Ⅳ 차세대보안 차세대보안
차세대보안 목차 Ⅰ 표준화개요 1.1. 기술개요 293 1.2. 중점표준화항목 294 1.3. 표준화비전및기대효과 301 Ⅱ 국내외현황분석 2.1. 연도별주요현황및이슈 304 2.2. 정책현황및전망 305 2.3. 기술개발현황및전망 308 2.4. IPR 현황및전망 314 2.5. 표준화현황및전망 317 2.6. 오픈소스현황및전망 331 Ⅲ 국내외표준화추진전략 3.1. 표준화 SWOT 분석 332 3.2. 중점표준화항목별국내외추진전략 333 3.3. 중기 (3개년) 및장기 (10개년) 표준화계획 360 작성위원 363 참고문헌 364 약어 366 차세대보안 Ⅰ 차세대보안 291
Ⅰ. 표준화개요 1.1. 기술개요 차세대보안기술은제4차산업혁명시대의초지능, 초연결, 초실감, 초신뢰 ICT 환경에서전달, 저장되는정보를위 / 변조, 유출, 해킹, 서비스거부등을비롯한각종불법행위로부터안전하게보호하고, 물리적공간에서의보안침해사고를방지하며, 여러기술이융합된시스템에서의보안을제공하기위한기술로, 암호기술, 인증서및바이오인식기반인증기술, 사이버보안기술, 시험평가기준및관리를위한보안관리 / 평가기술, 의료보안및제조보안등을위한융합보안기술로구분 < 차세대보안기술개요도 > 차세대보안 Ⅰ 차세대보안 293
1.2. 중점표준화항목 중점표준화항목범위의설정 - ( 중분류범위설정 ) 보안의공통기반기술인암호기술, 인증기술, 사이버보안기술, 이를관리 / 평가하기위한기술, 각종 ICT에적용하기위한융합보안기술중 4차산업혁명을뒷받침할수있는기술을 차세대보안기술 로설정 - ( 중점표준화항목선정이유 ) 표준화전략맵차세대보안분과에서는아래기술을중점표준화항목으로선정 ( 암호기술 ) 암호알고리즘에대한표준화가선행되어야하는암호프로토콜운용기술과양자암호통신기술기반구축과실증을통해표준화항목도출이필요한양자암호기술을제외하고암호알고리즘을중점표준화항목으로선정 ( 인증기술 ) 기존인증기술을기반으로관련산업계의수요가급격히증가하고표준화가빠르게진행되고있는 PKI 기반기기인증, FIDO 및응용기술, 멀티팩터인증기술, 바이오인식응용서비스, 생체신호기반텔레바이오인증기술을중점표준화항목으로선정 ( 사이버보안 ) 사이버공격이정교해지면서기존네트워크보안장비들의보안플랫폼은머신러닝, 인공지능 (AI) 기술을활용하는사이버위협인텔리전스기술로발전하고있으며, 능동형사이버침해정보및위협정보에대한수집, 보존, 분석및공유기술중능동적사이버보안기술개발에필수적인사이버침해정보수집및보존기술을중점표준화항목으로선정 ( 보안관리 / 보안평가 ) 보안평가는보안기능과암호모듈검증에대한평가기술이있으나, 다양한 ICT 기술이접목된 IT제품의안전성과신뢰성확보를위한 IT제품보안성표준화를중점표준화항목으로선정 ( 융합보안 ) 기존산업에서 ICT 기술을접목함으로써앞서기술을선점할수있는분야중다양한분야에포함될수있는공통성격이있으며, 국제표준화하여선도적으로관련분야기술을선점할수있는의료보안, 제조보안을중점표준화항목으로선정 암호기술 인증기술 표준화항목 암호알고리즘 암호프로토콜운용기술 양자암호기술 PKI 기반기기인증 FIDO 및응용기술 표준화내용 신규 ICT 환경 (IoT/M2M, 클라우드, 빅데이터, 스마트기기, DBMS 등 ) 의정보보호에적합한차세대암호알고리즘표준 주요암호 / 인증프로토콜 (TLS, IPsec 등 ) 에차세대암호알고리즘을적용하기위한표준 양자암호키분배기술규격, 안전성표준 다양한 IoT 기기를식별 / 인증하는기기인증분야, 특히자율협력주행 (C-ITS) 을위한 PKI 기반의차량인증표준 FIDO 2.0 에기반을둔 O2O 차세대바이오인증으로스마트폰 /App, PC/ 웹브라우저, 그외확장된 Device/ 응용솔루션의규격, 성능평가표준 Target SDOs JTC1 SC27, IETF 표준화특성 5 중점항목 O IETF 5 X JTC1 SC27, ETSI IEEE 802, ITU-T SG17, CAMP FIDO Alliance 3 3 5 X O O 294 ICT 표준화전략맵 Ver.2019
표준화항목 표준화내용 Target SDOs 표준화특성 중점항목 멀티팩터인증기술 하나이상의인증수단을활용하여객체를인증하는기술및규격표준 ITU-T SG17, JTC1 SC27 5 O 바이오인식응용서비스 IC 카드, PKI 기술, 의료정보보안기술등바이오인식기반융합기술 - 모바일바이오인식응용기술및시험표준 - 위변조방지등바이오정보보호표준 JTC1 SC27/SC37, ITU-T SG17, ABC 5 O 생체신호기반텔레바이오인증기술 생체신호를이용한인증기술 - 생체신호인증정보통신프로토콜표준 - 생체신호인증알고리즘성능시험표준 - 생체신호인증기반의헬스모니터링분석표준 ISO TC215, ITU-T SG17 5 O 프라이버시보호인증기술 영지식, blind 전자서명등에기반한사용자의프라이버시를보호하는인증표준 JTC1 SC27, ITU-T SG17 5 X PKI 기반사용자인증 사용자를식별 / 인증기술로인증, 바이오인증, 블록체인인증등사용자인증표준 JTC1 SC27, ITU-T SG17 5 X ID 관리기술 ID 통합관리서비스를제공하기위한기반및응용표준 JTC1 SC27, ITU-T SG17 5 X 비대면본인확인기술 비대면본인확인을제공하는인증서비스의기반및응용표준 JTC1 SC27, ITU-T SG17 5 X 능동형사이버보안침해정보수집및보존기술 사이버침해정보를수집및보존하기위한기능및구현지침표준 ITU-T SG17, JTC1 SC27, ETSI 3 O 사이버보안 사이버위협정보공유포맷및프로토콜 STIX/TAXII 기반의사이버위협분석정보표현포맷표준및정보전달프로토콜표준 ITU-T SG17 WG2, OASIS CTI TC 5 X 사이버위협정보공유유즈케이스 STIX/TAXII 기반의사이버위협분석정보공유유즈케이스표준 ITU-T SG17 WG2, OASIS CTI TC 2 X AI 기반악성코드분석및백신기술 Zero-day 악성코드대응을위한코드분석및백신표준 AI 기반악성 ITU-T SG17 3 X 차세대보안 Ⅰ 차세대보안 295
표준화항목 표준화내용 Target SDOs 표준화특성 중점항목 정보보호관리체계 27002 에기초한블록체인분야정보보안통제 - 서비스제공자와이용자측면에서수행해야할블록체인보안통제및일반보안통제의구현지침표준 ISO TC307, JTC1 SC27, ITU-T SG17 2 O 보안관리 / 보안평가 IT 제품보안성평가기준 차세대정보보호관리체계 IT 제품보안성평가기준표준 사이버보안개요및개념표준 -사이버 보안 프레임워크를 개발하기 위한 지침표준 -의도적인 정보보안 사고에 대한 보험을 제공하기위한보안지침표준 JTC1 SC27 WG3, CCRA, CCUF JTC1 SC27, ITU-T SG17 2 1 O X 개인정보보호정책및운영관리기술 개인정보보호정책및운영관리관리표준 JTC1 SC27, ITU-T SG17 1 X 암호모듈시험평가기준 CC 평가기관및암호모듈시험기관자격기준 - 암호모듈시험기준표준 JTC1 SC27 2 X 진료정보교류시보안표준모델 중앙집중형, 지역분산형, 대등관계형등진료정보교류유형에따른적합한보안모델 ISO TC215, ITU-T SG17 1 O 의료기기안전및보안프레임워크 생명에연계된의료기기에대한안전과보안표준프레임워크 ISO TC215, ITU-T SG17, IEEE PHD WG 2 O 융합보안 스마트공장기기상호보안인증기술 스마트공장내상호인증에필요한기기인증서프로파일과알고리즘및기기인증서발급 / 관리를위한인프라스트럭처 IEC TC65, ISA 99 2 O 중소기업용스마트공장보안관리기술 중소기업스마트공장에적용될보안플랫폼및적정보안통제항목및보안플랫폼 IEC TC65, ISA 99 2 O 스마트의료정보통합보안체계 모바일, 클라우드, 빅데이터, 사물인터넷등이접목된의료정보시스템의규모및특성별로적합한보안가이드라인 ISO TC215 WG4 1 X 원격의료보안가이드라인표준 원양어선, 군부대, 섬, 격오지등의원격의료서비스모델에대한보안가이드라인 ISO TC215 2 X 스마트공장최소보안요구사항 공장에서발생가능한침해위협요소소개, 위협에대한최소한의대응방안 IEC TC65, ISA 99 2 X 296 ICT 표준화전략맵 Ver.2019
