 품질, 신뢰도확보위한표준적합성시험 인증체계조기구축이요구됨 시험 인증체계가국내에서구축되지않을경우, 해외에서의인증획득에따른기술종속가능 자생적클라우드커뮤니티활성화를위한정부의역할모색및지원필요 민간표준화단체, 오픈소스커뮤니티가표준개발을사실상주도하며, 이는클라우드생태계를형성및전문가 Pooling 역할 Open Stack, DMTF, SNIA, OGF, CSA( 보안 ) 등분야별사실상표준화단체가표준개발을주도하고, 국제표준화기구는이를그대로수용하는수순으로진행 5-3. 원활한추진을위한건의사항 ( 요구사항 ) ITU-T SG17 ( 정보보호분야 )Ⅰ81

82 핵심기술에대한전략적지원 산업의기반이되는하이퍼바이저, 스토리지, 분산처리등의핵심기술은정부주도의 수요를창출하여미래기술에전략적대응필요 - 단기간의산업적가치보다는장기간의산업보호를위한전략적수요발굴이필요하 며, 이를바탕으로하는신규과제의발굴이필요 - 패스트팔로워 (Fast Follower) 가아닌퍼스트무버 (First Mover) 가되기위해서는단기 적시장이아닌산업적관점에서과제도출이필요 기존의과제발굴은단기적시장을중시하고있어대기업중심의기술이주도되고있어 핵심기술의국산화가늦음 (Technical Follow) 표준화를위한산업연계방안마련 기술개발은현재산업의문제점을해결하는현행기술과미래의새로운비즈니스를창 출하는신산업기술이있으나표준화에서는이를구분하여대응하지못함 - 현행산업의문제점을해결하고국내기업이경쟁력을가지고있는기술에대한전략적 표준화를지원하기위한표준화과제를인정필요 - 산업적경쟁력을확보하기위한전략표준화와달리산업연계는다양한의견을수렴하 고반영하며, 국내기술에대한빠른이해가선행되어야함 - 이미기술분야별로설립된학회, 포럼, 협의회, 조합등을효과적으로활용할수있는 방안의마련이필요 82Ⅰ2013 년도 ITU-T 표준화활동결과보고서

83 참고 1. 국내오픈소스개발적용사례 o (NHN) 오픈소스 DBMS 인큐브리드, 콘텐츠매니지먼트솔루션인 XE, 소프트 웨어협업개발플랫폼인엔포지, 자바스크립트웹기반의위지윅에디터인 ' 스마트에디터 ' 등 20 여가지의오픈소스소프트웨어프로젝트를진행 o (UENGINE) 오픈소스소프트웨어활용비즈니스프로세스관리 (BPM) 개발, 국내다양한오픈소스업체들과협력해하나의통합플랫폼제공 o ( 삼성 SDS) 오픈소스프레임워크인애니프레임 5.0 버전을발표, 빈번하게 사용하는날짜처리, 차트, 파일조작등기능을컴포넌트로추가제공 ( 3 년간 15 만건다운로드 ) o (SK C&C) 공개 SW 를기반으로클라우드컴퓨팅의효율성을극대화하는데 초점을맞추고공개 SW 기반가상화 분산컴퓨팅기술로클라우드인프라 환경을구축 - 오픈소스를활용해자체개발한 Mi-Cloud 는 SK 텔레콤의 IaaS 서비스의 기반기술로적용 o (KT) Citrix, Microsoft와제휴하고대용량분산저장및처리기술확보를위해넥스알 (NexR) 을인수하는등클라우드솔루션및 SW 부문을강화 Citrix는가상화솔루션분야대표적회사로오픈소스기반의데스크톱가상화솔루션을기반으로국내시장진출 넥스알의오픈소스파일시스템인 하둡 을활용하여 IaaS 서비스개발 o ( 삼성전자 ) 자사클라우드서비스를오픈소스기반의 오픈스택 으로추진, 아마존닷컴과도협력 오픈스택 은미국항공우주국 (NASA) 와랙스페이스등의주도로만들어진오픈소스기반클라우드컴퓨팅솔루션개발프로젝트 ITU-T SG17 ( 정보보호분야 )Ⅰ83

84

85 2013 년도표준화활동결과보고서 제 3 장 ITU-T SG17 국제회의참가및기고서제출결과 ANSI

86

87 국제회의참가및기고서제출결과 회의명기간장소참가자 국제회의 국제회의 기고서제출 반영 건 스위스제네바염흥열등 명 스위스제네바염흥열등 명 국제회의참가결과 가 월회의결과 ( 결과요약 ) 새로운연구회기를맞이하여, 처음으로개최되는 ITU-T SG 17 회의는향후 4년간작업반 (WP) 및연구과제 (Question) 를이끌어나갈신규의장단을임명하였고, 한국은염흥열교수 ( 순천향대 ) 가 WP3(ID 관리및클라우드컴퓨팅보안 ) 의장등총 7명이선출됨. 또한, 한국은총 21건의기고서 ( 국가 : 16건, 섹터 : 5건 ) 를제출하여, 4건의국제표준채택준비과정 (Consent/Determination) 승인과 1건의부석서 (Supplement) 로승인됨 회의개요 회의명 보안분야 국제회의 기간 년 월 일 수 월 일 금 일간 장소 스위스제네바 참가자 여개회원국및국제기구대표등약 여명 우리나라는총 19명참가 : - 국가 : 염흥열 ( 순천향대, 수석대표 ), 나재훈 ( 교체수석대표 ), 박종열, 김종현 ( 이상 ETRI), 신용녀 ( 한양사이버대학교 ), 김재성, 백종현, 이승재, 김미주 ( 이상 KISA), 김근옥, 송성현, 임형진 ( 이상 FSA), 오경희 (TCA서비스), 김영화, 오흥룡 ( 이상 TTA) - 섹터 : 임정일, 최영환, 이준섭, 이석준 ( 이상 ETRI) 논의범위 정보통신보안전략수립 보안구조및프레임워크 정보통신보안관리 사이버보안 기술적인방법에의한스팸대응 아이덴티티관리구조및메커니즘 클라우드컴퓨팅보안 안전한응용서비스지원기술 디렉토리 등 통신서비스보안기술 응용서비스보안 텔레바이오인식 안전한응용서비스지원언어 등 정보통신소프트웨어및시험을위한형식언어등 ITU-T SG17 ( 정보보호분야 )Ⅰ87

88 주요활동결과 ( 주요이슈 ) 년 신규의장단 선출 WP Title Chairman WP1 Fundamental security Koji NAKAO (Japan) WP2 Network and information security Sacid SARIKAYA (Turkey) WP3 Identity management and cloud computing security Heung Youl YOUM (Korea) WP4 Application security Antonio GUIMARAES (Brazil) WP5 Formal languages George LIN (P.R. China) Question Rapporteur Associate Rapporteurs Q1/17 Mohamed Elhaj (National Telecom, Sudan) Q2/17 Patrick Mwesigwa (Uganda) Jiang HUA (P.R. China) Isaac Kobina KWARKO (Ghana) Heung Ryong Oh (Korea) Dmitry Kostrov (MTS, Russia) Q3/17 Miho Naganuma (Lac, Japan) Kyenon Hee Oh (Korea) Q4/17 Youki Kadobayashi (NICT, Japan) Q5/17 Hongwei Luo (CATR, China) - Ibrahim Hamza Al Mallouhi (Emirates Integrated Telecommunications Company, United Arab Emirates) Jong Hyun Kim (ETRI, Korea) Q6/17 Jong Hyun BAEK (KISA, Korea) Yutaka MIYAKE (KDDI, Japan) Q7/17 Jae Hoon NAH (ETRI, Korea) Huirong TIAN (P.R. China) Q8/17 Liang WEI (P.R. China) Mark JEFFREY (Microsoft, Switzerland) Victor KUTUKOV (Russian Federation) Q9/17 John CARAS (United States) Yong Nyuo SHIN (Korea, Republic of) Q10/17 Abbie BARBIR (MBNA, Canada) Richard BRACKNEY (Microsoft, United States) Hiroshi TAKECHI (LAC Co, Japan) Jing WU (P.R. China) Q11/17 Erik ANDERSEN (Denmark) Jean-Paul LEMAIRE (ISO/IEC) Q12/17 Dieter HOGREFE (Germany) Gunter MUSSBACHER (Canada) Rick REED (TSE, United Kingdom) ( 주요이슈 ) 클라우드컴퓨팅보안업무조정논의결과 년 월 회의에서 과 에게클라우드컴퓨팅보안표준화를위해두 에서수행 할태스크를서로협력및식별하여 년 월 회의에보고하도록요청됨 88Ⅰ2013 년도 ITU-T 표준화활동결과보고서

89 년 월 회의에서는태스크기반으로조정하기로하고 개의태스크를식별하였으며 그중 개태스크는 에전용할당하고 개태스크는 에전용할당 개태스크는 에공동프로젝트 로할당 개태스크할당은미정으로합의됨 활용사례 기능블럭 가지 보안구조기본개념 기존보안메커니즘 신규메커니즘 보안관리 가지 공통프로젝트 위협식별 보안요구사항 보안요구사항보안기능할당 신뢰모델 가지 미할당 보안영역 상세보안기능 모범사례 운영보안 가지 이번 회의에제출된기고서는러시아 중국 미국 캐나다 영국등에서 건이며 에서클라우드 컴퓨팅보안을책임지고있는 의장 한국 염흥열교수 에의해 번의섹션으로진행됨 러시아는 이 에서보안리드 이므로 개의공통프로젝트를 에할당해야한다고주장하 였고 영국은 이클라우드컴퓨팅을책임지는리드 이므로 에할당하자고제안함 미국은특 별한 를할당하지않고전문가의토론결과를지켜보겠다는입장을견지 논의결과 두 가공통으로작업할부문의경우공통프로젝트로선정해진행하나 권고개발의책임성 을부여하기위해각태스크마다책임 를결정하기로하고 책임 은권고신설 권고채택 을책임지며 대외적으로연락대표기관으로하는데합의됨 회의결과 총 개의태스크중요구사항을 개로분할해총 개의태스크로나눴으며 다음과같은태스크할당에합의됨 활용사례 기능블럭 가지 보안영역식별 상세보안기능 보안구조기본개념 기존보안메커니즘 신규메커니즘 보안관리 모범사례 운영보안 가지 주도공통프로젝트 위협분석및활용사례기반일반적인보안요구사항 클라우드컴퓨팅기능구조및기능블록에대한보안기능할당 가지 주도공통프로젝트 보안위협식별 일반적인보안요구사항을고려한위협분석 활용사례기반클라우드컴퓨팅보안솔루션및메커니즘에대한보안요구사항 신뢰모델정의 가지 현재 클라우드컴퓨팅보안 에서진행되고있는 건의권고는 에서그대로진행하기로합의됨 이번회의에서합의된결과는연락문서를통해 월 회의에전달될계획이며 최종적으로 월 회의에서 과 에서보내온각자의업무할당방안을근거로최종결론에도달할것으로예상됨 ( 주요이슈 ) 내국제표준채택절차논의결과 내국제표준승인절차로각 별 처리방법 에대한선정논의 ITU-T SG17 ( 정보보호분야 )Ⅰ89

90 특히 통신서비스보안 그룹승인절차에대한논의가중점적으로다루어졌으며 를통해국가별의견대립 기술적인관점에서 추진 한국 중국 러시아 우간다 브라질 정책 모바일보안등 적인관점에서 추진 영국 독일 캐나다 미국 한국은 에서다수의국제표준을제정한바있으며 대부분의국제표준이기술적인관점에서작성된 사항이라계속해서 추진을주장함 국내산업체기술을국제표준으로추진하기위해가능한유리한표준처리방법을선호함 최종적으로 한국의주장대로 로확정함 다만 차기 회의 월 에이이슈에대한기고서제출이가능하므로면밀한관찰이필요함 (OTP 부인방지관련권고승인 ) 를이용한대칭키방식의부인방지프레임워크에대한권고승인 해당권고안은지난 년 월회의에서승인 할예정이었으나 일본에서절차상문제를제기하여 이번 년 월 회의에서승인하기로합의함 이번 회의에서일본을포함한관련국에서에디토리얼한코멘트를제외한주요한코멘트가없어권고안 이그대로합의됨 이번회의에서 을승인 하기로합의함 ( 위임부인방지관련권고검토 ) 사용자의서명권한을위임한위임부인방지아키텍처관련표준안에대한첫 번째표준안검토 사용자의서명권한을신뢰기관에위임하여사용자편의성을높이고 서명키의관리를용이하게할수있는 위임부인방지아키텍처권고안 해당권고안은지난 년 월회의에서신규아이템으로채택되고 이번회의에서첫번째표준안검토 회의에서권고안의이해를돕기위해위임부인방지개념도에대한설명을추가하기로합의함 ( 보안정보공유관련권고수정안채택 ) 보안정보공유협상프레임워크 차수정권고안채택 90Ⅰ2013 년도 ITU-T 표준화활동결과보고서

