Contents 4 16 75 150 234
Ver. 2014 정보보호 정보보호기반 이용자보호 네트워크 디바이스보안 플랫폼보안 평가인증 콘텐츠보호 관리
컴퓨터를이용한정보시스템이나유무선인터넷과같은네트워크를통하여전달되는정보의위 / 변조, 유출, 무단침입, 서비스거부등을비롯한각종불법행위로부터조직혹은개인의컴퓨터와정보를안전하게보호하기위한기술로, 정보보호기반기술, 네트워크및시스템보호기술, 플랫폼보안및평가인증기술및콘텐츠보호 관리기술로구성 정보보호기반및이용자보호기술은암호기술, 인증기술, ID 관리, 개인정보보호, 유해정보대응기술을제공하기위한보안기술 네트워크및디바이스보안기술은정보보호기반기술을활용하여네트워크및디바이스에서의정보보호를확립하기위한스마트모바일기기보안, 클라우드보안, 사이버공격대응, 악성코드대응, 미래네트워크보안, IoT/M2M 보안, 소프트웨어정의네트워킹 (SDN) 등통신및시스템보안을제공하기위한보안기술 플랫폼보안및평가인증기술은정보보호기반기술과네트워크및시스템보안기술을활용한금융보안, 콘텐츠접근제어, 빅데이터보안, 클라우드응용보안, 스마트그리드보안, 바이오인증보안, 차량통신보안등다양한응용서비스및제품을평가하기위한기술 콘텐츠보호및관리기술은유무선인터넷환경에서생산, 유통되는영상, 음원, 앱스등의콘텐츠를효과적으로검색, 관리하고, 불법유통을사전에차단및억제할뿐만아니라, DRM-Free 및 SNS 환경에서도건전한콘텐츠유통을보장하는서비스를지원하는기술 4 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 정보보호기반및이용자보호서비스시나리오 5
네트워크및디바이스보안서비스시나리오 플랫폼보안및평가인증서비스시나리오 6 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 콘텐츠보호관리서비스시나리오 7
정보보호분야 2014.01.253:11PM 페이지8 2. 중점기술 및 표준화 항목 정보보호 분야 표준참조모델 8 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 9
중점기술별표준화항목 - 정보보호기반및이용자보호기술 10 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 중점기술별표준화항목 - 네트워크및디바이스보안기술 11
12 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 중점기술별표준화항목 - 플랫폼보안및평가인증기술 13
14 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 중점기술별표준화항목 - 콘텐츠보호및관리기술 15
정보보호기반및이용자보호기술은암호기술, 인증기술, ID 관리, 개인정보보호, 유해정보대응기술등플랫폼보안, 네트워크 / 디바이스보안및콘텐츠보호를위한기술적기반이되는기술 - [ 암호 ] 암호및응용기술은사이버환경에서정보의안전한송수신 ( 비밀성, 무결성등지원 ) 을위한기술 - [ 인증 ] 인증서기반인증기술은 RSA, ECC를기반으로한 X.509 형식의인증서를이용한사람과회사를인증하는공인인증, 도메인을인증하는보안서버인증, 인터넷전화기, CCTV, 휴대단말기, 지능형가전등다양한디바이스인증등을포함한인증기술 - [ 인증 ] 통합형인증체계기술은인터넷서비스환경에서사용되는다양한인증기술을개방적으로수용하고, 16 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 해당인증기술을여러서비스제공자가공동으로사용할수있도록도메인간 / 국가간상호운용성을보장하기위한기술로서, 스마트폰, IPTV 등차세대인터넷서비스에적합한통합형인증체계인프라구축을위한프레임워크와, 진화된보안위협에효과적으로대응하기위한통합인증응용기술및보안관리요구사항등으로구성 - [ 인증 ] 익명인증기술은사이트회원가입및성인인증등서비스이용의프라이버시보장을위해가명또는익명을사용할수있도록보장하는한편, 익명성남용을방지 - [OTP인증] 일회용패스워드 (OTP, One Time Password) 기반인증기술은 OTP기술에기반하여강한인증을제공하고동시에사용자의편의성을향상시키기위한기술로서, OTP발생기를통합관리하고 OTP 키생성시스템과생성알고리즘에대한가이드라인등의 OTP 시스템과관련한표준과 OTP를응용한보안프로토콜인 OTP-TLS, OTP-EAP, OTP-Kerberos 등의 OTP 응용프로토콜표준으로구성 - [ID 관리 ] ID 관리기술은 Identity를식별할수있는식별자, ID 생성과유통, 저장, 관리를위한공통프레임워크, 인증, 권한, 속성정보를표현하는보안토큰, ID 정보공유를위한 ID 공유기술, 보안토큰의보증수준을평가하는신뢰관리기술, 모바일디바이스에서인증, 지불등의기능을모바일응용프로그램에제공할수있도록하는모바일 ID 관리기술등으로구성 ID는 Identity의약어로본문서에서는문맥에따라병행하여사용함 - [ 개인정보보호 ] 개인정보보호기술은개인정보및프라이버시가정보주체의의지및선호에의해서만수집, 저장, 이용, 관리, 파기될수있음을보장하기위한기술 - [ 유해정보대응 ] 유해정보대응기술은정보통신환경을이용하는이용자를유해정보로부터보호하기위한기술로서실시간유해정보차단을위한단말프레임워크및인터페이스기술, 유해정보실시간특징추출기술, 유해관심정보탐지기술, 유해정보실시간모니터링기술등으로구성됨 17
표준화의필요성 - 클라우드컴퓨팅, 빅데이터등신규 ICT 정보보호를위한차세대암호SW 개발및제선도를위해서는핵심이되는차세대암호알고리즘기술개발및 ICT 서비스적용확대를위한표준화추진은매우중요 - 최근인터넷상에서악성댓글, 불법게시물등에따른피해가확산됨에따라인터넷역기능예방및대응을위해익명인증및추적등다양한기술개발및표준화가요구되고있음 - 인증서기반의인증기술의경우, 공인인증서의하드디스크보관에대한위험의증가에따라, USIM, 보안 MicroSD, TrustZone 등모바일토큰을이용한안전한공인인증서저장및이용에대한요구가증가되고있음 - 전자거래환경의다양화및보안위협의증가에따라다양한인증기술이출현하게되었으며, 인증매체의소지불편등으로하나의인증매체를다양한서비스제공자가통합이용하고자하는요구가증가하고있으나, 표준화활동의미비로상호연동성확보가어려움. 따라서세계최초로통합인증서비스를제공하는국내의통합관리원천기술을기반으로국내표준뿐아니라세계표준도주도적인추진이필요 - 스마트폰등과같은다양한모바일단말기를기반으로하는모바일융복합서비스의등장으로다수의 ID를등 18 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 록하여개인정보를여러곳에등록하여관리하고이용하게됨으로, 개인정보오 남용, 유출등의피해가발생하고있어, ID 관리및개인정보보호핵심기술의경쟁력을확보하고국제경쟁력을제고시키기위해국내외표준제정추진 - 단말, 플랫폼, 서비스프로토콜, 정보포맷 ( 코덱 ) 등이용자의정보이용환경이다양화됨에따라각각의환경에적용가능한유해정보차단기술을개별적으로개발하기보다는개발기간단축및기술호환성을극대화하기위해유해정보차단프레임워크및인터페이스에대한표준화추진필요 표준화목표 - 2015년까지스마트그리드, 스마트폰, 빅데이터와같은신규 ICT 환경에서다양한정보보호서비스제공에활용가능한경량 고속암호기술규격및서비스활용방법에대한국제 / 국내표준화동시추진 - 2014년까지 USIM, 보안 MicroSD, TrustZone 등의모바일토큰을이용하여공인인증서의안전한보관및이용을위한국내표준의제개정을추진 - 통합형인증체계기술은, 2014년까지 ITU-T 등에서국제표준 2건, TTA 등의국내표준 8건을개발하여상호운용성을보장하기위한기반을마련할예정임. 2015년까지는관련 IPR을확보하여수익창출의기반을마련 - OTP기반인증기술은 2015년까지기본적인 OTP 시스템에대한표준개발을완료하고, 이어서 NFC, USIM 방식등의모바일 OTP 등의새로운사업모델에적용가능한표준을개발하여실용표준으로산업분야에적용 - ID 관리기술은, 2015년까지기술개발완료, 국내표준진행, IPR 확보및국제표준단체적극참여하고, 2016 년까지국내표준완료, 국제표준단체에적극적기고로표준화선도. 2018년이후에국제표준 ( 안 ) 개발및 IPR 확보를통한수익을창출 - 개인정보보호기술은, 2014년까지국내표준화완료, 국제표준단체에적극기고로개인정보보호분야의국제표준화를선도 - 유해정보대응기술은 2013년부터신규기술개발과병행하여 IPR 확보및국내표준화를진행하여 2015년까지국내표준완료하고, 2015년부터는국제표준단체에적극적으로참여하여국제표준 ( 안 ) 개발및 IPR 확보를통한수익창출기대 표준화비전및기대효과 - 국제표준대비안전성과효율성이우수한암호알고리즘적용을통해차세대암호SW 우수성확보및융합 IT 정보보호체계구축에있어시장경쟁력확보 - 정보보호서비스제공을위한다양한고속 경량암호알고리즘을조기에개발하고이를국제표준화하여신규 IT환경에대한표준화된정보보호체계구축을선도 - 스마트폰환경에서의공인인증서이용환경을구축을통한안전하고신뢰성있는전자서명인증체계를구축하 19
고다양한인증수단의활용이가능하도록하여인증관련국내사업육성에기여 - 전통적인인증기술을강화한멀티팩터인증기술의출현으로안전한전자거래의환경이조성되어있으며, 이를기반으로사용자의편의성을크게개선할수있는통합인증기술이국내기술로선도가가능한상황으로, 국제표준화및 IPR 확보를통해관련산업분야의국제경쟁력확보를기대 - 스마트폰이용자급격한증가, 금융거래환경의변화로전자금융에안전하게적용가능하고, 금융거래의다양한해킹공격에대응할수있는다양한인증기술을개방적으로수용하여통합제공하는서비스의확대가예상됨. 또한, 스마트기기에적합한 IC기반인증기술, USIM기반모바일 OTP, 부인방지인증기술등의서비스요구확대가예상됨. 이에지속적인원천기술및표준화추진으로국제경쟁력강화및국내산업육성에기여 - ID 관리및개인정보보호분야의핵심기술을개발하고, 이를국내및국제표준으로제정하여, 국제표준화된우수기술을탑재한국내보안제품을출시하여신규시장창출및해외수출및수입대체효과를달성하고, 다수의 IPR 확보에기여 - 스마트단말과 4G의보급확대로인해스트리밍유해정보의확산이가속될것으로예상됨으로, 유해정보대응분야의핵심기술을조속히개발하고이에대한국내및국제표준화추진을통해국내시장창출및국제경쟁력강화에기여 20 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 21
추진경과 - Ver.2012에서는암호 인증기술과네트워크및시스템보호기술, 그리고응용보안및평가인증기술을모두포괄한정보보호기술에대한표준화전략맵을수립하였으며, 그중암호 인증기술은정보보호기반기술로구분되어암호기술, 인증기술, 권한관리기술, ID관리, 개인정보보호기술에초점을맞추어수립됨 - Ver.2013에서는정보보호기반기술에이용자보호기술범위를포함하여정보보호기반및이용자보호기술로범위를확대하였으며, 이에해당하는주요기술항목으로암호기술, 인증기술, 통합형인증체계, OTP기반인증, Identity 관리기술을포함하며이용자보호기술로는개인정보보호기술과유해정보대응기술을포함하였음 - Ver.2014에서는경량암호알고리즘에초점을맞추었던부분을차세대암호알고리즘으로암호알고리즘의범위를확대하였으며, 디바이스인증분야는다중인증을포함하고표준화방향에적합하도록인증서기반인증으로수정하였고, 유해정보대응은유해정보차단정책까지포함하여표준화범위를확대하였음 Ver.2014 중점추진방향 - 암호알고리즘에최근이슈가되고있는동형암호등의표준화를반영하기위해차세대암호알고리즘으로범위를확대함 - 디바이스인증은디바이스인증분야의표준화핵심인인증서기반인증으로초점을맞추고, 다중인증을포함하도록범위를확대함 - Identity 관리기술에서는최근관심이고조되고있는스마트폰기반의모바일결제서비스에대한기반조성에초점을둠 - 통합형인증체계기술은최근국내전자거래의해킹사고증가및다양한인증기술에대한요구가증가함에따라스마트폰, IPTV 등의다양한플랫폼에서안전하고, 편리하게이용할수있는 NFC, USIM 방식의소지기반응용기술에중점을둠 - 유해정보대응기술에서는유해정보차단솔루션의기능및성능평가를위한가이드라인수립에대한요구를반영하여표준화항목의명칭에기술적요구사항뿐만아니라정책요구사항을수용하기위해유해정보차단정책및기술로확대함 22 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 버전별표준화항목비교표 23
기술개발이슈별연혁 24 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 국내표준화이슈별연혁 25
국제표준화이슈별연혁 26 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 정책 / 산업이슈별연혁 27
ICT Standardization Strategy Map Ver.2014 암호및활용 ( 차세대암호알고리즘, 암호알고리즘적용 ) - 국내기술개발현황 ARIA, SEED등국내에서자체개발한블록암호알고리즘을다양한보안프로토콜에서활용할수있도록 NIST에서정의한운영모드기반으로활용하는방안을마련하고있음 VoIP 환경에서안전한통신을위해 SRTP(Secure Real-time Transport Protocol) 에서 ARIA, SEED 암호알고리즘을활용할수있는방법을개발함 국제표준블록암호대비안전성과효율성이우수하며, 경량 ICT, 빅데이터환경에적합한암호알고리즘을개발함 클라우드확산등으로필요성이높아진암호화된상태로연산이가능한동형암호연구가진행됨 - 국외기술개발현황 미국 NIST의 SHA-3 공모사업을통해암호알고리즘설계 / 분석기술수준이급격하게발전함 RFID, 센서네트워크등의실용화에따라경량환경에적합한암호 인증기술설계가중점적으로이루어지고있음 클라우드확산등으로필요성이높아진암호화된상태로연산이가능한동형암호연구가활발히진행됨 인증서기반인증 ( 인증프로파일 / 프로토콜, 인증응용기술 ) - 국내기술개발현황 정부를중심으로유비쿼터스환경에적합한인증기술및제도연구등향후다양한디바이스에서인증서비스제공을위한신뢰된인증체계구축을위한사업을추진중에있음 스마트폰에저장된인증서를이용하여다양한기기에서이용가능하도록하는프로토콜의개발진행중 스마트폰내의 USIM, 보안MicroSD, TrustZone을이용한공인인증서저장및이용기술의개발이진행되어시범서비스등이진행중임 디바이스인증서관련하여디바이스인증서의발급, 자동갱신및재발급, 경량화된검증방법등다양한기술개발이이루어질예정 인터넷전화, CCTV 등의제조회사에서는기기인증서를수용하여기기간의인증을적용한제품개발이서비스중임 31
- 국외기술개발현황 디바이스인증의경우케이블모델, CCTV, WiMAX 등의기기에디바이스인증서를적용하여서비스를하고있으나, 각기기별독자적인디바이스인증서규격을만들어사용되고있음 W3C Web Cryptography Working Group을통하여 HTML5 기반의인증서발급및이용을위한국제표준추진하고있음 통합형인증체계 ( 통합인증서비스프레임워크, 통합인증응용및보안관리 ) - 국내기술개발현황 다양한인증기술을여러서비스제공자가공동으로사용하는모델은행정안전부의전자인증센터, 금융권역의 OTP 통합인증센터에적용된기술로서, 아직까지는 PKI, OTP 등의일부기술에국한되어사용되고있음 스마트폰, IPTV 등인터넷서비스를위한이용환경의변화가빠르게진행되면서, 다양한인증기술을개방형으로수용하고서비스제공자간상호운용성을보장하는기술개발이진행중임 - 국외기술개발현황 VerisSign, Entrust, Genmato 등다양한보안업체의연합인 OATH(Open AuTHentication) 에서는다양한인증기술을개방형으로수용하고통합인증을제공하는기술을개발중에있음 싱가포르등의일부국가에서는국가인증프레임워크 (NAF, National Authentication Framework) 등을국가주도로운영하고있어, 서비스제공자간상호연동을보장하고있음 기타다양한국가에서산업계주도로통합인증기술을기반으로다양한국방, 금융등의산업계에서통합인증기술을서비스하고자시도하고있음 OTP 기반인증 (OTP 시스템, OTP 응용프로토콜 ) - 국내기술개발현황 2006년부터금융권역을중심으로 OTP 보안관리및서비스프레임워크에대한기술을개발하여, 2007년 OTP 통합인증서비스가개시되었으며, 상용서비스의안정화단계에돌입하였으며, 2011 년이후부터 USIM, NFC에기반한모바일 OTP에대한요구가증가하고있어조만간서비스가가시화될전망 OTP발생기의휴대편의성을개선하기위한 USIM 기반모바일 OTP 개발이진행되고있으며, 이동통신사및 OTP 업체간협의로조만간서비스가가시화될전망 시각장애인을위한보이스 OTP 기술, 바코드와모바일 OTP를결합한결제솔루션등 OTP 응용기술들이개발되어있으며향후에도다양한응용환경에 OTP 인증기술을접목한서비스개발이활발할예정임 - 국외기술개발현황 32 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 RSA 社, VASCO 社 ActiveIdentita 社등에서토큰형, 카드형 OTP 시장을주도하고있으며, 미국, 유럽, 일본, 홍콩등의금융권과기업내부망접근, 군수, 전자상거래, 유무선통신접속및사용자인증등에 OTP 서비스를제공하고있음 다만, 국내와같은 OTP 통합인증기술이개발되지않아여러서비스를사용하는사용자는다수의 OTP를소지해야함 영국등유럽지역의금융기관을대상으로 CAP(Chip Authentication Program) 기술의이용이점차적으로확대되고있음 익명인증 ( 익명인증암호기술, 익명인증서프로파일 / 관리프로토콜 / 검증기술 ) - 국내기술개발현황 2008년부터 ETRI와산학공동으로연구된그룹서명기반의익명ID 기술은익명ID 발급을위해공개키기반구조가사용되고있으며, 익명인증기술및서비스등이학술적인단계에서연구가이루어지고있으나, 현재상용서비스는이루어지고있지않음 익명게시판, 익명거래인증등의다양한응용서비스에대한적용에대한연구가진행중임 ETRI는익명성제어가가능한그룹서명기반의익명인증기술을개발한바있으며, 기존에연구차원으로진행되어온그룹서명기술들에비해다양한실제서비스에적용가능한연구진행중. 또한, 관련공동연구기관과함께실제서비스에적용할수있는수준의요구사항도출을통하여익명인증기술의실용화및국내외표준화추진 - 국외기술개발현황 전자투표구현에익명성을보장하는인증기술이이용되고있으며, 익명성을보장하는응용기술에대한연구가지속적으로이루어질것으로전망됨 익명성을보장하는인증기술은조건부추적성을제공하는그룹서명중심으로연구되어옴. 특히 2004년 Stanford대학에서 VSC(Vehicle Secure Communication) 에서요구하는통신량을만족할수있는수준의짧은그룹서명기법등을연구한바있으며, IBM에서제안한익명인증기법은 TPM Group의 DAA(Direct Anonymous Attestation) 에적용됨 Identity 관리 (Identity 관리기반기술, 모바일결제기술 ) - 국내기술개발현황 ETRI는 Microsoft, KISA와공동으로 2007년부터 2009년까지수행한 자기통제강화형전자ID지갑시스템기술개발 과제에서 Information Card 솔루션인전자ID지갑을개발하였음. 전자ID지갑은사용자본인이개인정보와인증정보 (id/pw, 인증서등 ) 를안전하게관리하고있다가, 언제어디서나자신을인증하고개인정보를 33