표준화항목 표준화내용 Target SDOs 표준화특성 중점항목 의료정보보호관리체계인증기준 의료정보시스템및기간계시스템등에서처리되는의료정보의기밀성, 효율성, 가용성을수준별인증을부여할수있는인증기준 ISO TC215 2 X 의료정보비식별화표준 보건의료환경과빅데이터특성을적절하게반영한상위수준의보건의료빅데이터정보보호및개인정보보호프레임워크 ISO TC215 2 X 의료정보공유분석센터 (ISAC) 표준모델 의료기관을대상으로해킹및사이버테러등전자적침해행위에대한공격을효과적으로예방, 탐지및대응할수있는시스템및조직 ISO TC215 2 X 제조분야 ISMS 인증기준 제조분야에특화된통제항목을도출하고 ISO/IEC 27001, 27002 를기반으로스마트공장에적용가능한정보보호관리체계 IEC TC65, ISA 99 2 X 스마트공장설비의보안등급인증기준 각설비의보안취약점을분석하고보안구비요건에따라등급화하고설비의보안기술적용 IEC TC65, 등급확인하고각설비의보안등급에따라 ISA 99 차별화된인증부여 2 X 스마트공장네트워크연결에따른보안적용차등화기준 각네트워크상의입출력 Data 종류및네트워크연결범위에따라차등적용되는보안기술 IEC TC65, ISA 99 2 X 스마트공장정보보호체계 RAMI 4.0, Industries 4.0, IEC 62443, ISA 99, NIST SP 800-82 ICS Security 등을기반으로스마트공장에서보안을적용할대상과범위, 규모별, 산업별공통분모를고려한표준모델 IEC TC65, ISA 99 2 X 스마트공장정보보호프레임워크 정보보호체계 (Security Architecture) 에대한 IEC TC65, 구체적인실현 구현모델표준으로단계별적용 ISA 99 방안 ( 예 :Level0~5) 1 X 스마트공장위험관리프레임워크 스마트공장의위험분석 평가등관련국제표준연구및국내스마트공장환경에적합한사이버보안위험관리프레임워크와연계방안 IEC TC65, ISA 99 1 X 해사클라우드인가정보상호연동가이드라인 해사클라우드에서 사용자 및 해사 자원의 인가정보를 상호 연동하기 위한 가이드라인 제시 IALA ENAV 5 X 영상감시시스템암호화기술 CCTV 카메라와스토리지디바이스간의암호화방법에대한표준화추진 ITU-T SG17, IEC TC79 3 X ITS 보안위협및가이드라인 V2X 통신과자율주행차량및기반서비스에대한보안위협식별및가이드라인표준개발 * 자율자동차 중점기술참조 ITU-T SG17, SAE DSRC Committee, ISO TC204 WG16 2 X 차세대보안 Ⅰ 차세대보안 297
표준화항목 자율주행보안시스템프레임워크 IoT 통합보안프레임워크표준 표준화내용 Target SDOs ITU-T 안전한자율주행을위한차량내 / 외부에서 SG16/SG17, 발생할수있는악의적인공격및이상행위 SAE DSRC 탐지기술표준개발 Committee, ISO TC22 * 자율자동차 중점기술참조 SC31/SC32 IoT 단말, 네트워크및클라우드전체를포함하는통합보안플랫폼표준화 -IoT 디바이스자율보안, IoT 네트워크보안, IoT 보안관리통합을위한연동인터페이스정의 -IoT 통합보안프레임워크의글로벌사실표준플랫폼적용기술 OCF, onem2m, ITU-T SG17 표준화특성 3 3 중점항목 X X 블록체인기반 IoT 인증프레임워크표준 분산원장기반의지불결제서비스에대한보안위협및보안요구사항표준 * 사물인터넷 중점기술참조 블록체인을 IoT 보안 / 인증의기반기술로이용하는 프레임워크 onem2m - 블록체인기술기반으로하는 IoT기기-IoT서비스 SEC, 상호인증 IEEE SA, - 블록체인기술기반의접속기록변조방지및확인 FIDO - 탈중앙화공공개방망 IoT 단말접속보안기술 Blockchain SG * 사물인터넷 중점기술참조분산원장기반지불결제서비스를분석하고, 이에기초하여발생할수있는보안위협및요구사항을표준화 - 분산원장기반지불결제서비스 Use cases 및용어정의제시 - 분산원장기반지불결제서비스모델제시 - 분산원장기반지불결제서비스보안위협분석 - 분산원장기반지불결제서비스보안요구사항 ITU-T SG17 3 2 X X 분산원장기술을활용한온라인투표에대한보안위협표준 * 블록체인 중점기술참조정보통신인프라기반의온라인투표시스템의모델을제시하고, 투표절차상에잠재된보안위협을크게 5가지유형으로분류하여식별및정의 -DLT를활용한온라인투표의범위정의 - 주요국가의 DLT 를활용한온라인투표활용사례제시 -DLT를활용한온라인투표모델제안 -DLT를활용한온라인투표모델에근거한보안위협정의 ITU-T SG17 2 X 개인정보보호지침표준 * 블록체인 중점기술참조블록체인의무결성관리기능을개인정보의보호 ISO 및기밀성에적용하는표준 TC307, -무결성을바탕으로정보가공개되는환경에서 JTC1 SC27 개인정보의보호및기밀성을고려하는지침 WG5, ITU-T * 블록체인 중점기술참조 SG17 1 X < 표준화특성 > 1 : 개념, 정의표준 2 : 유즈케이스및요구사항표준 3 : 기능도출및참조구조표준 4 : 데이터포맷, 스키마표준 5 : 프로토콜, 인터페이스표준 298 ICT 표준화전략맵 Ver.2019
추진경과 - Ver.2017(2016년 ) 에서는 Ver.2016과동일하게 3개분야 ( 공통기반보안, 네트워크 / 디바이스보안, 서비스 / 융합보안 ) 로구분하고, 공통기반보안분야에서는차세대다중요소인증기술항목및 Identity 관리기반기술을타항목으로통합또는삭제하였으며, 네트워크 / 디바이스보안분야는 IoT 게이트웨이보안프레임워크, 사이버공격대응을위한빅데이터분석요구사항, 악성코드통합대응기능및구조, 스마트폰스팸대응을위한보안요구사항을타항목과통합또는삭제하였으며, IoT 디바이스보안, 스마트폰기반의봇넷대응을위한보안요구사항항목을새로추가 - Ver.2018(2017년 ) 에서는이전의 3개분야 ( 공통기반보안, 네트워크 / 디바이스보안, 서비스 / 융합보안 ) 를하나로통합하고, 암호기술, 인증기술, 능동형사이버보안, 보안관리 / 보안평가, 융합보안그룹으로나누어각그룹별표준화항목을선정 - Ver.2019(2018년 ) 에서는 Ver.2018과동일하게암호기술, 인증기술, 사이버보안, 보안관리 / 보안평가, 융합보안그룹으로나누어각그룹별표준화항목을선정하였으며, 범용인증기술의모호성해소를위하여 FIDO 및응용기술, 멀티팩터인증기술로세분화하였으며, 다른분과의보안기술은융합보안에참조로포함 < 버전별중점표준화항목비교표 > * Ver.2019 신규항목 구분 Ver.2017 Ver.2018 Ver.2019 암호기술 차세대암호및적용 차세대암호기술 암호알고리즘 PKI 기반인증및응용기술 PKI 기반인증및응용기술 PKI 기반기기인증 범용인증기술 범용인증기술 FIDO 및응용기술 - - 멀티팩터인증기술 바이오인식응용서비스 바이오인식응용서비스 바이오인식응용서비스 인증기술 생체신호기반텔레바이오인식기술 생체신호기반텔레바이오인식기술 생체신호기반텔레바이오인증기술 모바일결제 인증기술 - - 개인정보보호정책및개인정보보호정책및운영관리기술운영관리기술 - 사이버보안 - - 능동형사이버보안침해정보수집및보존기술 정보보호경영전문가자격 기준 보안관리 / 보안평가 융합보안 정보보호감사관리지침분야별정보보호관리체계및인증유형별보안성시험평가기준전자건강기록 (EHR) 보안프레임워크기술개인건강기록 (PHR) 서비스보안 정보보호관리체계 유형별보안성시험평가기준 의료보안 - 제조보안 정보보호관리체계 IT 제품보안성평가기준 진료정보교류시보안표준모델 의료기기안전및보안프레임워크 스마트공장기기상호보안인증기술 중소기업용스마트공장보안관리기술 차세대보안 Ⅰ 차세대보안 299