91 년 월 한국의제안으로사이버정보공유프레임워크 시리즈내에통신주체들간에정보를 교환하기위해초기협상하는기술을국제표준으로제안하여개발에착수 본부속서는미국이공동에디터로참여하였으며 당초독립적인표준으로개발하려고하였으나 하나의유 즈케이스성격이강해사이버보안개요 국제표준의부속서로승인됨 ( 원격의료와바이오인식정보보호관련권고채택 ) 원격의료와텔레바이오메트릭에서바이오인식정보보호를 위한단일프레임워크관련권고채택 년 월 한국의제안으로처음시작된국제표준으로바이오인식기술이원격의료에확대응용됨에따 라민감한프라이버시정보를안전하게보호하기위한가이드라인개발이요구됨 이번회의에서캐나다는 텔레바이오인식 에서추진되는바이오인식관련표준및본국제표준이 및 에서추진되고있는프로젝트간에중복성문제를언급하여 이에대한차별성을정의함 검토결과 과 에서현재진행되고있는프로젝트들은아직초기단계이며 대부분의프로젝트는내용이거의비어있어특별히중복성정의는불필요한상태임 본국제표준은 년부터시작하여 총 회이상국제회의를통해다른국가들의검토를받아충분한의 견이완료된문서임을강조하여 이번회의에서최종국제표준채택을위한준비과정 으로승인됨 ( 스마트폰앱보안관련기고채택 ) 안전한스마트폰앱보안프레임워크수정권고안에대한기고채택 우리나라는앱생명주기에따른보안고려사항 용어정의 권고안구조변경등의수정사항을포함한안전 한스마트폰앱보안프레임워크에대한수정권고안을제안 독일은악성앱원격삭제이슈와관련하여일부국가에서는앱배포이후앱스토어가앱을삭제할수있는 권한이없다는의견을제시함 악성앱원격삭제에대해서는사용자의동의혹은자국의정책에따른다는문구를추가함 영국은사용자단말이슈는 범위를벗어난다는의견을제시함 본권고안은사용자단말에서보안을설정하는측면이아니라 앱이사용자에게배포되기이전에앱스토어 에서앱기능에대한보안성을검증하여사용자에게안전한앱을배포하기위함임을설명함 일본은앱보안검증시악성코드확인만을해야한다는의견을제시함 안전하지않은앱은악성코드뿐만아니라개인정보및위치정보의수집 네트워크및단말자원고갈 권한 오남용등다양한형태로나타날수있어악성코드확인만으로는충분하지않다고답변함 ITU-T SG17 ( 정보보호분야 )Ⅰ91

92 일본과의의견차가좁혀지지않아수정권고안에앱보안검증에대한상세요구사항에대해서는검토가 필요하다는에디터노트를작성하여차기회의에서논의를계속하기로함 한국에서제안한권고안구조를기반으로일본의기고내용및회의논의결과를반영하여작성한문서가수 정권고안으로채택됨 ( 스마트그리드보안관련기고채택 ) 스마트그리드서비스보안기능구조수정권고안에대한기고채택 우리나라는스마트그리드보안위협에대한개념모델및구간별보안위협등수정사항을포함한스마트 그리드서비스보안기능구조에대한수정권고안을제안 독일은 에서도스마트그리드관련연구활동을진행중에있어관련문서를참고할필요가있다는 의견을제시함 의스마트그리드관련문서를검토하여필요시참고문헌으로넣는것을고려하겠다고답변함 우리나라에서기고한스마트그리드보안위협등에대한제안사항과회의논의결과를반영하여작성한문 서가수정권고안으로채택됨 ( 고수준보안성을요구하는서비스의부정사용방지시스템기능, X.sap-7) 의 3 번째표준초안제안및반영 회의에서 차수정초안에주요내용인 절의 의텍스트검토 번째수정초안에포함되었던 절을 차초안의 절및 절로재배치 본과제의핵심절인 절의주요내용 가지주요기능 의정의 초안의내용을명확히하기위한에디토리얼수준의수정사항반영 년 분기에 에대한표준을마무리하기위하여 년도에대부분의표준본문을작성완료예정 부정방지시스템의국내사용현황 금융등 을파악하여본표준에반영여부를검토할필요있음 (X.websec-5: 웹매쉬업정보보호구조및 API, 2 번째표준수정초안제안 ) 웹정보보호에대한중요성을인정하지만사실표준기구에서표준을만드는것을지향함 특히 미국은자국 내기업 구글 아마존 페이스북등 의이익을저해하는표준개발을계속적으로제어하고있음 웹정보보호는한국또한중요한부분을차지하고있는상황이며인터넷의순조로운진화를위하여체계적 이며상호운영성이보장되는표준개발이필요하며향후 년후의웹서비스의변화에대응하는정보보호 기술및표준개발에집중이필요 92Ⅰ2013 년도 ITU-T 표준화활동결과보고서

93 급진적보급되고있는웹매쉬업정보보호에대한필수요구사항에대한분석및이를제공하기위한보안 구조와실질적인기능에대한토의와향후표준개발을위하여연결그룹 을설립을 통하여다음회기까지계속적으로표준개발을협의 ( 강화된이용자인증을위한애트리뷰트바인딩표준초안제안 ) 일본에서는모바일서비스영역에서연령정보를부모의동의하에관리하는서비스가운영중에있으나 에서는개인정보의 에대한결합이프라이버시의침해를우려하는주요서방국가의의견으로제안된과 제가거부된사례가있음 인터넷상에서청소년들이유해정보와성인서비스에노출되어인터넷상의폭력및실생활에서의폭력이 증대되고있으므로이에대한기술적지원이요구되며 국제서비스의접근에있어서도국경을넘어서는 경우상호협력이필요한것으로사료됨 목표로하는기술을더욱구체화하며여타기술의동향과지난과거에 에서의 표준과제들에 대한충분한분석을통하여차기회의에재제안을요청됨 ( 사이버보안지수표준화 ) 년 월 한국의제안으로 사이버보안 그룹에서표준화작업을착수하였으며 미래부에서개발 된국가정보보호지수를국제표준으로개발하는데그목적이있음 즉 사이버공간에서안정성을평가하기위한기준은국가별로상이하고 고려대상이다양하여이에대한 정형화된기준을개발함으로써사이버공간에서안정성평가에객관적인기준을정의하기위함 본기준을개발하기위해 에서개발된 개발지수 세계경제포럼에서개발된 네트 워크준비지수 인터넷보안센터에서개발된 보안지수 미 국 및유럽 에서개발된가이드라인과한국에서개발된국가정보보호지수가함께고려됨 본국제표준은총 가지의사이버보안지수정의와이를객관적인방법에따라서안정성을수치로계산하 는방법을정의하고있어 각국가별사이버보안환경에따른지수개발에중요한가이드라인으로활용이 예상됨 이번회의에서는총 가지의사이버보안지수정의와이를객관적인방법에따라서안정성을수치로계산 하는방법에대해최종적인텍스트를검토하여 국제표준채택을위한준비과정 으로승인됨 (IPTV 서비스및콘텐츠보호를위한가상머신기반보안플랫폼표준화 ) ITU-T SG17 ( 정보보호분야 )Ⅰ93

94 년 월 한국은국내에서개발되어상용화된 단체표준을근거로 국제표준개발작업 을착수함 월 용교환가능한 본국제표준은가상의보안모듈을기반으로소프트웨어방식의콘텐츠전달및 업그레이드이가가능한 보안플랫폼을정의하여 사용자단말의보안성강화와편리성제공이가능함 본국제표준은개발하는과정에서일본 프랑스및독일에서세부적인기술내용에많은관심을가지고검 토에참여함 이번회의에서는 사무국 에서제공된에디토리얼한코멘트문서와한국에서제안한최종기고서 를중심으로검토가이루어졌으며 회의결과최종국제표준채택을위한준비과정 으로승인됨 (X.1051 및 X.sgsm 개정결정 ) 및 을 의개정에따라개정하기로결정함 일본 에서 이참조하고있는 의개정에따라 및 의개정필요성 및 의저작권문제를건의 한국은이의필요성에찬성하고 에디터로오경희추천 기존 및 한국측에디터였던 및김정덕교수불참으로인한대응방안을논의하였으 나 뚜렷한방안이없는관계로일단 에서 발행이확정되는차기회의까지는실개정활동을지 연하고 차기회의에서해결방안을논의하기로함 은일본와타루셍가 한국오경희 인이에디터로 은일본와타루셍가가에디터를맡아개 정하는것으로결정 에대한 지원등한국대응방안마련필요 (X.cc-control ISO/IEC27017 에대한기고계획수립 ) 차기회의에서 에대한코멘트작성 송부 가 검토를지원하기위한방안을논의하였으나 현재는많은내용이없으므로이번 회의결 과에서나온버전에대한의견을제시하기로함 와 이 에서각각 를검토하여코멘트를작성하고 차기 에서공동회의를 통해 송부키로결정 94Ⅰ2013 년도 ITU-T 표준화활동결과보고서

95 검토및 준비필요 (ISO/IEC 에협업요청 ) 와의긴밀한협조를위하여한국염흥열교수가 로 지정 와의공동작업을제안했으나 일본에서인증은 의업무범위가아니라고반대 가 및 등에영향을미칠수있으므로 공동표준을개발하지않더라도긴밀한협조가 필요하다고주장하여이러한내용으로 을보내기로하고한국의염흥열교수를 로지정 ( 신규표준과제제안, 채택 ) 이번회의에 에서 건의신규권고개발과제를제안하여승인되었으며 각권고개발에디터쉽을수임함 권고개발에디터로 최영환선임연구원이선임됨 나 월회의결과 ( 결과요약 ) 새로운연구회기를맞이하여, 두번째개최되는 ITU-T SG 17 회의로한국은염흥열교수 ( 순천향대 ) 등총 15명 ( 국가 : 11명, 섹터 : 2명, 협력 : 2명 ) 이참석하여, 총 23건의기고서 ( 국가 : 16건, 섹터 5건, 협력 2건 ) 를제출하여, 1건의국제표준승인 (Approval) 준비와 1건의국제표준채택준비과정 (Determination) 으로승인됨. 단, 신규제안과제신설제안 2건과모바일 ID관리부속서제안은미채택됨 회의개요 회의명 보안분야 국제회의 기간 년 월 일 월 월 일 수 일간 장소 스위스제네바 참가자 여개회원국및국제기구대표등약 여명 우리나라는총 15명참가 : - 국가 : 염흥열 ( 순천향대, 수석대표 ), 나재훈 ( 교체수석대표 ), 김종현 ( 이상 ETRI), 신용녀 ( 한양사이버대학교 ), 김재성, 백종현 ( 이상 KISA), 송성현, 임형진 ( 이상 FSA), 오경희 (TCA서비스), 김태경 ( 서울신학대학교 ) 오흥룡 ( 이상 TTA) ITU-T SG17 ( 정보보호분야 )Ⅰ95

96 - 섹터 : 최영환, 이준섭 ( 이상 ETRI) - 협력 : 강연정, 서정준 ( 이상 KISA) 논의범위 정보통신보안전략수립 보안구조및프레임워크 정보통신보안관리 사이버보안 기술적인방법에의한스팸대응 아이덴티티관리구조및메커니즘 클라우드컴퓨팅보안 안전한응용서비스지원기술 디렉토리 등 통신서비스보안기술 응용서비스보안 텔레바이오인식 안전한응용서비스지원언어 등 정보통신소프트웨어및시험을위한형식언어등 주요활동결과 ( 주요이슈 ) 한국제안관련핵심요지 이번회의는새로운연구회기를맞아두번째개최되는 국제회의로한국은총 건 부분회원 건 협력회원 건포함 의기고서를제출함 사이버보안지수 국제표준 승인제안 사이버보안 역추적메커니즘 국제표준채택준비단계 승인제안 신규표준화아이템발굴 악성코드정보교환포맷 연령검증기술 유비쿼터스서비스보안 연구범위확대 보안 스마트그리드보안 모바일 관리기술에대한부속서 승인제안 그외한국주도로개발되고있는개인정보보호관리체계가이드라인 웹서비스보안 보안관리 텔레바이오인식및스마트그리드보안 기반기술등의표준초안업데이트제안 ( 주요이슈 ) 한국총 건의기고서제안결과 지난회의에서 되었던 사이버보안지수이슈는 국제회의종료후 미국등요청에따라 주간에추가적인의견수렴후 국제표준으로채택 될예정 사이버보안분야에역추적메커니즘은 으로승인 단 신규표준화아이템발굴을위한기고서 건과모바일 관리부속서승인기고서 건은다른국가들 의반대로미채택됨 그외기고서들은현재개발되고있는표준초안들에모두반영됨 최종결과 총 건기고서는채택 총 건은미채택 96Ⅰ2013 년도 ITU-T 표준화활동결과보고서