자신의통제하에선택하여이용할수있는시스템임 ETRI는모바일 ID에대한보안기술과개인정보보호기술을개발하기위해, 산 학공동으로 2010년부터 2012년까지 모바일ID 보안및프라이버시를위한스마트지갑기술개발 을진행하였으며 2013년부터는스마트폰을중심으로개인정보의안전한유통을위한기술을개발하고있음 국내기술동향을보면, 스마트폰이급속히도입됨에따라 NFC 기반의다양한서비스가소개되고있으나, 모바일 ID를체계적으로활용한플랫폼레벨로발전될전망임 - 국외기술개발현황 ID 관리분야는 SAML, Liberty Alliance와같은기업위주의 ID 관리기술과, CardSpace, OpenID 등의사용자중심의 ID 관리기술로양분되어진행되고있음. 기업위주의 ID 관리기술은법률이나규제를만족하면서조직내 외부의 ID 정보를안전하게공유하는방법을다루고있으며, 개별기술보다는실제적용을고려한프레임워크관점을지향하고있음. 이에따라 SAML을기반으로하는 Liberty Alliance의 IAF, IGF, e- Authentication 전략등이업계를중심으로개발및적용될전망임 Google은 2011 년 5월 Google Wallet 서비스를공개하고미국뉴욕과샌프란시스코에서시범서비스를시작하였음. 스마트폰을기반으로구글, 애플등의글로벌기업들의통합결제플랫폼확보에대한노력이활발해질것으로예상되며, Square사는 2010년카드판독기결제방식에서시작하여 2012년에는앱결제방식 (Pay with Square) 을출시하였음 개인정보보호 - 국내기술개발현황 개인정보보호정책기술인 P3P 기술개발 ETRI에서 XACML 기술과 Interaction Service 기술개발 개인정보 DB 암 복호화및전자서명기술을포함하는제품이출시됨 - 국외기술개발현황 개인정보보호정책기술인 P3P 기술개발 Liberty Alliance에서 Interaction Service 기술개발 Oracle, Sybase 등주요 DBMS 개발사들이데이터베이스에대한암 복호화, 전자서명, 접근제어기능을제공하고있음 유해정보대응 - 국내기술개발현황 KAIST( 노용만등 ) 및세종대 ( 유성준등 ) 이미지특징및검색기술에기반한유해이미지필터링기술연구 34 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 ETRI에서는 2009~2011 년도에다운로드및업로드유해동영상차단을목적으로다중모달 ( 이미지, 비디오, 오디오 ) 특징기반동영상유무해판단기술개발 ETRI에서는 2013년부터스마트폰환경의스트리밍유해콘텐츠차단기술개발착수 - 국외기술개발현황 MERL(Mitsubishi Electric Research LAboratories) 의 Jones 등은 SCM (Skin Color Model) 기반의유해이미지필터링기술을발표하였으나, 클로즈업된얼굴영상에의한 False Positive Rate가높은성능상의한계점을갖고있음 펜실베니아주립대의 Wang 등은 WIPE (Wavelet Image Pornography Elimination) 기술의다단계유사도필터링을통해유해이미지를탐지하는기술연구 유럽에서 EU의지원을통해 2008~2010년에아동포르노를탐지하기위한 I-Dash 프로젝트수행 미국에서는 2007~2011 년비디오채팅을통한음란물유포차단을위한 SafeVchat 프로젝트수행 35
암호및활용 ( 차세대암호알고리즘, 암호알고리즘적용 ) - 국내표준화현황및전망 ARIA, SEED등국내에서자체개발한블록암호알고리즘을다양한보안프로토콜에서활용할수있도록 NIST에서정의한운영모드기반으로표준화 IP망및관련응용서비스보안을위해 IPsec(IP layer Security) 프로토콜에서 ARIA, SEED 암호활용방법표준화 경량 ICT, 빅데이터환경에적합한암호알고리즘표준화 - 국외표준화현황및전망 IETF를통해 AES를기반블록암호로사용하는 NIST 승인운영모드를 IETF에서표준으로제정된다양한보안프로토콜에서활용하는방안에대한표준화가진행중에있음 ISO/IEC에서는 RFID, 센서네트워크실용화에따른수요를감안하여경량암호기술에대한표준화를추진중임 NIST가 2012년선정한 SHA-3는 SHA-2에부가적인해시함수로여러기구에서표준화될것으로전망됨 암호기술에대한표준화과정에서는기술적우위뿐만아니라상호운용성확보의필요성을납득시킬수있는근거 ( 사용현황등 ) 의제시가선행되는추세임 36 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 37
인증서기반인증 ( 인증프로파일 / 프로토콜, 인증응용기술 ) - 국내표준화현황및전망 모바일토큰을이용한공인인증서사용을위하여사용자인터페이스와보안토큰기반의공인인증서이용기술관련표준이재개정됨 USIM, 보안 MicroSD, TrustZone등의모바일토큰에인증서이동 / 복사와인증서발급관련표준화가진행중 38 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 기기인증서프로파일및인증서폐지목록프로파일에대한표준은제정 - 국외표준화현황및전망 인증서와인증서폐지목록의프로파일에대한표준과인증서상태검증프로토콜에대한국제표준이고도화되어개정됨 단일도메인에서통용되는디바이스인증기술에대한표준화는응용서비스별로추진된사례가있으나, 서로다른이기종의기기간인증및호환성제공을위한표준화수준은미흡한실정임 최근유비쿼터스환경의도래와함께다양한정보통신기기에대한인증및권한관리기술에대한국제적인표준화수요가증가할것으로예상됨 39
40 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 통합형인증체계 ( 통합인증서비스프레임워크, 통합인증응용및보안관리 ) - 국내표준화현황및전망 TTA 를통해 2012년부터표준화가시작되었으며, 2012~2015년까지총 8종의통합형인증체계기술이표준화될전망임 - 국외표준화현황및전망 VerSign 등이참여하고있는 OATH(Open AuTHentication) 단체에서 OTP를포함한 PKI 공인인증서, 바이오인증에관련된서비스를통합하는구조인 OATH레퍼런스아키텍처라는범용인증프레임워크를개발하고있음 41
OTP 기반인증 (OTP 시스템, OTP 응용프로토콜 ) - 국내표준화현황및전망 TTA 를통해 2011 년까지 10종의 OTP기반인증기술이표준화되었으며, 2015년까지총 20 여종의 OTP 관련표준이제정될전망 - 국외표준화현황및전망 OTP 보안관리및 OTP 서비스프레임워크분야의국제표준은 2009년부터한국이주도하여 ITU-T 개방형통신기술보안연구그룹 (SG17) 의안전한응용프로토콜 (Q7) 표준프로젝트에서 OTP 기반인증서비스관리프레임워크 (ITU-T X.1153) 와 OTP 기반부인방지프레임워크 (ITU-T X.1156) 의표준화가 2011 년, 2013년각각완료됨 OTP 시스템및 OTP 응용프로토콜분야의국제표준은 IETF에서주도적으로표준화되고있으며, RSA 社의산업표준, OATH(Open AuTHentication) 단체표준등이추진되고있음 42 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 익명인증 ( 익명인증암호기술, 익명인증서프로파일 / 관리프로토콜 / 검증기술 ) - 국내표준화현황및전망 2008년 X.509 인증서를이용한가명기반의익명인증기술표준화가추진되어국내표준제정 2010년그룹서명기반의프라이버시강화형익명인증인가기술에대한국내표준제정 43
- 국외표준화현황및전망 국내에서개발된추적가능한익명인증서가 IETF 표준으로제정되었으며, ISO/IEC SC27 WG2에서그룹서명기반의익명인증기슬을비롯하여익명전자서명기술및익명개체인증기술에대한표준화가동시에진행중에있고, ETRI 등에서익명성제어가능한그룹서명및익명인증기술에대해활발히기고하여표준화적극추진중임 ISO/IEC JTC1 SC27 WG5에서는조건부익명인증에관한요구사항에대해표준화가진행중 ITU-T SG17에서는전자상거래를위한익명인증가이드라인에대한표준화가진행되고있는등국내기술이비교적활발히제안되고있음 Identity 관리 (Identity 관리기반기술, 모바일결제기술 ) - 국내표준화현황및전망 44 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 ID 관리및개인정보보호기술은국내에서도 2007년부터한국정보통신기술협회 (TTA) 에서 ETRI와 KISA를중심으로표준화활동이활발히진행되고있지만아직국외만큼기술이세분화되어추진되고있지는않음. 국외는여러표준화단체에서개별적으로진행되어온표준개발이 ID 관리의상호운용성의중요성이점점대두되어각기관별로합종연횡이진행되고있음 TTA PG502에서모바일 ID관리기술및모바일지불기술관련하여 2010년부터국내표준을추진하여기술의상호호환성및활용성을높이고있으며, 국내에서는 2012년에모바일카드관련규격을국가표준으로제정하였음 - 국외표준화현황및전망 ID 관리와관련하여, ITU-T SG17에서 2009년 3개의권고안 (ID 관리요구사항, ID 관리용어정의, 사용자중심의 ID 관리 ) 을제정하며이분야의향후표준화개발의초석을마련했고현재도다양한 ID 관리기술들의표준화가진행되고있음. OASIS는 SAML, XACML, SPML, XRI, XDI 등의표준을제정하고있으며, Liberty Alliance는 2009년 4월다양한 ID 관리산업표준들의상호운영성과조화를주장하는 Kantara Initiative와합병하여 ID 관리기술들간의합병이활발히진행됨 모바일지불관련표준화는 Mobay Forum, Simpay, MeT, Mobile Payment Forum, Financial Services Technology Consortium 등의여러단체에서추진되고있으나아직까지국제적인영향력을지닌표준을제시한단체는없고 Europay, MasterCard와 VISA가만든 EMV가이분야에서현재가장널리사용되고있는산업계표준임 45
개인정보보호 ( 개인정보보호정책및운영관리 ) - 국내표준화현황및전망 개인정보보호정책, 프라이버시관리모델에대한표준이개발되었음 - 국외표준화현황및전망 국외의경우, Liberty Alliance에서 Interaction Service에대한표준이개발되었으며, OASIS에서개인정보보호정책에대한표준이제정되었음 개인정보 DB 보안의경우, 국 내외적으로표준화가아직미비한상황임 46 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 유해정보대응 ( 유해정보차단정책및기술 ) - 국내표준화현황및전망 국 내외적으로표준화가아직미비한상황임 - 국외표준화현황및전망 2011 년 ITU-T에서 TSAG의제기로온라인상어린이보호를위한기술표준개발논의를시작으로 2012년온라인상어린이보호를 JCA(Joint Coordination Activity)-COP가신설됨 47
표준화항목별출원건수 - 표준화항목중 OTP기반인증 기술과관련된 IPR이가장많았으며, Identity관리, 통합형인증체계, 유해정보대응, 인증서기반인증, 개인정보보호, 암호및활용, 익명인증 기술의순임 - 연도별출원동향을살펴보면, 정보보호기반관련기술대부분은 1990년대후반부터출원이증가하기시작하여현재까지꾸준한출원이이어지고있음 - OTP기반인증 기술은 2009년출원이급격히증가하였다가 2011 년다시증가추세를나타내고있으며, Identity 관리 기술은지속적인증가추세를보임 - 향후정보보호에대한중요성이더커지면서, ID관리, OTP 인증, 공인인증서기반인증등의기술에대한출원이증가할것으로보이며, 또한유해정보로부터사용자를보호하기위한 정보보호기반및이용자보호기술 에대한출원이계속적으로증가할것으로예상됨 48 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 출원인동향 - 정보보호기반및이용자보호기술에관련된다수출원인은 비즈모델라인, ETRI, KT, 삼성전자, SK 텔레콤, LG전자 등의순임 - 상위 10위출원인뒤를이어 성균관대학교, 신한은행, Qualcomm, ( 주 ) 소만사, SONY, 한남대학교, ( 주 ) 인포바인 등이관련기술에대한특허출원을하고있으며, 중소기업및개인출원도많이이루어지고있음 - 비즈모델라인 의경우 OTP기반인증기술에대한출원이주를이루고있음 - ETRI, KT, 삼성전자, SK텔레콤 및 LG전자 는다양한기술분야에걸쳐특허출원을하고있는것으로나타났음 - 대우일렉트로닉스 의경우유해정보대응기술에집중하여출원하고있는것으로나타났는데, 디스플레이장치 (TV 등 ) 에서의시청자인증 ( 접속제한등 ) 을하는기술분야임 - Interdigital, Qualcomm, SONY, Tonsom Licensing 등의외국기업이국내에특허출원을하고있음 49
표준화항목별출원건수 - 표준화항목중 인증서기반인증 기술과관련된 IPR이가장많았으며, 개인정보보호, 통합형인증체계, Identity관리, 익명인증, OTP기반인증, 암호및활용, 유해정보대응 기술의순임 - 연도별출원동향을살펴보면, 정보보호기반관련기술대부분 1990년대중반부터출원이증가하기시작하여현재까지꾸준한출원이이어지고있음 - 개인정보보호 기술은 2000년대초반큰폭으로출원량이증가하는시점이있었으며, 인증서기반인증 기술은 2000년대초반부터출원이크게증가하기시작하여계속적으로많은양의특허출원이이루어지고있음 - 향후정보보호에대한중요성이더커지면서, ID관리, OTP 인증, 공인인증서기반인증등의기술에대한출원이증가할것으로보이며, 또한유해정보로부터사용자를보호하기위한 정보보호기반및이용자보호기술 에대한출원이계속적으로증가할것으로예상됨 50 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 출원인동향 - 정보보호기반및이용자보호기술에관련된다수출원인은 NEC, NTT, IBM, SONY, MATSUSHITA, FUJITSU 등의순임 - 상위 10위출원인뒤를이어 Canon, Mitsubishi Electric, Fuji Xerox, Ricoh, 삼성전자, SHARP, OKI Electric, Seiko Epson, ETRI 등이관련기술에대한특허출원을하고있으며, 개인출원도많이이루어지고있음 51
SO전략 : 공격적전략 ( 감점사용-기회활용 ) SO WO 전략 WO전략 : 만회전략 ( 약점극복-기회활용 ) ST전략 : 다각화전략 ( 감점사용-위협회피 ) WT전략 : 방어적전략 ( 약점최소화-위협회피 ) ST WT 52 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 53
1 ( 차세대공략 후행 ) 암호및활용 - 현황분석 54 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 1 ( 차세대공략 후행 ) 암호및활용 - 표준화추진전략 55
2 ( 다각화협력 후행 ) 인증서기반인증 - 현황분석 56 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 2 ( 다각화협력 후행 ) 인증서기반인증 - 표준화추진전략 57
3 ( 적극공략 병행 ) 통합형인증체계 - 현황분석 58 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 3 ( 적극공략 병행 ) 통합형인증체계 - 표준화추진전략 59
4 ( 차세대공략 선행 ) OTP 기반인증 - 현황분석 60 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 4 ( 차세대공략 선행 ) OTP 기반인증 - 표준화추진전략 61
5 ( 적극공략 병행 ) 익명인증 - 현황분석 62 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 5 ( 적극공략 병행 ) 익명인증 - 표준화추진전략 63
6 ( 다각화협력 병행 ) Identity 관리 - 현황분석 64 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 6 ( 다각화협력 병행 ) Identity 관리 - 표준화추진전략 65
7 ( 다각화협력 병행 ) 개인정보보호 - 현황분석 66 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 7 ( 다각화협력 병행 ) 개인정보보호 - 표준화추진전략 67
8 ( 차세대공략 병행 ) 유해정보대응 - 현황분석 68 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 8 ( 차세대공략 병행 ) 유해정보대응 - 표준화추진전략 69
70 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 71
[ 참고문헌 ] [1] ICT 표준화전략맵 Ver.2013, 2013.2 [2] 한국정보과학회정보과학회지, ID 관리기술및표준화동향, 2007.5 [3] 한국정보보호학회정보보호학회지, 정보통신망에서의온라인아동보호 (COP) 국제표준화동향, 2012.5 [4] IDC, Worldwide Identity and Access Management 2010-2014 Forecast : A First Look in 2010, 2010.3 [5] IDC, Worldwide IT Security Products 2012-2016 Forecast and 2011 Vendor Shares: Comprehensive Security Product Review, 2012.11 [6] KIPA, 국내정보보호시장동향과전망, 2008.01 [7] KISA, 2012 국내지식정보보안산업실태조사, 2012.11 [8] KISA, 다양한보안프로토콜에서의 SEED 이용가이드라인, 2008.6 [9] KISA, 암호정책수립기준설명서, 2008.10 [10] TTA, 정보통신표준활용실태및수요조사보고서 ver.2010, 2010 [11] TTA, 정보통신표준활용맵 2012, 2012.11 [12] ETRI 주간기술동향, 국내외 ID관리기술표준화동향, 2008.7.16 [13] ETRI 전자통신동향분석, 인터넷환경의유해정보차단기술동향, 2013.6 [14] ETRI, Digital Identity Management - 2009년기술백서, 2009.11 [15] ISO, http://www.iso.org [16] ITU, http://www.itu.int [17] NFC FORUM, http://www.nfc-forum.org [18] TCG, http://www.trustedcomputinggroup.org [19] IETF, http://www.ietf.org [20] 국가사이버안전센터, http://service2.nis.go.kr [21] NIST, http://www.nist.gov [22] OASIS, Security Services (SAML) TC, http://www.oasis-open.org/committees/security [23] OASIS, XRI Data Interchange(XDI) TC, http://www.oasis-open.org/committees/xdi [24] 정보통신용어사전, http://www.tta.or.kr [25] TTA 정보통신표준화위원회, http://committee.tta.or.kr 72 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 [ 약어 ] AES Advanced Encryption Standard ARIA Academy, Research Institute, Agency ASTAP Asia Pacific Telecommunication Standarization Program CMS Cryptographic Message Syntax CAGR Compound Annual Growth Rate COP Child Online Protection DES Data Encryption Standard EAP Extensible Authentication Protocol ETRI Electronics and Telecommunications Research Institute IAM Identity and Access Management IC Integrated Circuit ICT Information and Communication Technology ID IDentity id, Id Identifier IdM Identity Management IEC International Electrotechnical Commission IETF Internet Engineering Task Force IKE Internet Key Exchange IoT Internet of Things i-pin Internet Personal Identification Number IPSec IP Security ISO International Organization for Standardization ISO/IEC JTC1 ISO/IEC Joint Technical Committee 1 ITU-T International Telecommunications Union - Telecommunication Standardization Sector KCMVP Korea Cryptographic Module Validation Program LEA Lightweight Encryption Algorithm M2M Machine to Machine communication NFC Near Field Communication NIST National Institute of Standards and Technology NSRI National Security Research Institute OASIS Organization for the Advancement of Structured Information Standards OTP One-Time Password SAML Security Assertion Markup Language SG17 Study Group 17 SIM Subscriber Identity Module SRTP Secure Real-time Transport Protocol SSL Security Socket Layer 73