구분 Ver.2017 Ver.2018 Ver.2019 SDN/NFV 보안프레임워크와메커니즘 SDN/NFV 보안응용및서비스보안정보공유및연동프레임워크악성코드분석및보고형식침해사고분석을위한네트워크포렌식도구요구사항스마트폰환경에서의저장장치보안프레임워크스마트폰기반의봇넷대응을위한보안요구사항클라우드컴퓨팅서비스에서의개인정보국외교환프레임워크클라우드컴퓨팅서비스보안요구사항클라우드인증및접근제어보안프레임워크 - - - - 보안솔루션위협정보공유및연동프레임워크 - - - - - - - - - - - - - - 신뢰클라우드연동보안 - - 내용기반빅데이터접근제어 빅데이터데이터보안 - 웹매쉬업보안 - - 유해정보차단정책및기술 - - 융합서비스환경에서의속성기반접근제어 - - 핀테크서비스보안기술 - 금융거래이상징후방지기술 - - 바이오인식기반 CCTV보안기술스마트그리드보안기능구조 바이오인식기반 CCTV 보안기술 - - 안전한단방향데이터통신 - - 스마트그리드보안기능구조 - - 스마트그리드보안관리 - - 스마트그리드기기보안 - - V2X 통신보안프레임워크 - - - - 300 ICT 표준화전략맵 Ver.2019
1.3. 표준화비전및기대효과 표준화비전 차세대보안 Ⅰ 차세대보안 301
표준화목표 - 차세대보안분야국제표준화선도및글로벌시장주도권확보를위하여다음과같은표준화목표를설정 (2019년경까지), 신규분야의국제표준선도를위한주요핵심기술에대한표준선점및시장주도권확보를위한 IPR 확보에기여 (2021년경까지), 핵심기술및선도가능분야에대한국제표준화를중점추진하고, 글로벌정보보호전문기업육성및제품개발, 표준전문가양성및 10대글로벌정보보호표준개발을통해국내기업의국제경쟁력강화에기여 (2023년경까지), 차세대보안분야표준선도국진입및 IPR 수익창출에기여하고국민이안전하고신뢰할수있는미래네트워크및서비스이용환경을제공 표준화기대효과 - 국제표준경쟁력강화측면 신규 ICT 환경의정보보호핵심원천기술인경량, 고속암호기술과미래암호기술인양자암호기술표준개발주도 세계최초로개발중인지문 심전도 심박수등다중생체신호를이용한텔레바이오인식기술을차세대바이오인식기술로발전시켜국제표준화를선도 국제표준과연계하여 4차산업혁명시대에필요한의료, 제조등융합산업에서의보안요소기술선점 - 중소기업경쟁력강화측면 우수성능의차세대암호기술사전적용을통한국산암호제품시장경쟁력확보 다양한인증기술을비대면전자거래에적용하여전자거래전분야의서비스활성화에기여 중소기업의환경을고려한체계화된정보보호활동의기준을수립함으로써정보보호활동의사각지대를최소화하고균형성장기반을마련하며, 국내보안정책및보안산업계의의견을국제표준개발에적극반영함으로써보안산업의국제경쟁력확보 스마트폰에지문 얼굴 홍채 정맥인식기술등바이오인식응용서비스기술이확산 보급됨과동시에바이오정보위변조위협이급증함에따라성능시험및제시형공격탐지시험등바이오인식제품의시험인증서비스기반을조성하여바이오인식산업의안전 신뢰성확보 중소병원, 공장등중소기업생태에알맞은융합보안기술개발및제공을통해선진국과의격차해소및안전성 보안성강화 - 국민행복 안전보장측면 차세대암호기술을기반으로안전성이담보된첨단 ICT 환경의조기구축기여 PKI 기반인증기술과 FIDO 기반의바이오인증과결합하여편리성과안전성이강화된공인인증서이용환경제공 사물인터넷기기중의료 제조분야인증제도및서비스를발굴하고기기 설비들의안전성 보안성을보장하기위한기기간상호보안인증기술국제표준화와관련요소기술특허확보및선점을통한시장경쟁력확보 국민의생활안전과생명과직결된의료기기, 제조설비등에대한안전성 신뢰성 보안성등확보 302 ICT 표준화전략맵 Ver.2019
표준화추진체계 차세대보안 Ⅰ 차세대보안 303
Ⅱ. 국내외현황분석 2.1. 연도별주요현황및이슈 304 ICT 표준화전략맵 Ver.2019
2.2. 정책현황및전망 구분 한국 주요현황 - 과기정통부, 공인인증서의무화폐지를위한전자서명법개정추진중 [2018.4] - 국가용정보보호제품보안요구사항중 3 종 ( 통합보안관리제품, 호스트자료유출방지제품, 소프트웨어기반보안 USB 제품 ) 개정 [2018.4] - 국정원, 모든 ICT 정보보호제품에대해보안기능시험결과서발급제도시행 [2018.3] - 방통위, 바이오정보보호가이드라인개정안공표 [2018.1] - 2018 년정보보호관리체계인증제도 (ISMS) 와 PIMS 통합 [2018] - 2015 년부터시행된클라우드보안인증제를 2018 년기존 IaaS 에서 SaaS 를포함하도록범위확대 [2018] - 정보보호제품평가인증수행규정 [2017.9] - 과기정통부, 정보보호시스템평가인증지침고시 ( 과학기술정보통신고시제 201 7-7 호 ) [2017.8] - 국가용통합인증보호프로파일 V1.0 [2017.8] - 국가용문서암호화보호프로파일 V1.0 [2017.8] - 국가용데이터베이스암호화보호프로파일 V1.0 [2017.8] - 국가용무선침입방지시스템보호프로파일 V1.0 [2017.8] - 한국산업인력공단에서정보보호관리 운영국가직무능력표준발표 [2017.1] - IT 보안인증사무국은정보보호제품평가인증안내서작성 [2017] - CCRA 의보조문서로보증연속성적용가이드및인증서유효성적용가이드발표 (2017) 에따라국내용인증서효력연장수행가이드작성공지 [2017] - 과기정통부, 정보보호시스템평가인증지침고시 ( 과학기술정보통신부고시제 2017-7 호 ) [2017] - 미래부, 양자암호등정보보호신시장창출및양자정보통신지원확대를포함하는 2017 년업무계획발표 [2017] - 바이오정보보호가이드라인 2 차개정연구반운영중 [2017] - 정보통신망법개정에따라서연간매출액또는세입등이 1,500 억이상인자중대통령령으로정하는기준을해당하는기관중직전연도기준재학생수 1 만명이상인대학 37 곳과 의료법 제 3 조의 4 에따라상급종합병원 43 개모두정보보호관리체계 (ISMS) 인증이의무화됨. 한편기존인증의무대상이었던전자금융거래법에따른금융회사는중복규제등의우려를이유로제외 [2016.6] - 정보통신망법개정에따라서연간매출액또는세입등이 1,500 억이상인자중대통령령으로정하는기준을해당하는기관중 의료법 제 3 조의 4 에따라상급종합병원 43 개모두정보보호관리체계 (ISMS) 인증이의무화됨 [2016.6] - 미래부사이버위협정보공유확대계획등 K-ICT 시큐리티 2020 발표 [2016.6] - 행정자치부는 개인정보비식별조치가이드라인 을발표하고공공데이터공개가이드라인으로활용 [2016.6] - 2016 년개인정보보호관리체계 (PIMS) 와개인정보보호인증제 (PIPL) 통합 [2016] - 방송통신위원회, 개인정보보호관리체계 (ISMS) 인증등에관한고시 ( 방송통신위원회고시제 2015-29 호 ) [2016] - 행정자치부, 개인정보비식별조치가이드라인고시 [2016] - 원자력시설등의방호및방사능방재대책법 법률에 " 전자적침해행위 ", " 원자력시설컴퓨터및정보시스템 " 의정의를신설하고, 정부및원자력사업자가각각원자력시설컴퓨터및정보시스템보안을강화하기위한시책및규정을마련 [2015.12] - 금융위원회, 전자금융거래감독규정고시 ( 금융감독위원회공고제 2015-7 호 ) [2015] - 미래부, 사물인터넷기본계획, 정보보호로드맵수립에이어로드맵시행계획마련을통해사물인터넷제품과서비스의보안내재화및경량ㆍ저전력암호기술등의핵심원천기술개발추진 [2015] 차세대보안 Ⅰ 차세대보안 305