97 ( 주요이슈 ) 내국제표준개발에대한향후전망 현재 그룹에서개발되고있는대부분의표준초안들은한중일삼국이주도하고있으나 미국 영국 캐나다 독일등에서지속적으로반대하고있음 이번 회의에서한국 일본 러시아에서신규표준화아이템을제안하였으나 상기국가들의반대로모두실패함 또한 반대사유도기술적인문제보다는현재개발되고있는표준초안들과의중복성이나다른표준화기구들간에 추가해야된다는주장 향후 한국은신규표준화아이템발굴을위한전략수립과표준화아이템주제에근거해 을포함한다양한그룹으로제안하는전략이필요 ( 사이버보안지수관련권고검토 ) 결과에따라국제표준승인논의 년 월 한국의제안으로 사이버보안 그룹에서표준화작업을착수하였으며 한국에디터 순천 향대염흥열 주도로한국정보보호지수를국제표준으로개발하는데그목적이있음 즉 사이버공간에서안정성을평가하기위한기준은국가별로상이하고 고려대상이다양하여이에대한 정형화된기준개발이요구됨 본기준을개발하기위해 에서개발된 개발지수 세계경제포럼에서개발된 네트 워크준비지수 인터넷보안센터에서개발된 보안지수 미 국 및유럽 에서개발된가이드라인과한국에서개발된정보보호지수가함께고려됨 지난 월회의에서는총 가지의사이버보안지수정의와이를객관적인방법에따라서안정성을수치로 계산하는방법에대해최종적인텍스트를검토하여 국제표준채택을위한준비단계 로승인 됨 이번회의에서미국은지난 월에제기된코멘트를반영해야한다고주장했고 캐나다는기업이나특정조 직을위한사이버보안지수를개발해야한다고주장했으며 러시아는 가지감사로그성능관련지표추 가를요구했으며 일본은국가차원보다는조직이나커뮤니티단위의지수를요구함 또한 러시아와캐나다가독립적인국제표준이아닌부속서 로채택해야한다는코멘트가있었 음 이번 회의기간동안 총 회의회의를통해모든국가들의의견을반영하였으며 국제회의종료 후 주간에서면회람후 특별한의견이없을경우 최종국제표준 로채택 하기로함 단 의견이있을경우다음 회의에서재검토후 최종승인키로함 ITU-T SG17 ( 정보보호분야 )Ⅰ97

98 ( 연구과제 6 연구범위수정제안 ) 보안범위확대논의 한국은지난 국제회의에서확정된 연구범위 에신규보안주제에대한국제표준 개발을위해연구범위를확대해야된다고제안함 중국과일본은당초이제안을 국공통으로제한키로합의 월 한중일국제회의 했으며 이번회의에서도적극지지함 미국도지능형교통시스템 보안의중요성을인정하여수동적지지입장이었으며 독일은이두가지주제가글로벌솔루션이필요한지와이주제가 임무범위내에있는지에대해질의하였으나반대하지는않음 대부분의회원국들이찬성했고 적극적으로반대하는회원국이없어일부문구수정을거쳐한국제안에 따라연구과제 에 보안과스마트그리드보안을추가함 ( 주요이슈 ) 내국제표준채택절차논의결과 지난 국제회의에서연구과제 내국제표준승인절차를 로결정함 하지만 이번회의에서미국 영국 독일 캐나다 러시아등이 보안등이규제적함의가있음을주장하고 관련조항에규제적함의가있는권고나연구과제는 로해야한다고주장해 이주장이반영되어 로결정됨 단 현재개발되고있는표준초안들은 로추진예정 ( 역추적메커니즘관련권고채택 ) 사이버보안기술중에 역추적관련권고채택 년 월 한국의제안으로 사이버보안 그룹에서표준화작업을착수하였으며 한국에디터 순천 향대염흥열 주도로디도스공격등위조 주소를사용하는공격근원지를추적하는역추적기술을국 제표준으로개발추진 본표준은중앙집중방식의역추적메커니즘과분산형메커니즘의모든동작을정의하고 이들역추적메 커니즘이가져야할기본요구사항과메커니즘선정기준을정의함 캐나다는 월회의에서이표준이부속서로개발되어야한다고주장했으나 이번회의에서는별다른언급이없었으며 미국은역추적기술보다는순화된 이라고수정을제안했으며 일본은학술적또는실험적메커니즘은부속서로개발하고 실용적인메커니즘을중심으로개발하자고주장함 한국은이러한의견을반영해실용적인메커니즘과구현을위한요구사항 그리고선택기준을본문에넣자고제안해반영함 최종회의결과 국제표준채택을위한준비과정 으로승인됨 98Ⅰ2013 년도 ITU-T 표준화활동결과보고서

99 ( 개인정보관리체계가이드라인관련기고채택 ) 개인정보보호체계수정권고안에대한기고채택 년 월 한국의제안으로 보안관리 그룹에서표준화작업을착수하였으며 한국에디터 순천향 대염흥열 주도로개인정보관리체계의보안통제및프라이버시통제를국제표준으로개발추진 현재본표준은 그룹과협력을통해개발중에있으며 그룹에서는일반조직부 분을다루고 에서는통신조직에집중해서국제표준을개발하고있음 이번회의동안 차수정텍스트가개발되었고 관련문서를 에송부하여검토의뢰키로함 ( 모바일디바이스바이오인식정보보호관련기고채택 ) 모바일바이오인식기술관련수정권고안에대한기 고채택 모바일디바이스기반텔레바이오인식을응용하기위한기술적 관리적대응책가이드라인 에디터 신용녀 김재성 개발을추진 본국제표준은모바일기반바이오인식기술을사용한서비스에서발생할수있는모델및보안위협을정 의하고 이를해결하기위한바이오정보보호를위한기술적 관리적가이드라인을개발하고있음 현재 바이오인식 프로젝트 와유기적협조및인증모델등차별화를통해표준화를진행하고있음 우리나라에서기고한스마트그리드보안위협등에대한제안사항과회의논의결과를반영하여작성한문 서가수정권고안으로채택됨 ( 스마트그리드보안 ) 관련표준초안제안및반영 이번회의에서는스마트그리드보안기능구조에대해주로논의됨 일본은스마트그리드표준참조모델선정시 스마트그리드 의참조모델을참고하도록제안함 한국은스마트그리드표준참조모델로 참조모델을참고로하여보안기능구조를제안함 회의결과 두가지참조모델이조화가될수있는방향으로수정하였으며 수정된모델을 에검토의뢰하기로합의함 ITU-T SG17 ( 정보보호분야 )Ⅰ99

100 ( 스마트폰앱배포보안관련표준초안수정제안및반영 ) 이번회의에서는스마트폰앱보안검증요구사항기술방식에대해주로논의됨 일본은스마트폰앱보안검증요구사항에대해 본문에는간략히기재하고부록 에상세히기술 하자고제안함 한국은세부앱보안검증요구사항이핵심이므로 본문에기술하자고주장함 회의결과 국제표준사용자관점에서본문은쉽고간결하게일본의방법으로개발하기로하였으며 한국에 서제안한상세설명은표준초안부록에반영됨 ( 고수준보안성을요구하는서비스의부정사용방지시스템기능표준초안제안 ) 응용서비스보안 회의에서부정사용방지시스템에요구되는기술적능력에대해논의가이루어짐 한국은시스템구성요소간의상관성기술 부정관리방법및데이터수집방법에대해제안하여모두반영 시킴 년 월 국제회의에서국제표준채택준비단계 로추진하기로합의함 년 월 금융위 금감원금융보안대책에부정사용방지시스템을카드권역뿐아니라은행 증권권역으로확대구축하는안이대책에포함됨 향후 본국제표준이국내금융권부정사용방지시스템구축시활용가능할것으로예상됨 ( 객체식별자 (OID) 관련표준화 ) 기반이종식별자해석프레임워크 수정안채택 년 월 한국제안으로 기반이종식별자해석프레임워크기술에대한신규권고안개발제안이채택되어 권고안 에디터 최영환선임 개발에착수 이번회의는 기반이종식별자해석프레임워크시나리오및요구사항에대한수정을제안하여채택됨 중국은 에서각단말에 를할당할경우를위한서비스시나리오를제안하였으며 한국은이를수용함 한국은차기회의에서 기반의사물인터넷디바이스식별자를정의하는신규권고안을제안할예정이며 중국의이번제안은이와연관시킬수있을것으로판단됨 의요청에따라 과 에대한상호연동성표준개발관련논의가별도로진행되었음 은아직표준개발진행중에있으므로 개발완료후에다시검토하기로함 100Ⅰ2013 년도 ITU-T 표준화활동결과보고서

101 또한 에서는 의부록에 개요에대한내용을추가하기위해차기회의에관 련내용을기고할예정임 해석시스템 개정완료 국제표준에새로운서비스타입인 의추가에대해 에서승인이완료되어최종적으로개정이완료됨 본개정사항은 웹페이지에게시됨 중국은 를식별자로사용하기위한할당및관리에대한지침을제공하는신규권고안의개발을제안하였으나 기존 과의차별성에대한분석이필요하다는의견에따라차기회의까지결정을유보하기로함 ( 정보보호관리체계 (X.1051) 국제표준개정논의 ) 한국과일본에서제안한기고서를기반으로 목차와유사한 개정문서를개발 함 본국제표준은 국제표준과공통표준으로개발하고있음 특히 한국은개요에 개정에따른철학의변화를설명하기위한수정목차를제안 일본은 국제표준은정보보호관리체계 를참조하지만 에서는 수립자체보 다는통신조직의 에사용되는통제항목을대상으로하고있어 목차는그대로두고대신내용설명을 수정할것을제안 한국과일본제안에따라 기존 과신규 간에비교표를개발하였으며 이를 에송부함 (X.cc-control( 클라우드컴퓨팅보안통제 ) 관련수정안채택 ) 본표준초안은 프로젝트와공동표준으로개발하고있음 이번회의에서는 에서개발된 문서에대해한국과일본에서표준초안전체적인구조에대한 코멘트를작성함 ( 모바일 ID 관리표준화 ) 부속서제안에대한논의 한국주도로개발되었던모바일 관리기술은지난연구회기에서 으로추진하였으나 일부 국가들의반대로보류됨 ITU-T SG17 ( 정보보호분야 )Ⅰ101

102 따라서이번회의에서독립적인표준이아닌부속서 로추진하였으나 이전에제기되었던문제 등 해결없이 부속서채택도불가능하다고논의됨 한국은본이슈에대해더이상추진할의사가없음을표명하였으며 작업목록에서삭제하기로최종 합의함 ( 신규표준화아이템제안결과 ) 강화된이용자인증을위한속성바인딩 연령검증기술 표준화제안 각연령에적정한콘텐츠나서비스를제공하기위해서는속성바인딩을통한강화된인증방식이필요하나 일부국가에서는이용자와관련된속성사용이개인정보와연관될수있다는우려가있어 추가적인분석 을요청함 또한 에대한속성바인딩이프라이버시침해와관련있는지여부와 관리표준화와중복성이없는지 차기회의에서다시금논의하기로함 현재인터넷상에서유해정보차단및안전한이용자환경을제공하기위해강화된인증기술에대한계속 적인연구와국제적인협력이요구되는것은모두공감함 향후 과 관리 합동회의를통해지속적으로본이슈를다루기로함 러시아에서어린이의안전을보장하는안전한웹사이트구축및방법에대한가이드라인을제안하였으 나 이것또한추가적인분석을통해재제안하기로함 ( 신규표준화아이템제안결과 ) 악성코드상세설명교환포맷관련표준화제안 권고안에서정의된정보공유주체들간의악성코드에대한상세정보를교환하기위한데이터포맷 과 스키마등에대한신규표준과제를제안함 이번 회의에서해당신규표준과제를심도깊게검토하였으며 미국에서추진하고있는표준초안 에서악성코드분석정보교환스키마를다루고있으며 표준화기구에서이미진행하고있는 와도중복성이제기됨 향후 대상기술을좀더구체화하고 와 의기술내용과의차별성을면밀히분석하여 차기회의에서다시논의하기로함 ( 신규표준화아이템제안결과 ) 통신을위한보안프로토콜신규과제제안 일본에서제안한 통신을위한부분암호화기반보안프로토콜신규과제미채택 102Ⅰ2013 년도 ITU-T 표준화활동결과보고서