SSO TLS TPM TTA URL USIM W3C WiMAX XDI XRI Single Sign On Transport Layer Security Trusted Platform Module Telecommunications Technology Association Uniform Resource Locator Universal Subscriber Identity Module World Wide Web Consortium Worldwide Interoperability for Microwave Access XRI Data Interchange extensible Resource Identifier 74 ICT 표준화전략맵 Ver. 2014
네트워크및디바이스보안 기술은정보보호기반기술을활용하여네트워크및디바이스에서의정보보호를확립하기위한스마트모바일기기보안, 클라우드보안, 사이버공격대응, 악성코드대응, 미래네트워크보안, IoT/M2M 보안, 소프트웨어정의네트워킹 (SDN) 등네트워크및디바이스보안을제공하기위한보안기술 75
- 네트워크보안기술은응용계층에서의네트워킹기술과새로운혁신구조의미래인터넷으로발전되고있으며, 네트워크기술의발전과함께보안도함께고려되고있음 - 디바이스보안기술은하드웨어및그인터페이스구조와이에종속적인하위수준의소프트웨어를안전하게설계하고구현하는기술을다룸. 운영체제및상위소프트웨어의구현상취약점이빈번하게실제의공격으로이어지는상황에서디바이스보안기술이크게부각되고있는실정임 - 특히, 스마트모바일기기보안은안전한스마트폰앱을제공하기위한보안기술과사용환경에적절히대응가능한다중수준의보안프레임워크등의기술을다룸 - 클라우드보안은가상화와분산처리로대규모 IT 자원풀을구축하여인터넷을이용해필요한만큼만서비스를제공하는클라우드컴퓨팅서비스에서의정보보안기술을다룸 - 사이버공격대응기술은사이버표적공격 (APT) 과같은알려지지않은치명적인공격에대응하기위해주요 IT 기반주요시설의네트워크, 시스템, 응용서비스등으로부터발생하는대용량데이터및보안이벤트간의연관성을분석하기위한빅데이터를활용한보안분석기술을다룸 - 악성코드대응기술은일반전산환경을포함한새로운모바일, 클라우드환경등에서의취약점및악성코드의수집, 분석, 표현, 탐지및공유와관련한기술과대응방안등을다룸 - 미래네트워크보안은현재의네트워크를기반으로점진적인발전을도모하고있는스마트네트워크보안과현재의인터넷에내재된구조적문제점을해결하고자기존인터넷과의호환성을고려하지않고전혀다른혁신적인개념으로설계되고있는새로운형태의미래인터넷보안을모두포함하고있음 - IoT/M2M 보안은 M2M 노드, 게이트웨이및액세스네트워크등과관련한취약점분석, 안전한설계기술을비롯하여이와관련한신규서비스및어플리케이션에서의프라이버시문제등을다름 - 소프트웨어정의네트워킹 (SDN) 보안은 SDN에서다루고있는컨트롤플레인및데이터플레인분리기술과이와관련한안전한디바이스추상화, 디바이스와원격서비스엔진과의인터페이스프로토콜, 인증서비스등의기술을다룸 76 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 표준화의필요성 - 스마트폰은악성코드가내장된앱 (APP) 을손쉽게만들수있고, 분실이나도난에의해개인정보나기업기밀유출가능성이높으므로, 스마트폰보안위협요소증가에대응하기위한보안기술표준화필요 - 구글, 페이스북, 네이버등국내외의인터넷서비스의대부분이클라우드형태를활용하여다양한서비스를제공하고있으나, 최근지속적인클라우드서비스에대한침해사고로인하여서비스의안정성과지속가능성에대한우려가증대되고있는상황임. 따라서, 클라우드서비스에대한침해에효과적으로예방, 탐지및대응하고이를체계화하여운영함으로서이용자에게신뢰성을제공하여야함 - 대부분의기업및주요기관은사이버표적공격 (APT) 에취약하며향후이러한공격은지속적인증가와함께더욱큰사회적위험을야기할것으로예측되고있음. 이에따라, 사이버위협을대응하기위한빅데이터처리기술을활용한지능형보안분석기술과유관기관간의침해사고정보공유기술을포함한유무선통합망에서의 77
체계적이고종합적인실시간통합보안제어기술에대한표준이필요함 - 최근금전적, 정치적, 사이버테러등특수한목적으로제작된고도화된악성코드수가증가하고있는추세이며악성코드로인한개인정보유출등대형보안사고가빈번하게발생되고있음. 또한, 스마트폰등새로운플랫폼은악성코드의공격대상이되고있어급증하고있는악성코드피해확산방지를위해악성코드대응기능구조표준화가필요함 - 또한, 통신 / 방송 / 클라우드컴퓨팅 / 센서망등이융복합된미래네트워크의보안취약성증가하고있음. 현인터넷에내재된이동성 보안 품질보장한계와같은구조적문제점을해결함으로써통신 방송 컴퓨팅이모두융합되고언제어디서나개인의특성 상황에맞는최적의서비스를끊김없이사용할수있는혁신적인미래인터넷구조에서네트워크에내재된보안기술에대한원천기술및표준화를통한국제경쟁력확보필요 - 네트워크접근성이용이해지면서보안위협요소증가및개별망의보안피해가타망으로확산되고, 네트워크의피해가커짐에따라, 서로다른사업자간또는이종네트워크간의안전한 mobility 서비스제공을위한사용자접근제어및보안구조의표준화를선도하는것이절대적으로필요함 - IoT/M2M을이용한다양한서비스의보급확대가전망되고있지만 M2M/IoT 장치의종류에따른자체의취약점관련위협요소, 운용되는환경적위협요소와네트워크에서의위협요소등을가지기때문에서비스의안정화및신뢰성확보를위해보안기술표준화추진필요 표준화목표 - 안전한스마트폰앱배포및가이드라인제시등스마트폰보안을위한기술개발및국내외표준화활동을통해 2015년까지국제표준화선도 - 국내에서개발된클라우드보안관리체계가이드라인을기반으로 2015년까지클라우드보안관리체계에대한국제표준화와클라우드보안을위한정보교환프레임워크의국내및국제표준을추진. 또한, 2015년까지미래네트워크환경에서클라우드서비스제공을위한네트워크보안요구사항과구조에대한국제표준화추진 - 국내의가상네트워크침입탐지를위한보안기준을기반으로 2015년까지국제표준화를추진 - ITU-T를중심으로진행중인보안정보교환프레임워크 (X.CYBEX) 의효과적인대응을위하여정보공유기술표준화개발에주도적으로참여하여 2015년까지사이버공격대응통합제어분야국제표준화선도목표 - 2014년까지지능형악성코드자동수집및분석기술개발과함께다양한악성코드네이밍규칙, 경유 / 유포지정보공유등표준화를추진하여 2016년까지악성코드대응분야국제표준화를선도 - 2014년까지사이버표적공격대응을위한빅데이터처리기술을활용한지능형보안분석기술의요구사항및 78 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 가이드라인등을다루는국제표준화추진 - 현인터넷에내재된구조적측면의보안문제점을혁신적으로해결하기위해인터넷구조에내재형보안기술을적용하기위한보안요구사항을 2015년까지국내외표준화추진 - 혁신적인미래네트워크환경에서적용될수있는자가인증 (self-certifying) 알고리즘의구조및절차에대한표준화를 2016년까지국내외표준화추진 - 2014년까지미래네트워크환경에서이종네트워크간의안전한 mobility 서비스제공을위한보안기술의국내 / 국제표준화동시추진 - 2014년까지사물지능통신 (IoT/M2M) 환경에서발생할수있는프라이버시침해위협을정의하고보안프레임워크및대응방안제시하고, 2014년에국내외표준화추진 표준화비전및기대효과 - 스마트폰앱을통한악성코드감염, 멀웨어설치등을미연에방지하여안전한스마트폰사용환경제공기대 - 클라우드컴퓨팅서비스등신규융합서비스인프라의안전성과이용자신뢰성확보를위한기술적, 법, 제도적기반조성을위한표준근간을마련하고, 글로벌서비스의합리적수용및국내서비스의체계적정착을유도 - 클라우드보안표준을주도하고기술을선점함으로서안전하고신뢰받는클라우드서비스제공을위한보안기반확보 - 빅데이터의저장및전송에필요한네트워크보안기술확보및표준화추진으로미래네트워크환경에서안전한클라우드서비스제공이가능 - 신규사이버공격에대해국가대응체계를강화하여개별망의피해가타망으로확산되는것을방지하고, 침입탐지 분석 대응을상호협력하에종합적으로관리하는국가차원의통합보안제어체계를구축할수있음 - 전세계적으로분포된악성코드정보를수집하여국가 ISP 사업자간정보공유및공존체계를마련하여안전한인터넷서비스제공환경을마련 - 현인터넷에내재된근원적인보안문제를해결하기위한미래인터넷보안요구사항및자가인증알고리즘을제공함으로, 안전하고안심할수있는미래인터넷환경구축에기여 - 새로운보안위협에대응할수있는통합보안네트워크구축으로시간과장소에구애받지않는안전한미래네트워크사용이가능 - 스마트서비스의근간이되는사물간의지능통신을위한보안표준을마련함으로써신규서비스창출및안전한서비스환경구축에기여 79
80 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 추진경과 - Ver.2012에서는 M2M 통신보안분야의활용분야중하나인 u-city 및 LBS 보안을세분화하여중점적으로고려함 - Ver.2013에서는미래네트워크를스마트네트워크와미래인터넷으로분리하여표준화항목이정의되었으며, u-city 및 LBS 보안은제외시킴 - Ver.2014에서는스마트네트워크와혁신구조의미래인터넷을미래네트워크로통합하여표준화항목을정의하였으며, 소프트웨어정의네트워킹 (SDN) 이새롭게추가됨 버전별표준화항목 ( 구분 ) 비교표 Ver.2014 중점추진방향 - 스마트모바일기기 클라우드서비스의활성화에따라, 스마트폰보안표준화항목의가시화, 클라우드시스템측면에서의보안표준화부분을중점적으로고려하였으며, 미래네트워크의범위를넓혀점진적차세대스마트네트워크모델뿐만아니라혁신구조의미래인터넷부분을추가적으로중점고려하였음 81
국내외기술개발주요현황및이슈 - 스마트폰에장착된스마트폰용보안소프트웨어가악성앱이설치되는것을탐지하고있으나, 스마트폰에많은부하를주고있을뿐만아니라알려진악성앱만을방지할수있는상황임. 또한, 스마트폰앱보안관련하여, 스마트폰앱스토어에서는개인정보에관한앱검증항목을강화하고있음. 애플의앱스토어에서는개인정보수집동의여부, 위치정보활용동의여부, 악성코드포함여부를검증하고있음. SK의 T 스토어와 KT의 Olleh 마켓에서도비슷한내용에대한검증을수행 - 2009년부터클라우드신뢰가상화플랫폼기술개발, 가상네트워크침입대응기술개발등이수행되고있음 - 사이버표적공격위협으로부터주요정보시스템의안전성확보를위해 Unknown/ Zero-day 웹및 SW 취약점 82 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 자동탐지및공유기술에대한연구개발이진행이며, 빅데이터처리기술을기반으로다중소스데이터수집및분석을통한지능형보안기술의연구가활발히진행될것으로전망 - 최근악성코드는사회공학적기법을활용하고다양한채널 ( 웹, 이메일, SNS, Instant Messenger 등 ) 을통해변종악성코드가지속적으로등장하고있으며, 특정조직을대상으로은밀하게진행되는사이버표적공격 (APT) 형태의공격으로진화하고있음 - 현재다양한클라이언트환경을갖춘악성코드자동수집기술, 신 변종악성코드분석기술, 경유 / 유포지통합관리기술개발에초점을두고있으며, 향후악성코드의확산방지를위해악성코드수집정보-분석정보-경유 / 유포지탐지정보등악성코드현황을포괄하는악성코드통합관리기술에대한연구가더활발히진행될것으로전망 - 네트워크백본인프라의처리능력이최고수십 Gbps 수준인반면, 현재의정보보호장비의처리능력은시장규모형성에맞춰진행되고있는관계로아직까지수 Gbps에불과하여소규모네트워크에만적용가능하며, 향후미래네트워크환경에적합한고성능네트워크보안장비개발이추진중임 - 국내에서는혁신적인미래인터넷보안에관련하여, 2011 년도자가검증 (self-certifying) 기술을 ETRI에서일부연구하였으나, 현재는중단된상태임. 또한, 국내 TTA 에서미래인터넷보안요구사항을기술보고서로 2012년발간한바있으나지속적인표준화진행은중단된상태임. 또한, 현재는혁신적인미래인터넷기술보다는점진적인인터넷기술의발전을도모하는방향이강한편임. 국내미래인터넷추진을위한포털사이트 (http://fi-korea.kr) 가운영중임 - 미국은 2010년부터신뢰중심구조 (XIA) 연구프로젝트에서다양한통신객체간신뢰할수있는네트워크를제공하기위한기술을연구중이며, 다양한방식의식별자기반구조연구가진행중임. 세계적으로는미래네트워크를위해 SDN(Software Defined Networks), ICN (Information Centric Networks), IoT (Internet of Things) 등의기술을중심으로활발한연구가진행중임. EU의경우, 2013년 6~12월까지 1.3억유로의 Future Internet 프로젝트콜을진행중임 국내표준화주요현황및이슈 - 2006년, TTA 에서악성코드정의및대응방법이포함된악성코드감염예방을위한가이드가제정되었으며, 2010년에는사용자관점의악성코드대응지침이보완된악성코드감염예방을위한지침으로개정되었음 - 2009년, DDoS 공격을유발시키는좀비 PC를구성된봇넷위협에대한탐지및대응을위한봇넷탐지및대응프레임워크표준이 TTA 에서제정됨 - 2010년, TTA 에서악성코드경유및유포탐지정보공유를위한데이터포맷표준이제정되었음. 또한, TTA 응용보안및평가인증프로젝트그룹 (PG504) 에서모바일통신단말용상황인지형보안재구성프레임워크 (TTAK.KO-12.0153) 를표준화하였음 - 2011 년, 미래인터넷포럼 (FIF) 에서미래인터넷기술개발을위하여보안분야를포함각종요구사항에대하여 83
논의하고있음, TTA 응용보안및평가인증프로젝트그룹 (PG504) 에서는스마트폰앱보안검증절차및기준에관한표준 (TTAK.KO-12.0183) 을마련하였음 - 2012년에는 TTA NGN 프로젝트그룹 (PG204) 에서는미래네트워크보안요구사항, 사용자인증기술등에관한국내표준이제정되었으며, 2012년도에는스마트네트워크환경에서모바일지불을위한보안구조에대한국내표준개발이추진중 TTA 미래인터넷프로젝트그룹 (PG220) 에서혁신적구조관점에서의각종미래인터넷관련표준안을제정하기위한작업을수행중 TTA 응용보안및평가인증프로젝트그룹 (PG504) 에서미래인터넷보안요구사항을 2012년도표준화과제로채택하여국내표준제정을위한논의를시작하였으나, 최종표준안제정은보류되고기술보고서로채택되었음. 또한, 스마트폰을이용한금융서비스, 개인정보보호등의요구사항및대책에관한표준과제가채택되었음 IoT/M2M 통신분야는 TTA 응용보안및평가인증프로젝트그룹 (PG504) 에서센서네트워크라우팅보안요구사항표준을제정하였음 TTA 사이버보안프로젝트그룹 (PG503) 에서국내실정에맞는보안정보공유프레임워크와도메인간보안정보공유프로토콜등의표준을추진하고있으며, 향후사이버위협이상징후탐지및 APT 공격분석 / 대응기술에대한표준을추진할예정 TTA 사물지능통신프로젝트그룹 (PG708) 에서 M2M을위한데이터구조, 네트워크구조등에대한표준화과제가채택되었음 TTA 사이버보안프로젝트그룹 (PG503) 에의하여취약점DB의정보분배및공유, 정보전송프로토콜등에대한표준제안이과제로채택되었음 - 2013년, TTA 미래인터넷프로젝트그룹 (PG220) 에서는 SDN 관련각종표준안을제정하기위한작업을진행중. TTA 사물지능통신프로젝트그룹 (PG708) 에서 M2M 관련각종서비스표준을제정하기위해지속적으로의견수렴하고있음 국제표준화주요현황및이슈 - ITU-T SG17에서는스마트폰앱보안검증절차및요구사항등에대한표준화가추진중임 - 스마트폰디바이스보안부분에서는웹보안연구단체인 OWASP(The Open Web Application Security Project) 의모바일일회용패스워드 (MOTP, Mobile One Time Password) 를중심으로표준화가이루어지고있으며, 스마트폰에대한소프트웨어기반공격이나하드웨어기반공격에대하여보안위협사항을정의하고, ARM사의 TrustZone처럼스마트폰칩셋에신뢰구역을설정하고감사와인증제어를하도록하는기술에대 84 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 한표준화가논의중임 - ITU-T와 ISO/IEC JTC1에서는클라우드컴퓨팅기반환경에서보안위협등을정의하고보안을제공하기위한가이드라인, 요구사항표준화를추진하고있음. 가상네트워크에서보안서비스플랫폼, 보안기능요구사항, 클라우드컴퓨팅환경에서운영보안가이드라인등에대한표준화가진행중임 - ITU-T SG17에서는사이버보안에대한정보공유프레임워크국제표준이제정되었으며, 관련된메커니즘기술의국제표준화작업이미국, 한국, 일본을중심으로진행중 - 국외악성코드관련표준화를위한단체로는 ITU-T, ETSI, IETF 등이있으며, ITU-T에서악성코드감염예방을위한가이드라인표준이제정되었으며, 악성코드분류체계, 취약점평가언어등에대한표준작업마무리되고있음 - ITU SG13에서는 NGN 보안요구사항및인증기술과사용자접근제어를위한국제표준이제정되었으며, 2012년부터미래네트워크에서 Mobility 보장을위한 Mobility Security의국제표준이개발되고있으며, 2013 년클라우딩컴퓨팅서비스제공을위한네트워크보안요구사항이신규권고초안으로국제표준개발이진행되고있음 - 미래인터넷보안기술은현재까지기술적인연구단계이며이와관련된국제적인표준화활동은아직까지미흡한상황임. 그러나, 미래인터넷구조와관련된국제표준화활동은 ITU-T SG13, ISO/IEC JTC1 등에서일부시작되고있음 - M2M 통신표준화는 ETSI, 3GPP, ISO/IEC JTC1, ITU-T 등의국제표준화기구에서네트워크기능구조및서비스요구사항등 M2M 통신서비스지원을위한기본요구사항을도출하는과정에있으며, 보안등서비스안정화를위한다양한요소기술에대한표준화가확대되어추진될것으로예상 정책 / 산업이슈별연혁 - 2010년 2월방통위에서는 스마트폰이용자 10대안전수칙 을발표하고, 모바일시큐리티포럼 을통해스마트폰정보보호주체별역할을정립 - 2011 년 McAfee에서는 8대 IT 보안위협을제시하였으며, 그중에서소셜미디어보안위협, 모바일보안위협, 애플의보안위협, 어플리케이션보안위협과같이스마트폰관련보안위협을 4가지포함하였음 - 한국인터넷진흥원에서는스마트폰보안성제공을위한 S.S Checker를개발하여앱마켓을통해배포하고있으며, 공공앱검증을수행하고있음 - 한국인터넷진흥원에서는안전한클라우드서비스제공 이용을위한 클라우드서비스정보보호안내서 를발간하여배포했으며, 안전한클라우드서비스환경을마련하기위해중소규모클라우드업체를대상으로보안컨설팅을진행하고있음 - 국가차원의안전한인터넷인프라확보를위한기술적인정책은침해사고발생시증거확보의의무화정책강화및각네트워크관리도메인간의협력체계공감대형성에따라안전한정보통신사업환경구축 85