구분 주요현황 - 사이버위협정보공유에관한법률안 발의 [2015] - 원자력안전법에따라규제기관인 KINS( 원자력안전기술원 ) 에서 KINS/RG-N08_22 ( 디지털계측및제어장치의사이버보안 ) 가개정되어실무적으로활용 [2014.11] -KISA, C-TAS(Cyber Threat Analysis &Sharing) 구축 [2014] - 미래부, 양자정보통신중장기추진전략을수립하고단계별로수도권과대전권연결양자암호통신시험망구축추진 [2014] - 바이오인식기반전자서명법하위고시개정 [2014] - 지문인증을이용한삼성페이서비스개발 [2015] - 미래창조과학부고시제 2013-51 호, 정보보호시스템공통평가기준 [2013] - IT 보안인증사무국은국가용보호프로파일및보조문서를개발하여공개 - 의료법시행규칙제 16 조개정 (2016.2.5) 으로전자의무기록의의료기관내부또는외부보관이가능해지고보관장소 ( 의료기관내부또는외부 ) 별시설과장비에관한구체적인세부기준을마련함에따라관련기술의확산예상 - 제조업의창조경제구현을목표로 4 대추진방향, 13 대세부추진과제를중심으로제조업혁신 3.0 전략을수립하여시행중 - 산업통상자원부와스마트공장추진단주관하에스마트공장보급확산사업을펼치고있으며, 2017 년현재 2,800 여개중소기업에스마트공장기술접목 - 2022 년까지스마트공장 2 만개확산을통해중소 중견기업공장 (20 인이상 ) 의약 1/3 을 IT 기반생산관리이상수준으로스마트화 미국 -NIST, 경량환경전용암호표준의필요성을확인하고주요암호알고리즘 ( 인증암호화, 해시함수 ) 의표준화를위한공모사업추진 [2018] -NIST, 미국연방정부사용공개키암호를양자내성을가지는알고리즘으로대체하기위한양자내성암호 (Post-Quantum Cryptography) 선정중 [2017.11] -NIST, 디지털아이덴터티가이드라인 800-63-3 공개. 3 가지정책권고사항으로구성되며높은보장성을갖는 AAL3 레벨이상의인증방법사용권고 ( 즉공개키암호화방식사용, 개인정보를디바이스에저장, 바이오인식과같은새로운인증사용권고 ) [2017.6] - 미국법무부 (DOJ) 와연방거래위원회 (FTC) 는사이버위협정보를상호공유할수있도록하는공동선언문 (Antitrust Policy Statement on Sharing Cybersecurity Information) 발표 -NIAP, SSL/TLS 인스펙션프록시모듈의보호프로파일 V1.0, 소프트웨어파일암호화 V2.0 보호프로파일, 주변기기공유장치 (PSD) 보호프로파일 V4.0 개발중 -NIAP, 2016 부터응용소프트웨어, 인증, 암호화저장, IDS/IPS, 모바일, 네트워크디바이스, 네트워크암호화, 운영시스템, 원격접속, VPN, 가상화, Vo IP, 무선랜부문의보호프로파일을개발하여공개 [2017] - 미국국토방위부 (DHS) 는자동화지표공유 (Automated Indicator Sharing, AIS) 시스템을발표및적용. 사이버위협첩보를민간및공공부문보안담당자들의원활한공유목적 [2016.3] -NIST, 비식별처리관련가이드라인 De-Identification of Personal Information 발표 [2015.12] -NIST, 산업제어시스템정보보호지침 (Guide to Industrial Control Systems(ICS) Security, NIST SP 800-82 Rev.2) 개정 2 판을발행 [2015.5] - 국가정보국 (Office of the Director of National Intelligence, ONDI) 내에 사이버위협정보통합센터 (Cyber Threat Intelligence Integration Center, CTIIC) 를설립을통해범정부차원의효과적인사이버위협대응 [2015] - 사이버보안정보공유법 (Cybersecurity Information Sharing Act, CISA S.754) 제정 [2015] 306 ICT 표준화전략맵 Ver.2019
구분 주요현황 -NIST, 서버컴퓨터의 BIOS 보안표준 (BIOS Protection Guidelines, NIST SP 80 0-147B) 을발행 [2011.8] -NIST, 데스크톱 / 노트북용 BIOS 보안표준 (BIOS Protection Guidelines, NIST S P 800-147) 을발행 [2011.4] -NIST, 최신기술의도입과더불어사용운영체제, 데이터베이스의패치는헬스케어운영진들이직접제어하지못하는문제점이있어서병원의사이버보안을강화하기위한새로운지침 (TACIT) 을발표 -NIST, 의료기관에서무선약물주입펌프에대한보안지침발표 -NIST, NCCoE 은직원의모바일장치에저장된기밀정보를유지할수있는가이드라인을발표 -FDA, ONC, FCC 는 ONC 협조를통해각종행위와민간영역의역량에기반한위험관리기반의 IT 규제프레임워크를만들것을제안 - 스마트공장의안전및보안을위하여, 산업제어시스템사이버대응팀 (ICS- CERT: Industrial Control Systems Cyber Emergency Response Team) 을독자적으로운영 - 국토안보부의사이버보안및통신부서 (DHS CS & C: Department of Homela nd Security Cyber Security and Communications) 의한부문으로국가사이버보안및통합센터 (NCCIC: National Cyber-security & Communications Integrati on Center) 내에서새로운사이버위협에대한제어시스템환경의방어를위한집중운영기능제공 일본 - IPA( 일본정보보안관련전문기관 ) 는사이버공격에대한대응을위해 5 대산업, 45 개참여기업의정보공유체계인 J-CSIP(Initiative for Cyber Security Inf ormation sharing Partnership of Japan) 를 2011.10.25 부터발족하여운영 - 바이오인식위변조탐지기술개발및 PAD 시험인증법제화추진중 [2016] - 사이버보안기본법 제정으로사이버보안정책수립 [2014] 및기본법을기반으로 사이버보안전략 2015 발표 [2015] - 기존신성장전략, 일본재생전략에이은세번째성장전략의구체적인정책으로서 일본재흥전략 ( 日本再興戦略 JAPAN is BACK) 을수립하여발표 [2013] 유럽 중국 -EU 역내국민의개인정보보호를위한기본법인 GDPR 발효 [2018.5] - EU 에서는 GDPR 에앞서 2018 년 1 월부터유럽은행연합의 PSD2(Payment Servi ces Directive2) 가시행됨. PSD2 는고객이동의한경우, 은행권은타산업군에오픈 API 형태로금융데이터를제공해야하는것으로유럽금융권에서의 FIDO 솔루션의적용확대에긍정적영향을주고있음 [2018.1] -EU, Horizon 2020 R&D 프로그램을통해 ICT 핵심기술확보를위한다수의차세대암호기술개발프로젝트출범 [2014] - 영국은비식별화사례를구현하기위해민간조직 UKAN 을설립하고 익명화프레임워크 가이드라인발표 [2016] - 바이오인식위변조탐지기술개발및 PAD 시험인증법제화추진중 [2016] -EU 의유럽연합대응기구인 ENISA 에서빅데이터프라이버시보호가이드라인발표 [2015] - 주요정보기반시설보호 (CIIP) 협력을통해사이버보안에관련된 14 개의법을시행함으로써, EU 차원에서각국의 ICT 인프라를보호하기위한대비책및회복역량을확보하는등보안수준을강화 - 2025 년까지제조강국에진입하는것을목표로하는 중국제조 2025 를발표 [2015.5] - 향후 30 년간 3 단계로나누어산업구조고도화계획 차세대보안 Ⅰ 차세대보안 307
2.3. 기술개발현황및전망 암호기술 인증기술 사이버보안 보안관리 / 보안평가 융합보안 국내국외 기초연구 실험 시작품 제품화 사업화 기초연구 실험 시작품 제품화 사업화 국내외격차 국내 기초연구 실험 시작품 제품화 사업화 국내외 국외 기초연구 실험 시작품 제품화 사업화 격차 국내 기초연구 실험 시작품 제품화 사업화 국내외 국외 기초연구 실험 시작품 제품화 사업화 격차 국내 기초연구 실험 시작품 제품화 사업화 국내외 국외 기초연구 실험 시작품 제품화 사업화 격차 국내 기초연구 실험 시작품 제품화 사업화 국내외 국외 기초연구 실험 시작품 제품화 사업화 격차 90% ( 선도국가대비 ) 95% ( 선도국가대비 ) 95% ( 선도국가대비 ) 90% ( 선도국가대비 ) 75% ( 선도국가대비 ) 2.3.1. 