보안연구부 -2017-020 개요 금융보안표준화추진체계현황과시사점 보안기술연구팀 금융보안규제패러다임이원칙중심의자율규제로변화함에따라 금융회사는법 규제틀하에서의자발적인정보보호활동이요구됨 공적규제환경에서금융당국은법 규제에서다루지못하는보안기술요건을기술규정 형태인가이드라인으로금융회사에게권고 이행시켰으나 * 일반적으로행정기관에서그준수를강제하기위하여작성한기술규격으로정부의 요청에의해표준화기구에서개발하거나, 기존표준을기술규정으로채택 1) 자율규제환경에서금융회사는금융 시스템의안전성확보를 위해요구되는기술규격 을자발적으로선택 운용하는것이필요 * 제품, 절차, 서비스에필요한기술적요구사항을기술한문서로서표준의일부 또는하나의표준형태 이에정형화된보안기술정보를제공하는표준의역할이증대됨에 따라금융보안표준추진체계를살펴보고시사점을도출함 표준 ( 화 ) 의개념및특성 ( 정의 ) 관계되는모든사람들의편익을목적으로특정한활동을향해바르게접근하기위한규칙을작성하고이를적용하는과정 ( 기능 ) 표준화를통하여공익목적실현 정부 신기술개발촉진 연구소 대학 시장경쟁력강화와비용절감 기술개발기업 제품 서비스 1) 참조 - 한국정보통신기술협회, ICT 표준화추진체계분석서 ( 국가별표준화전략편 ), 2016.12. - 1 -
이용의편리성및품질보장 소비자 을지원 * 금융회사는정보보호를위하여각종보안기술로구성된제품, 절차, 서비스를 이용하는소비자에해당 특히 소비자에게기술방식의명확화및호환성확보를통해 제품과서비스선택에있어서공신력을제공하는기능을제공 ( 표준의성격 ) 표준의관점에따라용어표준 시험표준 제품표준 절차표준 서비스표준 공유표준 데이터 표준 으로분류 * 데이터처리및동작절차, 보안정책 기술관리절차등범위 ( 표준화기구 ) 기술을표준으로구체화하는주체로서표준화 기구는공식표준화기구와사실표준화기구로분류 구분공식표준화기구사실표준화기구 특징 기술분야전반을대상으로하며, 상대적으로충분한협의를거치는표준제정절차, 개방된회원제도등을바탕으로공신력을인정받고있음 회원구성국가대표기관, 기업등기업, 개인등 표준화대상분야 표준개발기간 기구형태 < 공식표준화기구 vs. 사실표준화기구 > 특정기술분야에이해관계가있는기업및개인이시장의필요또는연구목적으로연합하여생성 대부분의기술분야특정기술분야 ( 예, 금융보안등 ) 약 2~4 년소요신속한표준제정 (12 개월이내 ) 국제표준화기구, 지역표준화기구, 국가별표준화기구 포럼, 컨소시엄 (= 단체표준화기구 ) 이외표준화기구없이기업등이시장경쟁을통해자발적으로 획득한시장표준 이존재함 * MicroSoft 社의윈도우운영체제, Intel 社의 CPU 등 - 2 -
정보보호표준화추진체계 정보보호에관련된국내표준및국가표준 은한국정보통신 기술협회 이하 를중심으로표준화진행 * 1988년설립된민간협회로서정보통신단체표준제정기관으로 2001년정보통신부로부터국가표준등정보통신표준화사업을위탁받아수행함 < 정보보호표준화추진체계 > ( 국내표준 ) 에서는산 학 연이참여하여암호 인증 개인정보보호 사이버보안 응용 평가 생체인식분야에대한다양한 금융및정보보호관련국내표준 개발 * 참고 - [ 첨부 1] 최근 3 년간제정된 TTA 금융정보보호분야주요표준 ( 금융분야표준화 ) 금융 분야관련하여금융보안원 정보보호 과 한국은행 금융정보 이표준화활동을수행 ( 금융보안원 ) 금융보안전담기구로서 를중심으로금융분야관련된정보보호표준화활동을수행 - 3 -