103 미국 등 에서신규표준화아이템에포함된암호프로토콜이 표준화로추진되기에부적 절하며 에서추진하는것이적합하다는의견제시 영국은 기술은키관리에문제가많기때문에 과같이수많은디바이스간의보안통신을위해 서는적합하지않다고의견제시 일본은부분암호화및 기술을이용한보안통신프로토콜을제안하였지만 기술의경우사용 가능한하나의프로토콜이며 다른프로토콜로대체가능하다고주장 한국은미국및영국에서제안한기술적문제에동의하였으며 차기회의에서현재 들에서개발 중인서비스모델 등 에적용가능한보안프로토콜제안을요청함 회의결과 신규아이템으로미채택되고 차기회의에서상기문제들을해결하는것으로합의됨 ITU-R SG17 회의제출기고서 ( 기고서 : 부록 SG17 국제회의제출기고서 참조 ) ITU-T SG17 ( 정보보호분야 )Ⅰ103

104

105 2013 년도표준화활동결과보고서 제 4 장 ITU-T SG17 회람문서검토결과 ANSI

106

107 회람문서검토결과 1 2 문서번호 회람시작일 마감일 회람성격 권고및연구과제번호 제정 제정 제목주요내용국내의견 국문 스마트폰보안 영문 국문 다중아이덴티티서비스제공자환경에서결합인증을위한일반프레임워크 영문 본표준안은스마트폰에서의정보보안및이용자개인정보보호를위한방안들을기술하고있다 주요내용으로는스마트폰에서의보안위협을식별하고 해당보안위협에대응하기위한계층적보안프레임워크정의 보안프레임워크기반의보안요구사항정의및스마트폰을위한보안솔루션등을명시하고있다 검토결과 반영결과 년 월 회의를통해타국가에서제기한승인및문제들을반영하였기때회신 문에본권고안제정에대해찬성 본표준안은다중아이덴티티서비스제공자환경에서효과적인인증방식사용을위한결합인증의프레임워크를기술하고 기본적으로본권고안의승인및있다 제정에이견없음회신 주요내용으로는결합인증방식의타입 다중 환경에서인증모델 운영 일반프레임워크를기술하고있음

108 3 4 문서번호 회람시작일 마감일 회람성격 권고및연구과제번호 제정 제정 X.1544 (X.capec) 제목주요내용국내의견 국문 오픈취약점및평가언어 영문 국문 공통공격패턴목록및분류 영문 본표준안은정보보안콘텐츠와정보공유를위한오픈취약점및평가언어사용에대하여기술하고있다 주요내용으로는 단계의평가프로세스 테스팅구성정보표현 특정시스템의취약점상태를점검하기위한분석 평가결과의보고 로구현된스키마 언어를저장하는 레퍼지토리등을명시하고있다 기본적으로본권고안의제정에대해찬성 검토결과 반영결과 승인및미회신 본표준안은공격패턴의및미회신 목록 정의 설명을위한 기반의기술 규격을정의하고있다 기본적으로본권고안의승인 스키마정의 제정에대해찬성 주요내용으로는일반적인 공격패턴의목록 공격 패턴을표현하는스키마 와분류기법을명시하 고있다

109 반영결과 총회에상정 월회의 5 6 문서번호 회람시작일 마감일 7 8 회람성격 표준승인을총회에위임결정 제정 표준승인을총회에위임결정 제정 표준승인 제정 표준승인 제정 권고및연구과제번호 제목주요내용국내의견 국문 사이버보안지수가이드라인 영문 국문 신상관리정보를조회하는프레임워크 영문 국문 를구축하기위한기술적보안가이드라인 영문 국문 바이오인식기반원격의료보안프레임워크 영문 사이버보안지수개발필요성 사이버보안지수생성과정 우리나라국가정보보호지수지표를모두반영한 가지사이버보안지표제시 서로연동되는 에대한사용자의신상관리정보를공유하고조회하는아키텍쳐를정의함 를구축함에있어서필요한기술적보안대책을세종류의컴포넌트 즉네트워크장치 라우터 스위치등 서버 클라이언트장치 단말 서버등 보안장비 등 를중심으로정의 검토결과 한국정보보호지수를반영한국제사이버보안지수국제표준개발필요하다는입장임 승인및 지난 월회의에서회신 된이문서를국제표준을최종채택추진중 국내환경에서문제되는승인및부분이없어국제표준채미회신택에찬성함 우리나라는본권고안의승인및제정에대해이견없이미회신원안대로찬성 원격의료에서발생할수있는보안위협을정의하 한국주도로개발된권고승인및고 통합프레임워크에서로적극찬성미회신바이오정보의안전한전

110 반영결과 문서번호 회람시작일 마감일 회람성격 표준승인 제정 표준승인 제정 표준승인 개정 표준승인 개정 권고및연구과제번호 제목주요내용국내의견 송대처방안정의 국문 기반의부인방지프레임워크 영문 국문 갱신형 서비스및콘텐츠보호를가상머신기반의보안플랫폼 영문 국문 기본언어 영문 국문 언어의 확장 구성과배치의지원 영문 거래객체간의신뢰성을제공하기위한일회용비밀번호기반의부인방지프레임워크를제공함 서비스에서콘텐츠보호를위한방법으로가상머신기반의갱신형보안플랫폼의표준을제안하는것으로 세부적인코드다운로드 실행 제어및소멸의전주기를다루고있음 플랫폼 시험방법 프로토콜계층그리고프로토콜에독립적인시험스위트의명세를위한언어인 시험및시험제어언어 을정의함 의구성과배치를지원하는패키지를정의함 검토결과 한국에서개발한표준안으승인및로승인에대해추가적인미회신의견은없음 한국에서개발한표준안으승인및로승인에대해추가적인미회신의견은없음 우리나라는본권고의개승인및정에대한특별한이견미회신없음 우리나라는본권고의개승인및정에대한특별한이견미회신없음

111 반영결과 문서번호 회람시작일 마감일 회람성격 표준승인 개정 표준승인 개정 표준승인 개정 표준승인 개정 권고및연구과제번호 제목주요내용국내의견 국문 언어의 확장 고급파라미터사용 영문 고급파라미터사용패키 지를정의함 국문 언어의 확장 행위유형 영문 의행위유형패키지를정의함 은다양한통신포트위로동작하는모든유형의반응적시스템 의시험에사용될수있음 국문 실행인터페이스 실시간인터페이 영문 스의명세를제공함 국문 언어의 확장 영문 의확장 패키지를정의함 패키지는 기본언어에필수적이지않거나 의인터페이스에있는추가적인 개념들을정의함 검토결과 우리나라는본권고의개승인및정에대한특별한이견미회신없음 우리나라는본권고의개승인및정에대한특별한이견미회신없음 우리나라는본권고의개승인및정에대한특별한이견미회신없음 우리나라는본권고의개승인및정에대한특별한이견미회신없음

112 반영결과 문서번호 회람시작일 마감일 회람성격 표준승인 개정 표준승인 개정 표준승인 개정 표준승인 개정 권고및연구과제번호 제목주요내용국내의견 국문 제어인터페이스 영문 국문 에서 의사용방법 영문 국문 로부터 로의매핑 영문 국문 데이터정의 로부터 로의매핑 영문 시험시스템구현을위한제어인터페이스를정의함 권고안 와 에서정의된 을 와함께사용하는공식적인방법을정의함 다른언어들의 와의조화는이권고안어세다루어지지않음 기반의시스템의시험을가능하게하기위하여 로부터 로의매핑규칙을정의함 기반의시스템 인터페이스및프로토콜의시험이가능하도록 스키마의 로의매핑규칙을정의함 본수정권고안은현행 검토결과 우리나라는본권고의개승인및정에대한특별한이견미회신없음 우리나라는본권고의개승인및정에대한특별한이견미회신없음 우리나라는본권고의개승인및정에대한특별한이견미회신없음 우리나라는본권고의개승인및정에대한특별한이견미회신없음

113 반영결과 문서번호 회람시작일 마감일 회람성격 표준승인 개정 표준승인 제정 표준승인 제정 권고및연구과제번호 제목주요내용국내의견 국문 문서화 코멘트명세 영문 국문 를구축하기위한기술적보안가이드라인 영문 국문 확장성접근제어확장언어 영문 에대한수정 설명 정정을포함함 특수한문서화코멘트를사용하는 소스코드의문서화방법을정의함 본수정권고안은현행 에대한수정 설명및정정을포함함 를구축함에있어서필요한기술적보안대책을세종류의컴포넌트 즉네트워크장치 라우터 스위치등 서버 클라이언트장치 단말 서버등 보안장비 등 를중심으로제공 은개발자들이웹을통해사용자들이어떤리소스에접근할수있는지를결정하는정책들을기술할수있도록접근제어언어와요구 응답언어를정의하며 은 의기능개선및신규기능추가 검토결과 우리나라는본권고의개승인및정에대한특별한이견미회신없음 우리나라는본권고안의승인및제정에대해이견없이미회신원안대로찬성 표준이인터넷기술의발전과더불어편승인및리성을위하여기능개선미회신및추가한것이므로표준제정을찬성

114 반영결과 문서번호 회람시작일 마감일 24 회람성격 표준승인 개정 권고및연구과제번호 제목주요내용국내의견 국문 명세기술언어 을위한통합모델링언 어 프로화일 영문 에서개발된 언어와통합모델링언어 을함께사용가능하도록하기위해 과 언어간상호맵핑에대한프로화일을기술하고있음 검토결과 기존에전기통신시스템의구조와세부동작을명확하게기술하기위한명세언어로사용되어왔고 국내에서도 을이용한승인및교환기시스템등을개발미회신한바있음 권고개정작업에대해국가차원의이해관계이슈는없는것으로여겨짐

115 2013 년도표준화활동결과보고서 제 5 장 ITU-T SG17 연구반회의및워크숍개최결과 ANSI

116

117 회의개최내역 회의차수일시장소참가자수주요회의안건 차 금 차 화 차 수 목 중회의실 제 회의실 용인한화콘도 명 명 명 년도 연구반활동계획서 국제회의 월 참가준비 검토결과보고 표준화성과보고서원고작성 국제회의 월 참가준비 검토보고 년도 연구반활동보고서 국제회의 월 참가준비 회의결과 가 제 차회의결과 전차회의록검토및승인 원안대로접수함 년도한국 연구위원회관련문서포맷설명 김효진선임 국제회의참가계획서및기고서제출양식등향후변경된양식을준수하기로함 검토결과보고 안건은찬성으로회신하기로함 단순한찬성은회신이불필요할것으로사료되나 향후한국에서에디터쉽을가지고있거나국내주도표준초안과연계된것은회신하기로함 회신사유는 김미주주임 임형진책임 준비하기로함 년도 연구반활동계획서보고 우선순위권고안검토담당자선정 담당자변경 김정덕교수 오경희대표 NO. ITU 권고 / 보고서번호 1 X.sgsm 권고명 중소기업정보통신조직을위한정보보호관리지침 Information security management guidelines for small and medium telecommunication organizations 담당그룹 (WP) WP1 연구위원 오경희 2 X.csmc CYBEX 기술사용을위한연속적인보안감시 WP2 김종현 ITU-T SG17 ( 정보보호분야 )Ⅰ117