국내기술개발현황및전망 ( 암호기술 ) 국가보안기술연구소 (NSR) 와 ETRI를중심으로경량, 고속암호기술, DBMS 적합형암호기술등주요차세대암호기술개발 - (NSR) 신규 ICT 환경에적합한세계최고수준의경량ㆍ고속블록암호 LEA, 고속데이터처리에적합한해시함수 LSH, 그리고주민번호등의 DB 저장개인정보보호에적합한세계최고수준의형태보존암호 FEA 개발 - (ETRI) 형태보존 / 순서보존 / 검색가능암호등다수의 DBMS 환경용암호기술개발 - ( 서울대 ) 동형암호알고리즘을개발하고다양한응용서비스적용을위한관련기술을개발중 - (KISA, NIMS, 서울대, 고려대, 서강대 ) 양자내성암호알고리즘을개발하여 NIST 공모사업제안 - ( 삼성SDS) 서버 / 클라이언트모델에서보안세션수립을위한키교환프로토콜개발 ( 인증기술 ) ETRI와 KISA를중심으로차세대인증기술연구가수행되고있으며, 삼성 /LG 와같은민간분야는스마트디바이스를위한생체인증기술을상용화수준으로개발중 - ( 삼성, LG전자, 유파인스 ) 스마트폰에지문 얼굴 홍채 음성인식기술을탑재한모바일바이오인식기술의대중화와함께스마트폰의터치스크린에지문인식센서탑재등박막형지문인식센서를개발중에있으며, 생체신호를측정및생체신호기반텔레바이오인식기술개발에박차를가하고있는추세 - ( 한국인터넷진흥원, 한국도로공사 ) 자율협력주행 (C-ITS) 보안인증관리체계구축및운영방안연구를통한최상위인증기관, 차량용인증서발급기관등기관별역할정의를통한 C-ITS 보안인증관리체계시범구축사업추진방안마련 - (KISA) 2016년 7월부터 KISA 주관하에글로벌프로젝트를착수하여, 스페인마드리드대학교와미국의 Telebiometrics 민간기업연구소와국제공동연구를통하여심전도 지문등다중생체신호인증메커니즘, 생체신호센서용스마트밴드, 생체신호정보 308 ICT 표준화전략맵 Ver.2019
통신메커니즘등으로구성되는다중생체신호인증플랫폼을개발중으로한국 미국 중국지역의관련기술특허를출원 - (KISA, 한국바이오인식협의회 ) 모바일바이오인식제품의성능시험기술, 바이오인식제시형공격탐지기술개발중 - (ETRI) 사용자행위, 환경정보인지및무자각멀티팩터인증을통해보안성과편의성을강화하고, 모바일앱의동적보안정책을지원하는상황인지기반범용인증플랫폼기술개발 - ( 삼성전자, BCCard, 라온시큐어, ETRI 등 ) 2018년 1월부터 FIDO Alliance산하의한국워킹그룹출범. 국내 FIDO솔루션의글로벌표준화를위한방안협의및프로세스확립추진중 ( 사이버보안 ) 보안정보및자산정보의수집, 공유를기반으로동적방어및보안기술에대한연구개발이진행중 - (ETRI) 2017년부터선제적방어를수행하기위한 능동형사전보안을위한사이버자가변이기술개발 사업수행 2017년부터사이버위협탐지ㆍ대응을위한 Security Analytics 기반의사이버위협정보를분석ㆍ공유하는 Security Analytics 기반의이기종보안솔루션위협분석및대응기술개발 사업에참여 - (KISA) KISA를중심으로주요민간보안업체들이참여한위협정보분석 / 공유시스템인 C-TAS(Cyber Threat Analysis System) 이운영중이며, 표현규격으로 C-TEX 사용 ( 기타 ) 광주과학기술원 (GIST) 은미국육군연구소와협력하여 AI 기반의 MTD 소프트웨어공동개발추진 ( 보안관리 / 보안평가 ) 보안관리는 KISA, 보안제품평가는 NSR IT 보안인증사무국에서관리하고있으며관련심사 / 평가기술을개발중 - (KISA) 2018년기존 IaaS 중심의클라우드보안평가를 SaaS로확대시행 - (NSR IT보안인증사무국 ) 정보보호제품의평가에 CCRA에서제정한 CC, CEM 적용하며, 한국인터넷진흥원 (KISA), 한국정보통신기술협회 (TTA), 한국시스템보증 (KOSYAS), 한국아이티평가원 (KSEL), 한국정보보안기술원 (KOIST), 한국기계전기전자시험연구원 (KTC) 에서평가를수행하고 IT보안인증사무국에서인증서를발행중 - (TTA) FIDO Alliance의공인보안시험소및공인바이오인식시험소로지정되어 Authenticator의보안성평가, Biometric 평가를통한인증수행을준비중 ( 융합보안 ) 최첨단선도기술, 국제표준, 다양한서비스개발, 정부 공공 민간분야의다양한협업체계등첨단융 복합기술에대한선점경쟁이치열함 - (ETRI) 정보보호본부에서제조보안분야와의료기기, 의료생체보안분야를중점적으로 R&D 및표준화활동을수행하면서경량암호알고리즘, 생체인식보안기술등을개발하여민간에기술이전하고있으며, 산학연을아우르는위험도전형기술개발과제를기획중 - (NSR) 제어시스템보안인증기준과관련한기술들을개발하여제공하고있음. 보건산업진흥원에서진료정보교류시스템기능성, 상호운영성, 보안성인증기술및기준을개발하여적용할예정 차세대보안 Ⅰ 차세대보안 309
- (NNSP) 제어시스템보안성을위한단방향통신장비를개발하여전력분야에운용하고있고, 해외유수의제어시스템공급사들이비표준독자기술을공급하면서블랙박스화하여제공하는기기들을대상으로보안성을확인할수있는기술을개발중 - ( 솔, H3시스템등 ) 다목적광센서의료측정기기, 전자체온계등을개발하는과정에서사이버보안인증기준에적합한기기를개발중 < 국내주요사업자서비스동향 > 사업자 삼성전자, LG 전자 K- 뱅크 유파인스 윈스 KT BC 카드 비트컴퓨터 인성정보 삼성메디슨 인피니트 광림 LS 산전 ACS 유노믹 엔엔에스피 펜타시큐리티 안랩 주요현황 - 2018 년 3 월, 스마트폰에지문 얼굴 홍채 음성인식기술동시에탑재 - 2017 년 4 월, 인터넷전문은행국내최초로비대면인증수단으로바이오인식서비스도입추진중 - KISA 와공동으로심전도 심박수측정센서용스마트밴드시제품제작 - 국내 IPS 네트워크보안분야의 1 위업체로자체 CERT 조직을보유하고있으며, 지속적인위협정보를수집 / 분석 / 대응체계를가짐 - 자사및타사의보안제품을통합관리하는제품 (TMS-Plus) 보유 - AI Speaker 인기가지니에화자인식기술탑재준비중 - 국내최초 FIDO 기반안면인증서비스도입 - EMR 의료정보시스템, PACS 의료영상처리시스템등을개발하여공급중 - EMR 의료정보시스템등을개발하여공급중 - 초음파의료기기등을개발하여국내 외에판매중 - CT, MRI 의료기기등전문의료기기를개발하여국내 외판매중 - 다양한위내시경, 수술용내시경등장비개발하여판매중 - 스마트제조필수설비중 PLC 제품약 33% 의국내시장점유율확보 - 현대기아자동차, 포스코등국내외 1,200 여업체에제조관련솔루션을시스템통합형태로구축 - 자동차부품제조업및전기전자부품제조업분야에적합한공통패키지기능을 ANSI S-95, IEC 62264 와미국 MESA(Manufacturing Enterprise Solution Associates) 모델에서제시하는표준기능으로개발 - 2011 년부터국내공작기계제조사와함께모바일기반의공작기계제어소프트웨어를개발 - 2013 년부터북미표준제조기술규격인 MTConnect 및 OPC UA 를중심으로공작기계모니터링시스템을개발 - 50 여가지제조공정모니터링및제어를위한소프트웨어를제공 - 산업제어시스템보안기술, 스마트그리드보안기술등을개발 -KC, GS, CC 인증등을획득한하드웨어기반의물리적단방향보안게이트웨이, 산업용네트워크포트이중화장비등을자체개발하여국내 외판매 - 펜타스마트팩토리시큐리티 (Penta Smart Factory Security) 솔루션을적용, 스마트공장운영과정에서발생할수있는보안위협을최소화하는제품개발 - 데이터수집부터모니터링, 프로세스제어까지가능하도록안전한스마트팩토리환경을구축하는솔루션개발판매중 - 다양한융 복합기기에서사용가능한내장형보안솔루션개발판매중 310 ICT 표준화전략맵 Ver.2019