( 한국은행 ) 중심의정보통신표준화추진체계와는별도로 금융정보화추진협의회를통해금융정보화표준화활동수행 ( 유관기관, 기업등 ) 이외 를중심으로 국가보안기술 연구소 대학등에서는금융분야활용가능한보안기술표준을개발 ( 국제표준 ) 우리나라의국제표준활동지원과운영총괄은분야별로국립전파연구원 표준 과국가기술표준원 산업별표준 이담당 ( 보안분야 ) 금융분야관련보안표준개발을위해금융보안원에서이상금융거래탐지시스템 비식별처리 에대한국제표준을개발 * X.1157(FDS기능 ) 은 2011년 ~2015년까지금융보안원이표준제안 개발완료 ** X.fdip( 비식별처리서비스 ) 는 2016년 ~2019년까지금융보안원, KISA, ETRI가참여하여공동개발진행중 ( 포럼 / 컨소시엄 ) 에서는매년정보통신핵심분야별표준화포럼을 구성운영하고있으며 포럼표준제정및국제기고서제안활동수행 ( 보안분야 ) 년개인정보보호포럼 한국 포럼 코리아 표준화포럼 개가운영중이며금융권에서는금융보안원이 일부 한국 포럼 에회원으로참여 * 참고 - [ 첨부 2] 해외금융보안분야의표준체계운영포럼사례 現금융권정보보호표준추진현황및시사점 기술의지속적발전과자율규제에따른정책변화상황에서금융회사는 자발적으로신기술을금융서비스에융합하고안전한서비스제공을위해 요구되는신뢰성있고명확한기술규격의확보가필요한상황 우리나라정보통신표준추진체계하에서최근 년간 년 정보보호표준화활동결과를통해금융권에서의활용성과연계성을살펴보았을때 - 4 -
* 참고 - [ 첨부 1] 최근 3 년간제정된 TTA 금융정보보호분야주요표준 ( 표준기구및활동주체 ) 국내 외공식표준화기구에연구기관 대학 기업등이활발히참여하며금융보안원등금융권에서 특정주제에대하여일부정보보호표준화수행 ( 표준화영역 ) 표준들은암호인증 개인정보보호 침해사고대응 서비스 생체인증등금융권에요구되는정보보호전영역에해당 ( 표준의성격 ) 표준들은제품표준 건 시험표준 건 절차표준 건 서비스표준 건 공유표준 건 데이터표준 건 등금융회사내부및 대고객금융서비스기능에활용가능한다양한표준성격존재 ( 표준의활용성 ) 개발된표준중에 시스템보안요구사항 이상금융거래탐지시스템 등은금융권기술정책및기준 수립에직접적으로영향을준사례들로판단 금융권정보보호표준추진현황을통해금융회사가표준을적시에효과적으로활용하기위해개선이요구되는시사점으로 ( 금융회사참여율 ) 기술보유주체 는표준개발시금융회사로부터의 요구사항수렴이필요하나표준개발과정에금융회사참여가미흡 * 산업체, 대학및연구소등 국내 국제 등은금융회사의참여율이낮고표준화추진 시상호의견교환이어려움 ( 범용목적의표준결과물활용성 ) 연구기관 대학등은주로 연구개발 결과물을기반으로범용목적을가지는일반수준 의보안표준개발에치중 * 금융회사등은고객의금융거래에대한민감한서비스를제공 - 5 -
수요자 금융회사 수요가반영된금융권특화된보안표준결과물이아닌일반적인범위의표준화로금융회사는필요시적시에활용어려움 ( 금융권현안이슈지원가능성 ) 표준화에참여하는연구기관 대학등의추진목적 에따라표준과제가선정되고표준개발 * 중장기 (2~3 년 ) 추진된연구개발결과의표준실적화등 금융회사는표준화과제선정단계에참여가부재하여우선순위 에 따라적합한보안기술을적시에확보 검토 도입하는것이어려움 * 금융회사의신기술도입필요성, 침해사고에따른대응기술등의수요 금융보안표준의효과적제정과활용을위한고려사항 금융회사의표준활용성을높일수있도록표준개발주기에따른 단계별효과적개발운영체계도입 < 금융보안표준개발주기와단계별활용체계 > ( 계획수립 ) 침해사고동향분석및소요기술예측 활용실태 조사 금융회사수요파악을통하여표준개발계획수립 ( 표준선정 ) 표준화대상분야를선정시금융회사가참여혹은의견수렴을통하여금융보안기술요구사항을확보 - 6 -
( 표준보급 ) 금융회사에서필요로하는보안기술에대해명확한기술을정의하여기술조기도입을지원역할 ( 표준활용 ) 금융회사에서상호연동을위한호환성확보나보안제품에대한금융보안적합성검증 시험지원체계운영 ( 표준연구 ) 표준개발 보급과정에서미비한부분에대한 기술연구및시험기술개발을통하여금융회사활용성제고 금융보안표준화추진체계운영시표준개발과정의투명성과기술중립성제고를위한방안마련필요 ( 표준기술의중립성 ) 특정기술로종속및기술획일화우려에 대해표준개발시분야별산 학 연전문가를포함한의견 수렴체계필요 ( 표준개발의투명성 ) 표준개발주기단계마다개발과정의공개방안마련을통하여직 간접적인참여배제방지방안필요 - 7 -