- 안전한인터넷환경조성을위해악성코드에감염된좀비PC를차단하고경유 / 유포지정보를수집하여악성코드가배포되는채널을분석하고악성코드확산을사전에예방하는등악성코드유포를근본적으로차단하는기술적정책필요 - 이기종네트워크간통합및여러사업자간연동이이루어지는미래네트워크환경에서체계적으로침해사고에대처하기위한통합정보보호관리체계가구축되었으며, 침해사고예방및대응체계의고도화기술을개발중임 - 미래인터넷포럼에서 2013년 2월미래인터넷공개토론회가있었으며, 미래인터넷보안의사용자측면의설계에대한논의가있었음. 또한, 미래창조과학부와 KISA에서주관하는 미래인터넷지원센터 가있으며, 중소벤처기업을대상으로온라인컨설팅및교육등을지원하고있음. 미래창조과학부는미래인터넷관련하여, 2013 년 5월현재의인터넷보다최대 10배빠른 기가 (Giga) 인터넷 시범사업을확대해 2017년까지전국 90% 구축을목표로추진하겠다고발표하였으며, 2013년 6월, 기가인터넷구축추진단 을구성 - IoT/M2M 분야는 2009년 10월방송통신위원회에서발표된 사물지능통신기반구축기본계획 을기반으로세계최고의사물지능통신기반구축을위한 4대분야 12대세부과제를추진중에있음. 2009년미국의 Verizon과 Qualcomm은 M2M 전문벤처기업을설립하였으며표준과관련해서는 ITU-T의 MOC(Machine- Oriented Communication), 3GPP의 MTC(Machine-Type Communication) 등을통하여지속적으로표준화를진행하고있음 86 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 스마트모바일기기보안 - 국내기술개발현황 국내에서모바일웹플랫폼에대한개발또한진행되고있고, 스마트폰의순수플랫폼, 인터페이스, 앱에대한기술개발이활성화되고있으며, 보안기술에대한인식과관심이급격히증가하고있음 스마트폰의보안취약점을해소하기위한여러기술이개발되고있으며이를통하여스마트폰보안분야의표준화에중요한역할을할것으로기대됨 - 국외기술개발현황 스마트폰플랫폼과앱에보안기술을내장하고강화하는기술들이지속적으로개발되고있음 스마트폰보안에대한관심이급격히증가하는만큼스마트폰플랫폼과관련제품에보안기술의수준이시장에중요한역할을할것으로기대하고있음 클라우드보안 - 국내기술개발현황 클라우드컴퓨팅환경가상네트워크침입대응기술개발, 신뢰클라우드컴퓨팅플랫폼개발등의국내클라우드관련가상화시스템보안을위한기술개발이진행중에있음 - 국외기술개발현황 해외클라우드컴퓨팅기술은가상화, 클러스터관리, 분산시스템, SOA, 보안등의분야에서구글을선두로아파치 S/W재단, 아마존, 야후등이치열하게다양한기술을개발하여서비스에적용 Gartner에서는 11 년 7월, 클라우드보안에관한 Hype Cycle 분석을통해기존보안기술의단순적용보다는클라우드전용보안기술이필요하고, 또한이들보다는클라우드서비스화시킨보안기술의개발이더욱요구되어지고있다는분석결과를보임 사이버공격대응 - 국내기술개발현황 89
국내에서전역적협력대응기반의통합보안제어기술연구는시작단계이며, 기관내상하위부서간의보안정보공유를통해전체공격상황을직관적으로파악하고제어하려는기술이요구되고있음 지능형보안서비스를위한국내빅데이터분석활용기술관련하여, 대표적으로넥스알 (NexR) 이하둡및클라우드기술을기반으로다양한컨설팅및사업을추진. 최근 KT 클라우드웨어로합병 - 국외기술개발현황 보안협력을위한필수적인실시간보안정보공유플랫폼을개발하고자하는시도는미국의연구개발프로그램인 NITRD(Networking and Information Technology Research and Development) 의 CSIA(Cyber Security and Information Assurance) 프로그램과사이버정보공유프로젝트, 일본의 Worldmap-View 프로젝트등이국가기관주도로진행되고있음. 네트워크전체를보안제어영역으로확장하여서로다른관리도메인간보안정보공유를통한협력기반의통합보안제어기술에대한연구가더활발히진행될것으로사료됨 지능형보안을위한빅데이터분석기술도입은 Splunk 를비롯한 SIEM( 보안정보이벤트관리 ) 선두주자들이새로운공격위협에대응하기위한새로운기술로활용하고있음 악성코드대응 - 국내기술개발현황 국내백신업체들의악성코드분류가서로조금씩상이하므로악성코드에대한대응시그니쳐상호공유를통해침해사고에신속하게대응하기위해국내 AV 업계에서범용적으로사용할수있는악성코드분류체계마련이요구됨 SNS, 메신저등을통한악성코드수집은주로사용자신고및관리자요청에의존하고있어 SNS기반서비스를매개로급속히유포되는악성코드수집에한계가있음 국내악성코드수집시스템은국외에서 Honeynet을통해취약점을공격하는웜형태의악성코드를주로수집하고있으며, KISA 지능형악성코드자동수집 / 분석기술, 안랩스마트디펜스, DNS 스캔기술등신종악성코드대응기술개발이진행중에있음 안티바이러스업체들을중심으로악성코드시그니쳐개발및공유가이루어지고있으나급격히증가하는악성코드대응에는한계가있음 - 국외기술개발현황 TrendMicro, Kaspersky 등해외보안업체는악성코드를형태별로나누어분류하고형태에따라나눠진악성코드를다시기능별로분류하여악성코드를정리하고있으나상이한분류기준으로악성코드를분류하고있는실정임 최근악성코드는사회공학적기법을활용하고다양한채널 ( 웹, 이메일, SNS, Instant Messenger 등 ) 을통해악성코드를배포하고있으나수집시스템에서는이와같은채널을기반으로악성코드를수집하는기술은초기상태임 90 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 시그니쳐 / 행위기반악성코드경유 / 유포지탐지기술에대한연구가국외대학교, 오픈소스그룹에서꾸준히진행되고있음 미래네트워크보안 - 국내기술개발현황 11 년도 ETRI에서 self-certifying ID 기술을기반으로일부연구가있었으나현재는중단된상황이며, 13년도부터는 SDN, IoT 및기가 (Giga) 인터넷프로젝트가진행중임 소규모네트워크차원에서이동성보안기술을적용하는형태이나, 향후의이동성보안기술은스마트네트워크전체의보안관리영역으로확장될전망임 - 국외기술개발현황 미과학재단에서추진한초기의다양한구조연구단계를거쳐, 2010년부터는매년 8백만달러규모로산업적으로수요가큰기술위주로선택과집중을하고있으며, 신뢰중심구조 (XIA), 콘텐츠중심구조 (NDN), 이동성중심구조 (MobilityFirst), 클라우드컴퓨팅중심구조 (Nebula) 등 4대핵심구조연구 현재미국에서추진중인 XIA( 신뢰중심구조 ) 프로젝트에서는다양한통신개체를수용하기위해 1Multiple principals, 패킷의의도 (intent) 를표현하고 Fallback을보장하기위해 2DAG-based addressing (DAG, Direct Acyclic graph), 내재형보안기술을제공하기위해 self-certifying ID 기술을포함한 3Intrinsic Security 기술을개발하고있음 Self-Certifying [ID, Address,...] 구조는 4개핵심구조연구중 XIA, NDN, MobilityFirst 등 3개과제에서채택 유럽에서는 NetInf 프로젝트를통해 ICN (Information Centric Networks) 기술을개발하고있음 미국, EU 및일본은국가적차원에서통신망보안이슈에대한조사와통신망보안을위한권고사항작성, 사이버보안을위한국가전략발표등사이버네트워크보안제품개발을추진중 IoT/M2M 보안 - 국내기술개발현황 M2M (Machine to Machine) 으로지칭되는사물지능통신은시설물관리와텔레메틱스등의솔루션을중심으로기술및시장이형성되어있고, 향후원격검침등의서비스를중심으로가파르게성장할것으로기대됨 - 국외기술개발현황 미국은연구개발프로그램인 NITRD(Networking and Information Technology Research and Development) 주관의 8개분야로나누어연간 20억달러규모의거대연구가 DARPA, UC Berkeley에서진행중이며, 각종비즈니스및서비스모델개발에전부처가박차를가하고있음 91
소프트웨어정의네트워킹 (SDN) - 국내기술개발현황 ETRI는 SDN 연구를통해 FIRST라는플랫폼을개발하였음. 또한정부는 2013년 SDN 연구에 80억투자를기획하였고삼성은클라우드기반의네트워크서비스형태의 SDN을준비중이며 KT와 SK 도 SDN 사업참여를준비중에있음 - 국외기술개발현황 2007년부터스탠포드대학에서 OpenFlow 프로젝트를시작으로다양한업체와대학이참여하여본격화되고있으며 2011 년 3월다국의통신사및구글, 마이크로소프트, 페이스북, 야후등이참여한 ONF(Open Network Foundation) 표준화단체가결성되었음 92 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 스마트모바일기기보안 - 국내표준화현황및전망 TTA 응용보안및평가인증프로젝트그룹 (PG504) 에서의스마트폰앱보안검증구조에대한표준이제정됨 스마트폰보안관련특허가출원되고있으므로보안에대한표준화요구가큰폭으로증가될것임 - 국외표준화현황및전망 ITU-T SG17에서스마트폰의보안표준화에대하여다루고있음. 주로스마트폰앱보안검증, 요구사항을다루고있음 스마트폰보안관련기술이점차나옴에따라보안이슈에대한표준화가추진되고있음 93
클라우드보안 - 국내표준화현황및전망 TTA NGN(PG204), 클라우드컴퓨팅 (PG420), 사이버보안 (PG503), 응용보안및평가인증 (PG504) 프로젝트그룹에서클라우드보안에대한표준을제정하고지속추진중에있음 - 국외표준화현황및전망 현재 ITU-T, ISO/IEC JTC1 등의국제표준화기구에서클라우드보안을위한기본요구사항을도출하는과정에있으며, 클라우드보안을위한다양한요소기술에대한표준화가확대되어추진될것으로예상됨 94 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 사이버공격대응 - 국내표준화현황및전망 TTA 사이버보안프로젝트그룹 (PG503) 에서침해사고정보전달포맷및프로토콜에대한표준을제정하였으며, 사이버공격대응통합제어프레임워크및빅데이터보안분석요구사항에대한표준을추진할예정임 - 국외표준화현황및전망 IETF에서는침해사고데이터형식인 IODEF(Incident Object Description Exchange Format) 와침해사고추적프로토콜인 RID(Real-time Inter-network Defense) 를표준화하였으며, ITU-T SG17에서는사이버보안에대한정보공유프레임워크 (CYBEX) 에대한표준이제정되었으며, 관련메커니즘에대한표준화작업이지속적으로진행중. 또한, 향후빅데이터처리기술을활용한보안분석요구사항에대한표준개발이추진될것으로예상됨 95
악성코드대응 - 국내표준화현황및전망 2006년 TTA 에서악성코드정의및대응방법이포함된악성코드감염예방을위한가이드가제정되었으며, 2010년악성코드감염예방을위한지침이제정되었음 악성코드네이밍에경우백신회사마다샘플의유입시간이나처리절차등이상이한문제점과각회사별상이한네이밍규칙을가진다는점에서악성코드네이밍규칙에대한표준화필요성이지속적으로요구되고있음 - 국외표준화현황및전망 2011 년 ITU-T ICT 네트워크에서악성코드감염예방을위한가이드라인표준제정 (X.1205) 되었으며, 2012 년 ITU-T 악성코드의속성및분류체계에대한표준화작업이진행중 (X.maec) 에있음 악성코드에대한종합적인대응을위해악성코드은닉사이트, 경유 / 유포사이트에대한정보공유, 사전예방절차등에대한표준추진이필요할것으로보임 미래네트워크보안 - 국내표준화현황및전망 TTA 응용보안및평가인증프로젝트그룹 (PG504) 에서미래인터넷보안요구사항을 2012년도표준화과제로채택하여국내표준제정을시작하였으나, 기술보고서로채택된후후속표준화추진은중단된상황 TTA 미래인터넷프로젝트그룹 (PG220) 에서 SDN(Software Defined Network) 관련표준등을 2012년도표 96 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 준화과제로채택하여국내표준제정을위한논의를시작 스마트네트워크보안분야는 Broadband, Mobility, QoS, IPv6 등에이르기까지매우다양한분야에걸쳐있어국내에서의다양한프로젝트그룹및워킹그룹에서표준화를진행하고있음. 스마트네트워크환경에서이동성보안및클라우딩컴퓨팅서비스제공을위한보안프레임워크에대한국내표준은 TTA NGN 프로젝트그룹 (PG204) 에서추진중임 - 국외표준화현황및전망 혁신적구조의미래인터넷보안표준은기술개발이미흡하여아직까지구체적인국제표준화가추진되지못하고있음 미래네트워크관련다양한프로젝트그룹및워킹그룹이형성되어표준화가진행하고있으나, 미래네트워크보안표준은 ITU SG13에서네트워크보안요구사항및인증기술의국제표준이제정되었으며, 현재미래네트워크환경에서 Mobility Security와클라우딩컴퓨팅서비스보안프레임워크국제표준이개발되고있음 IoT/M2M 보안 - 국내표준화현황및전망 M2M 통신보안국내표준화는 RFID/USN 요소기술및이동통신망과연계된 M2M에대한표준화가추진되고있으며, 추후사물지능통신의서비스활성화및기술개발확대에따른활발한표준화추진이예상됨 - 국외표준화현황및전망 현재 ETSI, 3GPP, ISO/IEC JTC1, ITU-T 등의국제표준화기구에서네트워크기능구조및서비스요구사항등 M2M 통신서비스지원을위한기본요구사항을도출하는과정에있으며, 정보보호등서비스안정화를위한다양한요소기술에대한표준화가확대되어추진될것으로예상됨 97
98 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 소프트웨어정의네트워킹 (SDN) - 국내표준화현황및전망 ETRI에서 ITU-T 연구반에참여중이며 TTA 에서 SDN 개방형인터페이스요구사항을표준화하였음 국내에서는이외의구체적인활동내역은없음 - 국외표준화현황및전망 IETF를통하여 SDN의관리자및 API 표준이진행되고있음 ITU-T도올해부터 SG13을통해 4년간의 SDN 표준개발을진행하고있음 각기구에서드래프트수준의문서들을공개하고있음 99
표준화항목별출원건수 - 표준화항목중 사이버공격대응 기술과관련된 IPR이가장많았으며, 악성코드대응, 클라우드보안, 스마트모바일기기보안, 미래네트워크보안, M2M(IoT) 보안, SDN 기술의순임 - 연도별출원동향을살펴보면, 사이버공격대응, 악성코드통합대응 이 1990년대후반부터출원이증가하기시작하여현재까지꾸준한출원이이어지고있음 - 2000년대중반부터 클라우드보안, 스마트모바일기기보안 및 미래네트워크 관련출원이증가하고있으며, 특히최근표준화이슈가되고있는 M2M(IoT) 분야의특허출원이나타나고있음 - 향후스마트폰을활용한서비스및클라우드서비스가확대되면서네트워크 / 디바이스보안을위한기술에대한출원이계속적으로증가할것으로예상됨 100 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 출원인동향 - 네트워크 / 디바이스보안기술에관련된다수출원인은 ETRI, 삼성전자, KISA 등의순임 - 상위 10개출원인뒤를이어 고려대학교, 대전기독학원, Interdigital, 이글루시큐리티, 엘지엔시스, IBM, 시큐아이, 이월리서치, 등이관련기술에대한특허출원을하고있음 - Alcatel-Lucent, Interdigital, IBM, Microsoft 등과같은외국기업이국내에특허출원을하고있음 101
표준화항목별출원건수 - 표준화항목중 사이버공격대응 기술과관련된 IPR이가장많았으며, 클라우드보안, 악성코드대응, M2M(IoT) 보안, 스마트모바일기기보안, SDN, 미래네트워크보안 기술의순임 - 연도별출원동향을살펴보면, 사이버공격대응, 악성코드통합대응 이 1990년대후반부터출원이증가하기시작하여현재까지꾸준한출원이이어지고있으며, SDN( 소프트웨어정의네트워킹 ) 은소량의출원이계속적으로이루어지고있음 - 2000년대중후반부터 클라우드보안 기술에대한출원이급격히증가하였고, 스마트모바일기기보안 및 미래네트워크 기술에대한출원이나타나고있으며, 특히최근표준화이슈가되고있는 M2M(IoT) 분야의특허출원이나타나고있음 - 향후스마트폰을활용한서비스및클라우드서비스가확대되면서네트워크 / 디바이스보안을위한기술에대한출원이계속적으로증가할것으로예상됨 102 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 출원인동향 - 네트워크 / 디바이스보안기술에관련된다수출원인은 Microsoft, IBM, ETRI 등의순임 - 상위 10개출원인뒤를이어 NTT, AT&T, MAZU Networks, Juniper Networks, ZTE, NEC, Verizon 등이관련기술에대한특허출원을하고있음 - ETRI, 삼성전자, KISA, LG N-Sys 등과같은국내출원인이해외에특허출원을하고있음 103
SO전략 : 공격적전략 ( 감점사용-기회활용 ) SO WO 전략 WO전략 : 만회전략 ( 약점극복-기회활용 ) ST전략 : 다각화전략 ( 감점사용-위협회피 ) WT전략 : 방어적전략 ( 약점최소화-위협회피 ) ST WT 104 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 105
(1) ( 다각화협력 후행 ) 스마트폰앱보안검증프레임워크 - 현황분석 106 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (1) ( 다각화협력 후행 ) 스마트폰앱보안검증프레임워크 - 표준화추진전략 107
(2) ( 적극공략 병행 ) 스마트폰다중수준보안프레임워크 - 현황분석 108 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (2) ( 적극공략 병행 ) 스마트폰다중수준보안프레임워크 - 표준화추진전략 109
(3) ( 다각화협력 병행 ) 클라우드보안관리프레임워크 - 현황분석 110 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (3) ( 다각화협력 병행 ) 클라우드보안관리프레임워크 - 표준화추진전략 111
(4) ( 차세대공략 병행 ) 클라우드개인정보보호기준 - 현황분석 112 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (4) ( 차세대공략 병행 ) 클라우드개인정보보호기준 - 표준화추진전략 113
(5) ( 차세대공략 병행 ) 클라우드보안을위한정보교환프레임워크 - 현황분석 114 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (5) ( 차세대공략 병행 ) 클라우드보안을위한정보교환프레임워크 - 표준화추진전략 115
(6) ( 차세대공략 병행 ) 클라우드컴퓨팅서비스에서의이용자디바이스보안요구사항 - 현황분석 116 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (6) ( 차세대공략 병행 ) 클라우드컴퓨팅서비스에서의이용자디바이스보안요구사항 - 표준화추진전략 117