2.3.2. 국외기술개발현황및전망 ( 암호기술 ) 미국과유럽은각각국가기관과학계를중심으로차세대암호알고리즘의개발및국제표준화를통한시장주도권선점을추진중 - ( 미국 HPE Security) 형태보존블록암호운영모드 FFX 개발및미국연방정부사용승인 (NIST SP 800-38G) - ( 벨기에 COSIC) 경량메시지인증코드알고리즘 Chaskey와 LightMAC 개발 - ( 독일 Ruhr-Univ. Bochum, 싱가폴난양대, 덴마크기술대, 일본 NTT) 경량블록암호 SKINNY 개발 - ( 싱가폴난양대 ) 경량블록암호 Deoxys-BC와이를기반으로한인증암호화알고리즘 Deoxys 개발 - ( 미국 IBM, Microsoft 등 ) 다수의동형암호알고리즘을개발하고의료분야등다양한응용서비스적용기술을개발중 ( 인증기술 ) 미국유럽등주요선진국의주도하에연구소와학계에서생체신호개인식별등원천기술연구가진행되고있으며, 금융권과 IT기업은사용자의보안을위해최신인증기술을활발히도입하고있음 - ( 미국 CAMP SCMS, 유럽 European Commission) 정부기관인교통국 (US DOT) 의주도로뉴욕, 탬파, 와이오밍 3개의주에서 V2X 통신을이용한안전서비스의제공을위해 CV Pilot을구축중이고유럽연합집행위원회 (European Commission) 의주도로 PKI기반의정책기관 (Policy Authority), 신뢰리스트관리기관 (Trust List Manager), 최상위인증기관 (Root CA), 등록CA, 익명CA로이루어진 C-ITS 신뢰모델을설계함 - (NIST, UN 난민기구 ) 스마트카드와연동기술인바이오인식기반의 MoC(Match-On-Card) 카드형태의미국연방정부의 PIV 카드, 유엔지문스마트카드 난민식별카드등상용제품을널리보급 - (Apple, NTT 도코모등주요스마트폰개발업체 ) 지문 얼굴 정맥 음성인식기술을탑재한스마트폰을출시함과동시에스마트폰의터치스크린에탑재하는박막형지문인식센서를활발히개발중 - (Amazon, Facebook, Line 등 ) 최근 1년간 Line, Amazon, Facebook이 FIDO Alliance 보드로가입하면서 FIDO2등 FIDO표준및바이오인식기술을적용한솔루션이 2018년, 2019년본격출시될것으로보임 - (NIST, 유럽핀테크금융업체 ) 미국 유럽등주요선진국금융권에서는비대면본인확인에활용되는바이오인식제품을도입시에바이오인식제시형공격탐지기술 (PAD) 국제표준 (ISO/IEC 30107) 적합성시험인증기술을활발히개발중에있으며시험 인증서비스에대한법제도정비를서두르고있는추세 - (Texas Instrument, 미국워싱턴대학교 ) 뇌파 심전도 심박수 근전도등생체신호측정용의료장비및웨어러블디바이스, 생체신호센서용 MoC IC칩등미국 TI(Texas Instrument) 사를중심으로활발히제품화가진행중에있으며, 미국의워싱턴대학등대학교를중심으로뇌파 심전도 심박수등생체신호개인식별기술에대한연구가활발히진행중 차세대보안 Ⅰ 차세대보안 311
- (Halipax 은행, Bionym) 영국의 Halipax 은행, 캐나다왕립은행등주요선진국금융권에서는시범사업으로캐나다 Bionym에서개발한심박수측정용웨어러블디바이스를통하여생체신호를이용한고객통장의개인식별서비스를시행중 - (IBM) 멀티팩터인증과위험관리인가를제공하기위해센서로부터다양한정보 ( 바이오, 장치, 위치 ) 를수집하여바이오멀티팩터인증및위험평가후서비스제공여부를결정하는아키텍처개발 - (Cisco) 사물인터넷서비스플랫폼인시스코재스퍼컨트롤센터에서투-팩터인증서비스가포함된멀티레이어보안제공 - (Microsoft) 자사의클라우드서비스인 Azure 인증앱을통해삼성기어시리즈나애플워치와같은웨어러블기기와연동되는투팩터인증제공 - (Amazon) 아마존웹서비스 (AWS) 에멀티팩터인증을도입하여사용자이름과암호, 디바이스인증코드를이용하여암호이외에보안수준을강화하는수단제공 ( 사이버보안 ) 기존보안기술분야에동적변이기술및인공지능기술의접목을통해능동적이고선제적인보안을제공하기위한연구개발이진행되고있으며, 미국을중심으로서로다른기관간의보안정보공유를통한협력기반의연동프레임워크기술에대한연구를활발히진행중 - (DHS) 동적으로보안조치를수행해서공격대상을보호하는 Moving Target Defense는미국백악관이 2011년에발표한 사이버보안연구개발전략 중가장주목받았던연구분야로서현재미국국토안보부 (Homeland Security) 에서연구를수행중 미국국토안보부과학기술국 (DHS S&T) 은 SVIP(Silicon Valley Innovation Program) 를통해금융기관의사이버보안기술개발을지원중 NexiTech와 Veramine이 FSCSAD(Finance Service Cyber Security Active Defense) 부문에채택되어스토리지디바이스, 호스트보호를위한 MTD 핵심기술개발을진행중 미국국토안보부는 MITRE 프로젝트에서개발된사이버위협정보를공유하는자동화된표준운용기술결과물을오픈소스로발표 (Cybox, STIX, TAXII) 2014년글로벌보안벤더시만텍, 포티넷, 팔로알토네트웍스, 인텔시큐리티등참여하는위협인텔리전스정보공유플랫폼 CTA(Cyber Threat Alliance : 사이버위협연합 ) 운영 2016년 3월, 마이크로소프트 (MS) 가미국내에사이버보안센터구축완료, 사이버위협및분석정보를정부와공유하는민관협력창구로활용할계획 ( 보안관리 / 보안평가 ) 보안관리의경우 NIST 등을중심으로국가기관및신기술에대한보안지침을개발하고있으며보안제품평가의경우 CC 개발및참가기관을중심으로기술및기준을개발중 - (NIST) 위험관리를위해여러시스템으로복잡하게구성된외부공급자에게의존하는시스템및구성요소의중요도를평가하기위한심각도분석프로세스모델 (Criticality analysis process model), 대외비정보의보안요구사항평가및비연방시스템의대외비보호지침등개발및제개정 - (CCRA) IT제품의공통평가기준 (CC) 과평가방법론 (CEM) 을개발하고추가적으로평가에필요한기술들을개발함. itc 그룹을유지하며 USB 이동저장장치, Full 디스크암호화, 네트워크, 312 ICT 표준화전략맵 Ver.2019
어플리케이션소프트웨어, 보안전용컴포넌트, 생체인식등의공동보호프로파일 (cpp) 를개발중 - (ISO/IEC JTC1 WG3) CCRA에서개발한 CC와 CEM을 ISO/IEC 15408과 ISO/IEC 18045로표준화하고, IT제품의보안성평가에활용될수있는표준으로평가자자격요건과구현된암호모듈의검증기준들을개발중 - (CCUF) 국제 CC사용자포럼은글로벌 IT기업들과평가기관전문가들로구성되어있으며, IT제품에적용되는보안기능요구사항과평가에활용하는보조문서 (supporting document) 개발에참여중 ( 융합보안-의료보안 ) 17년 9월심장박동기에대한해킹위협과보안취약성이집중적으로거론되면서개인건강기기와의료기기등에대한사이버공격과해커들에의한공격이증가하고, 의료기관을대상으로한랜섬웨어공격등이활발해짐에따라서, 유럽주요국가들과특히미국 FDA를중심으로의료정보시스템과의료기기들에대한보안기술개발과대응책마련에집중중 - (UL) 미국연방정부, FDA와협력하여의료기기중에서심장박동기, 인슐린펌프등약물주입펌프기기부터우선적으로국제표준기반하에보안성인증프로그램을개발하여작용할예정 ( 융합보안-제조보안 ) 독일에서제조업기반으로플랫폼인더스트리 4.0을전개하면서관련기술개발을주도하고있으며, 미국, 일본등이이에맞서주도권을확보하고자경쟁적으로작업을진행하고있으나, 보안분야에대한기술개발과투자는세계적인다국적기업을제외하고거의활성화되지못하고있음 - (UL) 미국연방정부와협력하여제어시스템에서중점적으로사용되는 PLC(Programmable Logic Controller) 기기부터우선적으로국제표준기반하에보안성인증프로그램을개발하여작용할예정 < 국외주요사업자서비스동향 > 사업자 BSI, TUV 등 TI Halipax, Royal Bank Symantec Trend Micro Facebook 주요현황 - 다양한인증심사기관, 컨설팅업체등이 ISMS 컨설팅및인증심사서비스를제공중 - 2017 년 12 월, 심전도 심박수들동시에측정하는생체신호센서용 MoC 제품화 - 2016 년, 심전도 심박수등생체신호인증기술을이용한금융고객신원확인서비스 - 사이버보안분야를선도하는글로벌기업이며, 엔드포인트, 클라우드, 인프라전반을정교한공격으로부터방어할수있는전략적인통합솔루션제품개발 - 2014 년부터글로벌보안업체들이참여하는위협인텔리전스정보공유플랫폼 (CTA) 에서핵심역할을담당 - 개인용안티바이러스백신에서부터기업용 APT 대응솔루션과물리서버, 가상화서버, 클라우드보안에이르는다양한솔루션을제공 - 보안위협을분석하는 Deep Discovery, 가상화보안및물리서버보안을제공하는 Deep Security 와클라우드보안센터와의연동을통한통합보안솔루션을개발 - 2017 년 1 월부터 FIDO Alliance 보드멤버사로활동중인 Facebook 은전세계 20 억명이넘는사용자가 FIDO 인증솔루션을지원하는보안키를사용해로그인할수있도록지원중 차세대보안 Ⅰ 차세대보안 313