[ 첨부1] 최근 3년간제정된 TTA 금융정보보호분야주요표준 참고 표준의성격 용어표준 시험표준 제품표준 절차표준 서비스표준 공유표준 데이터표준 < 금융정보보호관련 TTA 제정표준목록 (2015년 ~2017년 ) > 분야 ( 표준성격 ) 표준명 ( 제정년도 ) 표준목록 표준개발 ( 절차 ) ID기반인증및키교환프로토콜 (2017) 고려대등 암호 인증 ( 절차 ) n 비트블록암호운영모드 (2015), ( 절차 ) 해시함수 LSH(2015), ( 절차 ) 형태보존암호 FEA(2015) ( 서비스 ) 신뢰기관을이용한통합인증서비스보안요구사항 (2014) ( 서비스 ) 전자거래단계별위험수준에대한인증서비스지침 (2014) ( 서비스 ) 전자거래보증수준별인증방법요구사항 (2014) ( 절차 ) IC 칩기반인증모듈보안요구사항 (2013) ( 서비스 ) 통합인증기반부인방지서비스프레임워크 (2012) ( 절차 ) 바이오정보에기반한본인확인관리방법 (2017) ( 시험 ) 모바일지불결제상호운용성시험규격 3 건 (2016), ( 서비스 ) 모바일결제를위한어플리케이션보안지침 (2014), ( 절차 ) 거래번호를이용한모바일결제 (2014) 국가보안연구소, KISA, 전북대등 금융보안원, 순천향대등 한국스마트카드, 시루정보등 ( 절차 ) 모바일후불교통카드 (2014) 모바일산업포럼 개인정보보호 ( 제품 ) POS 시스템보안요구사항 (2014) 금융보안원 ( 공유 ) POS 단말기결제모듈인터페이스 (2013) BC 카드 ( 절차 ) 대면거래에서의전자서명규격 (2014) ( 일반 ) 모바일전자영수증규격 (2012) ( 일본 ) NFC P2P 기반모바일전자영수증관리규격 (2013) ( 절차 ) FIDO 유니버셜이중인증규격 9 건 (2015) ( 공유 ) 웹인증 : 크리덴셜접근을위한웹 API(2016) ETRI ( 데이터 ) 구조화된위협정보표현규격 (STIX)(2016) KISA 사이버보안 ( 데이터 ) 사이버공격패턴목록및분류 (2017) ( 데이터 ) 공통취약점평가체계 (CVSS)(2016) ( 제품 ) 사이버침해사고분석을위한네트워크포렌식분석도구요구사항 (2016) ( 제품 ) 엔터프라이즈환경에서무선랜고속접속을위한보안요구사항 (2014) ETRI - 8 -
( 데이터 ) 보안관제를위한무선탐지정보전달포맷 (2014) ( 데이터 ) 취약점 DB 의정보저장요구사항 (2013) ( 데이터 ) 악성코드속성목록및특성 (2016) 국가보안연구소 ( 절차 ) 침임탐지시스템을위한보안정책메시지및배포프로토콜 (2015) ( 공유 ) 침입탐지메시지교환요구사항 (2015), ( 절차 ) 보안정보메시지교환프로토콜 (2015) 윈스 ( 주 ) ( 서비스 ) 스마트단말보안플랫폼을이용한전자금융서비스아키텍처 (2012) ( 공유 ) 이상금융거래정보메시지교환포맷 (2016) 금융보안원 응용 평가 ( 서비스 ) 공공부문퍼블릭클라우드서비스도입을위한보안지침 (2015) ( 절차 ) 클라우드컴퓨팅환경에서개인정보보호지침 (2015) ( 제품 ) DB 암호화제품보안성평가를위한보안요구사항 (2015) ( 제품 ) 호스트컴퓨터개인정보보호제품보안성평가를위한보안요구사항 (2015) ( 제품 ) 스마트폰보안관리제품보안요구사항 (2014) ( 제품 ) DDoS 대응장비보안요구사항 (2014) ETRI 국가보안연구소 ( 절차 ) 스마트폰앱보안검증절차및기준 (2014) KISA ( 제품 ) 개인인증용생체신호센서요구사항 (2016) 유파인스 생체인증 ( 절차 ) 금융보안을위한바이오인식운영지침 (2016) ( 서비스 ) 바이오인식보안토큰을이용한텔레방오인식인증프레임워크 (2014) ( 데이터 ) 모바일기기바이오정보탑재방법 (2014) ( 시험 ) 홍채인식성능평가상호인정기준 (2014), ( 시험 ) 지문인식성능평가상호인정지침 (2014) KISA ( 절차 ) 바이오인식과 IC 카드를이용한접근제어용개인확인시스템 (2017) ( 절차 ) 생체신호정보프라이버시보호지침 (2017) ( 제품 ) 모바일디바이스에서의텔레바이오인식보안지침 (2017) 충북대 - 9 -
