목차 제1장개요 1. IoT 보안시험 인증절차 IoT 보안시험 인증기준구성... 7 제2장제출물검토기준 1. 보안요구사항준수명세서 (Security Requirement Specification) 제품사용설명서 (Manual)

KISA 안내 해설 KISA-GD-2017-0020 사물인터넷 (IoT) 보안 시험 인증기준해설서 LITE 2017. 12

목차 제1장개요 1. IoT 보안시험 인증절차... 6 2. IoT 보안시험 인증기준구성... 7 제2장제출물검토기준 1. 보안요구사항준수명세서 (Security Requirement Specification)... 10 2. 제품사용설명서 (Manual).... 11 제3장보안시험 인증기준 1. 인증 (AU, Authentication)... 14 1.1 사용자인증... 14 1.2 인증정보의안전한사용.... 16 1.3 기기인증... 18

사물인터넷 (IoT) 보안시험 인증기준해설서 LITE 2. 암호 (CR, Cryptography)... 19 2.1 안전한암호알고리즘사용.... 19 3. 데이터보호 (DP, Data Protection)... 21 3.1 전송데이터보호.... 21 3.2 저장데이터보호... 23 3.3 안전한세션관리... 24 4. 플랫폼보호 (PL, Platform Protection)... 25 4.1 소프트웨어보안.... 25 4.2 안전한업데이트.... 27 4.3 보안관리... 28 4.4 감사기록... 29 5. 물리적보호 (PH, Physical Protection)... 30 5.1 물리적인터페이스보호... 30

사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

제 1 장 개요 1. IoT 보안시험 인증절차 2. IoT 보안시험 인증기준구성

제 1 장 개요 이장에서는사물인터넷 (Internet of Things, 이하 IoT 라한다 ) 보안시험 인증을위해. 한국인터넷진흥원 ( 이하 KISA 라한다 ) 이시험을수행하고시험보고서를작성하는시험업무수행과정의주요절차및세부활동사항을명시한다. 1 IoT 보안시험 인증절차 신청 접수 / 계약시험인증 제출물및시험신청서제출 접수증발급시험일정협의 제출문서검토보안기능시험 시험결과검토인증서발급 계약체결 취약성시험 시험결과작성 시험 인증을받고자하는신청인은 IoT 보안시험신청서 와제출물 ( 시험대상 IoT 기기, 시험기준. 준수명세서, 제품기능설명서등 ) 을 KISA 에제출한다. 신청서및제출물에이상이없는경우시험신청접수증이발급되며, 시험일정협의를거쳐계약을체결한다. 계약체결후제출문서검토및보안기능시험을통해기준적합여부를평가하며, 필요시미흡한항목에대해신청인에게보완조치를요청한다. 시험기준을모두만족할경우결과보고서검토후인증서를발급한다. 6 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

2 IoT 보안시험 인증기준구성 IoT 보안시험 인증기준 ( 이하 시험기준 이라한다 ) 은 LITE 와 STANDARD 로구분되어있으며,. 본해설서에서는 LITE 에대해기술하고있다. LITE 는 IoT 기기에요구되는최소시험기준으로다음과같다. (1) 인증 유형 보안항목 사용자인증 AU1-1 AU1-2 시험기준 처음기기를사용할때인증정보를설정하도록요구하거나,. 초기인증정보를변경하도록요구해야한다. 관리서비스및중요정보접근시사용자신원을검증하기위해식별및. 인증기능이선행되어야한다. AU1-3 잘못된인증정보를통한반복된인증시도를제한해야한다. AU2-1 인증정보는하드코딩되거나평문으로저장되지않아야한다. 인증정보의안전한사용 AU2-2 인증을위한비밀번호입력시화면에노출되지않도록마스킹처리해야한다. AU2-3 인증실패시실패사유에대한피드백정보를제공하지않아야한다. 기기인증 AU3-1 기기는각각의고유식별정보를보유해야한다. (2) 암호 유형 보안항목 안전한암호알고리즘사용 시험기준 CR1-1 암호화시안전한암호알고리즘을사용해야한다. (3) 데이터보호 유형 보안항목 전송데이터보호 시험기준 DP1-1 기기간전송되는중요정보는암호화하여전송해야한다. DP1-2 알려진프로토콜기반으로통신채널생성시안전한보안모드를사용해야한다. 저장데이터보호 DP2-1 기기에저장되는중요정보는암호화해야한다. 안전한세션관리 DP4-1 세션연결후일정시간동안미사용시, 세션을잠그거나종료시켜야한다. 7