118 3 X.cybex-tp 4 X.sisnego 5 X.fsspvn 6 X.goscc 7 X.sfcse 8 X.tif Continuos security monitoring using CYBEX techniques 사이버보안정보교환을위한전송프로토콜 Transport protocols supporting cybersecurity information exchange 보안정보공유협약프레임워크 Framework of security information sharing negotiation 가상화네트워크를위한안전한서비스플랫폼프레임워크 Framework for a secure service platform for virtual network 클라우드컴퓨팅을위한운영적인보안지침 Guidelines of operational security for cloud computing 소프트웨어서비스응용환경을위한보안기능요구사항 Security functional requirements for Software as a Service (SaaS) application environment e-헬스와텔레메디슨에서바이오인식정보보호를위한단일프레임워크 Integrated framework for telebiometric data protection in e-health and worldwide telemedicines WP2 WP2 WP3 WP3 WP3 WP4 김종현김종현박종열박종열박종열신용녀 권고및국내표준비교검토담당자선정 NO. ITU 권고 / 보고서번호 1 X X.1570 권고명 공통플랫폼목록 Common platform enumeration 사이버보안정보교환을위한검색메커니즘 Discovery mechanisms in the exchange of cybersecurity information 담당그룹 (WP) WP2 WP2 연구위원 김미주 김미주 등급이슈표준화정책보고서담당자선정 분야 클라우드컴퓨팅보안 담당자 박종열팀장 ( 향후, 클라우드컴퓨팅보안분야전문가를추가하기로함 ) 향후일정 사무국에서양식및안내예정 국제회의 제네바 참가계획논의 국제회의일정 회의명일시장소 SG ~04.26 스위스제네바 국가대표단구성 안 명 소 속 직위 성명 담당업무 비고 순천향대 교수 염흥열 SG17 수석대표업무수행사이버보안등기고발표및대응 수석대표 ETRI 전문위원 나재훈 Q.7( 응용보안 ) 라포처수임차세대웹보안, 인증기술기고발표 교체수석 ETRI 팀장 박종열 클라우드컴퓨팅보안기고발표및대응 118Ⅰ2013 년도 ITU-T 표준화활동결과보고서

119 소 속 직위 성명 담당업무 비고 ETRI 선임 김종현 Q.4( 사이버보안 ) 부라포처수입사이버보안기고발표및대응 한양사이버대 교수 신용녀 Q.9( 텔레바이오인식 ) 부라포처수임모바일바이오기고발표및대응 KISA 선임 김미주 스마트그리드보안, 모바일앱보안기고발표및대응 KISA 팀장 백종현 Q.6( 통신서비스보안 ) 라포처수임 KISA 수석 김재성 e-헬스보안기고발표및대응 KISA 책임 이승재 e-헬스보안기고발표및대응 FSA 선임 김근옥 부인방지보안기고발표및대응 FSA 주임 송성현 원타임패스워드기고발표및대응 FSA 책임 임형진 금융침해보안기고발표및대응 TCA서비스 이사 오경희 Q.3( 보안관리 ) 부라포처수임 TTA 부장 김영화 국가대표단사무국총괄책임국가대표단및섹터멤버간의견조율 TTA 선임 오흥룡 Q.2( 보안관리 ) 부라포처수임차세대웹보안기고및발표국가대표단사무국실무담당 국가기고서 총 건 및섹터기고서 총 건 심의 No Q 작성자 기고서명 검토결과 1 1 염흥열 Assignment of default approval - 워크아이템 Q.8 Q.9 수정 procedures to Questions of SG 17 A proposal for the 2nd revised text for Recommendation ITU-T X.gpim, 2 3 변순정, 염흥열 Guideline for management of personally identifiable information for telecommunication organizations - 특이사항없음 3 4 염흥열 A proposal for the 7th revised text of Recommendation ITU-T X.csi: - Appendix 번호수정 - determination 추진예정 Guidelines for cybersecurity index A proposal for the 7th revised text 4 4 염흥열 on draft Recommendation ITU-T X.eipwa: Guideline on techniques for preventing web-based attacks - 기고서제출연도수정 5 4 염흥열 6 4 김종현, 안개일 김미주, 윤미연, 손경호 김미주, 윤미연, 손경호 A proposal for the 7th revised text on draft Recommendation ITU-T X.trm: Overview of traceback mechanisms Proposal for the 2nd revised text on draft Recommendation ITU-T X.sisnego, framework of security information sharing negotiation Proposed revised text on draft Recommendation ITU-T X.sgsec-1: Security functional architecture for smart grid services using telecommunication network Proposed revised text on draft Recommendation ITU-T X.msec-8 : Secure application distribution framework for communication devices - 특이사항없음 - determination 추진예정 - 특이사항없음 절제목을풀네임으로수정 용어정의부분 : mobile application, communication device Scope 정의고려 : online application store, app store 용어선정고려 9 6 박종열, 김정태 The 6th revised text of - 기고서양식에 TD 번호삭제 ITU-T SG17 ( 정보보호분야 )Ⅰ119

120 No Q 작성자 기고서명 검토결과 Recommendation ITU-T X.iptvsec-8: Virtual machine based security platform for renewable IPTV SCP 김근옥, 심희원, 송성현 김근옥, 심희원, 송성현 6th draft text for Recommendation ITU-T X.sap-6: Non-repudiation framework based on a one time password Proposal of the 1st draft text for Recommendation ITU-T X.sap-9: Delegated non-repudiation architecture based on X 기고서기본양식 ( 저자, 날짜 ) 준수 - consent 추진예정 - 한글, 노란색마킹등모두수정 12 7 김근옥, 염흥열 A proposal for the baseline text for Recommendation ITU-T X.sap-8: - Summary, "use" 오타수정 Efficient multi-factor authentication mechanisms using mobile devices - 타이틀부분약어, X.sap-8 오타수정 and its baseline document 13 7 김태경, 임형진 Technical capabilities of fraud - 기고서내에 trace 기능추가해서 detection and response for services with high assurance level 수정된텍스트표기할것 - 각 part 별제목을추가할것 requirements Proposal for revised draft text of X.bhsm: Telebiometric 14 9 신용녀, 전명근 authentication framework using - 넘버링수정 biometric hardware security module 신용녀, 김재성 Second draft of a guideline to technical and operational countermeasure for telebiometric applications using mobile devices. - 기고서내에 trace 기능추가해서수정된텍트스표기할것 16 9 이승재 17 7 나재훈, 김태경 18 7 나재훈, 오흥룡 The 5th revised text for Draft Recommendation of X.tif: Integrated framework for telebiometric data protection in e-health and telemedicine Attribute binding for user authentication Proposal for the 1st revised text of Draft Recommendation ITU-T X.websec-5: Security architecture and operations for web mashup services - e-health 용어정의 Reference 검색 : 적합한용어가없을경우, WHO 정의를사용할것 - consent 추진예정 - 특이사항없음 - 섹터기고서로제출 - 특이사항없음 - 섹터기고서로제출 국외기고서검토담당자선정 염흥열교수 오흥룡 오경희대표 김종현선임 김미주선임 김미주선임 백종현팀장 나재훈전문위원 박종열팀장 신용녀교수 조상래선임 오흥룡 염흥열추가검토 120Ⅰ2013 년도 ITU-T 표준화활동결과보고서

121 향후일정 o 국가기고서제출일정 - 3월 25일 ( 월 ), 오전 : 국가기고서최종본제출 ( 한국ITU연구위원회 ( - 3월 27일 ( 수 ) : TTA 국립전파연구원 (RRA) 송부 - 4월 4일 ( 목 ) : 국립전파연구원 (RRA) ITU-T 제출예정 o 섹터기고서제출일정 - 4 월 4 일 ( 목 ) : ITU-T 직접제출 (tsbsg17@itu.int) o 국제회의참가등록 : 추후재공지예정 - 국립전파연구원에서국가대표단승인공문배포후, 개별적으로 ITU-T 홈페이지에등록 - 등록페이지 : 연구반 반원재구성논의 해촉대상 김정덕교수 이진태선임 이형우교수 확인요청 신규위촉 전명근교수 오경희대표 송성현주임 김영화부장 해촉위원의경우 추후다시위원으로위촉가능함 나 제 차회의결과 전차회의록검토및승인 원안대로접수함 검토결과보고 안건은찬성으로회신 회신안하기로함 향후한국에서에디터쉽을가지고있거나국내주도표준초안과연계된것은반드시찬성으로회신하기로함 회신사유에대한문건은염흥열반장이준비하기로함 표준화성과보고서원고작성 국제표준총 건에대한담당자를선정함 단 권고를개발한에디터에게 순위로연락을취하고 원고작성의사가없을경우 백업위원을임명 해서대응하기로함 ITU-T SG17 ( 정보보호분야 )Ⅰ121

122 122Ⅰ2013 년도 ITU-T 표준화활동결과보고서

123 국제회의 제네바 참가계획논의 국제회의일정 회의명일시장소 SG ~09.04 스위스제네바 국가대표단구성 안 명 소속직위성명담당업무비고 순천향대 교수 염흥열 SG17 수석대표업무수행사이버보안등기고발표및대응 ETRI 전문위원 나재훈 Q.7( 응용보안 ) 라포처수행차세대웹보안, 인증기술기고발표 ETRI 선임 김종현 Q.4( 사이버보안 ) 부라포처수행사이버보안기고발표및대응 한양사이버대 교수 신용녀 Q.9( 텔레바이오인식 ) 부라포처수행모바일바이오기고발표및대응 KISA 팀장 백종현 Q.6( 통신서비스보안 ) 라포처수행 KISA 수석 김재성 e-헬스보안기고발표및대응 FSA 주임 송성현 원타임패스워드기고발표및대응 FSA 책임 임형진 금융침해보안기고발표및대응 TCA서비스 이사 오경희 Q.3( 보안관리 ) 부라포처수행 서울신학대학교 교수 김태경 차세대인증기술신규아이템제안 Q.2( 보안관리 ) 부라포처수행 TTA 선임 오흥룡 차세대웹보안기고및발표 국가대표단사무국실무담당 수석대표 교체수석 국가기고서 총 건 및섹터기고서 총 건 심의 No Q 작성자기고서명검토결과 1 3 염흥열, 변순정 2 4 염흥열 3 4 염흥열 4 4 염흥열 5 4 김종현, 김익균 A proposal for the 3rd revised text for Recommendation ITU-T X.gpim, Guideline for management of personally identifiable information for telecommunication organizations A proposal for the revised text of Recommendation ITU-T X.csi: Guidelines for cybersecurity index A proposal for the 8th revised text on draft Recommendation ITU-T X.eipwa: Guideline on techniques for preventing web-based attacks A proposal for the 8th revised text on draft Recommendation ITU-T X.trm: Overview of traceback mechanisms Common malware naming scheme and classification - Appendix A -> Appendix Ⅰ - 특이사항없음 - Supplement 추진계획없음 - 상황에따라 Supplement 로추진 - 신규아이템채택가능성에대해면밀히대응할것 ITU-T SG17 ( 정보보호분야 )Ⅰ123

124 No Q 작성자기고서명검토결과 6 6 염흥열 7 7 송성현, 김근옥 8 7 염흥열, 김근옥 9 7 김근옥, 송성현심희원 10 7 김태경, 임형진 11 7 임형진, 김태경 12 9 신용녀, 전명근 13 9 신용녀, 김재성 조상래, 나재훈진승헌 15 3 오경희 16 3 오경희 17 7 나재훈, 오흥룡 18 7 나재훈, 서대희김병두 19 7 김태경, 나재훈 A proposal for the revised Q.6/17 text Proposal of the 2nd draft text for Recommendation ITU-T X.sap-8: Efficient multi-factor authentication mechanisms using mobile devices - 목차, New work item 템플릿추가 - e-health" 키워드삭제 - 한중일확인후, 공동기고서제안 - Scope 부분에배경설명은 6절, 개요부분으로이동할것 - 6절넘버링, 7절제목확인후수정할것 - No.8 기고서를 base로하고, 본기고서는각절단위로제안 A proposal for the 2nd revised text confidence" 오타수정 for Recommendation ITU-T X.sap-8: - Appendix A, B -> Appendix Ⅰ, Ⅱ Efficient multi-factor authentication mechanisms using mobile devices - 영문제목은향후표준초안내용이확정되면변경을고려할것 and its baseline document Proposal of the 2nd draft text for Recommendation ITU-T X.sap-9: Delegated non-repudiation architecture based on X R3, R4: 영어내용점검 - Convention 정의확인 - No.11 기고서를 base로하고, 본 Technical capabilities of fraud detection and response for services 기고서는 Annex A 제안으로제목수정 with high assurance level - parts, architecture 적절한용어로 requirements 대체할것 , 정의수정 ( 길제정의될경우 note 처리할것 ) Technical capabilities of fraud 제목과내용이상이함 detection and response for services with high assurance level (Prevention Management 변경 ) Use cases 부분은 Appendix requirements 로이동 - Scope 내용보완 Proposal for revised draft text of - 변경된부분에추적기능추가필요 X.bhsm: Telebiomtric authentication - 6절제목에 "bio" 가중복되는데, framework using biometric hardware security module 문제가없는검토요망 Third draft of a guideline to technical and operational countermeasure for telebiometric applications using mobile devices - 모델 -13 추가 절, Smartphone 정의활용 - 그림에 KISA 로고삭제 Proposal for ITU-T X.1251 Supplemnt on baseline capabilities - 기고서발표는나재훈팀장이추진 - Supplement 추진실패시, 에디터 and mechanisms of IdM for mobile 공모를통해대응하기로함 applications and environment A proposal for revised structure of - X.1051 개정목차에대해, 필요시 ITU-T Recommendation X.1051 본문내용도추가 A comment on X.cc-control ISO/IEC text - 특이사항없음 A proposal for of X.xacml3 s Appendix V: Enhancements and - 제목수정 new features in XACML 3.0 Additional text of X.websec-5: Security architecture and operation - 내용보완후, 회람 for web mashup service Attribute binding for enhanced user authentication - New work item 템플릿추가 - 내용을축소해서 Age verification 관점으로추진 월, 회의결과언급 124Ⅰ2013 년도 ITU-T 표준화활동결과보고서