2.4. IPR 현황및전망 특허분석개요 - 차세대보안분야에있어서, 2018년 5월현재까지한국, 미국, 일본, 유럽, 국제공개 ( 등록 ) 된특허들을대상으로앞서제시된표준화항목에따라검색 / 추출된총 15,969건의특허를대상으로분석을수행함 특허출원년도별특허공보별동향 * 특허분석구간 (1997년 ~2018년 ) : 출원일기준으로분석하며, 일반적으로특허출원후 18개월이경과된때에출원관련정보를대중에게공개하고있음. 따라서아직미공개상태의데이터가존재하는 2017년이후자료의경우미공개분이존재함을고려해야함 - 연도별출원동향을살펴보면, 2000년대중반까지꾸준한증가세를유지하다가 2000년대후반부터다소큰폭의증가세를보이고있으며, 특히미국 (US), 한국 (KR), 국제 (WO) 특허들의출원양이늘어나고있는것으로나타남 - 한국 (KR) 을비롯하여미국 (US), 국제 (WO) 특허출원양이최근에많은것으로보아차세대보안기술분야에대한관심도가높고연구개발이활발한것으로판단 - 국가공보별로는미국 (US) 특허가 7186건 (45%) 으로가장많은출원양을나타내고있으며, 한국 (KR) 에출원된특허가 3354건 (21%) 으로그뒤를잇고있음 - 의료, 제조를비롯한다양한분야에서보안에대한중요성이커지고, 바이오인식등을통한차세대보안기술이개발됨에따라특허출원이지속적으로증가할것으로예상 314 ICT 표준화전략맵 Ver.2019
각표준화항목에대한연도별출원동향 표준화항목 PKI 멀티 FIDO 기반팩터바이오보안보안차세대출원인증인증인식관리정보암호평가공유기술 의료보안 제조보안 년도 1997 0 15 16 0 2 0 23 25 11 1998 0 10 22 0 0 2 21 21 5 1999 0 24 29 5 2 12 32 26 4 2000 0 28 45 10 3 17 19 53 20 2001 2 55 68 13 8 19 56 152 17 2002 0 59 72 13 7 22 50 90 28 2003 1 69 127 21 11 29 80 134 32 2004 0 108 95 25 19 32 100 126 41 2005 0 106 129 32 7 28 135 149 61 2006 0 139 202 26 16 24 136 167 83 2007 0 165 222 42 16 31 111 156 59 2008 0 133 178 57 19 20 80 127 49 2009 0 107 325 94 10 26 112 138 45 2010 0 142 224 93 12 26 114 180 46 2011 1 174 325 129 20 29 101 214 44 2012 7 194 358 246 22 28 121 286 60 2013 29 178 409 265 39 29 119 340 75 2014 57 183 397 255 35 24 143 281 93 2015 121 180 324 225 37 30 159 257 118 2016 154 236 175 202 38 40 155 307 134 2017 116 134 48 213 19 15 44 193 89 2018 0 2 0 2 0 1 2 4 3 합계 488 2441 3790 1968 342 484 1913 3426 1117 - 차세대보안분야의특허출원은 2000 년대들어서서출원양이증가하고있으며, 특히 PKI 기반인증, 바이오인식, 멀티팩터인증, 의료보안, 제조보안등에대한출원양이다소큰폭으로증가하는것으로보아해당기술에대한관심도가높은것으로판단 각표준화항목에대한특허공보별출원동향 표준화 항목 PKI 멀티 FIDO 기반팩터바이오보안보안차세대출원인증인증인식관리정보암호의료제조평가공유기술보안보안 합계 국가 한국특허 81 519 1089 457 124 300 217 379 188 3354 미국특허 285 626 1448 1031 123 84 785 2273 531 7186 일본특허 35 831 230 236 45 71 429 418 56 2351 유럽특허 18 160 273 57 8 7 186 120 184 1013 국제특허 69 305 750 187 42 22 296 236 158 2065 - 멀티팩터인증기술에대한출원은대부분국가에서많은출원이이루어지고있으며, 미국의경우의료보안, 일본의경우 PKI 기반인증, 유럽은제조보안, 한국은 PKI 기반인증및바이오인식분야에대한특허출원이활발한것으로나타남 - 어느한분야의표준화항목에치우치지않고모든표준화항목에서고른분포를보임 차세대보안 Ⅰ 차세대보안 315
한국특허에서의주요출원인별출원현황 (KR) 표준화항목출원인 FIDO PKI 기반인증 멀티팩터인증 바이오인식 보안관리평가 보안정보공유 차세대암호기술 비즈모델라인 0 15 179 40 0 0 0 1 0 235 의료보안 제조보안 ETRI 1 25 56 11 11 34 41 4 5 188 삼성전자 25 32 17 22 2 4 13 17 7 139 케이티 0 22 39 3 3 7 1 5 2 82 SK 텔레콤 0 11 10 1 5 4 14 7 0 52 에이티솔루션즈 0 2 30 0 0 0 0 5 0 37 QUALCOMM 0 20 3 7 0 0 3 2 2 37 고려대학교 0 13 6 1 0 1 9 1 0 31 엘지전자 0 13 1 12 0 2 0 1 1 30 SK 플래닛 9 19 0 0 0 0 0 0 0 28 합계 - 한국특허다수출원인은비즈모델라인, ETRI, 삼성전자, 케이티, SK텔레콤등의순임 - Qualcomm, Intel, Microsoft, Interdigital, SONY, Thomson Licensing, Panasonic(Matsushita Electric), Apple, Mitsubishi electric, NoK NOK LABS, Philips 등의외국기업이한국에출원하고있음 해외특허에서의주요출원인별출원현황 (US, JP, EP, WO 모두포함 ) 표준화항목출원인 FIDO PKI 기반인증 멀티팩터인증 바이오인식 보안관리평가 보안정보공유 차세대암호기술 NEC 1 72 24 13 2 2 144 15 1 274 Rockwell Automation 의료보안 제조보안 0 2 1 0 0 0 0 1 254 258 MICROSOFT 12 30 87 27 3 6 36 14 0 215 IBM 1 21 92 14 3 0 41 39 1 212 삼성전자 32 43 39 20 0 1 20 34 3 192 TOSHIBA 2 46 7 7 2 3 57 60 0 184 NTT 8 85 14 9 1 1 53 7 0 178 QUALCOMM 9 70 22 43 0 1 9 7 7 168 FUJITSU 9 62 13 18 2 3 45 9 0 161 SIEMENS 2 10 9 2 0 1 3 63 70 160 합계 - 해외특허다수출원인은 NEC, Rockwell Automation, Microsoft, IBM, 삼성전자, Toshiba 등의순으로나타남 - 주요출원인들은주로통신, 전자제품, 소프트웨어등에관련된기업이며, 특히 PKI 기반인증및차세대암호기술에집중하여특허를출원하는것으로나타남 - 삼성전자는해외에도활발한특허출원을하고있으며, ETRI, LG전자, SK텔레콤, 삼성SDS, SK플래닛, 등과같은한국기업이해외에도출원중 316 ICT 표준화전략맵 Ver.2019