(4) 플랫폼보호 유형 보안항목 소프트웨어보안 시험기준 PL1-1 보안약점및보안취약점이존재하지않도록시큐어코딩을적용해야한다. PL1-2 기기에연동되는모바일앱개발시보안성을고려해야한다. PL1-3 앱분석방지를위해난독화를적용해야한다. 안전한업데이트 PL2-1 업데이트수행전인가된사용자여부를확인해야한다. PL2-2 업데이트실패시롤백기능을지원해야한다. PL3-1 불필요한서비스는제거하거나비활성화해야한다. 보안관리 PL3-2 원격관리는신뢰할수있는환경에서수행되어야한다. PL3-3 최신보안패치가적용된 3 rd party 라이브러리를사용해야한다. 감사기록 PL4-1 보안과관련된이벤트는감사기록을생성해야한다. (5) 물리적보호 유형 보안항목 물리적인터페이스보호 PH1-1 시험기준 불필요한외부인터페이스는비활성화하고, 필요시접근통제기능을지원해야한다. PH1-2 비인가자의내부포트접근을방지해야한다. 8 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

제 2 장 제출물검토기준 1. 보안요구사항준수명세서 (Security Requirement Specification) 2. 제품사용설명서 (Manual)

제 2 장 제출물검토기준 이장에서는 IoT 보안시험 인증을위해신청인이제출한제출물에대한검토기준에대해설명한다. 1 보안요구사항준수명세서 (Security Requirement Specification) SR.1 IoT 보안시험인증기준적용항목식별 - 시험대상 IoT 기기에적용된 IoT 보안시험인증기준항목체크 ( 표이용가능 ) -.. 제품보안기능시험및제출문서검토등을통해적용기준이정확한지확인하고, 누락된. 기준이존재하는지확인 SR.2 비적용사유식별 - 시험대상 IoT 기기에적용되지않은항목체크 ( 표이용가능 ) -.. 제품보안기능시험및제출문서검토등을통해비적용기준이적절한지확인하고, 적용이. 필요한경우기준적용요청 10 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

2 제품사용설명서 (Manual) MA.1 기기버전및구성요소식별 - 시험대상 IoT 기기를유일하게식별할수있는기기명과버전식별 - 시험대상 IoT 기기를구성하고있는구성요소 ( 하드웨어, 소프트웨어 ) 식별 - 기기버전및구성요소를정확하게식별하였는지확인 ( 외관, GUI/CLI 등 ) MA.2-1 기기주요기능설명 - 시험대상 IoT 기기에구현및제공되는보안기능설명 - 기기에구현되어서비스를제공하는보안기능이정확하게설명되었는지확인 - 누락된보안기능이있는경우, 설명서보완요청 MA.3-1 기기보안기능과관련된명령어및사용방법기술 - 안전한 IoT 기기운영을위한보안기능관련명령어식별 - 식별된명령어사용방법및효과설명 - 식별된명령어사용방법이정확한지확인 - 보안기능과관련된누락된명령어가존재하는경우, 설명서보완요청 11

MA.4 보안관련이벤트목록기술 -.. 시험대상 IoT 기기설치, 구동등기기운영간발생하는다양한이벤트 ( 에러메시지포함 ) 중. 보안과관련된이벤트목록식별 - 보안관련이벤트가모두식별되었는지확인 MA.5 기기보안을보장하는데필요한제품설정및환경요구사항 - 안전한 IoT 기기사용및운영을위한제품설정및환경요구사항설명 - 사용자가이해하기쉽게보안기능관련설정및환경요구사항을기술하고있는지확인 12 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

제 3 장 보안시험 인증기준 1. 인증 (AU, Authentication) 2. 암호 (CR, Cryptography) 3. 데이터보호 (DP, Data Protection) 4. 플랫폼보호 (PL, Platform Protection) 5. 물리적보호 (PH, Physical Protection)

