이용의편리성및품질보장 소비자 을지원 * 금융회사는정보보호를위하여각종보안기술로구성된제품, 절차, 서비스를 이용하는소비자에해당 특히 소비자에게기술방식의명확화및호환성확보를통해 제품과서비스선택에있어서공신력을제공하는기능을제공 ( 표준의성격 ) 표준의관점에따라용어표준 시험표준 제

Similar documents
ICT À¶ÇÕÃÖÁ¾

08연차보고서처음-끝

ㅇ ㅇ

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널



< 표준화내용 > 표준제정의필요성 최근스마트폰, 태블릿PC 등휴대용기기가빠르게보급되면서모바일뱅킹및지급결제등이를활용한다양한금융서비스제공되며, 이에대한사용량이빠르게증가되고있는상황이다. 하지만, 이동통신사업자가관리하는 USIM 이외의안전한금융정보저장매체가없어금융기관들이다양한


2018 년 7 월 31 일공보 호 이자료는 8 월 1 일 ( 조 ) 간부터취급하여주십시오. 단, 통신 / 방송 / 인터넷매체는 7 월 31 일 12:00 이후부터취급가능 제목 : 은행계좌기반모바일직불서비스도입추진 금융정보화추진협의회 * ( 의장 : 한국

암호내지

산업별인적자원개발위원회역할및기능강화를위한중장기발전방안연구 한국직업자격학회

장애인건강관리사업


2 TECHNOLOGY BRIEF 기술소개서 FIDO 1.0 인증기술 기술개요 스마트폰을이용한온라인거래나로그인시에패스워드대신간단한 PIN 혹은사용자가소지하고있는스마트카드또는스마트와치를이용하는간편한조작으로안전하게인증하는 FIDO(Fast Identity Online) 1

I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 )

TTA Journal No.157_서체변경.indd

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

제 1 호 지방자치단체녹색정보화추진동향 제 2 호 전자정부성과관리를위한평가동향 제 3 호 외국모바일전자정부추진동향 제 4 호 업무용 PC 가상화 제 5 호 증강현실구현기술현황 제 6 호 Web 기술의진화와공공서비스 제 7 호 ICT 를통한일자리창출방안 제 8 호 스마트

디지털컨버전스시대의사용자인증혁신 디지털컨버전스시대가도래하면서디지털세상으로진입하는관문인사용자인증이더욱중요해지고있습니다. 기업과서비스공급자는사용자가본인의정보에더욱안전하게접속할수있도록다양한인증수단을적용하고있습니다. 그러나복잡한인증과정은사용자의피로도를증가시켰으며, 이로인해발생

슬라이드 1

슬라이드 1

< C0DAC0B2C5BDB1B820BFEEBFB520B8DEB4BABEF32D33C2F720C6EDC1FD2E687770>

_SafeTouch_에잇바이트.key

<464B4949B8AEC6F7C6AE2DC0AFBAF1C4F5C5CDBDBABBEABEF7C8AD28C3D6C1BE5FBCD5BFACB1B8BFF8BCF6C1A4292E687770>

歯한국전자통신연구원정교일.PDF

PowerPoint Presentation

메뉴얼41페이지-2

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

IT.,...,, IoT( ),,.,. 99%,,, IoT 90%. 95%..., (PIPA). 디지털트랜스포메이션은데이터보안에대한새로운접근방식필요 멀티클라우드사용으로인해추가적인리스크발생 높은수준의도입률로복잡성가중 95% 는민감데이터에디지털트랜스포메이션기술을사용하고있음

인증기관간상호연동을위한 CTL 기술규격 CTL Technical Specification for the Interoperability of Certification Authorities 년 월

범정부서비스참조모형 2.0 (Service Reference Model 2.0)

2019 년 1 월 28 일 ( 월 ) 이자료는배포시부터취급하여주십시오. 제목 : 전자신문 (1.27 일, 인터넷판 ) 한은, 제 2 제로페이 만든다... 수백억중복투자불보듯 제하보도관련 전자신문은 1.27일 ( 인터넷판 ) 금융정보화추진협의회에서은행권공동으로추진중인모