(7) ( 차세대공략 병행 ) 가상네트워크침입탐지분석요소 - 현황분석 118 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (7) ( 차세대공략 병행 ) 가상네트워크침입탐지분석요소 - 표준화추진전략 119
(8) ( 차세대공략 병행 ) 클라우드컴퓨팅을위한네트워크보안요구사항 - 현황분석 120 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (8) ( 차세대공략 병행 ) 클라우드컴퓨팅을위한네트워크보안요구사항 - 표준화추진전략 121
(9) ( 차세대공략 선행 ) 사이버표적공격대응을위한빅데이터분석요구사항 - 현황분석 122 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (9) ( 차세대공략 선행 ) 사이버표적공격대응을위한빅데이터분석요구사항 - 표준화추진전략 123
(10) ( 적극공략 병행 ) 보안정보공유및통합제어프레임워크 - 현황분석 124 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (10) ( 적극공략 병행 ) 보안정보공유및통합제어프레임워크 - 표준화추진전략 125
(11) ( 차세대공략 병행 ) 악성코드통합대응기능및구 - 현황분석 126 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (11) ( 차세대공략 병행 ) 악성코드통합대응기능및구 - 표준화추진전략 127
(12) ( 다각화협력 후행 ) 악성코드분석및보고형식 - 현황분석 128 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (12) ( 다각화협력 후행 ) 악성코드분석및보고형식 - 표준화추진전략 129
(13) ( 다각화협력 후행 ) 신규악성코드분석기술용어정의 - 현황분석 130 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (13) ( 다각화협력 후행 ) 신규악성코드분석기술용어정의 - 표준화추진전략 131
(14) ( 차세대공략 선행 ) 미래인터넷보안요구사항 - 현황분석 132 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (14) ( 차세대공략 선행 ) 미래인터넷보안요구사항 - 표준화추진전략 133
(15) ( 차세대공략 선행 ) 자가인증 (self certifying) 구조및절차 - 현황분석 134 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (15) ( 차세대공략 선행 ) 자가인증 (self certifying) 구조및절차 - 표준화추진전략 135
(16) ( 적극공략 선행 ) Mobility 보안구조및절차 - 현황분석 136 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (16) ( 적극공략 선행 ) Mobility 보안구조및절차 - 표준화추진전략 137
(17) ( 차세대공략 선행 ) M2M(IoT) 통신인프라보호프레임워크 - 현황분석 138 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (17) ( 차세대공략 선행 ) M2M(IoT) 통신인프라보호프레임워크 - 표준화추진전략 139
(18) ( 차세대공략 선행 ) M2M(IoT) 게이트웨이및액세스네트워크보호프레임워크 - 현황분석 140 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (18) ( 차세대공략 선행 ) M2M(IoT) 게이트웨이및액세스네트워크보호프레임워크 - 표준화추진전략 141
(19) ( 차세대공략 선행 ) M2M(IoT) 서비스보호프레임워크 - 현황분석 142 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (19) ( 차세대공략 선행 ) M2M(IoT) 서비스보호프레임워크 - 표준화추진전략 143
(20) ( 차세대공략 선행 ) SDN 보안프레임워크 - 현황분석 144 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (20) ( 차세대공략 선행 ) SDN 보안프레임워크 - 표준화추진전략 145
146 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 147
148 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 [ 참고문헌 ] [1] ITU-T X.1205: Overview of Cybersecurity [2] ITU-T X.1500: Overview of cybersecurity information exchange [3] TTA 정보통신표준화위원회, http://committee.tta.or.kr [4] ITU, http://www.itu.int [ 약어 ] API Application Programming Interface APT Advanced Persistent Threat CSA Cloud Security Alliance CVE Common Vulnerabilities and Exposures DAG Direct Acyclic Graph DARPA Defense Advanced Research Projects Agency ETSI European Telecommunications Standards Institute FIF Future Internet Forum ICN Information Centric Networks IETF Internet Engineering Task Force IoT Internet of Things ISP Internet Service Provider ITU-T International Telecommunication Union - Telecommunication Standardization Sector M2M Machine to Machine MOC Machine-Oriented Communication MTC Machine-Type Communication NITRD Networking and Information Technology Research and Development OCC Open Cloud Consortium OMA Open Mobile Alliance ONF Open Network Foundation OTP One Time Password OWASP The Open Web Application Security Project SCM Supply Chain Management SDN Software Defined Networks SIEM Security Information and Event Management SNS Social Networking Service SOA Service-Oriented Architecture SVM Security & Vulnerability Management TOS Trusted OS TTA Telecommunications Technology Association 149
플랫폼보안및평가인증기술은정보보호기반기술과네트워크및시스템보안기술을활용한금융보안, 콘텐츠접근제어, 빅데이터보안, 클라우드응용보안, 스마트그리드보안, 바이오인증보안, 차량통신보안등다양한응용서비스및제품을평가하기위한기술 - 콘텐츠접근제어 : 어린이를온라인상에서안전하게보호하고각연령에맞는적절한콘텐츠및서비스를원활하게제공 150 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 - 금융보안 : 모든모바일스마트디바이스 ( 스마트폰, 태블릿등 ) 에하드웨어 (HW) 지원보안기술이탑재되어칩레벨에서부터플랫폼보안을지원하고있으며, 금융지급결제를위한소프트웨어들이해당플랫폼에최적화되어탑재되어있어이용자들은모바일환경에서보안이보장된전자금융서비스환경을이용 - 스마트그리드보안 : 스마트그리드보안장비및서비스가도입됨에따라, 스마트그리드서비스사용자는실시간전력사용정보를안전하게제공받을수있고, 전력거래시안전한거래를보장, 즉, 사용자의개인정보및전력사용패턴등이외부로노출되어사용자의프라이버시가침해되거나추가적인피해발생을예방함으로써신뢰성있는서비스를제공 - 클라우드응용보안 : 다양한서비스들이클라우드환경으로전이하고있으며, 서로다른서비스들을융 복합한형태의서비스요구증가로, 기존의서로다른서비스들을클라우드환경기반으로융 복합하여새로운서비스를출시하고있음. 서로다른서비스들이가상화된클라우드환경에서다양한보안위협으로부터안전하게연동할수있도록클라우드상호연동보안서비스를제공 - 빅데이터의데이터보안 : 정확한통찰력과실시간적의사결정을지원하는빅데이터시스템에서대규모의데이터를효율적으로활용분석하기위해데이터암호화, 익명화등의데이터처리기술과다중사용자에따른데이터접근통제, 리스크관리기술기술을포함 - 웹응용보안 : 다양한서비스를융합하는서비스의증가로, 기존의서로다른웹서비스를하나로묶어서서비스가출시하고있음. 서로다른웹서비스간보안정책분배, 인증, 정보제공및접속허용, 상호운용성보장등을통해원활한서비스를제공 - 차량통신보안 : 차량간 (V2V), 차량과인프라간 (V2I), 차량과노메딕디바이스간 (V2N) 통신보안기능을제공 - 바이오인증보안 : 지문, 얼굴, 홍채등개인이가진고유의바이오정보를활용하여개인을인증하는기술로대면비대면인증서비스가널리사용되고있음. 최근초소형카메라와지문센서의경량화로스마트폰에탑재및응용이가능함으로서모바일바이오인식을이용한원격바이오인증서비스를제공 - 보안평가 : 보안성이검증된인증제품이네트워크에널리구축되어더욱안전하고편리하게사용자들이네트워크서비스를이용 - 보안관리 : 정보보호거버넌스구조가수립되고이를기반으로정보보호관리체계및사고대응체계가구축되어이사회와최고경영진이조직의전략요소로서정보보호의수준과방향을제시하고, 이에따라실시간으로전조직의정보보호현황이수집 보고되며, 사전결정된임계값에도달하는경우사안에따라적절한관리자수준에서의사결정이이루어지며즉각전조직으로전파되어처리됨 151
표준화의필요성 - 다양한콘텐츠의개발및제공이온라인상에서증가하고있으며, 이에따라여러부작용이발생하고있어어린이를온라인상에서안전하게보호하고각연령에맞는적절한콘텐츠및서비스를원활하게제공하기위해연령확인및검증에대한표준화추진이필요 - 전자금융거래와소셜네트워크는스마트폰보급과더불어모바일결제서비스및페이스북, 트위터등 SNS 기반응용서비스확대추세임. 이에선제적기술개발을통한국내기술력확보및프라이버시보호, 이용자보호를위한보안지침제시등을위한표준화추진이시급히요구 - 전세계적으로에너지사용의효율화에대한관심이증가하고있는가운데, 기존전력망에 IT기술을접목하여 152 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 전력공급자와소비자가양방향으로실시간정보교환함으로써에너지효율을최적화하는스마트그리드에대한관심및투자가증가하고있음. 스마트그리드기술은전국민의실생활에영향을미칠수있기때문에서비스의안전성보장및신뢰성확보가필수적임. 이에, 안전한스마트그리드인프라구축을위한보안기술및표준개발이필요 - 클라우드환경은서버및저장장치를포함한클라우드서비스가상화로인해컴퓨팅자원의공유가더욱가속화되고있으며, 다양한서비스들이융 복합하여새로운서비스를제공하는추세로보안위협으로부터안전하게 SaaS (Software as a Service) 형태의서비스들에대한상호연동성이보장되어야함. 이를위해고객데이터의안전성, 이용자접근제어, 및권한검증등클라우드기반서비스들의연동보안을보장하기위한기술및표준개발이필요 - 대규모정보흐름에대한통찰력및오류로인한영향을받지않고사실에근거한의사결정그리고실시간적인분석의장점으로빅데이터기술은미래경쟁의주도권확보를위한기술로간주되고있음. 그러나이러한순기능에대한역작용으로나타날수있는정부및기업의실시간분석정보와개인정보의유출, 오 남용을막기위한빅데이터데이터보호및리스크관리기술이필요. 특히산업적, 정책적적용을위한표준개발이필요 - 이동환경에적합한경량의웹기술의산업적수용으로웹2.0의개방형웹서비스의안전성을보장함과동시에이종웹간효율적이고안전한상호연동성을보장하기위한표준개발이필요 - 차량통신기술은교통사고경감및도로효율을높이기위한미래지능형자동차의핵심기술로서, 미국및유럽에서활발히연구및상용화가진행중임. 차량통신환경에서의보안사고는운전자의생명과직결되는문제이므로, 차량통신보안표준화가시급한실정 - 주요시설, 국경등에대한출입통제, 시스템접근제어, 온라인거래시의사용자인증및금융 통신 의료 사회복지 출입국관리 국방 범죄수사등국가안보및사회질서확립을위한개인신원확인수단으로널리사용되고있고있는바이오인증기술의안전성제고와원격인증을위한모바일바이오인증을위한표준화추진이중요 - 공통평가기준및공통평가방법론은 CCRA 회원국간작업그룹을통해개발되고있으며, 우리나라도 CCRA 인증서발행국으로활발히참여하고있음. 미국, 유럽등이평가기준개발, 개정등주도적인활동을하고있으며, 기술별평가기준개발을추진하고있어, 국내우수기술의국제평가기준및표준화로의채택을위해선도적역할및활동필요 - 정보에대한보호는조직의전략적요소로서경영진의주요관리대상이며, 조직의전반적인관리체계의일부로서통합이요구됨. 뿐만아니라업무상의정보흐름이단일조직내에서만발생하는것이아니라여러조직에걸쳐이루어지면서서비스가제공되고있기때문에신뢰성있는정보서비스를제공하고나아가안전한정보사회기반을구축하기위해서는보안관리의표준화와이에따른조직간의상호비교및협력이필수적임. 이러한이유로세계각국정부에서는정보보호를위한법적요건들을강화하고있음. 조직의중요정보를적절히보호 관리할수있는능력을갖춘전문가를확보하기위한인증기준의개발및사고대응표준의개발이필요 153
표준화목표 - 2014년에는사용자속성정보의결합 (Attribute binding) 을통해강화된인증방식을제공하기위한세부적인요소와구조에관한표준을개발하고, 2016년까지국내외표준화추진 - 2015년까지스마트폰활성화와더불어활용도가증가될것으로예상되는, 전자금융서비스에대한보안시험기술및규격을표준화하고, 기존보안및응용소프트웨어에대해스마트폰단말보안기술에적용가능하도록, 응용소프트웨어보안프레임워크표준을개발 - 국내에서 2030년까지국가단위스마트그리드구축완료를목표로스마트그리드사업을추진중에있는가운데, 2015년까지스마트그리드보안요구사항및기능구조에대한국제및국내표준화동시추진 - 2015년까지클라우드환경의 SaaS 보안전반에걸쳐보안요구사항및보안프레임워크를정의하여 SaaS 기반의신뢰클라우드연동보안을위한다중테넌트데이터보호, SaaS 이용자및관리자권한관리, 플랫폼보안등의보안요소에필요한보안기술표준화추진 - 2015년까지산업체, 정부및공공기관전반에서요구하는빅데이터기반의데이터보호 ( 익명화, 암호화, 접근제어, 모니터링, 중요데이터보안등 ) 를위한요구사항정의및빅데이터를위한데이터보호프레임워크및리스크관리표준기술개발 - 2014년까지융합서비스가급속히보급되고있는가운데, 모바일단말의활용도가높아지고있으므로, 모바일단말을기반으로하는융합웹서비스를위한이종웹서비스간의정보보호를위한보안정보의관리체계및역할을정립하는기술표준을개발 - 2014년에는차량통신환경에서의보안위협및보안서비스구조및세부적인기능에대한표준을개발하고, 2015년까지국내외표준화추진 - 2014년까지국내바이오인식기술의국내 외시장선점을위해, 국내기술에기반한바이오인식시스템에대한상호호환성확보, 모바일바이오인증서비스기술, 바이오인식응용서비스등에대한표준을개발 - 공통평가기준및공통평가방법론은기술독립적이며, 실질적인기술기반의평가기술개발로의전환이추진되고있어, IT 제품보안성평가를위한기술별보호프로파일 (PP : Protection Profile) 및지원문서 (SD: Supporting Document) 를개발하여표준화추진 - 2014년중정보보안거버넌스프레임워크국내표준화추진, 2016년까지정보보안사고관리지침및정보보호관리전문가인증기준을국제표준화와동시에국내표준화추진 표준화비전및기대효과 - 온라인상에서미성년자들을보호하고콘텐츠에따른적절한연령을검증할수있는표준기술수립등에대한표준화추진으로국내콘텐츠산업서비스의안정적인보급과국내외시장확대기반마련 - 국내보안기술을기반으로하는전자금융서비스를위한모바일보안프레임워크표준, 스마트그리드보안표준 154 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 을개발하여, 국내보안업체의기술선점및시장경쟁력확보에기여 - 클라우드응용중 open office document 저작도구와 CRM, ERP, HR, Financial, Security 등이 SaaS로전환되어신규응용서비스로자리잡아감에따라 SaaS 서비스및서비스들사이의연동에대한안전성을보장하는표준기술을선점하여미래시장에서의 IPR 확보에기여 - 빅데이터기술은현재기술적검증을마친단계로, 본격적인산업적용을위해서는향후 2년에서 5년이필요한신기술분야 (Gartner, 2011) 이므로, 빅데이터핵심원천기술과관련빅데이터보안기술을조기에확보하여, 3 년 ~5년이내에촉발될컴퓨팅패러다임변화에대비하고국내업체들의빅데이터보안분야의선점주도권확보에기여 - 스마트폰앱등신규응용서비스에서의웹기반서비스의비중은점차적으로확대될것으로예상되므로, 융합웹서비스표준기술선점하여미래시장에서의 IPR 확보에기여 - 전세계적으로바이오인식기술도입및모바일바이오인식신융합기술도입이가속화될전망이므로, 국내바이오인식기술의국제표준화를통해유무선네트워크환경에서사용자인증수단인바이오인식시장을확대하고모바일기기를통한바이오인식응용서비스사업육성을위한기반을마련 - 차량통신환경에서의보안표준을개발하여, 차량간통신기술의시장상용화가속화를유도하고, 국내업체의차량통신보안분야의선점주도권확보에기여 - 정보보호제품의기술별보안요구사항, 지원문서개발및표준화를통해기술중심의정보보호제품평가및평가일관성제고 - APT(Advanced Persistent Threats) 공격등에따른사고와피해가증가하고있고, 기업의자산및고객정보보호관련컴플라이언스이슈가강조되고있는시점에서기업의참조모델로서의보안관리표준개발은고객의선택및기업간파트너쉽구축의기초로서전반적인보안관리수준제고및서비스를이용하는고객의정보보호와안전한서비스이용환경을구축하는데일조 155
156 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 추진경과 - Ver.2012에서는스마트디바이스확산에따른모바일환경에서의안전한지급결제서비스를위한금융지급결제보안, 안전하고신뢰할수있는 SNS 서비스를위한소셜네트워크보안, 스마트 TV 서비스확대및진화에따른스마트 TV 보안, 스마트그리드서비스에서의안전한정보관리를위한스마트그리드보안, 모바일웹응용보안을위한웹응용보안, 바이오정보의안전한저장및처리를위한바이오인식, IT 제품의보안성평가를위한보안평가및기업의체계적이고종합적인정보보호를위한보안관리에중점을둠 - Ver.2013에서는콘텐츠접근제어, 금융보안, 스마트그리드보안, 클라우드응용보안, 빅데이터보안, 웹정보보호, 바이오인식, 보안평가및보안관리를중점표준화대상으로선정함 - Ver.2014에서는콘텐츠접근제어, 금융보안, 스마트그리드보안, 클라우드응용보안, 백데이터보안, 웹서비스보안, 차량통신보안, 바이오인증보안, 보안평가및보안관리를중점표준화대상으로선정함 Ver.2014 중점추진방향 - 어린이를온라인상에서안전하게보호하고 (COP, Child Online Protection) 각연령에맞는적절한서비스를제공하기위해강화된인증방식의세부적인요소와구조정의등전략마련에초점을둠 - 다양한형태의 SaaS 기반서비스들간의연동을통한새로운응용서비스들에대한안전성확보를위해신뢰클라우드연동보안을위해필요한보안기술표준화추진 - 자동차-IT 융합기술의활성화추세를반영하여차량보안기술을중점표준화대상으로선정함 - 바이오인증을통한보안서비스를위하여, 기존의네트워크기반의바이오인식응용서비스와다양한모바일기기에서의원격바이오인증서비스를가능하도록하는바이오정보저장방법, 인증서표준포맷, 인증절차등의표준마련에초점을둠 157