제 3 장 보안시험 인증기준 이장에서는 IoT 보안시험 인증기준에대해설명한다. 1 인증 (AU, Authentication) 1.1 사용자인증 AU1-1 처음기기를사용할때인증정보를설정하도록요구하거나, 초기인증정보를변경하도록요구해야한다. -.. 초기인증정보를사용하지않는경우인증정보를새롭게설정하도록해야하며, 초기인증정보를사용하는경우초기인증정보입력후해당인증정보를변경할수있도록해야함 -.. 위항목은사용자가 IoT 기기의포장박스를개봉한후, 기기내사용자인증이필요한기능에처음접근을시도할때수행되어야하며, 초기인증정보를사용하는경우는해당시점에초기인증정보의입력후수행되어야함 -..IoT 기기의사용자인증이필요한기능을처음사용할때에는사용자가인증정보를설정하거나초기인증정보를변경하도록요구하는단계를거친후, 해당기능이사용가능하도록해야함 -.. 인증정보변경시초기혹은이전인증정보와동일한값으로설정할수없도록해야함 -.. 새로운 IoT 기기를시동하여사용자인증이필요한기능에접근을시도한후, 인증정보를설정하도록요구하거나초기인증정보를입력하도록요구하는지확인함 -.. 초기인증정보의입력을요구하는경우초기인증후에이를변경하도록요구하는지확인함 -.. 인증정보변경시초기인증정보와동일한값으로설정을시도하여이를허용하는지확인함 -.. 인증정보설정혹은초기인증번호를변경하지않고우회하여사용자인증이필요한기능에. 접근할수있는지확인함 14 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

AU1-2 관리서비스및중요정보접근시사용자신원을검증하기위해식별및. 인증기능이선행되어야한다. -..IoT 기기의설정, 사용자계정및권한관리등의관리서비스접근시사용자에대한식별및. 인증을수행해야함 -.. 개인을식별할수있는영상정보와같은중요정보접근시사용자에대한식별및인증을수행해야함 중요정보 : 개인영상정보, 인증정보 ( 예 : 비밀번호 ), 보안기능설정정보등 -.. 식별및인증은아이디및비밀번호메커니즘이일반적임 -.. 계정에부여된권한에따라관리서비스및중요정보에대한접근을허용하는경우, 일반사용자등다른권한들과분리하여해당권한을관리해야함 < 관리서비스접근시 > -..IoT 기기의관리서비스에접근을시도하여인증을요구하는지확인함 -.. 계정에부여된권한을통해관리자와일반사용자를구분하는경우, 관리자계정으로로그인하여. 관리서비스에접근이가능한지확인하고관리자계정로그아웃후일반사용자계정으로. 로그인하여관리서비스접근이거부되는지확인함 < 중요정보접근시 > -..IoT 기기의중요정보에접근을시도하고인증을요구하는지확인함 -.. 계정에부여된권한을통해관리자와일반사용자를구분하는경우, 중요정보에접근권한이있는. 계정으로로그인하여중요정보에접근이가능한지확인하고, 해당계정로그아웃후일반. 사용자계정 ( 중요정보에접근권한이없는계정 ) 으로로그인하여중요정보에접근이거부되는지확인함 AU1-3 잘못된인증정보를통한반복된인증시도를제한해야한다. -.. 잘못된인증정보를통한반복된인증시도를허용할경우무차별대입공격 (Brute Force. Attack) 에취약할수있으므로, IoT 기기는잘못된인증정보를통한지속적인인증시도에대해이를적절하게대응하는기능을제공해야함 15

-.. 다음과같은방법으로해당기능을제공할수있음 a... 인증시도횟수를제한하여정해진인증시도횟수초과시계정잠금혹은일정시간인증. 기능을비활성화 ( 인증시도횟수는 5 회이하, 인증기능비활성화시간은 5 분이상으로구현하도록권고 ) b... 정해진인증시도횟수초과시허가되지않은네트워크트래픽으로판단하여자동차단목록에. 추가 ( 인증시도횟수는 10 회이하로구현하도록권고 ) c. 캡챠 (CAPTCHA) 방식을활용 잘못된인증정보 란? - IoT 기기에저장또는등록되지않은인증정보를말하며, 해당정보로인증시도시실패하게됨 -.. 제출문서를통해잘못된인증정보를통한반복된인증시도시이를제한하는방법을확인하고,. 제출문서에기재된방법이요구사항을대응하기에적절한지확인함 - 제출문서에기재된대로대응방법이실제구현되어있는지확인함 1.2 인증정보의안전한사용 AU2-1 인증정보는하드코딩되거나평문으로저장되지않아야한다. - 사용자인증시사용되는인증정보는하드코딩하거나평문으로저장하지않아야함 -.. 사용자계정 ( 및중요설정정보 ) 을파일형태로추출 (export) 하는기능이있는경우, 평문으로. 생성하지않아야함 ( 예 : 파일암호화적용 ) -.. 인증정보는솔트를추가하여해쉬함수또는암호알고리즘을사용하여저장해야하며, 해쉬. 함수나암호알고리즘의보안강도는 112 비트이상의보안강도를권장함 (2017 년 11 월현재기준 ) 인증정보 란? -.. 인증을위해입력해야하는요소 ( 예 : 비밀번호, 지문정보등 ) 로써식별을위해입력해야하는. 요소 ( 예 : 아이디등 ) 는무관 16 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