[ 첨부 2] 해외금융보안분야의표준체계운영포럼사례 해외금융보안표준화활동은주로금융회사연합 북미 글로벌신용카드사의연합포럼 등이존재 European Payments Council (EPC) 기구소개 년 내유럽뱅킹산업이해관계자들간의 의사결정및의견조정을수행하기위해설립되었으며 유럽내 개은행및협회들이참여 * 단일유로지급결제지역 (SEPA, Single Euro Payment Area) 는지급결제에참여하는모든경제주체들이표준화된유로화지급결제수단을이용하여국내에서금융거래를하듯역내국가간금융거래를이용할수있도록한초국가적인지급결제서비스권역 주요활동 전자금융관련 개워킹그룹을운영중이며가이드라인 표준개발 관련시험및보안평가를수행 < EPC 운영표준개발그룹 > 워킹그룹 SPS M-Channel Cards 주요활동 SEPA* 스킴 ** 및규정집의개발및유지책임을담당하며, 계좌이체, 자동이체, 카드결제스킴개발과동스킴적용을위한요구사항등을정립하고규정집등을보급 모바일비접촉식결제서비스를제공할수있도록 SEPA 카드프레임워크의세가지세부스킴의상호호환성을위한가이드라인을개발 SEPA 내카드및단말의상호호환성및안전성을확보하기위한일련의요구사항들을표준으로명시 Merchant Advisory Group (MAG) 기구소개 년미국내전자지급결제산업에참여하고있는이해관계자 들간의공통이슈논의 표준개발 교육등협력적 관계구축을위해설립 * ANSI X9, EMV Forum, W3C Consortium 등 - 10 -
주요활동 지급결제산업의건전한성장을도모하기위해다양한 방식의결제종류 접촉식 비접촉식 직불선불 신용등 와결제장치 카드 모바일 를지원하는안전한 방식의도입을권고 * 전자지급거래에서소비자의서명이아닌개인식별번호 (PIN) 을입력받는방식 Payment Card Industry Council (PCI) 기구소개 글로벌카드사인비자, 마스터, 아멕스, 디스커버, 제이씨비 (JCB) 5 개기업이보안표준위원회 (PCI Security Standards Council) 를구성 운영 주요활동 지불결제산업의정보보호를위해데이터보안표준 제정및표준준수에대한인증제도 * 를운영 * Payment Card Industry Data Security Standard(PCI DSS) PCI 인증구조 PCI DSS의인증구조는크게인프라 / 하드웨어관점, 소프트웨어관점, 전반적데이터처리와보안관리체계관점, 데이터의암호화관점으로해석하여분리 PCI PTS(PIN Entry Devices) : 고객정보를처리하는단말기 / 서비스환경인증기준 PCI PA-DSS(Payment Applications) : 고객정보를처리하는응용프로그램환경인증기준 PCI DSS(Secure Environment) : 고객정보를처리하는업무의보안환경인증기준 P2PE(Point to Point Encryption) : 고객데이터의시작과종단까지의암호화인증기준 EMVCo 기구소개 세계 3 대신용카드회사인벨기에의유로페이, 미국의마스터카드, 비자카드등 3개사가공동으로참여하는 IC 카드의표준규격 (EMV standard) 협의체 주요활동 EMV 규격에서는암호화방식, 온라인거래시카드가다른 카드나단말기에보내는카드데이터규격을정의하고, EMV 에서는카드및단말기의시험, 상호운영성지원, 보안평가등을수행 - 11 -