버전별표준화항목비교표 158 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 기술개발이슈별연혁 159
국제표준화이슈별연혁 160 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 국제표준화이슈별연혁 161
162 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 정책 / 산업이슈별연혁 163
콘텐츠접근제어 ( 연령검증프로토콜 ) - 국내기술개발현황 콘텐츠접근제어의기술적인방법으로는사용자인증및접근제어, 권한부여등의기술을적용하고있음 바이오인식기술을활용한연령검증기술에대한연구를수행 - 국외기술개발현황 콘텐츠접근제어의기술적인방법으로는사용자인증및접근제어, 권한부여등의기술을적용하고있음 신용카드, 휴대폰번호등의사용자의고유식별번호사용 공공의데이터베이스 ( 신용정보, 범죄기록, 부동산거래등 ) 혹은학교에서수집한데이터와과의비교를통해나이에대한검증 바이오인식기술에서생리적특성또는얼굴의이미지등의개인의고유특성을이용하여나이를검증 일본에서는 2008년부터얼굴인식성인식별담배자동판매기를사용하고있으며, 이자동판매기는디지털카메라로얼굴사진을촬영한후얼굴사진에서주름의개수, 뼈구조, 피부의처짐등을읽어낸뒤 10 만명이상의얼굴정보가저장된데이터베이스와비교해나이를판단 효과적인사용자인증을위해사용자인증정보의공유및활용에관한연구를수행하고있음 금융보안 - 국내기술개발현황 모바일전자금융서비스보안프레임워크관련기술은 2011 년도프로토타입구현및보안성테스트를완료하고, TTA 를통하여국내표준제정함 산업체표준으로일부카드사들에서는일회용카드를사용하는결제서비스규격을제정함 TTA 에서금융보안관리프레임워크에대한표준을추진중 - 국외기술개발현황 ISO/IEC, ECMA, NFC Forum, ETSI/SCP, GlobalPlatform, EMVCo 등에서프로토콜, 태그규격, 전송메시지규격, NFC 칩응용관련규격등분야별로다양한표준이추진되고있음 170 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 금융보안관리 (Finance ISMS) 에대한표준화가 ISO/IEC JTC1 SC27 WG1 에서추진중임 스마트그리드 - 국내기술개발현황 2009년제주구좌읍에국내첫스마트그리드실증단지착공 고려대는스마트그리드보안연구센터를개소하여정보스마트그리드보안기술연구과제수행중 (~2013년) 2011 년스마트그리드핵심보안기술개발사업추진 ( 11.7~ 15.6) 국가보안기술연구원은스마트그리드기반기술, 보안관제, 기기보안등핵심보안기술에대한보안및개인정보보호설계 ( 12.12) 2020년까지 1조 4,749억원을투자하여전국에스마트미터를단계적으로보급 - 국외기술개발현황 미국의회는 2007년 2008년부터 2020년까지스마트그리드연구개발과시범사업을국책사업으로한다 는내용을담은연방법안을통과시키고, 2009년 2월에발표된경기부양법안에서는스마트그리드에연간 45억달러의투자계획수립을수립함. 유럽은 2030년까지 1조유로를투자할계획으로 2022년까지회원국의모든건물에스마트계량기설치계획 일본은국가차원의신전력네트워크시험 시범단지 ( 약 10개사이트 ) 를구축하고, 도쿄전력 (TEPCO) 에 2019년까지 1,700만대의스마트미터를설치하도록지시함 클라우드응용보안 - 국내기술개발현황 중소기업을위한 SaaS Platform 기술개발, 멀티테넌트접근제어및고객관리기술, SaaS 기반원산지관리시스템기술개발 클라우드환경에서의 ID관리강화를위해 SaaS형 Security as a Service 기술개발 클라우드환경을활용한재난방지및신속한복구기술연구중 클라우드사업자중심으로다중클라우드환경에서클라우드연동보안기술개발중 - 국외기술개발현황 클라우드컴퓨팅관련가상화, 클러스터관리, 분산시스템, SOA, 보안등의분야에서여러선점업체들이앞다투어다양한기술을개발하여서비스에적용 171
빅데이터보안 - 국내기술개발현황 국내에서는빅데이터기술을활용한보안로그분석기술이개발되고있으며, 익명화기술에대한세부적인요구사항이도출되고있으나아직기술개발이되지못하고있음 - 국외기술개발현황 BT에서빅데이터를수집, 정리및평가하고쉽게이해할수있는시각적방식으로잠재적리스크와보안위협에대응하는어슈어애널리틱스서비스를제공 IBM, SAP, 오라클에서빅데이터의분석과활용, 빅데이터를안전하게보관및보호하기위한솔루션개발중 웹응용보안 - 국내기술개발현황 웹 2.0 보안에대한요구사항이증가하고있으나웹 2.0 보안기술개발은웹방화벽개발위주로이루어지고있고아직기술개발이부족한실정임 모바일웹서비스의확산에따라모바일웹보안에대한요구사항이증가하고있으며, 모바일웹환경을위한메시지보안, 사용자인증기술등의보안기술개발이이루어지고있음 스마트폰의보급으로모바일웹의경량화기술의산업적수용으로경량화보안기술개발이요구가있음 - 국외기술개발현황 통신사업자영역에서의융합서비스를위해웹 2.0 및 SOA 기술이도입되고있어이를위한보안기술개발이필요함 MS 등에서디바이스웹서비스관련기술을개발하고있음 웹 2.0 기술개발은웹방화벽개발이주로이루어지고있으며최근 IBM 등에서매쉬업보안기술을개발함 모바일웹 2.0 기술은 Nokia 등에서주도적으로개발하고있으며 Nokia Web Services Framework에보안기능이포함되어있음 다양한플랫폼에웹서비스를원활하게운용하기위한기술의산업적수용으로기술의동향이변화하고있으며이를구글, 페이스북, 트위터, 아마존과같은주요기업들이적극적으로개선을한상태 차량통신보안 - 국내기술개발현황 ETRI는차량간통신을위한멀티홉무선통신기술개발을수행하였으며 (2007-2010), 차량통신보안을위한보안하드웨어모듈을개발중에있음 172 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 - 국외기술개발현황 미국은교통부 (DOT) 주관하에 2003년부터 IntelliDrive 프로젝트를진행해왔으며, 현재상용화를위하여, 다수의자동차생산업체가참여하여, 차량간통신시스템의효용성을평가중인 V2V-SP 프로젝트가진행중임 유럽은차량통신보안에관한다수의프로젝트를수행하고, SimTD 프로젝트에서상용화시험중이며, PRESERVE 프로젝트를통하여선행연구결과물을통합 / 보완하고, 시스템확장성강화및개발비용절감등의연구를진행중임 바이오인증보안 - 국내기술개발현황 템플릿보호 암호화기술, PKI 스마트카드와연동기술개발중 제주도입국외국인을대상으로얼굴지문을바이오본인인증을통한자동출입국심사서비스시범운영 ISO SC27에 Biometric information protection 국제표준화완료 국내출입국관리시스템에전자여권과연동한바이오인증서비스실시 지문센서를탑재한스마트폰출시 - 국외기술개발현황 템플릿보호 암호화기술, PKI 스마트카드와연동기술시제품 위조바이오정보검출기술 모바일바이오인증서비스개발중 보안평가 - 국내기술개발현황 정보보호제품비보안기능취약점제거를위해평가범위확대및제품의기능및취약성중심으로평가수행 평가기관, 학계및제품개발자간연계하여정보보호제품유형별보안요구사항도출 평가기관간기술공유를통해평가일관성제고및보안성검증강화 정보보호제품별보안규격개발및보안규격기반국내용평가수행 - 국외기술개발현황 스마트카드기반제품의평가기술개발방법론을지향하여기술별평가기술개발을추진하고있음 기술커뮤니티 (Technical Community) 구성시개발자를포함하여기술중심의평가기준및방법론을개발 2012년 3월 Technical Community 구성및효과적인운영을위한첫번째 CCRA Industry Workshop 을도쿄에서개최하였음 173
CCUF(Common Criteria Users Forum) 을구성하여, 정보보호제품별공통보호프로파일개발진행 보안관리 - 국내기술개발현황 잇따른보안사고로인해보안관리의중요성에대한인식이계속증가하고있으며, 전자정부분야뿐만아니라개인정보분야 ISMS 인증제도가만들어져시행되고있으며, G-ISMS가 2014년부터정보보호관리체계로통합되고기존안전진단대상기업이정보보호관리체계인증의무대상으로변경됨에따라정보보호관리체계인증수요가증가할것으로예상됨 정보보호컴플라이언스강화에따른조직의정보자산및고객정보의안전한관리의중요성과정보보호거버넌스의필요성에대해인식하면서정보유출방지 (DLP) 시스템, DB암호화시스템등보안관리분야의솔루션개발및판매가활성화되고있음 APT 공격에의한다양한금융및개인정보사고발생과이에따른피해증가에따라사고대비및대응에대한관심이지속적으로높아지고있으며 TTA 에서는파밍사고에대한보안지침, 피싱사고에대한보안지침을개발하였고, 스미싱보안지침을개발중에있음 - 국외기술개발현황 ISMS 인증제도는일본, 중국, 영국, 한국등을포함한아시아와유럽에서활성화되어있으며, 전세계적으로 7,940개의인증이발급됨. 그러나인증서발행수가감소한국가도존재하며, 전반적으로급격한증가세는완화되고있음. 클라우드, 개인정보보호등의국제표준화및이러한다양한서비스별, 산업분야별인증에 27001을적용하기위한기준 (ISO/IEC 27009 : Use of ISO/IEC 27001 for Sector-Service Specific Third Party Accredited Certifications) 의표준화가진행되고있어 2~3년후이러한서비스별, 분야별인증이개시되면다시증가할가능성이있음 174 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 콘텐츠접근제어 - 국내표준화현황및전망 온라인상의콘텐츠접근제어를위한연령검증기술에대한표준화작업이현재까지수행되지않았으며, 이에대한조속한표준화작업이요구됨 - 국내표준화현황및전망 2010년 10 월 ITU는제 18 차전권회의 (Plenipotentiary Conference) 에서결의 (Resolution) 179 COP를위한 ITU의역할 을신설하여차기전권회의 (2014년) 에 4년간의활동결과를보고하기로함 2012년 2월 SG17 회의에서 COP 이슈는국가별규제 (Regulation) 및정책에따라다르게적용되고, PP-10 Res.130( 정보통신기술을이용한보안및신뢰성구축을위한 ITU 역할 ) 결의에따라국가간에전송되는콘텐츠등의필터링은다룰수없다는이유와다른협의체에서개발되고있는표준들간중복성등의문제로향후신규표준화아이템추진에대한협의를이루지못함 ITU에서는 GCA(Global Cybersecurity Agenda) 그룹이외에 CWG-COP(Council Working Group on Child Online Protection), ITU-T SG17, JCA-COP(Joint Coordination Activity on Child Online Protection) 등에서 COP 연구를수행하고있음 ITU에서 COP 관련표준화추진은기술적인부분에한해서가능하다는게각국대표들의공통적인견해라고판단되나, 미국, 캐나다, 영국등은기존타기구에서수행한결과와의중복성및개인정보에대한침해가능성이있는지에대한고려가필요하다고하면서신중한입장을취하고있음 금융보안 - 국내표준화현황및전망 175
모바일전자금융서비스보안프레임워크관련기술은 2011 년도프로토타입구현및보안성테스트를완료하고, TTA 를통하여국내표준제정함 산업체표준으로일부카드사들에서는일회용카드를사용하는결제서비스규격을제정함 TTA 에서금융보안관리프레임워크에대한표준을추진중이며 2011 년도국내표준제정함 - 국외표준화현황및전망 ISO/IEC, ECMA, NFC Forum, ETSI/SCP, GlobalPlatform, EMVCo 등에서프로토콜, 태그규격, 전송메시지규격, NFC 칩응용관련규격등분야별로다양한표준이추진되고있음 금융보안관리 (Finance ISMS) 에대한표준화가 ISO/IEC JTC1 SC27 WG1에서추진중임 스마트그리드 - 국내표준화현황및전망 지식경제부 스마트그리드국가로드맵 에따라, 스마트그리드핵심기술개발지원및조기국제표준화지원을위한표준화가이드라인설정 176 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 2011 년제주스마트그리드실증단지기술등국내스마트그리드기술에대한표준화추진을위해 스마트그리드표준화포럼 출범 2011 년스마트그리드핵심기기인스마트미터에대한 지능형전력량계 -제1부 : 기능요구사항- 에대한KS표준이제정됨 2013년지능형전력량계제1부 : 기능요구사항에서정의한기능요구사항을구현하기위한통신및보안기능을정의한 지능형전력량계제2부 : 통신및보안기능 이스마트그리드표준화포럼표준으로제정 2013년스마트그리드표준화포럼에서스마트그리드표준개발자들이보안을고려하여표준을개발할수있도록 스마트그리드표준의사이버보안성확보를위한보안가이드라인 및에너지정보디스플레이의안전성확보를위한 에너지정보디스플레이제2부보안일반요구사항 개발 TTA PG504( 응용보안및평가인증프로젝트그룹 ) 에서는스마트그리드응용보안관련표준개발임무에따라표준화추진중 - 국외표준화현황및전망 NIST는 2009년민관협의체인 SGIP(Smart Grid Interoperability Panel) 을구성하고, 산하에 CSWG(Cyber Security Working Group) 을통해보안표준화추진 CSWG는 2010년스마트그리드사이버보안전략및요구사항을정의한 Guideline for Smart Grid Cyber Security 를발표함 IEC는전력시스템에대한보안표준 IEC62351 시리즈제정 IEEE는변전소전자장치에대한사이버보안요구사항등변전소관련표준제정 ITU-T는 2010년부터 2년동안 FG Smart(Focus Group on Smart Grid) 운영함으로써 ICT 관점에서의스마트그리드이슈를연구함 ITU-T SG17에서는 2012년 2월정기회의에서 스마트그리드보안기능구조 (X.sgsec-1) 에대한표준화작업을시작함 177
클라우드응용보안 - 국내표준화현황및전망 가상화된클라우드서비스를기반으로한 SaaS 형태의서비스들사이의상호연동보안을위한표준화작업이요구됨 - 국외표준화현황및전망 DMTF, OGF, SNIA, TMF 등을중심으로산업계표준으로서비스및자원관리표준을제정중이며주로클라우드용 computing 서버, storage, network 들을다루고있음 ITU-T FG Cloud에서클라우드표준화를연구중이며표준화단체간의 Gap 분석을실시함, 또한 ITU-T SG13에서표준화활동함 클라우드생태계문서및클라우드보안표준을포함한총 7종의문서개발완료 Cloud Roadmap, definition, Ecosystem, DaaS, CDNass, Green CC, PaaS/SDPasS, Big Data, RA, Infra, Inter-Cloud 등에관한표준개발 NIST, CSA, DMTF등에서기능요구사항및참조표준을정의중이며, 보안감사및프라이버시가이드라인등은 ISO, NIST, CSA, DMTF 등에서주로표준화를중첩해서다루고있음, 클라우드연동보안은 GICIF에서제정중 IETF에서클라우드레퍼런스프레임워크개발및 CloudAudit API 1.0 초안개발을통해클라우드서비스제공업체의운영, 보안, 감사, 평가및보증정보의수집을자동화할수있도록 HTTP 프로토콜을활용한프로세스기술및공통인터페이스를제공 ISO SC27, 클라우드보안문제 ( 개인정보, 보안, 인증등 ) WG 5개운영 정보보안경영시스템패밀리체계및다양한보안기술, 구현매커니즘관련표준개발 178 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 보안평가, 검증, IT 보안서비스관한표준개발 빅데이터보안 - 국내표준화현황및전망 한국데이터진흥원에서빅데이터관리측면의활용및적용이가능한데이터품질관리프로세스평가및개선과의미적메타데이터매핑절차를 2012년 5월에 ISO에제안하여각각신규과제와위원회초안으로채택됨. 빅데이터포럼에서는 2012년 9월빅데이터표준분과를만들어국내표준화를본격논의시작 - 국외표준화현황및전망 2012년 6월에 NIST에서는빅데이터표준개발을위해, 데이터및알고리즘, 헬쓰케어분석, 과학적분석, 사업적분석, 빅데이터플랫폼등크게 5개분야에대한 Big Data 워크샵을추진. 2013년 7월빅데이터표준화보고서초안을발표 ODCA(Open Data Center Alliance) 에서 2012년 4월빅데이터및기업콘텐츠솔루션을촉진하기위한데이터서비스작업반을출범하여, 데이터관리, 데이터웨어하우스솔루션, 신규빅데이터프레임워크와의보안, 관리효용성을정의한사용모델작성예정 ITU-T SG13에서는클라우드기반의빅데이터기술에대한표준화를추진하고있으며, 참조시스템내부에보안기술에대한내용을수용할예정 ITU-T SG27에서는빅데이터보안에대한신규권고안을중국에서제안한상태로향후본격적인논의가시작될것으로판단 2012년 ISO/IEC JTC1에서는빅데이터표준기술분석을시작하였으며, SC32( 데이터표준 ), SC27( 정보보호 ) 등에서활동을시작할것으로예측 179
웹응용보안 - 국내표준화현황및전망 TTA 를중심으로표준화활동이지속될것으로전망되며차세대웹기반융합서비스보안등을중점적으로추진 - 국외표준화현황및전망 ITU-T, W3C, OASIS 주도의표준화활동이지속될것으로전망됨 차세대웹기반융합서비스보안, 유비쿼터스웹보안, 모바일웹 2.0 보안등은아직국제표준화초기단계에있어이에대한표준화를중점적으로추진 차량통신보안 - 국내표준화현황및전망 TTA 를통해차량통신보안요구사항등이표준화되었으며, 차량통신보안구조등의표준이제정될전망 - 국외표준화현황및전망 IEEE에서는차량통신규격인 WAVE를표준화추진중에있으며, 특히 1609.2에서는메시지보안규격등의보안관련표준화진행중임 180 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 바이오인증서비스 - 국내표준화현황및전망 TTA PG505를중심으로바이오인식응용서비스에관해서는, 바이오인식기반원격의료통합프레임워크, IC 카드기반개인신분확인시스템에서의바이오인식응용기술등의표준이진행중이며, 모바일바이오인증서비스와관련해서는모바일기기바이오정보탑재방법, 스마트폰기반의바이오인식보안프레임워크등의표준이진행되고있으며, 향후모바일기기를이용한원격바이오인증서비스가급증함에따라, 스마트기기를이용한원격바이오인증서비스를위한절차및보안방안에대한표준이진행되리라전망됨 - 국외표준화현황및전망 ITU-T SG 17 Q.9에서는모바일기기에서의보안프레임워크에대한표준으로, 모바일기기를이용한바이오인증응용모델별로보안위협및이에대한대책을제시하는표준이진행중이며, ISO/IEC SC27에서는바이오보안토큰을이용한원격바이오인증서비스를위한공인인증서의표준포맷과, 이를이용하는표준절차에대한표준이진행중이며, ISO/IEC SC37에서는개인인증을위한모바일바이오인식응용기술표준이진행중에있음 향후, 애플과삼성의스마트폰에지문센서탑재가기정사실화됨으로서이를이용하여스마트기기자체의보안을높이기위한표준과더불어, 원격으로바이오인증하기위한전송및절차나아가서이기종간의상호인증을위한표준이활발하게진행되리라예상됨 181