-..IoT 기기내에저장된인증정보를확인하여하드코딩되거나평문으로저장하고있는지확인. 저장방법은소스코드를통해확인 -.. 사용자계정 ( 및중요설정정보 ) 을파일형태로추출 (export) 하는기능이있는경우, 추출된. 파일이평문으로되어있는지확인 - 동일한두개의인증정보를생성하여저장된인증정보의형태가다른지확인함 AU2-2 인증을위한비밀번호입력시화면에노출되지않도록마스킹처리해야한다. -.. 비밀번호가평문으로표시될경우 어깨너머공격 등에취약할수있으므로, 비밀번호입력시화면에평문으로노출되지않도록 * 등의기호를사용하여마스킹처리해야함 -..IoT 기기에서제공하고있는모든인증기능에대해아이디 / 비밀번호매커니즘을사용하는. 경우, 비밀번호가화면에평문으로노출되는지확인 AU2-3 인증실패시실패사유에대한피드백정보를제공하지않아야한다. -.. 인증실패의사유혹은피드백제공시, 공격자에게유용한정보가노출될수있으므로,. 결과값을제공하지않아야함 고려사항아이디오류비밀번호오류비밀번호길이오류 세부 공격자가인증정보에대한정보를얻을수있음 ( 입력한아이디는등록되지. 않은아이디로아이디임을알수있음 ) 공격자가인증정보에대한정보를얻을수있음 ( 입력한아이디는등록된. 아이디이며, 비밀번호를변경하여입력해야함을알수있음 ) 공격자가비밀번호의길이를바꿔가며입력함으로써비밀번호의길이를쉽게알아낼수있음 17

-.. 잘못된인증정보입력으로인증실패유도후생성되는알림메시지가인증실패사유혹은. 피드백을제공하고있는지확인 1.3 기기인증 AU3-1 기기는각각의고유식별정보를보유해야한다. - IoT 기기는유추불가능한고유하고변경할수없는고유식별번호를보유해야함 - 고유식별번호는네트워크및스마트디바이스분야에서아래와같이사용되고있음 기기고유식별정보 란? - 기기식별을위해각기기에부여하는고유번호 구분 MAC Address (Media Access Control Address) 설명.. 네트워크세그먼트의데이터링크계층에서통신을위한. 네트워크인터페이스에할당된고유식별자 (48bit) Home ID (Z-wave) IMEI (International Mobile Equipment Identity, 국제모바일단말기인증번호 )..Z-wave 네트워크의 ID 를지칭함 (32bit).. 스마트폰기기의고유번호로사용됨.. 제조사가휴대폰출고시부여됨.. 승인코드 8 자리, 모델일련번호 6 자리, 검증용숫자 1 자리. ( 총 15 자리 ) -..IoT 기기제조사의고유식별번호정책을확인하고, 해당정책에따라식별번호가주어지는지. 확인함 18 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