슬라이드 1

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

클라우드환경에서보안의중요성 이건복 마이크로소프트

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

ICT EXPERT INTERVIEW ITS/ ICT? 차량과 인프라 간 통신(V2I) Nomadic 단말 통신(V2P) 차량 간 통신(V2V) IVN IVN [ 1] ITS/ ICT TTA Journal Vol.160 l 9

6 강남구 청담지구 청담동 46, 삼성동 52 일대 46,592-46,592 7 강남구 대치지구 대치동 922번지 일대 58,440-58,440 8 강남구 개포지구 개포동 157일대 20,070-20,070 9 강남구 개포지구중심 포이동 238 일대 25,070-25,

27집최종10.22

황룡사 복원 기본계획 Ⅵ. 사역 및 주변 정비계획 가. 사역주변 정비구상 문화유적지구 조성 1. 정비방향의 설정 황룡사 복원과 함께 주변 임해전지(안압지) 海殿址(雁鴨池)와 분황사 등의 문화유적과 네트워크로 연계되는 종합적 정비계획안을 수립한다. 주차장과 광장 등 주변

XXXXXXXXXXXXX XXXXXXX

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

6월 1일 정책지.hwp

[ 목차 ]


Ⅰ Ⅱ Ⅲ Ⅳ

Microsoft PowerPoint - 6.pptx

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

µµºñ¶óµîµî


제1차 양성평등정책_내지_6차안

전기차보급활성화포럼 전기차보급정책방향ㅣ 211

서현수

조사보고서 구조화금융관점에서본금융위기 분석및시사점

Europe 2020 Strategy 글로벌산업기술생태계의융합과발전을선도하는일류산업진흥기관 EU 기술협력거점 *EU Issue Paper EU : KIAT EU ( ,

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

< D28C3B7BACE29BDBAB8B6C6AEC6F9C0CCBFEB5FBDC7C5C25FBFE4BEE02E687770>

G hwp

<BBE7C8B8C0FBC0C7BBE7BCD2C5EBBFACB1B820C3D6C1BEBAB8B0EDBCAD2E687770>


정보통신표준화성공사례소개 의평가항목으로구성된우수성과평가모형에따라성공사례를선정하고있다. 2. 정보통신표준화성공사례 최근 3년간의정보통신분야주요표준화성공사례로휴대전화외부단자표준, 인터넷전화도청방지국산암호화표준, WiBro 기반 4G 이동통신표준, 모바일 RFID 표준, 인

사업별평가결과종합 일반회계 산림자원정보화 직접수행 보통 산림과학기술정보화 직접수행 보통

소개 는 국내 산업계 IC 전문 인재양성과 기술 보급을 위한 IC 표준화 및 시험인증 전문 교육기관입니다. IC 글로벌 경쟁력 제고를 위한 핵심인재 양성을 목적으로 교육세나 및 자격시험 서비스를 제공합니다. 교육 훈련비용 일부를 지원하는 직업능력개발훈련과정을 운영합니다

Microsoft PowerPoint - 권장 사양

( 그림 ) Continua End to End 개요도 - Personal Device : 개인및사용자의건강정보를측정하는측정기기. - Application Hosting Device : 개인의료기기에서전송된건강정보를수신하는게이트웨이, 스마트폰보급이후로모바일기반에 AHD

목 차 주요내용요약 1 Ⅰ. 서론 3 Ⅱ. 스마트그리드산업동향 6 1. 특징 2. 시장동향및전망 Ⅲ. 주요국별스마트그리드산업정책 17 Ⅳ. 미국의스마트그리드산업동향 스마트그리드산업구조 2. 스마트그리드가치사슬 3. 스마트그리드보급현황 Ⅴ. 미국의스마트그리드정

문지현, KISA K-NBTC

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

第 1 節 組 織 11 第 1 章 檢 察 의 組 織 人 事 制 度 등 第 1 項 大 檢 察 廳 第 1 節 組 대검찰청은 대법원에 대응하여 수도인 서울에 위치 한다(검찰청법 제2조,제3조,대검찰청의 위치와 각급 검찰청의명칭및위치에관한규정 제2조). 대검찰청에 검찰총장,대

슬라이드 1

<4D F736F F F696E74202D FB5A5C0CCC5CDC5EBBDC5B0FA20B3D7C6AEBFF6C5A9205BC8A3C8AF20B8F0B5E55D>

new Spinbackup ICO White Paper(ko)