125 국외기고서검토담당자선정 염흥열교수 오흥룡 오경희대표 김종현선임 김미주선임 김미주선임 백종현팀장 나재훈전문위원 박종열팀장 신용녀교수 조상래선임 향후일정 o 국가기고서제출일정 - 7월 28일 ( 일 ) : 국가기고서최종본제출 ( 한국ITU연구위원회 ( - 7월 30일 ( 화 ) : TTA 국립전파연구원 (RRA) 송부 - 8월 14일 ( 수 ) : 국립전파연구원 (RRA) ITU-T 제출예정 o 섹터기고서제출일정 - 8 월 14 일 ( 수 ) : ITU-T 직접제출 (tsbsg17@itu.int) o 국제회의참가등록 : 추후재공지예정 - 국립전파연구원에서국가대표단승인공문배포후, 개별적으로 ITU-T 홈페이지에등록 - 등록페이지 : 연구반 반원재구성논의 해촉대상 길연희선임 김학일교수 변순정선임 안개일선임 미래부담당자변경 국립전파연구원에요청해서현행화하기함 해촉위원의경우 추후다시위원으로위촉가능함 다 제 차회의결과 전차회의록검토및승인 원안대로접수함 년도 연구반활동보고서보고 원안대로접수함 ITU-T SG17 ( 정보보호분야 )Ⅰ125

126 검토결과보고 한국주도로개발된 안건은찬성으로회신하기로하며 그외 건의표준초안은찬성을하되 회신은안하기로함 회신사유문구를작성 염흥열 하여 사무국에제출하기로함 회신사유없이찬성으로회신하기로함 국제회의 제네바 참가계획논의 국제회의일정 회의명일시장소 SG ~01.24 스위스제네바 국가대표단구성 안 명 소속직위성명담당업무비고 순천향대교수염흥열 SG17 수석대표업무수행사이버보안등기고발표및대응 순천향대연구원고재남 ITS 보안및 PIMS 관련기고서발표 순천향대연구원김태삼 ITS 보안기고서발표 ETRI 전문위원나재훈 Q.7( 응용보안 ) 라포처수행차세대웹보안, 인증기술기고발표 ETRI 선임이상우 ITS 보안관련신규표준제안 한양사이버대교수신용녀 KISA 선임서정준 Q.9( 텔레바이오인식 ) 부라포처수행모바일바이오기고발표및대응 스마트그리드보안및모바일앱보안관련기고서발표및대응 KISA 수석김재성모바일바이오보안기고발표및대응 FSA 주임송성현원타임패스워드기고발표및대응 FSA 선임김근옥 부인방지프레임워크기고발표및대응 FSA 본부장강우진금융보안및 OTP 보안기고서대응 TCA 서비스이사오경희 Q.3( 보안관리 ) 부라포처수행 X.1051 개정표준기고발표 서울신학대학교교수김태경차세대인증기술신규아이템제안 충북대학교교수전명근보안바이오토큰기고발표및대응 TTA 선임오흥룡 TTA 부장김영화 Q.2( 보안관리 ) 부라포처수행차세대웹보안기고및발표국가대표단사무국실무담당 국가대표단업무총괄지원 ITU-T 국제표준과 TTA 국내표준간에격차분석및대응 수석대표 교체수석 126Ⅰ2013 년도 ITU-T 표준화활동결과보고서

127 국가기고서 총 건 및섹터기고서 총 건 심의 No Q 작성자기고서명검토결과 1 3 염흥열, 고재남 2 3 오경희 3 4 염흥열 4 4 염흥열 염흥열, 고재남, 김태삼 서정준, 김미주박해룡 서정준김미주박해룡염흥열 8 6 이상우 9 7 강우진, 김근옥송성현 10 7 염흥열, 김근옥 11 7 김근옥, 송성현심희원 12 7 나재훈 13 9 김재성, 신용녀 14 9 신용녀, 전명근 A proposal for the 4th revised text for Recommendation ITU-T X.gpim, Guideline for management of personally identifiable information for telecommunication organizations A proposal for the 2nd draft text for Recommendation ITU-T X.1051-rev A proposal for the final revised text on draft Recommendation ITU-T X.trm (X.1210): Overview of source-based security troubleshooting mechanisms for Internet protocol-based networks A proposal for the 9th revised text on draft Recommendation ITU-T X.eipwa: Guideline on techniques for preventing web-based attacks Basic principles to study new security issues (e.g. security for ITS and SDN) Security functional architecture for smart grid services using the telecommunication network Secure application distribution framework for communication devices Proposal for studying the security guidelines for the V2X communication system A proposal for clause 7 and 8 in X.sap-8:Efficient multi-factor authentication mechanisms using mobile devices - 최종본제출기간까지에디토리얼수정예정 - 제안하는 Clause 넘버링수정 - 제안하는 Clause 분리해서제안 - 오타수정 - 특이사항없음 - Guideline 을 Guidance 변경에따라본분제목등수정 - Javascript 수정 - 부록 4 확인후수정필요 - 해당 Question 에 Q.2 추가 - FG Reference Architecture와 NIST Service domains 비교는부록으로수정 - Consent 시기를 월연기 - 모든에디터노트해결이필요 - 일본과합의된결과를기반으로명확하게역할정리가필요 - 9절을보강해서기고서제출 - Source : Korea(Republic of.) 수정 - 신규아이템발굴이요청될경우, 현지에서대응할것 - No.10 기고서와조율할것 - 7, 8 절부분만을기입해서제안할것 A proposal for the 3rd revised text for Recommendation ITU-T X.sap-8: - 제목수정을고려 Efficient multi-factor authentication - No.9 기고서와조율할것 mechanisms using mobile devices and its baseline document Proposal of the 3rd draft text for Recommendation ITU-T X.sap-9: Delegated non-repudiation architecture based on ITU-T X.813 Proposal for supplement to X.1144 Enhancements and new features in XACML 3.0 Firth draft of a guideline to technical and operational countermeasure for telebiometric applications using mobile devices Proposal for revised draft text of X.bhsm: Telebiomtric authentication framework using biometric hardware security module 15 7 박종열 A proposal of new work item : A - 회의장에서제목 (Framework) 변경을고려할것 - Scope 마지막추가된문장수정 - 특이사항없음 - 위조지문관련반영고려 - 목차내에약어는풀네임으로표기할것 - 국가기고서로제출할경우, 서면으로검토예정 ITU-T SG17 ( 정보보호분야 )Ⅰ127

128 No Q 작성자기고서명검토결과 reference monitoring mechanism for anonymous analytic applications 16 7 Final text of draft Recommendation ITU-T X.websec-5: Security - Supplement 추진으로고려나재훈, 오흥룡 - 개요부분에 TSB 코멘트를 architecture and operations for web 반영했다는문구추가 mashup services for agreement 17 7 김태경, 나재훈 Child online protection - 심의받은섹터로제출할경우, 서면으로검토예정 국외기고서검토담당자선정 염흥열교수 오흥룡 오경희대표 김종현선임 서정준선임 서정준선임 백종현팀장 나재훈전문위원 박종열팀장 염흥열교수 신용녀교수 김태경교수 향후일정 o 국가기고서제출일정 - 12월 18일 ( 수 ) : 국가기고서최종본제출 ( 한국ITU연구위원회 ( - 12월 19일 ( 목 ) : TTA 국립전파연구원 (RRA) 송부 - 01월 02일 ( 목 ) : 국립전파연구원 (RRA) ITU-T 제출예정 o 섹터기고서제출일정 - 01 월 02 일 ( 목 ) : ITU-T 직접제출 (tsbsg17@itu.int) o 국제회의참가등록 : 추후재공지예정 - 국립전파연구원에서국가대표단승인공문배포후, 개별적으로 ITU-T 홈페이지에등록 - 등록페이지 : 년도 연구반활동계획서보고 원안대로접수함 128Ⅰ2013 년도 ITU-T 표준화활동결과보고서

129 연구반 반원재구성논의 업무변경에따른변경 김미주선임 서정준선임 미래부담당자변경 엄지현사무관 변상준사무관 본인확인후 해촉추진 송중석선임 조상래선임 신규위원위촉 이상우선임 해촉및변경위원의경우 추후다시위원으로위촉가능함 ITU-T SG17 ( 정보보호분야 )Ⅰ129

130 워크숍개최내역 행사명일시장소참가자수주요행사내용 연구반워크숍 수 목 용인한화콘도 명 국제회의 월 기고서발표 주요이슈및대응전략논의 워크숍개최결과 가 연구반워크숍프로그램 일정 ( 수 ) 14:00~18: ( 목 ) 09:30~13:00 안건항목 1. 개회 제목문서번호비고 2. 위원간인사 002/R2 3. 안건소개및채택 전차회의록검토및승인 5. 보고안건 5.1 SG17 제 16 차정기회의회의록보고 년도 SG17 연구반활동보고서보고 토의안건 6.1 Circular letter 52, 57 검토결과보고 - ITU-T X.1210, X.1243, X.1520, X.1526, X1546, X.1582, X.1600, X SG17 국제회의 (1/15~1/24, 제네바 ) 참가준비 - 제 1 부 - 국가대표단구성및국가기고서 ( 총 14 건 ) 심의등 저녁식사 (18:00~20:00) 아침식사 (08:00~09:30) 및회의준비 6.3 SG17 국제회의 (1/15~1/24, 제네바 ) 참가준비 - 제 2 부 - 국가기고서 ( 총 14 건 ) 및섹터기고서 ( 총 1 건 ) 심의등 년도 SG17 연구반활동계획서보고 SG17 연구반 - 반원재구성논의 ( 필요시 ) 7. 기타사항논의 8. 차기회의일정논의 9. 폐회 점심식사 (12:00~13:00) 130Ⅰ2013 년도 ITU-T 표준화활동결과보고서

131 2013 년도표준화활동결과보고서 부록 1 ITU-T SG17 회람문서검토의견서 ANSI

132

133 ITU-T SG17 ( 정보보호분야 )Ⅰ133

134 134Ⅰ2013 년도 ITU-T 표준화활동결과보고서

135 ITU-T SG17 ( 정보보호분야 )Ⅰ135

136 136Ⅰ2013 년도 ITU-T 표준화활동결과보고서

137 ITU-T SG17 ( 정보보호분야 )Ⅰ137

138 138Ⅰ2013 년도 ITU-T 표준화활동결과보고서

139 ITU-T SG17 ( 정보보호분야 )Ⅰ139

140 140Ⅰ2013 년도 ITU-T 표준화활동결과보고서

141 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름김재성소속 : 한국인터넷진흥원검토일 Recommendation X.1092 (X.tif) 번호 Recommendation Integrated framework for telebiometric data protection in e-health and telemedicines 제목 ( 영문 ) Recommendation 바이오인식기반원격의료보안프레임워크제목 ( 국문 ) AAP 단계 LC AR < 제정 > 주요경과 o '09 년 10 월 New work Item 채택 ( 한국 KISA 제안 ) o '13 년 04 월권고안승인 ( 에디터김재성, 한국 KISA, SG17 WP4) o 현재 AAP 진행중 ('2013 년 09 월마감예정 ) 본권고안은다음과같은내용을포함함. Recommendation o 원격의료에서바이오정보를보호하기위한프레임워크표준화내용요약 o 원격의료에서발생할수있는보안위협을정의하고, 통합프레임워크에서바이오정보의안전한전송을위한대처방안제시주요국입장본권고의제정에대하여캐나다측에선 SG16 의의료정보분과와중복문제를제기함. 본권고는 SG17 WP4/Q9 ToR 표준화활동범위내에서텔레바이오인식 우리나라입장 향후국내규격 제정필요성 기술을활용한의료보안에대한표준화로본권고의제정에대하여찬성 임. 상 검토의견 최근스마트폰에모바일원격의료서비스가활기를띄움에따라, 본권고를통해유무선텔레바이오정보통신환경에서의보안프레임워크를제시국내표준제정이함으로서자국의서비스에대한안전신뢰성보장에기여할수있음. 필요한이유및본권고는모바일원격의료서비스에대한기본적인보안대책을제시하고향후대응방안있으므로, 향후스마트폰을이용한환자 / 의료진등개인정보보호및서비스가입자인증기술로활용되는응용서비스에대하여연구개발및표준화추진예정임. 검토결과 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No ITU-T SG17 ( 정보보호분야 )Ⅰ141