보안평가 - 국내표준화현황및전망 2009년 12월공통평가기준국제표준과일치하는국내표준 KS X ISO/IEC 15408-1, 15408-2, 15408-3을개정하였으며, 2010년 12월공통평가방법론국제표준과일치하는국내표준 KS X ISO/IEC 18045를개정하였음 - 국외표준화현황및전망 ISO/IEC JTC1/SC27 WG3에서는 2012년 5월공통평가기준 (ISO/IEC 15408) 및공통평가방법론 (ISO/IEC 18045) V3.1(3rd Edition) 에대한 Periodic Review를하였으며, CCDB에서수정한부분에대해서는 Technical Corrigendum으로처리 2012년 8월공통평가기준및공통평가방법론에기반한소프트웨어취약성분석방법에대한 ISO/IEC TR 20004 Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045 를표준화함 공통평가기준및공통평가방법론에기반한 Software 침투시험에대한표준화 (NWIP) 를진행중임 Common Criteria(ISO/IEC 14508) V3.1 R4에대한 ISO 표준화추진중 보안관리 - 국내표준화현황및전망 TTA 에서보안관리와관련된정보보호관리체계수립지침, IT서비스위험분석방법론모델, 조직의정보보호정책수립지침, 조직의정보보호를위한자산관리가이드, ISMS 범위수립지침, 정보보호조직구성및운영가이드등다수의보안관리지침및가이드가개발된상태임 - 국외표준화현황및전망 182 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 ISO/IEC JTC1 SC27 WG1에서는정보보호관리체계수립및운영을위한전문가의인증을위한기준개발이개시됨. ISO/IEC JTC1 SC27 WG4에서는정보보안사고관리에대한표준을원칙, 계획및지침, 운영의 3개부분으로나누어개발중에있으며 WD 상태임 ITU-T에서도 SG17 Q.3에서는 ISO/IEC SC27 WG1과함께통신조직을위한정보보호관리지침 (X.1051/27011 : Information security management guidelines for telecommunications organizations) 개정추진 183
표준화항목별출원건수 - 표준화항목중 금융보안 기술과관련된 IPR이가장많았으며, 바이오인식, 웹서비스보안, 클라우드응용보안, 보안평가관리, 스마트그리드보안, 빅데이터보안, 차량통신보안, 콘텐츠접근제어 ( 연령검증 ) 기술의순임 - 연도별출원동향을살펴보면, 금융보안, 바이오인식, 웹서비스보안, 클라우드응용보안 기술이 1990 년대후반부터출원이증가하기시작하여현재까지꾸준한출원이이어지고있으며, 콘텐츠접근제어, 보안평가관리 기술역시소량이지만지속적인출원이이루어지고있음 - 2000년대중반부터 스마트그리드보안, 차량통신보안, 빅데이터보안 관련출원이증가하고있으며, 특히최근표준화이슈가되고있는스마트그리드분야의특허출원이증가하고있음 - 향후스마트그리드및클라우드서비스가확대되고, 빅데이터의활용및차량통신에대한기술이발전하면서, 관련된응용보안기술에대한출원이계속적으로증가할것으로예상됨 184 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 - v.2013 분석결과와비교했을경우, 전체표준화대상항목별로특허건수가증가하였으며, 특히 스마트그리드보안 기술은 2011 년도에출원양이큰폭으로증가한것으로보아해당기술에대한관심도가높은것으로판단되고, 앞으로특허출원양이크게증가할것으로예상됨 - 금융보안, 웹서비스보안, 클라우드응용보안 기술의경우 2011 년도의특허출원양이전년도와유사한것으로보아해당기술들에대한연구개발이지속적으로활발하게이루어지고있는것으로보임 출원인동향 - 플랫폼 / 평가인증보안기술에관련된다수출원인은비즈모델라인, ETRI, KT 등의순임 - 상위 10개출원인뒤를이어 하나은행, 한국전기연구원, Microsoft, Qualcomm, 아이젠데이타시스템, 에스케이씨앤씨, 우리은행, 제이컴정보 등이관련기술에대한특허출원을하고있음 - Microsoft, Qualcomm, Intel 등과같은외국기업이국내에특허출원을하고있음 185
표준화항목별출원건수 - 표준화항목중 클라우드응용보안 기술과관련된 IPR이가장많았으며, 바이오인식, 금융보안, 웹서비스보안, 차량통신보안, 스마트그리드보안, 보안평가관리, 콘텐츠접근제어 ( 연령검증 ), 빅데이터보안 기술의순임 - 연도별출원동향을살펴보면, 금융보안, 바이오인식, 클라우드응용보안 기술등이 1990년대후반부터출원이증가하기시작하여현재까지꾸준한출원이이어지고있으며, 특히 클라우드응용보안 과 바이오인식 기술은출원량이크게증가하고있는추세임 - 클라우드응용보안 및 바이오인식 기술분야는미공개구간인 2012년도에도이미많은출원양이나타나고있는데, 해당기술에대한특허출원이매우활발히진행되고있는것이라판단됨 - 2000년대들어서 웹서비스보안, 차량통신보안, 콘텐츠접근제어 기술에대한출원이나타나기시작했으며, 중반부터는관련기술에대한출원이계속적으로증가하고있는것으로나타남 - 향후스마트그리드및클라우드서비스가확대되고, 빅데이터의활용및차량통신에대한기술이발전하면서, 관련된응용보안기술에대한출원이계속적으로증가할것으로예상됨 186 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 출원인동향 - 플랫폼 / 평가인증보안기술에관련된다수출원인은 Microsoft, IBM, Hitachi, Bank of America, General Motors, Qualcomm 등의순임 - 상위 10개출원인뒤를이어 AT&T, Oracle, Alcatel Lucent, Sony, ETRI 등이관련기술에대한특허출원을하고있음 187
188 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 SO전략 : 공격적전략 ( 감점사용-기회활용 ) SO WO 전략 WO전략 : 만회전략 ( 약점극복-기회활용 ) ST전략 : 다각화전략 ( 감점사용-위협회피 ) WT전략 : 방어적전략 ( 약점최소화-위협회피 ) ST WT 189
190 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (1) ( 차세대공략 병행 ) 연령검증프로토콜 - 현황분석 191
(1) ( 차세대공략 병행 ) 연령검증프로토콜 - 표준화추진전략 192 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (2) ( 적극공략항목 병행 ) 모바일전자금융보안프레임워크 - 현황분석 193
(2) ( 적극공략항목 병행 ) 모바일전자금융보안프레임워크 - 표준화추진전략 194 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (3) ( 다각화협력 병행 ) 모바일결제서비스보안 - 현황분석 195
(3) ( 다각화협력 병행 ) 모바일결제서비스보안 - 표준화추진전략 196 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (4) ( 다각화협력 병행 ) 금융보안관리 (compliance) 프레임워크 - 현황분석 197
(4) ( 다각화협력 병행 ) 금융보안관리 (compliance) 프레임워크 - 표준화추진전략 198 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (5) ( 적극공략 병행 ) 스마트그리드보안기능구조 - 현황분석 199
(5) ( 적극공략 병행 ) 스마트그리드보안기능구조 - 표준화추진전략 200 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (6) ( 차세대공략 병행 ) 스마트그리드보안관리 - 현황분석 201
(6) ( 차세대공략 병행 ) 스마트그리드보안관리 - 표준화추진전략 202 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (7) ( 차세대공략 병행 ) 스마트기기보안 - 현황분석 203
(7) ( 차세대공략 병행 ) 스마트기기보안 - 표준화추진전략 204 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (8) ( 차세대공략 선행 ) 신뢰클라우드연동보안 - 현황분석 205
(8) ( 차세대공략 선행 ) 신뢰클라우드연동보안 - 표준화추진전략 206 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (9) ( 차세대공략 선행 ) 빅데이터의데이터보안 - 현황분석 207
(9) ( 차세대공략 선행 ) 빅데이터의데이터보안 - 표준화추진전략 208 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (10) ( 차세대공략 병행 ) 차세대웹보안 - 현황분석 209
(10) ( 차세대공략 병행 ) 차세대웹보안 - 표준화추진전략 210 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (11) ( 적극공략 병행 ) 모바일웹보안 - 현황분석 211
(11) ( 적극공략 병행 ) 모바일웹보안 - 표준화추진전략 212 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (12) ( 차세대공략 선행 ) 웹프라이버시보호 - 현황분석 213
(12) ( 차세대공략 선행 ) 웹프라이버시보호 - 표준화추진전략 214 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (13) ( 다각화협력 후행 ) SOA 웹보안 - 현황분석 215
(13) ( 다각화협력 후행 ) SOA 웹보안 - 표준화추진전략 216 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (14) ( 적극공략 병행 ) 차량통신보안 - 현황분석 217
(14) ( 적극공략 병행 ) 차량통신보안 - 표준화추진전략 218 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (15) ( 적극공략 병행 ) 바이오인식응용서비스 - 현황분석 219
(15) ( 적극공략 병행 ) 바이오인식응용서비스 - 표준화추진전략 220 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (16) ( 적극공략 병행 ) 모바일바이오인증 - 현황분석 221
(16) ( 적극공략 병행 ) 모바일바이오인증 - 표준화추진전략 222 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (17) ( 방어적수용 후행 ) 공통평가기준및공통평가방법론 - 현황분석 223
(17) ( 방어적수용 후행 ) 공통평가기준및공통평가방법론 - 표준화추진전략 224 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (18) ( 다각화협력 병행 ) 정보보안사고관리지침 - 현황분석 225
(18) ( 다각화협력 병행 ) 정보보안사고관리지침 - 표준화추진전략 226 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 (19) ( 다각화협력 병행 ) 정보보호관리전문가인증기준 - 현황분석 227
(19) ( 다각화협력 병행 ) 정보보호관리전문가인증기준 - 표준화추진전략 228 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 229
230 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 [ 참고문헌 ] [1] ISO/IEC JTC 1/SC24: A ARC Reference Module for Physical Sensors Representation (N3375) [2] ISO/IEC JTC 1/SC24: ARC Reference Modules for Real Character Representation (N3377) [3] ISO/IEC CD 23000-13: Augmented Reality Application Format [4] ISO/IEC CD 23000-14: Augmented Reality Reference Model [5] 지능형전력망의구축및이용촉진에관한법률, 2011 [6] 지능형전력망정보의보호조치에관한지침, 2012 [7] 산업통상자원부, 2013년도지능형전력망시행계획, 2013 [8] ISO, http://www.iso.org [9] ITU, http://www.itu.int [10] NIST, http://www.nist.gov [11] IEEE, http://www.ieee.org [12] 제주스마트그리드실증단지, http://smartgrid.jeju.go.kr [13] 스마트그리드표준화포럼, http://www.sgstandard.org [14] 지능형전력망협회, http://www.ksmartgrid.org [15] TTA 정보통신표준화위원회, http://committee.tta.or.kr [16] ISO/IEC 24745: Biometric Information Protection, 2011 [17] ITU-T X.tif: Integrated framework for telebiometric data protection in e-health and worldwide telemedicine, 2012 [18] ITU-T X.tam: A guideline to technical and operational countermeasures for telebiometric applications using mobile devices [19] ISO/IEC WD 30125: Use of Mobile Biometrics for Personalization and Authentication, 2013 [20] ISO/IEC WD 17922: Telebiometric authentication framework using biometric hardware security module, 2013 [21] 기술표준원, 빅데이터산업및표준화분석보고서, 2013 [22] 미래창조과학부, 12년도빅데이터기반스마트서비스촉진기반조성, 2013 [23] ISO/IEC JTC1 SC32 N2386, Next Generation Analytics and Big Data? A Reference Model for Big Data [24] NIST, Big Data Outline: Combining Brainstorming Deliverables 231
[ 약어 ] AM Audience Measurement API Application Programming Interface AR Augmented Reality ARAF Augmented Reality Application Format ARC Augmented Reality Continuum ARRM Augmented Reality Reference Model ASP Application Service Provider CD Contents Delivery CDMI Cloud Data Management Interface CDVS Compact Descriptor for Visual Search CGH Computer Generated Hologram CIF Cloud Industry Forum COP Child Online Protection CSA Cloud Security Alliance CSWG Cyber Security Working Group CUBIST Combining and Uniting Business Intelligence with Semantic Technology DaaS Desktop as a Service DAP Device API DASH Dynamic Adaptive Streaming over HTTP DMTF Distributed Management Task Force DOOH Digital Out-Of-Home EC2 Elastic Computer Cloud FG-Smart Focus Group on Smart Grid ICT Information and Communications Technology IEA International Energy Agency IEC International Electrotechnical Commission IEEE Institute of Electrical and Electronics Engineers ITU-T International Telecommunication Union - Telecommunication Standardization Sector KISA Korea Information & Security Agency KS Korean Industrial Standards KSGA Korea Smart Grid Association NIST National Institute of Standards and Technology NISTIR NIST Interagency Report ODCA Open Data Center Alliance PG504 Project Group 504 SaaS Software as a Service 232 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 SG17 Study Group 17 SGIP Smart Grid Interoperability Panel TC57 Technical Committee 57 TTA Telecommunications Technology Association WG15 Working Group 15 233
정보공유, 참여등새로운인터넷문화의기반인웹환경에서콘텐츠제작자, 유통업자및최종사용자가콘텐츠를투명 안전 편리하게이용 유통할수있도록다양한종류 형태의디지털콘텐츠와관련된사업분야및기기의호환성을지원하는디지털콘텐츠저작권보호및관리기술 < 콘텐츠보호및관리개요도 > 234 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 - 모바일핑거프린팅기술 : 모바일환경에서적용가능한핑거프린팅기술로서모바일환경의특성상적은데이터사이즈와빠른처리속도가요구되는기술 - 객체기반비디오핑거프린팅기술 : 객체를포함하고있는비디오의객체를대상으로한핑거프린팅기술로서, 객체추출과비디오처리기술등이복합적으로요구되는난이도가높은기술 - 웹하드로그데이터보존기술 : 웹하드에서거래된콘텐츠에따른권리자별수입을정산하기위해서반드시사용되는로그데이터가조작됨으로써발생하는불투명한정산을투명하게처리하기위하여로그데이터를안전하고신뢰성있게보존하는기술임 - 기술적조치필드평가프로세스기술 : 특수한유형의 OSP(Online Service Provider) 는전기통신사업법에의해서 2012년 5월부터의무적으로저작권보호를위한기술적조치를취하도록되어있으며, 해당기술적조치가정상적으로작동하는지는필드평가에의해서확인하고있음. 기술적조치에대한필드평가가객관적으로이루어지기위해서는표준화된프로세스를가져야함 - 전자책 DRM 기술 : 전자책의불법복제방지및저작권보호를위해사용되는 DRM 기술의비호환성문제점을해결하기위한기술로, 표준화단체인 IDPF(International Digital Publishing Forum) 의전자책표준인 EPUB(Electronic Publication) 표준을기반으로하여암호화프로파일, 전자서명프로파일, 인증서프로파일, 권리표현용어정의, 그리고라이선스획득프로토콜등의요소기술로구성됨 - 동영상검색및관리를위한파일포맷기술 : 국제표준화기구인 ISO/IEC JTC1의 ISO Base Media File Format을기반으로미디어스트림, 미디어스트림에대한시공간위치정보및동영상을검색하고관리하기위한메타데이터로구성되는응용파일포맷 - 디지털콘텐츠포렌식기술 : 디지털콘텐츠포렌식기술은, 콘텐츠의신뢰성확보를위해서필요한기술로서콘텐츠획득장치 ( 예 : CCTV, 블랙박스, 스캐너등 ) 식별기술, 콘텐츠위 / 변조탐지기술등으로구성됨 235