2017 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및개 발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안기본과정 o 교육대상 :

한국지역정보화학회지 제 20 권제 3 호 Ⅰ. 서론 우리나라는온라인서비스에서본인여부를확인하기위하여주민등록번호를필수항 목으로수집하여편리한서비스를제공하게되었으며, 이과정에서인한개인정보유출 사고가지속적으로발생하게되었다. 이에 2000 년대에들어서면서, 주민등록번호의과 다한수

<C3E6B3B2B1B3C0B C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

<BCF6BFE4B0ADB4DC322E687770>

[Brochure] KOR_TunA


기본과제 충북전략산업의네트워크분석 - 산학연공동기술개발사업을중심으로 - Network Analysis of Strategic Industries in Chungbuk - Case Study on Academic-industrial common technica

2015 년 SW 개발보안교육과정안내

차 례

<B8B6B1D4C7CF2DBAD0BEDFB0CBC5E4BFCF2DB1B3C1A4BFCFB7E128C0CCC8ADBFB5292DC0DBBCBAC0DAB0CBC1F5BFCF2DB8D3B8AEB8BB2DB3BBBACEB0CBC1F52E687770>

<4D F736F F F696E74202D20342D B9D720434F534420C8B0B5BFC7F6C8B25FC0CCC0E7B0FC205BC0D0B1E220C0FCBFEB5D>


정보보호분야


Special Issues ➋ + 마이크로 그리드용 공통 플랫폼 기술개발 현황 및 전망 마이크로 그리드용 공통 플랫폼 기술개발 현황 및 전망 1 개황 마이크로 그리드란 에너지 소비자의 수요를 만족시키기 위해 분산자원을 적 극 활용함으로써, 지역적 부하 공급을 만족하는

Windows Live Hotmail Custom Domains Korea

우리나라에서신용카드와체크카드는주요지급수단으로사용되고있는데, 2014 년 2/4 분기기준으로이들지급카드를이용한물품및서비스결제금액 ( 신용판매금액 ) 은약 297 조원에달해민간최종소비지출의 80.2% 를차지하고있다. 국제적인비교를위해 GDP 대비신용판매금액비중을비교하는경우

Microsoft Word - 김정훈

Cisco FirePOWER 호환성 가이드

< 신용카드본인확인서비스 ( 자료 : 구글이미지 ) > ARS( 자동응답시스템 )/SMS 인증 ARS 혹은 SMS로이용자에게전달되는인증번호 ( 임의생성된숫자값등 ) 를입력하여이동통신사업자의서비스이용여부를통해본인임을인증하는서비스임 ( 편의성 ) 휴대폰기종 ( 피처폰, 스

20. SSM2019-차세대보안-V03.hwp

wtu05_ÃÖÁ¾

<BACFC7D1B3F3BEF7B5BFC7E22D3133B1C733C8A BFEB2E687770>




슬라이드 1

농림축산식품부장관귀하 본보고서를 미생물을활용한친환경작물보호제및비료의제형화와현장적용매뉴 얼개발 ( 개발기간 : ~ ) 과제의최종보고서로제출합니다 주관연구기관명 : 고려바이오주식회사 ( 대표자 ) 김영권 (

Transcription:

보안연구부 -2017-020 개요 금융보안표준화추진체계현황과시사점 보안기술연구팀 금융보안규제패러다임이원칙중심의자율규제로변화함에따라 금융회사는법 규제틀하에서의자발적인정보보호활동이요구됨 공적규제환경에서금융당국은법 규제에서다루지못하는보안기술요건을기술규정 형태인가이드라인으로금융회사에게권고 이행시켰으나 * 일반적으로행정기관에서그준수를강제하기위하여작성한기술규격으로정부의 요청에의해표준화기구에서개발하거나, 기존표준을기술규정으로채택 1) 자율규제환경에서금융회사는금융 시스템의안전성확보를 위해요구되는기술규격 을자발적으로선택 운용하는것이필요 * 제품, 절차, 서비스에필요한기술적요구사항을기술한문서로서표준의일부 또는하나의표준형태 이에정형화된보안기술정보를제공하는표준의역할이증대됨에 따라금융보안표준추진체계를살펴보고시사점을도출함 표준 ( 화 ) 의개념및특성 ( 정의 ) 관계되는모든사람들의편익을목적으로특정한활동을향해바르게접근하기위한규칙을작성하고이를적용하는과정 ( 기능 ) 표준화를통하여공익목적실현 정부 신기술개발촉진 연구소 대학 시장경쟁력강화와비용절감 기술개발기업 제품 서비스 1) 참조 - 한국정보통신기술협회, ICT 표준화추진체계분석서 ( 국가별표준화전략편 ), 2016.12. - 1 -