2 암호 (CR, Cryptography) 2.1 안전한암호알고리즘사용 CR1-1 암호화시안전한암호알고리즘을사용해야한다. -.. 암호모듈검증대상 (KS X ISO/IEC 19790* 또는 FIPS140-2**) 암호알고리즘사용 * ARIA, SEED, HIGHT, KCDSA, EC-KCDSA 등 (http://www.nis.go.kr/af/1_7_3_2.do 참고 ) **..AES, Triple-DES, RSA, ECDSA 등. (http://csrc.nist.gov/groups/stm/cmvp/documents/140-1/140val-all.htm 참고 ) 종류예시비고 대칭키암호 ARIA, SEED, LEA, HIGH, AES, TRIPLE-DES(TRIPLE-KEY) - 공개키암호 RSA, ECC 보안강도요구사항. 이상키길이 해시 SHA2, SHA3, HMAC - -.. 비검증대상암호알고리즘지원시기본값비활성화. 기본값으로검증대상암호알고리즘사용금지. 예시 ) DES, double length Triple DES, MD-5, SHA-1 비활성화, XOR, checksum, Base64 금지 - 보안강도 112bit이상암호알고리즘사용권고 < 안전한암호키길이 ( 출처 : 암호알고리즘및키길이이용안내서, KISA) > 보안강도 대칭키암호 해쉬함수 인수분해 공개키암호이산대수공개키개인키 타원곡선암호 암호알고리즘안전성유지기간 112bit 112 112 2048 2048 224 P-224/B-233 ~2030 년 128bit 128 112 3072 3072 256 P-256/B-283 192bit 192 192 7680 7680 384 P-384/B-409 2030 년이후 256bit 256 256 15360 15360 512 P-512/B-571 -.. 메모리및저장용량제한으로일반적인암호알고리즘의사용이어려운경우경량화암호. 알고리즘 (HIGHT, LEA 등 ) 사용가능 19

-..KISA* 및 NIST** 에서배포한각표준알고리즘의테스트벡터값을활용하여구현의정확성. 검증후사용. * http://seed.kisa.or.kr. ** http://csrc.nist.gov/groups/stm/cavp -.. 부채널분석 * 에대한대응기법이적용된암호알고리즘사용권고. * 암호키사용시발생하는부가정보 ( 전력 전자파량등 ) 를통해암호키정보를탈취 -..KS X ISO/IEC 19790* 또는 FIPS140-2 의검증대상알고리즘사용여부확인. * 검증필암호모듈일필요는없음 -..KISA* 및 NIST** 에서제시한테스트벡터값을적용하여구현정확성검증. * http://seed.kisa.or.kr. ** http://csrc.nist.gov/groups/stm/cavp 20 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

3 데이터보호 (DP, Data Protection) 3.1 전송데이터보호 DP1-1 기기간전송되는중요정보는암호화하여전송해야한다. -.. 기기간에중요정보가전송되는경우, 중요한정보가노출되지않도록검증된암호알고리즘으로암호화하여전송해야하며암호화방법과강도는 CR1-1 항목을따름 중요정보 란? -.. 인증정보 ( 예 : 비밀번호 ), 암호키 ( 예 : 개인키, KEK, DEK), 개인영상정보, 결제정보등을. 말하며, 기기의특성에따라다른정보 ( 예 : CCTV 기기의경우, 촬영영상 ) 들도중요한정보가될수있음. 단, 기기인증 ( 등록 ) 을위한고유식별정보는중요정보에해당하지않으나기기특성에따라포함될수있음. -.. 암호키를전송하는경우기밀성과무결성을보장해야하며자세한내용은 CR2-1 항목을따름 - 전송되는중요정보목록을확인함 - 중요정보를암호화한암호알고리즘을확인함 - 전송방법이무엇인지확인함 DP1-2 알려진프로토콜을기반으로통신채널생성시안전한보안모드를사용해야한다. -.. 중요정보암호화전송시보안프로토콜을사용하는경우에는신뢰된보안프로토콜을사용해야함 -.. 신뢰할수있는보안프로토콜을사용하는경우라도, 버전, 모드, 옵션등에따라취약성이존재할수있으므로안전하게설정해야함 21