142 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름김근옥소속 : 금융보안연구원검토일 Recommendation X.1156 (X.sap-6) 번호 Recommendation Non-repudiation framework based on a one time password 제목 ( 영문 ) Recommendation OTP 기반의부인방지프레임워크제목 ( 국문 ) AAP 단계 LC AR < 제정 > 주요경과 o 2011 년 4 월 New work Item 채택 ( 한국제안 ) o 2013 년 4 월권고안승인 ( 에디터김근옥, 심희원, 송성현, 한국 ) o 현재 AAP 진행중 (2013 년 6 월마감예정 ) 본권고안은거래객체간의신뢰성을제공하기위한일회용비밀번호기반의부인방지프레임워크를제공함. 또한본권고안은일회용비밀번호기반의부인방지서비스에대한보안요구사항뿐만아니라, 부인방지토큰을생성하기위한메커니즘도설명하고있음. 해당 Recommendation 권고안에서는 TTP 가송신사실을부인하는것을방지하기위한송신부인방지토큰과수신내용요약사실을부인하는것을방지하기위한수신부인방지토큰을생성및검증을수행함. 해당프레임워크에서는부인방지서비스를제공하기위한 4 가지서비스모델을제시하고있어서, 전자거래환경에맞는서비스모델의선택적적용이가능하게함. 해당표준안은지난 2012 년 9 월회의에서승인을추진하였으나, 이전회의에서승인을 주요국입장 선언하지않은이유로일본측이이의를제기하여, 이번 2013 년 4 월회의에서승인하기로 합의했음. 그렇기때문에이번 4 월회의에서는해당표준안을승인하는것에대한이견은 없음. 우리나라입장한국에서개발한표준안으로승인에대해추가적인의견은없음. 검토의견 향후국내규격제정필요성국내표준제정이필요한이유및향후대응방안검토결과 상해당권고안은국내전자금융거래환경에적용가능한서비스모델도포함하고있기때문에국내표준으로제정할계획임. 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No 142Ⅰ2013 년도 ITU-T 표준화활동결과보고서

143 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름박종열소속 : 한국전자통신연구원검토일 Recommendation X.1198 (X.iptvsec-8) 번호 Recommendation Virtual machine-based security platform for renewable IPTV service and content 제목 ( 영문 ) protection Recommendation 갱신형 IPTV 서비스및콘텐츠보호를가상머신기반의보안플랫폼제목 ( 국문 ) AAP 단계 LC AR < 제정 > o 2011 년 3 월 New work Item 채택 ( 박종열제안 ) 주요경과 o '13 년 04 월권고안승인 ( 에디터황용호 ( 한국, 삼성전자 ), 박종열 ( 한국, ETRI), SG 17/TD 0231) o 현재 AAP 진행중 ('13 년 06 월마감예정 ) 본표준안은 IPTV 서비스에서콘텐츠보호를위한방법으로가상머신기반의갱신형보 Recommendation 안플랫폼의표준을제안하는것으로, 세부적인코드다운로드, 실행, 제어및소멸의전내용요약주기를다루고있음. 특히 OTID 를포함한일회성인증기술을포함하여클론단말을감지하고, 불법적인사용에대한사후조치를취할수있는기술을포함함. IPTV 보안이슈는체계적으로이슈를만들어진행하였기에큰문제점이없으며, 일본은 주요국입장 국가적산업에적용하는입장에서신중하고, 유럽은관련표준에대해반대입장이나, 본 권고 X.iptvsec-8 문서는기술적표준이슈를명확히하고있어특별한반대의견이없음 검토의견 우리나라입장향후국내규격제정필요성국내표준제정이필요한이유및향후대응방안검토결과 이번회의를마지막으로최종승인절차를밟는것으로확정되어, 우리나라는이에대해별도대응할계획없음. 하해당사항없음 ( 이미국내표준존재 ) 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No ITU-T SG17 ( 정보보호분야 )Ⅰ143

144 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름강성원소속 : 카이스트 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) Z.161 Testing and Test Control Notation version 3: TTCN-3 core language TTCN-3: 기본언어 < 개정 > 주요경과 권고 내용요약 o '13 년 02 월개정작성채택 ((ETSI ES 제안 ) o '13 년 04 월개정안승인 (Q12/17(WP5/17) 라포쳐 Dieter HOGREFE, ETSI MTS) o 현재 AAP 진행중 ('13 년 07 월마감예정 ) 본권고안은플랫폼, 시험방법, 프로토콜계층그리고프로토콜에독립적인시험스위트의명세를위한언어인 TTCN-3 ( 시험및시험제어언어 3) 을정의함. 주요국입장각국에서는본권고의개정에대한특별한이견없음. 우리나라입장우리나라는본권고의개정에대한특별한이견없음. 검토의견 국내규격 ( 표준 ) 제정필요성국내표준제정이필요한이유및향후대응방안검토결과 하 국내표준제정이특별히시급하지않음. 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No 144Ⅰ2013 년도 ITU-T 표준화활동결과보고서

145 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름강성원소속 : 카이스트 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) Z Testing and Test Control Notation version 3: TTCN-3 language extensions: Configuration and deployment support TTCN-3: TTCN-3 언어의확장 : 구성과배치의지원 < 개정 > 주요경과 권고 내용요약 o '13 년 2 월개정작성채택 ((ETSI ES 제안 ) o '13 년 04 월개정안승인 (Q12/17(WP5/17) 라포쳐 Dieter HOGREFE, ETSI MTS) o 현재 AAP 진행중 ('13 년 07 월마감예정 ) 본권고안은 TTCN-3 의구성과배치를지원하는패키지를정의함. 주요국입장각국에서는본권고의개정에대한특별한이견없음. 우리나라입장우리나라는본권고의개정에대한특별한이견없음. 검토의견 국내규격 ( 표준 ) 제정필요성국내표준제정이필요한이유및향후대응방안검토결과 하 국내표준제정이특별히시급하지않음. 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No ITU-T SG17 ( 정보보호분야 )Ⅰ145

146 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름강성원소속 : 카이스트 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) Z Testing and Test Control Notation version 3: TTCN-3 Language Extensions: Advanced parameterization TTCN-3: TTCN-3 언어의확장 : 고급파라미터사용 < 개정 > 주요경과 o '13 년 02 월개정작성채택 ((ETSI ES 제안 ) o '13 년 04 월개정안승인 (Q12/17(WP5/17) 라포쳐 Dieter HOGREFE, ETSI MTS) o 현재 AAP 진행중 ('13 년 07 월마감예정 ) 권고 내용요약 본권고안은고급파라미터사용패키지를정의함. 주요국입장각국에서는본권고의개정에대한특별한이견없음. 우리나라입장우리나라는본권고의개정에대한특별한이견없음. 국내규격 ( 표준 ) 제정필요성 하 검토의견 국내표준제정이 필요한이유및 향후대응방안 검토결과 국내표준제정이특별히시급하지않음. 의견없이원안대로찬성 회신여부 Yes No 검토의견파일첨부 Yes No 146Ⅰ2013 년도 ITU-T 표준화활동결과보고서

147 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름강성원소속 : 카이스트 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) Z Testing and Test Control Notation version 3: TTCN-3 Language Extensions: Behaviour types TTCN-3: TTCN-3 언어의확장 : 행위유형 < 개정 > 주요경과 권고 내용요약 o '13 년 2 월개정작성채택 ((ETSI ES 제안 ) o '13 년 04 월개정안승인 (Q12/17(WP5/17) 라포쳐 Dieter HOGREFE, ETSI MTS) o 현재 AAP 진행중 ('13 년 07 월마감예정 ) 본권고안은 TTCN-3 의행위유형패키지를정의함. TTCN-3 은다양한통신포트위로동작하는모든유형의반응적시스템 (reactive systems) 의시험에사용될수있음. 주요국입장각국에서는본권고의개정에대한특별한이견없음. 우리나라입장우리나라는본권고의개정에대한특별한이견없음. 검토의견 국내규격 ( 표준 ) 제정필요성국내표준제정이필요한이유및향후대응방안검토결과 하 국내표준제정이특별히시급하지않음. 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No ITU-T SG17 ( 정보보호분야 )Ⅰ147

148 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름강성원소속 : 카이스트 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) Z.165 Testing and Test Control Notation version 3: TTCN-3 runtime interface (TRI) TTCN-3: TTCN-3 실행인터페이스 < 개정 > 주요경과 권고 내용요약 o '13 년 2 월개정작성채택 ((ETSI ES 제안 ) o '13 년 04 월개정안승인 (Q12/17(WP5/17) 라포쳐 Dieter HOGREFE, ETSI MTS) o 현재 AAP 진행중 ('13 년 07 월마감예정 ) 본권고안은 TTCN-3 실시간인터페이스의명세를제공함. 주요국입장각국에서는본권고의개정에대한특별한이견없음. 우리나라입장우리나라는본권고의개정에대한특별한이견없음. 검토의견 국내규격 ( 표준 ) 제정필요성국내표준제정이필요한이유및향후대응방안검토결과 하 국내표준제정이특별히시급하지않음. 의견없이원안대로찬성 회신여부 Yes No 검토의견파일첨부 Yes No 148Ⅰ2013 년도 ITU-T 표준화활동결과보고서

149 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름강성원소속 : 카이스트 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) Z The Testing and Test Control Notation version 3: TTCN-3 language extensions : Extended TRI TTCN-3: TTCN-3 언어의확장 : EXTendedTRI < 개정 > 주요경과 권고 내용요약 o '13 년 2 월개정작성채택 ((ETSI ES 제안 ) o '13 년 04 월개정안승인 (Q12/17(WP5/17) 라포쳐 Dieter HOGREFE, ETSI MTS) o 현재 AAP 진행중 ('13 년 07 월마감예정 ) 본권고안은 TTCN-3 의확장 TRI 패키지를정의함. TTCN-3 패키지는 TTCN-3 기본언어에필수적이지않거나 TRI and TCI 의인터페이스에있는추가적인 TTCN-3 개념들을정의함. 주요국입장각국에서는본권고의개정에대한특별한이견없음. 우리나라입장우리나라는본권고의개정에대한특별한이견없음. 검토의견 국내규격 ( 표준 ) 제정필요성국내표준제정이필요한이유및향후대응방안검토결과 하 국내표준제정이특별히시급하지않음. 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No ITU-T SG17 ( 정보보호분야 )Ⅰ149

150 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름강성원소속 : 카이스트 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) Z.166 Testing and Test Control Notation version 3: TTCN-3 control interface (TCI) TTCN-3: TTCN-3 제어인터페이스 < 개정 > 주요경과 권고 내용요약 o '13 년 02 월개정작성채택 ((ETSI ES 제안 ) o '13 년 04 월개정안승인 (Q12/17(WP5/17) 라포쳐 Dieter HOGREFE, ETSI MTS) o 현재 AAP 진행중 ('13 년 07 월마감예정 ) 본권고안은 TTCN-3 시험시스템구현을위한제어인터페이스를정의함. 주요국입장각국에서는본권고의개정에대한특별한이견없음. 우리나라입장우리나라는본권고의개정에대한특별한이견없음. 검토의견 국내규격 ( 표준 ) 제정필요성국내표준제정이필요한이유및향후대응방안검토결과 하 국내표준제정이특별히시급하지않음. 의견없이원안대로찬성 회신여부 Yes No 검토의견파일첨부 Yes No 150Ⅰ2013 년도 ITU-T 표준화활동결과보고서

151 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름강성원소속 : 카이스트 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) Z.167 Testing and Test Control Notation version 3: Using ASN.1 with TTCN-3 TTCN-3: TTCN-3 에서 ASN.1 의사용방법 < 개정 > 주요경과 권고 내용요약 o '13 년 02 월개정작성채택 ((ETSI ES 제안 ) o '13 년 04 월개정안승인 (Q12/17(WP5/17) 라포쳐 Dieter HOGREFE, ETSI MTS) o 현재 AAP 진행중 ('13 년 07 월마감예정 ) 본권고안은 ASN.1 as defined in 권고안 ITU-T X.680, ITU-T X.681, ITU-T X.682 와 ITU-T X.683 에서정의된 ASN.1 을 TTCN-3 와함께사용하는공식적인방법을정의함. 다른언어들의 TTCN-3 와의조화는이권고안어세다루어지지않음. 주요국입장각국에서는본권고의개정에대한특별한이견없음. 우리나라입장우리나라는본권고의개정에대한특별한이견없음. 검토의견 국내규격 ( 표준 ) 제정필요성국내표준제정이필요한이유및향후대응방안검토결과 하 국내표준제정이특별히시급하지않음. 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No ITU-T SG17 ( 정보보호분야 )Ⅰ151