이용의편리성및품질보장 소비자 을지원 * 금융회사는정보보호를위하여각종보안기술로구성된제품, 절차, 서비스를 이용하는소비자에해당 특히 소비자에게기술방식의명확화및호환성확보를통해 제품과서비스선택에있어서공신력을제공하는기능을제공 ( 표준의성격 ) 표준의관점에따라용어표준 시험표준 제품표준 절차표준 서비스표준 공유표준 데이터 표준 으로분류 * 데이터처리및동작절차, 보안정책 기술관리절차등범위 ( 표준화기구 ) 기술을표준으로구체화하는주체로서표준화 기구는공식표준화기구와사실표준화기구로분류 구분공식표준화기구사실표준화기구 특징 기술분야전반을대상으로하며, 상대적으로충분한협의를거치는표준제정절차, 개방된회원제도등을바탕으로공신력을인정받고있음 회원구성국가대표기관, 기업등기업, 개인등 표준화대상분야 표준개발기간 기구형태 < 공식표준화기구 vs. 사실표준화기구 > 특정기술분야에이해관계가있는기업및개인이시장의필요또는연구목적으로연합하여생성 대부분의기술분야특정기술분야 ( 예, 금융보안등 ) 약 2~4 년소요신속한표준제정 (12 개월이내 ) 국제표준화기구, 지역표준화기구, 국가별표준화기구 포럼, 컨소시엄 (= 단체표준화기구 ) 이외표준화기구없이기업등이시장경쟁을통해자발적으로 획득한시장표준 이존재함 * MicroSoft 社의윈도우운영체제, Intel 社의 CPU 등 - 2 -

정보보호표준화추진체계 정보보호에관련된국내표준및국가표준 은한국정보통신 기술협회 이하 를중심으로표준화진행 * 1988년설립된민간협회로서정보통신단체표준제정기관으로 2001년정보통신부로부터국가표준등정보통신표준화사업을위탁받아수행함 < 정보보호표준화추진체계 > ( 국내표준 ) 에서는산 학 연이참여하여암호 인증 개인정보보호 사이버보안 응용 평가 생체인식분야에대한다양한 금융및정보보호관련국내표준 개발 * 참고 - [ 첨부 1] 최근 3 년간제정된 TTA 금융정보보호분야주요표준 ( 금융분야표준화 ) 금융 분야관련하여금융보안원 정보보호 과 한국은행 금융정보 이표준화활동을수행 ( 금융보안원 ) 금융보안전담기구로서 를중심으로금융분야관련된정보보호표준화활동을수행 - 3 -

( 한국은행 ) 중심의정보통신표준화추진체계와는별도로 금융정보화추진협의회를통해금융정보화표준화활동수행 ( 유관기관, 기업등 ) 이외 를중심으로 국가보안기술 연구소 대학등에서는금융분야활용가능한보안기술표준을개발 ( 국제표준 ) 우리나라의국제표준활동지원과운영총괄은분야별로국립전파연구원 표준 과국가기술표준원 산업별표준 이담당 ( 보안분야 ) 금융분야관련보안표준개발을위해금융보안원에서이상금융거래탐지시스템 비식별처리 에대한국제표준을개발 * X.1157(FDS기능 ) 은 2011년 ~2015년까지금융보안원이표준제안 개발완료 ** X.fdip( 비식별처리서비스 ) 는 2016년 ~2019년까지금융보안원, KISA, ETRI가참여하여공동개발진행중 ( 포럼 / 컨소시엄 ) 에서는매년정보통신핵심분야별표준화포럼을 구성운영하고있으며 포럼표준제정및국제기고서제안활동수행 ( 보안분야 ) 년개인정보보호포럼 한국 포럼 코리아 표준화포럼 개가운영중이며금융권에서는금융보안원이 일부 한국 포럼 에회원으로참여 * 참고 - [ 첨부 2] 해외금융보안분야의표준체계운영포럼사례 現금융권정보보호표준추진현황및시사점 기술의지속적발전과자율규제에따른정책변화상황에서금융회사는 자발적으로신기술을금융서비스에융합하고안전한서비스제공을위해 요구되는신뢰성있고명확한기술규격의확보가필요한상황 우리나라정보통신표준추진체계하에서최근 년간 년 정보보호표준화활동결과를통해금융권에서의활용성과연계성을살펴보았을때 - 4 -