유형 Bluetooth 보안프로토콜사용방법 BLE(Bluetooth Low Energy) 는 BLE 4.0/4.1 를포함하여낮은버전의제품은보안모드 1 의보안레벨 3( 암호화된인증페어링 ) 을적용해야하고, BLE 4.2 제품및서비스는보안모드 1 의보안레벨 4( 암호화된저전력보안연결인증 ) 를적용해야함 Zigbee Z-Wave WiFi ZigBee 의 CCM 운영모드는 AES-CBC-MAC-128( 보안강도 128 비트이상의. 메시지인증 ) 또는 AES-CCM-128( 보안강도 128 비트이상의암호화및메시지인증 ) 로선택적으로사용해야함 Z-Wave : Z-Wave 인증을받고 S2( 시큐리티 2) 프레임워크를적용해야함 Z-Wave 인증을받고 S0( 시큐리티 0) 프레임워크이상을적용해야함 WPA2 방식을적용해야함..WPA2-PSK 의경우초기무선랜인증시 4-way 핸드셰이킹단계의무선패킷수집을 통해비밀키유추가가능하다는문제가있으므로비밀키는특수문자를포함한임의의. 문자를사용하여최대한의자릿수를사용 TLS 최신버전 ( 예 : TLS 1.2 및 TLS 1.3 활성화및 TLS 1.1 이하비활성화 ) 을. 사용하고, 안전한암호알고리즘조합을적용 SSL/TLS.. 안전한암호알고리즘조합. TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256. TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384. TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA. TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA. TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256. TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384. TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 등 기타 안전한통신채널제공을위한특정프로토콜규격을사용하고있지않은경우. 상호인증및키일치 ( 공유 ) 를수행후안전한구간암호화를수행해야함 - 전송되는중요한정보목록을확인함 - 통신채널별보안프로토콜의적합성을확인함 - 중요정보를암호화한암호알고리즘을확인함 22 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

3.2 저장데이터보호 DP2-1 기기에저장되는중요정보는암호화해야한다. -.. 기기에중요정보가저장되는경우, 중요한정보가노출되지않도록검증된암호알고리즘으로. 암호화하여저장해야하며암호화방법과강도는 CR1-1 항목을따름 -.. 중요정보를암호화하기위해정보가저장된저장소를암호화하거나중요정보만암호화할수있음 -.. 개인영상, 인증정보, 중요설정정보등과같은중요정보를파일로추출하여저장하는기능이. 있는경우, 해당파일또는해당중요정보를암호화할수있어야함 - 암호키저장시에는기밀성과무결성을보장해야하며자세한내용은 CR2-1 항목을따름 메모리에서키정보삭제 -.. 암호화저장된정보를복호화할때, 복호화키정보가메모리에평문으로로드되는경우에는메모리덤프공격으로복호화키가노출될수있으므로, 사용후복호화키정보를메모리에서삭제해야함 -.. 개인영상정보와같이저장용량이큰정보의경우, 특정영역마스킹또는부분암호화적용을통해중요정보암호화요구사항을대체할수있음 - 저장되는중요정보목록을확인함 - 중요정보를암호화한암호알고리즘을확인함 - 저장방법이무엇인지확인함 23

3.3 안전한세션관리 DP 4-1 세션연결후일정시간동안미사용시, 세션을잠그거나종료시켜야한다. - 일정시간동안동작이없을경우, 기기는세션을잠그거나세션을종료시켜야함 일정시간 이란? - 기기의특성에따라사용자가설정한세션잠금및세션종료시간예 ).. 민감한제어명령처리가포함되는세션은 30초이후세션을잠금또는종료, 민감하지않은제어명령. 처리세션은 10분이후잠금또는종료 - 세션잠금및세션이종료된후, 재접속할경우에는재인증을수행해야함 - 모니터링모드로동작시에는세션잠금요구사항을적용하지않아도무관 - 세션잠금또는세션종료시간 ( 기기특성에적합여부 ) 을확인함 - 세션잠금 종료후재접속시, 재인증수행여부를확인함 24 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

4 플랫폼보호 (PL, Platform Protection) 4.1 소프트웨어보안 PL1-1 보안약점및보안취약점이존재하지않도록시큐어코딩을적용해야한다. -.. 보안항목을고려하여제품을설계하고, 보안약점을최소화하여안전하게구현해야함 -.. 소프트웨어개발보안가이드 (2017.1., 행정안전부 / 한국인터넷진흥원 ) 를참고할수있음 -.. 기존에알려진보안취약점을내포한프로토콜, 라이브러리 /API/ 패키지 / 오픈소스등을. 사용하여개발된소프트웨어의경우, 펌웨어, 운영체제도보안에취약할수있으므로제품을. 점검하여보안취약점을제거해야함 -.. 알려진보안취약점공개영역 ( 예 : KrCERT, CVE, NVD, Security Focus, 논문등 ) 을통해. 기기에해당하는보안취약점존재여부를확인하고제거해야함 알려진보안취약점 - 예 ) XSS, SQLi, CSRF, 버퍼오버플로우, 퍼징, 서비스거부 (DoS) 공격등 -.. 소스코드보안분석도구를이용하여소프트웨어에대한보안약점을점검하고, 보안약점이. 존재하는지확인함 -.. 상용또는신뢰할수있는공개용보안취약점점검도구를사용하여개발기기의보안취약점. 점검및제거여부를확인함 25