152 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름강성원소속 : 카이스트 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) Z.168 Testing and Test Control Notation version 3: TTCN-3 mapping from CORBA IDL TTCN-3: CORBA IDL 로부터 TTCN-3 로의매핑 < 개정 > 주요경과 권고 내용요약 o '13 년 02 월개정작성채택 ((ETSI ES 제안 ) o '13 년 04 월개정안승인 (Q12/17(WP5/17) 라포쳐 Dieter HOGREFE, ETSI MTS) o 현재 AAP 진행중 ('13 년 07 월마감예정 ) 본권고안은 CORBA 기반의시스템의시험을가능하게하기위하여 CORBA IDL 로부터 TTCN-3 로의매핑규칙을정의함. 주요국입장각국에서는본권고의개정에대한특별한이견없음. 우리나라입장우리나라는본권고의개정에대한특별한이견없음. 검토의견 국내규격 ( 표준 ) 제정필요성국내표준제정이필요한이유및향후대응방안검토결과 하 국내표준제정이특별히시급하지않음. 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No 152Ⅰ2013 년도 ITU-T 표준화활동결과보고서

153 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름강성원소속 : 카이스트 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) Z.169 Testing and Test Control Notation version 3: TTCN-3 mapping from XML data definition TTCN3: XML 데이터정의로부터 TTCN-3 로의매핑 < 개정 > 주요경과 권고 내용요약 o '13 년 02 월개정작성채택 ((ETSI ES 제안 ) o '13 년 04 월개정안승인 (Q12/17(WP5/17) 라포쳐 Dieter HOGREFE, ETSI MTS) o 현재 AAP 진행중 ('13 년 07 월마감예정 ) ITU-T Z.169 는 XML-기반의시스템, 인터페이스및프로토콜의시험이가능하도록 W3C 스키마의 TTCN-3 로의매핑규칙을정의함. 본수정권고안은현행 ITU-T Z.169 에대한수정, 설명, 정정을포함함. 주요국입장각국에서는본권고의개정에대한특별한이견없음. 우리나라입장우리나라는본권고의개정에대한특별한이견없음. 검토의견 국내규격 ( 표준 ) 제정필요성국내표준제정이필요한이유및향후대응방안검토결과 하 국내표준제정이특별히시급하지않음. 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No ITU-T SG17 ( 정보보호분야 )Ⅰ153

154 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름강성원소속 : 카이스트 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) Z.170 Testing and Test Control Notation version 3: TTCN-3 documentation comment specification TTCN-3: TTCN-3 문서화코멘트명세 < 개정 > 주요경과 권고 내용요약 o '13 년 02 월개정작성채택 ((ETSI ES 제안 ) o '13 년 04 월개정안승인 (Q12/17(WP5/17) 라포쳐 Dieter HOGREFE, ETSI MTS) o 현재 AAP 진행중 ('13 년 07 월마감예정 ) ITU-T Z.170 는특수한문서화코멘트를사용하는 TTCN-3 소스코드의문서화방법을정의함. 본수정권고안은현행 ITU-T Z.170 에대한수정, 설명및정정을포함함. 주요국입장각국에서는본권고의개정에대한특별한이견없음. 우리나라입장우리나라는본권고의개정에대한특별한이견없음. 검토의견 국내규격 ( 표준 ) 제정필요성국내표준제정이필요한이유및향후대응방안검토결과 하 국내표준제정이특별히시급하지않음. 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No 154Ⅰ2013 년도 ITU-T 표준화활동결과보고서

155 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름송중석소속 : 한국과학기술정보연구원검토일 Recommendation X.1037 (X.ipv6-secguide) 번호 Recommendation Technical security guideline on deploying IPv6 제목 ( 영문 ) Recommendation IPv6 를구축하기위한기술적보안가이드라인제목 ( 국문 ) AAP 단계 LC AR < 제정 > o '11 년 4 월 New work Item 채택 ( 일본 NICT/KDDI 제안 ) 주요경과 o '13 년 04 월권고안승인 ( 에디터 Masashi Eto( 일본, NICT), Koji Nakao( 일본, KDDI/NICT), SG 17 / TD 0256 Rev.3) o 현재 AAP 진행중 ('13 년 10 월마감예정 ) 본권고안은 IPv6 를구축함에있어서필요한기술적보안대책을세종류의컴포넌트, 즉네트워크장치 ( 라우터, 스위치등 ), 서버 / 클라이언트장치 ( 단말, HDCP 서버등 ), 보안장 Recommendation 비 (IDS, FW 등 ) 를중심으로제공함. 본권고안의목적은 IPv6 도입을계획하고있는기업내용요약네트워크관리자에게기술적인보안가이드라인을제공하고, 이를통해기업의 IPv6 네트워크상에존재하는보안상위험요소를경감하는것임. 주요국입장대부분국가들은본권고안의제정에대해별다른이견없이원안대로찬성. 검토의견 우리나라입장향후국내규격제정필요성국내표준제정이필요한이유및향후대응방안검토결과 우리나라는본권고안의제정에대해이견없이원안대로찬성하국내표준화를당장추진할필요는없으나, 국내의 IPv6 에대한수요가커졌을시에는재고려하여추진할필요가있음의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No ITU-T SG17 ( 정보보호분야 )Ⅰ155

156 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름나재훈소속 : ETRI 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) X.1144 (X.xacml3) extensible Access Control Markup Language (XACML) 3.0 확장성접근제어확장언어 3.0 < 제정 > o '11 년 4 월 New work Item 채택 (OASIS 제안 : 연락문서 ) 주요경과 o '13 년 9 월권고안승인 ( 에디터 Abbie Barbir, Jaehoon Nah, 카나다 /Bank of America, 한국 /ETRI 국가, SG 17) o 현재 AAP 진행중 ('13 년 10 월마감예정 ) XACML(eXtensible Access Control Markup Language) 은 SAML(Security Assertion Markup Language) 과함께주로사용되며 XML 기반으로되어있어다양한시스템들사이에서리소스 권고 내용요약 주요국입장 접근제어정책 (Access Control Policy) 를기술하는표준이다. XACML 은개발자들이웹을통해사용자들이어떤리소스에접근할수있는지를결정하는정책들을기술할수있도록접근제어언어와요구 / 응답언어를정의하며, XACML3.0 은 XACML2.0 의기능개선및신규기능추가함. 주요국가들은제안표준이인터넷기술들의발전으로 XACML2.0 의후속으로제정에대한필요성인식 검토의견 우리나라입장국내규격 ( 표준 ) 제정필요성국내표준제정이필요한이유및향후대응방안검토결과 XACML3.0 표준이인터넷기술의발전과더불어편리성을위하여기능개선및추가한것이므로표준제정을찬성상기표준된 XACML 3.0(TTAI.OT _R2) 단체표준개정필요. 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No 156Ⅰ2013 년도 ITU-T 표준화활동결과보고서

157 ITU-T AAP(Alternative Approval Process) 국내검토의견서 검토자이름강신각소속 : 한국전자통신연구원 검토일 권고번호권고제목 ( 영문 ) 권고제목 ( 국문 ) Z.109 Specification and Description Language - Unified modelling language profile for SDL-2010 (Summary) 명세기술언어 (SDL) - SDL-2010 을위한통합모델링언어 (UML) 프로화일 < 개정 > o '99 년 11 월 Z.109 제정 o '07 년 06 월 Z.109 개정 주요경과 o '12 년 04 월 Z.109 개정 o '13 년 08 월개정작성채택 ((Alexander Kraas(SDL Forum Society) 제안 ) o '13 년 09 월개정안승인 ( 에디터 Thomas Weigert, SG 17 WP5) o 현재 AAP 진행중 ('13 년 10 월마감예정 ) ITU-T Z.109 권고는 ITU 에서개발된 SDL 언어와통합모델링언어 (UML) 를함께사용가능하도록하기위해 권고 내용요약 UML 과 SDL-2010 언어간상호맵핑에대한프로파일을기술하고있음. 본권고는 UML 과 SDL-2010 언어 간맵핑방법에대해기술하고있는참조메뉴얼문서로적용되고있으며, 이전 SDL, UML 버전의사용을대 체하는권고임. 본권고는전기통신시스템의구조및동작과사용되는데이터를명세하고자할때사용됨 주요국입장 SDL 언어는전통적으로전기통신시스템의구조와세부동작을명확하게기술하기위해사용되어온명세언 어로본권고개정에특별한입장을표명하지는않음. 기존에전기통신시스템의구조와세부동작을명확하게기술하기위한명세언어로사용되어 왔고, 국내에서도 SDL 을이용한교환기시스템등을개발한바있음. 최근마켓에서사용되 검토의견 우리나라입장 국내규격 ( 표준 ) 제정필요성 고있는 UML 과 SDL 최신버전을적용하기위해기존권고를개정하는작업이므로특별한이슈는없는것으로보이며, 권고개정작업에대해국가적차원의이해관계이슈는없는것으로여겨짐. 중 최근에통신시스템개발에있어 SDL, UML 도구를사용하는경우가크게보고되지않고있는국내표준상황이나 UML 과 SDL 을통신시스템설계시유용하게사용될수있는도구로향후여러분제정이야에서 UML-SDL 을함께사용하여통신시스템의구조및동작에관련된시스템이나프로토필요한이유및콜개발시에유용하게사용될수있는기술이므로국내표준으로제정하여산업체에제공하향후대응방안는방안을고려할필요가있음. 검토결과 의견없이원안대로찬성 회신여부 Yes No 검토의견 파일첨부 Yes No ITU-T SG17 ( 정보보호분야 )Ⅰ157

158

159 2013 년도표준화활동결과보고서 부록 2 ITU-T SG17 국제회의제출기고서 ANSI

160

161 ITU-T SG17 ( 정보보호분야 )Ⅰ161

162 162Ⅰ2013 년도 ITU-T 표준화활동결과보고서

163 ITU-T SG17 ( 정보보호분야 )Ⅰ163

164 164Ⅰ2013 년도 ITU-T 표준화활동결과보고서

165 ITU-T SG17 ( 정보보호분야 )Ⅰ165

166 166Ⅰ2013 년도 ITU-T 표준화활동결과보고서

167 ITU-T SG17 ( 정보보호분야 )Ⅰ167

168 168Ⅰ2013 년도 ITU-T 표준화활동결과보고서

169 ITU-T SG17 ( 정보보호분야 )Ⅰ169

170 170Ⅰ2013 년도 ITU-T 표준화활동결과보고서

171 ITU-T SG17 ( 정보보호분야 )Ⅰ171

172 172Ⅰ2013 년도 ITU-T 표준화활동결과보고서

173 ITU-T SG17 ( 정보보호분야 )Ⅰ173

174 174Ⅰ2013 년도 ITU-T 표준화활동결과보고서

175 ITU-T SG17 ( 정보보호분야 )Ⅰ175

176 176Ⅰ2013 년도 ITU-T 표준화활동결과보고서

177 ITU-T SG17 ( 정보보호분야 )Ⅰ177

178 178Ⅰ2013 년도 ITU-T 표준화활동결과보고서

179 ITU-T SG17 ( 정보보호분야 )Ⅰ179

180 180Ⅰ2013 년도 ITU-T 표준화활동결과보고서

181 ITU-T SG17 ( 정보보호분야 )Ⅰ181

182 182Ⅰ2013 년도 ITU-T 표준화활동결과보고서

183 ITU-T SG17 ( 정보보호분야 )Ⅰ183

184 184Ⅰ2013 년도 ITU-T 표준화활동결과보고서

185 ITU-T SG17 ( 정보보호분야 )Ⅰ185

186 186Ⅰ2013 년도 ITU-T 표준화활동결과보고서

187 ITU-T SG17 ( 정보보호분야 )Ⅰ187

188 188Ⅰ2013 년도 ITU-T 표준화활동결과보고서

189 ITU-T SG17 ( 정보보호분야 )Ⅰ189

190 190Ⅰ2013 년도 ITU-T 표준화활동결과보고서

191 ITU-T SG17 ( 정보보호분야 )Ⅰ191

192 192Ⅰ2013 년도 ITU-T 표준화활동결과보고서

193 ITU-T SG17 ( 정보보호분야 )Ⅰ193