* 참고 - [ 첨부 1] 최근 3 년간제정된 TTA 금융정보보호분야주요표준 ( 표준기구및활동주체 ) 국내 외공식표준화기구에연구기관 대학 기업등이활발히참여하며금융보안원등금융권에서 특정주제에대하여일부정보보호표준화수행 ( 표준화영역 ) 표준들은암호인증 개인정보보호 침해사고대응 서비스 생체인증등금융권에요구되는정보보호전영역에해당 ( 표준의성격 ) 표준들은제품표준 건 시험표준 건 절차표준 건 서비스표준 건 공유표준 건 데이터표준 건 등금융회사내부및 대고객금융서비스기능에활용가능한다양한표준성격존재 ( 표준의활용성 ) 개발된표준중에 시스템보안요구사항 이상금융거래탐지시스템 등은금융권기술정책및기준 수립에직접적으로영향을준사례들로판단 금융권정보보호표준추진현황을통해금융회사가표준을적시에효과적으로활용하기위해개선이요구되는시사점으로 ( 금융회사참여율 ) 기술보유주체 는표준개발시금융회사로부터의 요구사항수렴이필요하나표준개발과정에금융회사참여가미흡 * 산업체, 대학및연구소등 국내 국제 등은금융회사의참여율이낮고표준화추진 시상호의견교환이어려움 ( 범용목적의표준결과물활용성 ) 연구기관 대학등은주로 연구개발 결과물을기반으로범용목적을가지는일반수준 의보안표준개발에치중 * 금융회사등은고객의금융거래에대한민감한서비스를제공 - 5 -

수요자 금융회사 수요가반영된금융권특화된보안표준결과물이아닌일반적인범위의표준화로금융회사는필요시적시에활용어려움 ( 금융권현안이슈지원가능성 ) 표준화에참여하는연구기관 대학등의추진목적 에따라표준과제가선정되고표준개발 * 중장기 (2~3 년 ) 추진된연구개발결과의표준실적화등 금융회사는표준화과제선정단계에참여가부재하여우선순위 에 따라적합한보안기술을적시에확보 검토 도입하는것이어려움 * 금융회사의신기술도입필요성, 침해사고에따른대응기술등의수요 금융보안표준의효과적제정과활용을위한고려사항 금융회사의표준활용성을높일수있도록표준개발주기에따른 단계별효과적개발운영체계도입 < 금융보안표준개발주기와단계별활용체계 > ( 계획수립 ) 침해사고동향분석및소요기술예측 활용실태 조사 금융회사수요파악을통하여표준개발계획수립 ( 표준선정 ) 표준화대상분야를선정시금융회사가참여혹은의견수렴을통하여금융보안기술요구사항을확보 - 6 -

( 표준보급 ) 금융회사에서필요로하는보안기술에대해명확한기술을정의하여기술조기도입을지원역할 ( 표준활용 ) 금융회사에서상호연동을위한호환성확보나보안제품에대한금융보안적합성검증 시험지원체계운영 ( 표준연구 ) 표준개발 보급과정에서미비한부분에대한 기술연구및시험기술개발을통하여금융회사활용성제고 금융보안표준화추진체계운영시표준개발과정의투명성과기술중립성제고를위한방안마련필요 ( 표준기술의중립성 ) 특정기술로종속및기술획일화우려에 대해표준개발시분야별산 학 연전문가를포함한의견 수렴체계필요 ( 표준개발의투명성 ) 표준개발주기단계마다개발과정의공개방안마련을통하여직 간접적인참여배제방지방안필요 - 7 -