PL1-2 기기에연동되는모바일앱개발시보안성을고려해야한다. -.. 모바일전자정부서비스앱소스코드검증가이드라인 (2015.12., 행정안전부 / 한국인터넷. 진흥원 ) 에제시된 기능보안취약점 등을고려하여개발 기능보안취약점고려사항 -.. 임의기능존재여부, 최소권한, 입력값유효성, 중요정보관리, 플랫폼보안모델,. 상용 / 공개용모듈, 공개영역취약점등 -.. 모바일앱기능시험을통해 모바일전자정부서비스앱소스코드검증가이드라인 에제시된. 기준에부합한지확인함 PL1-3 앱분석방지를위해난독화를적용해야한다. -.. 해당요구사항은주로소스코드복원이용이한 JAVA( 및 Android JAVA) 로개발된앱. ( 어플리케이션 ) 에적용될수있음 -.. 공개된역공학도구를통해중요로직이나키정보등을추출할수있으므로적절한수준의보호방법을적용해야함 -.. 소스코드난독화도구 ( 또는컴파일러옵션을활용한난독화 ) 를적용하여메모리보호기법을. 적용해야함 - 패키지구성요소중중요정보를선별하여난독화해야함 - 펌웨어의경우, 필수적으로난독화적용이어렵다면선택적으로난독화적용을권고함 - 난독화적용방법 ( 난독화도구등 ) 을확인함 - 앱 ( 어플리케이션 ) 에대한소스코드복원을시도하여난독화여부를확인함 26 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

4.2 안전한업데이트 PL2-1 업데이트수행전인가된사용자여부를확인해야한다. - 인가된사용자 ( 관리자 ) 에의해업데이트가진행되어야함 -.. 업데이트는인가된사용자 ( 관리자 ) 에의해서만수행될수있도록업데이트수행전사용자인증기능을제공하는지확인함 사용자인증방법 - 아이디, PIN 입력, 소유자보유카드태깅등사용가능 PL2-2 업데이트실패시롤백기능을지원해야한다. - 업데이트를위한안전한프로세스를정의해야함 - 업데이트실패시안전한상태로의복구될수있도록롤백기능을지원해야함 - 기능시험을통해업데이트실패시롤백기능의존재여부를확인함 - 기능시험을통해롤백후, 기기가정상동작하는지확인함 27

4.3 보안관리 PL3-1 불필요한서비스는제거하거나비활성화해야한다. - 기기에서제공하는필요서비스를정의해야함 - 불필요한서비스 ( 예 : Telnet, FTP, UPnP, SNMP) 는비활성화해야함 -.. 외부접속을허용할경우접근 IP 제한, 접근비밀번호설정등의추가적인보안조치를수행해야함 - 인가된사용자에의해서만서비스활성화기능이수행되어야함 인가된사용자 란? - 관리서비스접근이허용된사용자 ( AU1-3 항목참조 ) - 기기에서제공하는서비스 ( 포트 ) 및목적, 용도등을확인함 - 포트스캔등을통해불필요한서비스가존재하는지확인함 - 외부접속포트사용시, 해당포트접근을위한추가적인보안조치를확인함 - 인가된사용자에의해서비스활성화가능여부를확인함 PL3-2 원격관리는신뢰할수있는환경에서수행되어야한다. - 관리자는원격관리를신뢰할수있는환경에서수행해야함 원격관리 란? -.. 원격조종자로하여금해당시스템에물리적으로접근권한이있는것처럼시스템을제어하게해주는소프트웨어및프로그래밍모음등을모두일컬음 신뢰할수있는환경 이란? - 내부망, 사전지정된원격관리용 IP, 안전한채널 (TLS, SSH 등 ) 이적용된시스템등 - 지정되지않은 IP 로접근또는안전하지않은채널로접근시, 원격관리서비스가가능한지확인함 28 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