표준화의필요성 - IT 융합환경에서의다양한서비스및디바이스플랫폼환경에서안전하고투명한콘텐츠서비스를위해서는새로운서비스환경에맞는디지털콘텐츠저작권보호및관리기술의상호호환성을위한표준화가필요 표준화목표 - 2014년까지는전기통신사업법에의한부가통신사업자 ( 웹하드 ) 의기술적보호조치를통해웹하드유통서비스를지원하고, 국제전자책표준인 EPUB 기술규격을기반으로전자책퍼블리셔 / 전자책리더 / 전자책유통플랫폼을위한전자책 DRM 호환기술에대한표준을개발하고 2015년부터 IDPF를대상으로국제표준화를추진하며, 2017년까지는국제표준화기구 (ISO/IEC JTC1 SC29) 에서디지털핑거프린팅기술및초대용량영상콘텐츠관리, 검색표준기술과표준특허를확보 236 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 표준화비전및기대효과 - 국제경쟁력을갖춘디지털콘텐츠보호및관리기반기술과, 디지털콘텐츠관련응용상품및서비스기술력을확보하고디지털콘텐츠상품 서비스시장을선점하여, 안전하고투명한디지털콘텐츠저작권보호및관리환경구축으로풍요로운 Digital Society를구현 237
추진경과 - Ver.2012(2011) 에서는, 모바일산업의발전과더불어유. 무선인터넷상에서유통이되는모바일콘텐츠의검색, 관리및불법유통의차단을위한모바일 / 웹환경에서의핑거프린팅기술을적용할수있는플랫폼기술표준을개발. 또, 향후콘텐츠산업에서중요이슈가예상이되는전자책의저작권보호를위한전자책 DRM 관련표준개발을추진 - Ver.2013(2012) 에서는, 웹하드등록제와관련하여웹하드서비스의신뢰성제고를위해거래사실인증, 웹하드거래로그등제도기반의기술이요구됨에따라 Ver.2013에서는거래사실인증과웹하드로그데이터보존, 기술적조치필드평가프로세스등을중점적으로다룸. 한편, 유무선환경의통합화가급격하게진행되고영상콘텐츠의생산량도급증함에따라디지털콘텐츠통합핑거프린팅과초대용량영상콘텐츠관리및응용표준에초점을맞춤 - Ver.2014(2013년 ) 에서는, 핑거프린팅, 콘텐츠서비스, 전자책 DRM, 콘텐츠관리의 4개분야를유지하면서관련산업활성화가예상됨에따라객체기반핑거프린팅, 콘텐츠포렌식항목을신규선정함 Ver.2014 중점추진방향 - 핑거프린팅분야에서는모바일산업의발전과더불어모바일콘텐츠의유통과관리를위한모바일핑거프린팅기술표준과스마트 TV 산업에서의서비스를목표로한객체기반모바일핑거프린팅기술표준을강조하여진행하기로함 - 콘텐츠서비스분야에서는, 2012년에이어지속적으로웹하드로그데이터보존, 기술적조치필드평가프로세스등을중점적으로다룸 - DRM 분야에서도, 2012년에이어전자책의불법복제방지및저작권보호를위해사용되는 DRM 기술의비호환성문제점을해결하기위한기술을중점적으로다룸 - 콘텐츠관리분야에서는, 최근빅데이터의관리문제가크게부각이되어, 빅데이터에서도비정형데이터이며향후가장비중이큰동영상의관리, 검색을위한메타데이터기술표준을, 콘텐츠의신뢰성확보를위한새로운기술인콘텐츠포렌식기술표준을새로추가해향후집중적으로다루기로함 238 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 버전별표준화항목비교표 239
기술개발이슈별연혁 - 2009년, 이미지필터링기술개발 - 2010년, 비디오필터링기술개발 - 2010년, MPEG Photo player application 포맷 2차개정표준기술개발 - 2011 년, 음악 / 동영상특징기반필터링기술개발 - 2012년, 웹하드로그데이터보존기술개발 ( 저작권기술 R&D) ISO Media File Format 4차개정표준기술개발 MPEG professional archival application 포맷기술개발 - 2013년, 웹하드기술적조치적용합의 웹하드로그데이터보존기술개발 ( 저작권기술 R&D) EPUB DRM 호환기술개발 ( 저작권기술 R&D) 240 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 국내표준화이슈별연혁 - 2007년, 컴퓨터포렌식가이드라인 TTA 표준제정 - 2007년, 비디오워터마크기술평가및인증지침 - 2008년, 디지털증거파일교환포맷 TTA 표준제정 포렌식마크기술평가및인증지침 TTA 표준제정 비디오식별기술평가및인증지침 TTA 표준제정 - 2009년, 디지털증거조사모델 TTA 표준제정 UCC 메타데이터참조모델 TTA 표준제정 관심영역기반의정지영상식별기술평가지침 TTA 표준제정 - 2010년, 콘텐츠기반모바일정보서비스기술평가지침 TTA 표준제정 - 2012년, 전자출판물표준화포럼 (ODPF) 에서 EPUB DRM 호환기술표준제정 TTA 표준으로 EPUB DRM 호환기술표준제정 객체기반모바일정지영상검색기술인증지침 TTA 표준제정 모바일콘텐츠메타데이터참조모델 TTA 표준제정 - 2013년, KS 표준으로 EPUB DRM 호환기술표준제정 국제표준화이슈별연혁 - 2007년, IDPF에서전자책서식표준으로 EPUB 발표 - 2009년, MPEG-7 Image Signature 표준완료 - 2010년, MPEG Photo player application 포맷 2차개정표준완료 - 2011 년, ITU-T SG17 디지털포렌식데이터교환포맷 (ITU-T X.dexf) 표준추진 - 2011 년, MPEG-7 Video Signature 표준완료, CDVS 표준화시작 - 2012년, ISO Media File Format 4차개정표준완료 MPEG professional archival application 포맷완료 IDPF에서 EPUB LCP(Lightweight Content Protection) 표준화착수 ISO/IEC 디지털증거의식별, 수집, 획득, 보존을위한가이드라인제정 - 2013년, IDPF에서 EPUB 리더와 DRM간표준 API를통해연동하는 Readium SDK Project착수 - 2013년, ISO/IEC 디지털증거의분석및해석에대한가이드라인제정 241
정책 / 산업이슈별연혁 - 2006년, 온라인디지털콘텐츠산업발전법수립 - 2007년, 인터넷멀티미디어방송사업법제정 - 2009년, 정보통신망이용촉진및정보보호등에관한법률제정 - 2011 년, 전기통신사업법개정안통과 - 웹하드등록제시행과관련된법안 - 2011 년, 웹하드정산누락이슈제기 - 2012년, 전기통신사업법개정안발효 - 2012년, 저작권기술적조치필드평가시범사업진행 242 ICT 표준화전략맵 Ver. 2014
핑거프린팅 - 국내기술개발현황 ETRI를중심으로인하대, 세종대, SKP 등의기관이모바일환경에서적용가능한경량의핑거프린팅원천기술을정지영상에대하여개발하고보급하고있음 비디오환경에서의모바일핑거프린팅기술은 ETRI를중심으로기술개발중에있음 비디오환경에서비디오내에포함된객체를대상으로한핑거프린팅기술은현재시작단계에있음 - 국외기술개발현황 MPEG 국제표준기구의 MPEG-7에서모바일환경에서사용가능한경량의핑거프린팅을정지영상을대상으로하여제정중에있음. 모바일환경에서비디오를대상으로한핑거프린팅기술은개발초기단계에있음 비디오환경에서비디오내에포함된객체를대상으로한핑거프린팅기술은현재개념구상단계에있음 콘텐츠서비스 - 국내기술개발현황 2012년부터문화체육관광부와한국저작권위원회에서는웹하드로그데이터보존의필요성이높아지면서 2012~2013년에걸쳐서웹하드로그데이터보존을위한기술개발 R&D 사업을진행하고있음. ( 주 ) 뮤레카가주관기업으로개발이진행중에있으며, 저작권관련로그기록누락 우회여부분석및위변조탐지, 추적기술, 24 시간로그기록누락 우회여부모니터링기술, 로그정보에인증정보삽입 검증및로그정보추상화분석기술, 로그정보에대한무결성보장기술및제3 자인증기술을개발하고있음 기술적조치필드평가와관련해서는한국저작권위원회에서 2011 년부터기술적조치성능평가와필드평가를위한시스템을구축하여왔음. 2012년에는필드평가시범사업을진행하였으며, 반자동화를위한시스템을구축하였음 - 국외기술개발현황 없음 246 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 DRM( 전자책 DRM) - 국내기술개발현황 국내전자책시장은사실상의국제표준으로인정을받는 IDPF의 EPUB 표준에따라전자책이제작되고있지만유통단계에서다양한 DRM 기술이사용됨에따라 DRM 비호환성에대한문제점이제기되었음 이를해결하기위해한국저작권위원회는 2010년전자책 DRM 호환성해결을위한연구과제를수행하여추진방향을설정하고, 2011 년 5월부터 2013년 2월까지 국제표준의 epub 기반 e-book DRM 표준레퍼런스소프트웨어기술개발 R&D 연구를통해 EPUB DRM 호환기술개발및표준화를진행하였음 2013년국내전자책유통공급자인한국이퍼브는 EPUB DRM 표준에따라전자책유통체계를개편하고있으며, 전자책출판기와뷰어개발사인나모인터랙티브는한국저작권위원회의상용화지원사업을맡아 EPUB DRM 표준을지원하는개발을진행중에있음 - 국외기술개발현황 미국전자책시장은 1위사업자인아마존이독자적인규격의전자책포맷과 DRM 기술을사용하고있으며, 애플은국제표준인 EPUB 표준을준수하여전자책을제작하고있으나독자적인 DRM 기술 (FairPlay) 을사용하고있음. 아마존과애플을제외한나머지기업들은 Adobe의 DRM 기술을사용하고있음 콘텐츠관리 - 국내기술개발현황 ETRI, LG, 삼성전자등의국내기관이 MPEG(ISO/IEC JTC1/SC29/WG11) 국제표준기구에서 Photo Player MAF, Portable Video Player MAF 등의용용파일포맷기술을개발하여국제표준에채택시킴 MPEG-7 메타데이터표준에국내의산학연의많은기관들이참여하여개발된기술을국제표준으로채택시켜왔으며, ETRI, 인하대, 세종대가최근에표준완료된 Image Signature, Video Signature MPEG-7 표준기술개발에참여하였고, 현재표준화진행중인 CDVS (Compact Descriptor for Visual Search) 표준개발에참여하고있음 동영상검색및관리를위한파일포맷은현재 TTA S/W품질평가프로젝트그룹 (PG604) 에서표준개발이진행중 - 국외기술개발현황 MPEG(ISO/IEC JTC1/SC29/WG11) 국제표준기구는멀티미디어보급을활성화하기위해다양한응용을위한 MAF (Multimedia Application Format) 표준을개발 또한, 동영상과관련하여 Photo Player MAF, Professional Archival MAF, Portable Video Player MAF을개발하였음. 동영상검색과관리를위한 MAF는현재논의되고있지않고있으며, 국내기술개발을통해국제표준화의가능성이있음 247
검색과관리를위해서 MPEG-7 메타데이터표준을개발하여왔으며, 최근에는 Image Signature, Video Signature 표준개발을완료하고현재 CDVS (Compact Descriptor for Visual Search) 표준을개발중 한편, 디지털콘텐츠포렌식관련해서는표준보다는광의적인관점에서의디지털증거에대한표준이진행중. 디지털증거에대해서는 식별, 수집, 획득, 보존을위한가이드라인 과 분석및해석에대한가이드라인 이 ISO/IEC 표준으로개발됨 248 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 핑거프린팅 - 국내표준화현황및전망 모바일환경에서적용가능한경량의핑거프린팅원천기술에대한국내표준을 TTA 주관하에 2011 년제정하였음 비디오환경에서적용가능한모바일핑거프린팅기술에대한국내표준을 TTA 주관하에 2012년제정하였음 비디오환경에서비디오내에포함된객체를대상으로한핑거프린팅기술에대한국내표준을 TTA 주관하에 2013년제정을목표로추진중에있음 - 국외표준화현황및전망 MPEG 국제표준기구의 MPEG-7에서모바일환경에서사용가능한경량의핑거프린팅을정지영상을대상으로하여제정중에있음 모바일환경에서비디오를대상으로한핑거프린팅기술표준은 MPEG 국제표준기구의 MPEG-7에서 Requirements개발초기단계에있음 비디오환경에서비디오내에포함된객체를대상으로한핑거프린팅기술에대한표준은현재개념구상단계에있음 249
콘텐츠서비스 - 국내표준화현황및전망 웹하드로그데이터보존에대한표준화활동은현재진행되고있지않지만, R&D 결과가나오게되면로그데이터보존을위한표준의필요성이제기될것으로전망되고있음. 특히, 전기통신사업법에서는로그데이터를보존하라는내용만있을뿐, 실질적으로어떤방식으로어떤절차에의해서보존해야하는지에대한가이드가없으므로표준화필요성이있음 기술적조치필드평가프로세스는아직까지시범사업단계이지만대상 OSP와기술업체에게신뢰성있는필드평가를제공하기위해서는표준화된프로세스의필요성이제기될것으로전망되고있음 - 국외표준화현황및전망 국외에서는웹하드로그데이터보존이나기술적조치필드평가에대한표준화움직임이없음 DRM( 전자책 DRM) - 국내표준화현황및전망 국내의전자책 DRM 표준화는출판사, 유통사, 학계가참여하는전자출판물표준화포럼 (ODPF) 을중심으로표준개발이이루어지고있으며, 2012년 8월 EPUB DRM 호환기술관련 4종에대한표준이개발되어포럼표준으로승인이되었음 ODPF 포럼표준으로제정된 EPUB DRM 호환기술표준 4종은 2012년 12월 TTA 의산업표준으로제정이되었음 250 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 국내전자출판분야 KS 표준을개발하는기술표준원의문서언어처리표준위원회 (SC34) 는 2013년 6월 EPUB DRM 호환기술표준을승인하고 2013년 KS 표준으로제정하기로결정함 2013년까지전자책 DRM 기술의개요, 암호화프로파일, 전자서명프로파일, 인증서프로파일, 권리표현용어정의등 5종의표준이제정되며, 2014년에는라이선스획득프로토콜표준개발및 EPUB DRM 표준정합성시험계획에대한표준개발이완료되어표준으로제정될예정임 - 국외표준화현황및전망 해외에서는아마존, 애플, 구글등의전자책서비스사업자들이독자적 DRM 기술을기반으로전자책유통서비스를하는가운데전자책의국제표준을주도하는 IDPF(International Digital Publishing Forum) 에서 DRM 호환에대한문제점을해결하기위하여표준화에착수 IDPF는 2012년기존 Heavy DRM 기술의문제점을해결하기위하여패스워드기반으로사적복제를지원하는가벼운 DRM 기술에대한표준화 (EPUB LCP-Lightweight Content Protection) 를진행중 IPDF는다양한디바이스플랫폼에서 EPUB 콘텐츠의호환성있는열람을지원하기위해 Readium Project를진행하고있으며, EPUB 뷰어와 DRM 클라이언트간호환을지원하기위한 Readium SDK Project를추진중에있음 콘텐츠관리 - 국내표준화현황및전망 ETRI, LG, 삼성전자등의국내기관이 MPEG(ISO/SC29/WG11) 국제표준기구에서 Photo Player MAF, Portable Video Player MAF 등의용용파일포맷기술을개발하여국제표준에채택시킴 MPEG-7 메타데이터표준에국내의산학연의많은기관들이참여하여개발된기술을국제표준으로채택시켜왔으며, ETRI, 인하대, 세종대가최근에표준완료된 Image Signature, Video Signature MPEG-7 표준기술개발에참여하였고, 현재표준화진행중인 CDVS (Compact Descriptor for Visual Search) 표준개발에참여하고있음 251
동영상검색및관리를위한파일포맷은현재 TTA SW품질평가프로젝트그룹 (PG604) 에서표준개발이진행중임 - 국외표준화현황및전망 MPEG(ISO/IEC JTC1/SC29/WG11) 국제표준기구는멀티미디어보급을활성화하기위해다양한응용을위한 MAF (Multimedia Application Format) 표준을개발 동영상과관련하여 Photo Player MAF, Professional Archival MAF, Portable Video Player MAF을개발. 동영상검색과관리를위한 MAF는현재논의되고있지않고있으며, 국내기술개발을통해국제표준화의가능성이있음 검색과관리를위해서는 MPEG-7 메타데이터표준을개발해왔으며, 최근에는 Image Signature, Video Signature 표준개발을완료하고현재 CDVS (Compact Descriptor for Visual Search) 표준을개발중임 디지털콘텐츠포렌식관련해서표준보다는광의적인관점에서의디지털증거에대한표준이진행중이며, 디지털증거에대해서는 식별, 수집, 획득, 보존을위한가이드라인 과 분석및해석에대한가이드라인 이 ISO/IEC 표준으로개발됨 252 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 표준화항목별출원건수 - 표준화항목중 핑거프린팅 기술과관련된 IPR이가장많았으며, 동영상검색및관리, 전자책 DRM, 콘텐츠서비스 ( 웹하드로그데이터보존 ), 디지털콘텐츠포렌식 기술의순임 - 연도별출원동향을살펴보면, 핑거프린팅 기술의경우 2000년대중반에큰폭으로특허출원이증가하였다가급격히감소한이후최근다시증가추세로돌아서고있음 - 동영상검색및관리 기술의경우 2005년부터 2007년까지큰폭으로출원량이증가였으나, 이후현재는출원량이많지않음 - 디지털콘텐츠포렌식, 전자책DRM 및 콘텐츠서비스 관련기술은 2000년대초반부터꾸준한출원이이어지고있으며최근증가하는추세를보이고있음 - 향후유해콘텐츠로부터의사용자보호, 멀티미디어콘텐츠의저작권보호에대한관심이커지고전자책서비스가확대되면서, 콘텐츠보호기술에대한출원이계속적으로증가할것으로예상됨 253
출원인동향 - 콘텐츠보호기술에관련된다수출원인은 ETRI, SK텔레콤, 삼성전자, KT 등의순임 - 상위 10개출원인뒤를이어 모두스타, 한국과학기술원, Microsoft, 에프데스크 등이관련기술에대한특허출원을하고있음 - SONY, Thomson Licensing1, Philips, 등과같은외국기업이국내에특허출원을하고있음 표준화항목별출원건수 - 표준화항목중 핑거프린팅 기술과관련된 IPR이가장많았으며, 동영상검색및관리, 디지털콘텐츠포렌식, 전자책DRM, 콘텐츠서비스 ( 웹하드로그데이터보존 ) 기술의순임 - 연도별출원동향을살펴보면, 핑거프린팅 기술의경우 2000년대초반부터출원이증가하기시작하여최근에도많은출원이이루어지고있으며, 동영상검색및관리 기술은 1990년대후반부터출원이증가하기시작하여현재까지꾸준한출원이이어지고있음 - 전자책 DRM, 콘텐츠서비스 관련기술은 1990년대후반부터출원이나타나기시작하여현재까지꾸준한출원이이어지고있으며, 디지털콘텐츠포렌식 기술의경우최근출원이증가하는양상을나타내고있음- 향후유해콘텐츠로부터의사용자보호, 멀티미디어콘텐츠의저작권보호에대한관심이커지고전자책서비스가확대되면서, 콘텐츠보호기술에대한출원이계속적으로증가할것으로예상됨 254 ICT 표준화전략맵 Ver. 2014
ICT Standardization Strategy Map Ver.2014 출원인동향 - 콘텐츠보호기술에관련된다수출원인은 Microsoft, Digimarc, Philips 등의순임 - 상위 10개출원인뒤를이어 Google, IBM, Dolby, Ricoh, AT&T, Gracenote, Nokia, Verance 등이관련기술에대한특허출원을하고있음 - 삼성전자, ETRI, 삼성전자, LG전자 등과같은국내출원인이해외에특허출원을하고있음 255