[ 첨부1] 최근 3년간제정된 TTA 금융정보보호분야주요표준 참고 표준의성격 용어표준 시험표준 제품표준 절차표준 서비스표준 공유표준 데이터표준 < 금융정보보호관련 TTA 제정표준목록 (2015년 ~2017년 ) > 분야 ( 표준성격 ) 표준명 ( 제정년도 ) 표준목록 표준개발 ( 절차 ) ID기반인증및키교환프로토콜 (2017) 고려대등 암호 인증 ( 절차 ) n 비트블록암호운영모드 (2015), ( 절차 ) 해시함수 LSH(2015), ( 절차 ) 형태보존암호 FEA(2015) ( 서비스 ) 신뢰기관을이용한통합인증서비스보안요구사항 (2014) ( 서비스 ) 전자거래단계별위험수준에대한인증서비스지침 (2014) ( 서비스 ) 전자거래보증수준별인증방법요구사항 (2014) ( 절차 ) IC 칩기반인증모듈보안요구사항 (2013) ( 서비스 ) 통합인증기반부인방지서비스프레임워크 (2012) ( 절차 ) 바이오정보에기반한본인확인관리방법 (2017) ( 시험 ) 모바일지불결제상호운용성시험규격 3 건 (2016), ( 서비스 ) 모바일결제를위한어플리케이션보안지침 (2014), ( 절차 ) 거래번호를이용한모바일결제 (2014) 국가보안연구소, KISA, 전북대등 금융보안원, 순천향대등 한국스마트카드, 시루정보등 ( 절차 ) 모바일후불교통카드 (2014) 모바일산업포럼 개인정보보호 ( 제품 ) POS 시스템보안요구사항 (2014) 금융보안원 ( 공유 ) POS 단말기결제모듈인터페이스 (2013) BC 카드 ( 절차 ) 대면거래에서의전자서명규격 (2014) ( 일반 ) 모바일전자영수증규격 (2012) ( 일본 ) NFC P2P 기반모바일전자영수증관리규격 (2013) ( 절차 ) FIDO 유니버셜이중인증규격 9 건 (2015) ( 공유 ) 웹인증 : 크리덴셜접근을위한웹 API(2016) ETRI ( 데이터 ) 구조화된위협정보표현규격 (STIX)(2016) KISA 사이버보안 ( 데이터 ) 사이버공격패턴목록및분류 (2017) ( 데이터 ) 공통취약점평가체계 (CVSS)(2016) ( 제품 ) 사이버침해사고분석을위한네트워크포렌식분석도구요구사항 (2016) ( 제품 ) 엔터프라이즈환경에서무선랜고속접속을위한보안요구사항 (2014) ETRI - 8 -

( 데이터 ) 보안관제를위한무선탐지정보전달포맷 (2014) ( 데이터 ) 취약점 DB 의정보저장요구사항 (2013) ( 데이터 ) 악성코드속성목록및특성 (2016) 국가보안연구소 ( 절차 ) 침임탐지시스템을위한보안정책메시지및배포프로토콜 (2015) ( 공유 ) 침입탐지메시지교환요구사항 (2015), ( 절차 ) 보안정보메시지교환프로토콜 (2015) 윈스 ( 주 ) ( 서비스 ) 스마트단말보안플랫폼을이용한전자금융서비스아키텍처 (2012) ( 공유 ) 이상금융거래정보메시지교환포맷 (2016) 금융보안원 응용 평가 ( 서비스 ) 공공부문퍼블릭클라우드서비스도입을위한보안지침 (2015) ( 절차 ) 클라우드컴퓨팅환경에서개인정보보호지침 (2015) ( 제품 ) DB 암호화제품보안성평가를위한보안요구사항 (2015) ( 제품 ) 호스트컴퓨터개인정보보호제품보안성평가를위한보안요구사항 (2015) ( 제품 ) 스마트폰보안관리제품보안요구사항 (2014) ( 제품 ) DDoS 대응장비보안요구사항 (2014) ETRI 국가보안연구소 ( 절차 ) 스마트폰앱보안검증절차및기준 (2014) KISA ( 제품 ) 개인인증용생체신호센서요구사항 (2016) 유파인스 생체인증 ( 절차 ) 금융보안을위한바이오인식운영지침 (2016) ( 서비스 ) 바이오인식보안토큰을이용한텔레방오인식인증프레임워크 (2014) ( 데이터 ) 모바일기기바이오정보탑재방법 (2014) ( 시험 ) 홍채인식성능평가상호인정기준 (2014), ( 시험 ) 지문인식성능평가상호인정지침 (2014) KISA ( 절차 ) 바이오인식과 IC 카드를이용한접근제어용개인확인시스템 (2017) ( 절차 ) 생체신호정보프라이버시보호지침 (2017) ( 제품 ) 모바일디바이스에서의텔레바이오인식보안지침 (2017) 충북대 - 9 -