PL3-3 최신보안패치가적용된 3 rd party 라이브러리를사용해야한다. -.. 개발시사용되는 3 rd party 라이브러리및모듈은알려진취약점이나결함이존재하지않는. 최신버전을사용하여야함 -..3 rd Party 소프트웨어는최신보안패치가적용된버전을사용하여야함 - 소프트웨어정보홈페이지를통해최신소프트웨어버전의사용여부를확인함 확인방법 -.. 어플리케이션및 Bootloader, Busybox, OpenSSL, OpenSSH, Linux 를포함한. 소프트웨어에대한보안취약점점검 -.. 시험대상기기에적용된 3 rd party 소프트웨어 ( 라이브러리 ) 가 IoT 보안시험 인증기간이변경. 되는경우, 신청업체로부터패치일정을받아서해당요구사항을처리할수있음. 단, 신청업체가제출한패치일정을준수하지않는경우기발급된인증서취소사유가될수있음 4.4 감사기록 PL4-1 보안과관련된이벤트는감사기록을생성해야한다. - 감사기록생성기능을구현해야하며, 기기의이상행위를탐지및추적할수있어야함 -.. 감사기록은사건발생일시, 유형, 사건을발생시킨주체의신원, 작업내역및결과 ( 성공 / 실패 ) 등을고려하도록권고함 감사기록대상 - 사용자로그인성공 / 실패, 제품설정변경내역, 기능수행내역 ( 보안기능포함 ) 등감사기록제외대상 - 비밀번호, 암호키등민감한정보등 29

-.. 인가된사용자 ( 관리자 ) 가해석할수있도록감사기록을생성하고, 검토할수있는기능을제공해야함 - 감사기록 ( 로그 ) 을기기에저장하지않고외부서버또는기타저장장치로전송할수있음 - 보안관련이벤트를수행한후감사기록로그를확인함 - 외부서버로감시기록 ( 로그 ) 을전송하는경우정상적으로전송및저장되는지확인함 5 물리적보호 (PH, Physical Protection) 5.1 물리적인터페이스보호 PH1-1 불필요한외부인터페이스는비활성화하고, 필요시접근통제기능을지원해야한다. -.. 외부에노출된모든인터페이스종류와기능은제품사용설명서에기술되어야함 -.. 불필요한외부인터페이스에대하여비활성화대책이구현되어야하며제품사용설명서에기술해야함 -.. 필요시, 비인가된접근방지를위해접근통제기능을제공해야하며, 제품사용설명서에기술해야함 - 소프트웨어정보홈페이지를통해최신소프트웨어버전의사용여부를확인함외부인터페이스의예 - USB, Ethernet, 시리얼통신인터페이스 (RS232, RS485 등 ), SD Card Slot 등 -.. 외부에노출된인터페이스의필요여부는제품사용설명서또는제조사가제공하는문서로확인함 - 필요한외부인터페이스라도비인가된접속을방지하기위한접근통제기능이적용되었는지확인 - 불필요한외부인터페이스가존재할경우제거하거나비활성화가능여부를확인함 30 사물인터넷 (IoT) 보안시험 인증기준해설서 LITE

PH1-2 비인가자의내부포트접근을방지해야한다. - 모든내부인터페이스종류와기능은제품사용설명서에기술되어야함 -.. 불필요한내부인터페이스에대하여제거또는비활성화대책이구현되어야하며제품사용. 설명서에기술해야함 -.. 필요시, 비인가된접근방지를위해접근통제기능을제공해야하며, 제품사용설명서에기술해야함 - 소프트웨어정보홈페이지를통해최신소프트웨어버전의사용여부를확인함내부인터페이스의예 - JTAG, UART, USB, SPI, I2C, SDIO, Ethernet 등표준 / 비표준통신인터페이스 - 제조사에서제출한제품사용설명서를기반으로내부인터페이스유무를확인함 -.. 제거가불가능한인터페이스는비활성화여부를확인하고, 사후관리및디버깅에필요한. 인터페이스는접근통제기능이적용되어있는지확인함 31

사물인터넷 (IoT) 보안시험 인증해설서 (LITE) 인쇄 2017 년 12 월 발행 2017 년 12 월 발행처한국인터넷진흥원전라남도나주시진흥길 9 (KISA 본원 ) 인쇄처호정씨앤피 Tel. (02) 2277-4718 < 비매품 > 본가이드라인내용의무선전재및복제를금하며, 가공 인용하는경우반드시 한국인터넷진흥원의 사물인터넷 (IoT) 보안시험 인증해설서 라고출처를밝혀야합니다. * 본가이드관련최신본은한국인터넷진흥원홈페이지 (www.kisa.or.kr) 또는정보보호산업진흥포털 (www.kisis.or.kr) 에서얻으실수있습니다.