[ 첨부 2] 해외금융보안분야의표준체계운영포럼사례 해외금융보안표준화활동은주로금융회사연합 북미 글로벌신용카드사의연합포럼 등이존재 European Payments Council (EPC) 기구소개 년 내유럽뱅킹산업이해관계자들간의 의사결정및의견조정을수행하기위해설립되었으며 유럽내 개은행및협회들이참여 * 단일유로지급결제지역 (SEPA, Single Euro Payment Area) 는지급결제에참여하는모든경제주체들이표준화된유로화지급결제수단을이용하여국내에서금융거래를하듯역내국가간금융거래를이용할수있도록한초국가적인지급결제서비스권역 주요활동 전자금융관련 개워킹그룹을운영중이며가이드라인 표준개발 관련시험및보안평가를수행 < EPC 운영표준개발그룹 > 워킹그룹 SPS M-Channel Cards 주요활동 SEPA* 스킴 ** 및규정집의개발및유지책임을담당하며, 계좌이체, 자동이체, 카드결제스킴개발과동스킴적용을위한요구사항등을정립하고규정집등을보급 모바일비접촉식결제서비스를제공할수있도록 SEPA 카드프레임워크의세가지세부스킴의상호호환성을위한가이드라인을개발 SEPA 내카드및단말의상호호환성및안전성을확보하기위한일련의요구사항들을표준으로명시 Merchant Advisory Group (MAG) 기구소개 년미국내전자지급결제산업에참여하고있는이해관계자 들간의공통이슈논의 표준개발 교육등협력적 관계구축을위해설립 * ANSI X9, EMV Forum, W3C Consortium 등 - 10 -

주요활동 지급결제산업의건전한성장을도모하기위해다양한 방식의결제종류 접촉식 비접촉식 직불선불 신용등 와결제장치 카드 모바일 를지원하는안전한 방식의도입을권고 * 전자지급거래에서소비자의서명이아닌개인식별번호 (PIN) 을입력받는방식 Payment Card Industry Council (PCI) 기구소개 글로벌카드사인비자, 마스터, 아멕스, 디스커버, 제이씨비 (JCB) 5 개기업이보안표준위원회 (PCI Security Standards Council) 를구성 운영 주요활동 지불결제산업의정보보호를위해데이터보안표준 제정및표준준수에대한인증제도 * 를운영 * Payment Card Industry Data Security Standard(PCI DSS) PCI 인증구조 PCI DSS의인증구조는크게인프라 / 하드웨어관점, 소프트웨어관점, 전반적데이터처리와보안관리체계관점, 데이터의암호화관점으로해석하여분리 PCI PTS(PIN Entry Devices) : 고객정보를처리하는단말기 / 서비스환경인증기준 PCI PA-DSS(Payment Applications) : 고객정보를처리하는응용프로그램환경인증기준 PCI DSS(Secure Environment) : 고객정보를처리하는업무의보안환경인증기준 P2PE(Point to Point Encryption) : 고객데이터의시작과종단까지의암호화인증기준 EMVCo 기구소개 세계 3 대신용카드회사인벨기에의유로페이, 미국의마스터카드, 비자카드등 3개사가공동으로참여하는 IC 카드의표준규격 (EMV standard) 협의체 주요활동 EMV 규격에서는암호화방식, 온라인거래시카드가다른 카드나단말기에보내는카드데이터규격을정의하고, EMV 에서는카드및단말기의시험, 상호운영성지원, 보안평가등을수행 - 11 -