2.5. 표준화현황및전망 암호기술 개념 / 정의, 유즈케이스 / 요구사항, 기능 / 참조구조, 데이터포맷 / 스키마, 프로토콜 / 인터페이스 표준수준 100% ( 선도국가대비 ) 95% ( 선도국가대비 ) 90% ( 선도국가대비 ) 95% ( 선도국가대비 ) 70% ( 선도국가대비 ) 인증기술 개념 / 정의, 유즈케이스 / 요구사항, 기능 / 참조구조, 데이터포맷 / 스키마, 프로토콜 / 인터페이스 표준수준 사이버보안 개념 / 정의, 유즈케이스 / 요구사항, 기능 / 참조구조, 데이터포맷 / 스키마, 프로토콜 / 인터페이스 표준수준 보안관리 / 보안평가 개념 / 정의, 유즈케이스 / 요구사항, 기능 / 참조구조, 데이터포맷 / 스키마, 프로토콜 / 인터페이스 표준수준 융합보안 개념 / 정의, 유즈케이스 / 요구사항, 기능 / 참조구조, 데이터포맷 / 스키마, 프로토콜 / 인터페이스 표준수준 구분표준화기구표준화현황 국제 ( 공적 ) JTC1 SC27 (WG1-Information security management systems) 정보보호통제표준인 ISO/IEC 27002 의개정안개발을개시하였으며정보보호통제평가지침인 ISO/IEC 27008 은 2 차개정판을발행. 분야별응용을위한요구사항 ISO/IEC 27009 는 2017 년조기개정을개시하여 CD 단계로진입, ISO/IEC 27006 ISMS 감사및인증기관요구사항개정을위한연구를개시하는등관련표준을지속적으로개발및재개정중 (WG2-Cryptography and security mechanisms) 경량암호알고리즘을중심으로 ICT 정보보호를위한핵심암호기술의표준화추진중. 신규기술수요에따른경량암호분야의표준화항목및대상증가전망. 또한, 인증요소기술 ( 영지식 /blind 전자서명기반인증, 바이오메트릭기반인증, 속성기반익명비연결실체인증 ) 및객체인증보증프레임워크표준화추진중 (WG3-Security evaluation, testing and specification) IT 제품의보안성평가기준표준인 ISO/IEC 15408 과평가방법론 ISO/IEC 18045 를 2020 년개정할예정 (WG5-Identity management and privacy technologies) 바이오인식기반하드웨어보안토큰 (17922) 등을개발완료하였으며, 바이오정보보호기술 (24745R1) 개정안을개발중. WG1 과공동으로 ISO/IEC 27552 개인정보보호경영을위한 27001 확대요구사항표준개발진행중 SC37 (WG2-Biometric technical interfaces) 객체지향형바이오인식호환규격 (30106-4), 객체지향형, 바이오인식호환성시험기술 (30106-1AMD1) 개발중 (WG5-Biometric testing and reporting) 얼굴인식을결합한지능형 CCTV 성능시험기술개발중 ISO TC215 (WG4-Security, Safety and Privacy) 개인건강정보를포함한보건의료빅데이터를대상으로개인정보보호를위한비식별화표준개정완료. 의료분야정보보호관리체계관련, 전산업에공통적으로적용하는 ISO 27001 ISMS( 정보보호관리체계 ) 를기반으로의료분야에대한 ISMS 인 ISO 27799 개정완료. 스마트의료기기안전과보안인증을통한 IoT 의료기기안전성 보안성확보및민감한의료정보의개인정보보호를보장하기위한스마트의료기기보안인증기술표준화추진중 차세대보안 Ⅰ 차세대보안 317
구분표준화기구표준화현황 IEC TC65 (WG10-Security for industrial process measurement and control) 미국 ISA 99 위원회와협업으로스마트공장, 제조등에대한보안표준을개발하고있고, 최근스마트공장실현을위한요소기술표준화에주력하고있으며, 최근신기술에기반한표준개정작업중 ITU-T SG17 (Q.4) 사이버보안침해증거수집및보존관련사이버보안침해사고증거를수집및보존하는도구를위한가이드라인표준개발을진행중 (Q.7) 경량클라이언트 - 서버모델에서하이브리드인증및키관리메커니즘표준화추진중 (Q.9) 모바일기기를위한텔레바이오인식보호지침 (X.1087), 바이오인식기반하드웨어보안토큰 (X.1085) 등의표준을제정완료하였으며, 스마트 ID 카드를이용한원격바이오접근제어 (X.tac) 등을개발중 (Q.9) 생체신호를이용한텔레바이오인식인증기술 (X.tab) 을개발중으로추후생체신호인증기반헬스케어보안기술표준화를 ISO TC215 와공동으로추진할예정 (Q.10) 객체인증보증프레임워크와접근하는자원별로상이한인증수준을적용하기위한스텝업인증프로토콜표준화추진중 IETF SEC (Security Area) 인터넷환경에서원활한정보보호서비스를제공할수있는다양한암호프로토콜및이를뒷받침하기위한핵심암호기술과적용가이드라인에대한표준화추진중 국제 ( 사실 ) FIDO - 온라인과오프라인상 FIDO 솔루션의확산을위해 W3C, EMVCo, GSMA 등과협업함과동시에 FIDO 2.0( 모바일 + 웹, PC 운영체제 ) 로의업그레이드및이와관련된표준화완료단계 - 국가 / 정부차원의표준화전개활동의일환으로 NIST 의 CSF( 미국 Cyber Security Frame), PSD2(EU 의 Payment 및 Digital Banking 규정 ), eidas(eu 의새로운전자서명규정 ), APKIC( 아시아 PKI) 부분과의표준화연계협업중 -IoT 및블록체인등과의연계필요성및방안에대한논의가진행중 CCRA - 공통평가기준 (CC) 와평가방법론 (CEM) 개정, CCRA 내국제기술커뮤니티 (itc) 를통해 cpp 와 cpp SD 문서지속개발진행중 ISA-99 - 제조분야전반에대한보안기술표준화진행중 지역표준화협의체 CJK IT Standard Meeting -CJK IT Standard Meeting 안에정보보호작업반 (WG) 에서한중일전문가들의의견공유및지역표준화개발 - 블록체인의국제표준화활동을위해한중일 3 국간협력을제안하였으며, 정보보호작업반 (WG) 산하에블록체인임시그룹 (Adhoc Group) 을신설 (2017.8) 하기로결정 318 ICT 표준화전략맵 Ver.2019
구분표준화기구표준화현황 PG501 ( 정보보호기반 ) 주요차세대암호기술의표준화완료및양자키분배시스템규격표준화추진중이며패스워드와 IBC(ID 기반암호시스템 ) 를이용한키교환프로토콜표준제정 PG502 ( 개인정보보호 /ID 관리, 블록체인보안 ) 개체인증에대한보증프레임워크, 금융서비스에신뢰승급이가능한인증등급, FIDO 유니버셜이중인증 (U2F) 규격표준제정중이며개인정보영향평가보고서작성을위한지침, 개인정보영향평가를위한프라이버시리스크관리프레임워크개인정보관리를위한프라이버시보호원칙, 개인정보보호수준정의를위한공통항목, 개인정보보호를위한 DB 보안감사로그, 프라이버시강화형역할기반접근제어생성언어등을개발중 TTA PG503 ( 사이버보안 ) STIX 기술관련, 구조화된위협정보표현규격 (STIX 2.0) 에대한시리즈표준을개발중 PG504 ( 응용보안 / 평가인증 ) 응용보안평가인증부문정보통신단체표준제 개정, 정보보안평가및검증기술실무반 (WG5041) 을신설하여해당분야국내표준개발하기로결정 (2018.5) 국내 RRA PG505 ( 바이오인식 ) 바이오인식응용서비스관련, 일회용 ID 기반바이오인증기술, 모바일바이오인식제품위조샘플탐지를위한시험평가지침, 바이오인식과 IC 카드를이용한접근제어용개인확인시스템등을개발중이며생체신호기반텔레바이오인식기술관련, 생체신호인증알고리즘성능시험기준, 생체신호정보프라이버시보호지침, 개인인증용생체신호데이터포맷등을개발완료하였으며, 생체신호를이용한헬스케어응용서비스기술보고서를개발중 (SC27-K) - 한국 / 미국 / 일본공동으로 ISO/IEC 19790, ISO/IEC 24759 표준을 2018 년개정후, KS X 표준 2019 년개정예정 - ISO/IEC15408, ISO/IEC18045 관련한국암호모듈검증제도의암호모듈보안요구사항과시험요구사항제 개정 - 해시함수 LSH, 블록암호운영모드 KS X 표준화추진 (SC37-K) 바이오인식응용서비스관련, 바이오인식정보의보호를위한기술적관리적지침 (KSX1966), 바이오인식제시형공격탐지기술 (KSXISO/IEC 30107-1), BioAPI 적합성시험기술개정 (KSXISO/IEC24709-1R1) 등 KS 국가표준을제 개정 스마트의료보안포럼 - 개인정보의비식별화모바일디바이스에서전자기록의보안 - 위험평가및결과, 의료기관내무선의료기기활용서비스의보안참조모델등의표준개발중 개인정보보호포럼 - 개인정보보안기술관련국내 / 국제표준개발및제 개정 - 스마트그리드, 클라우드, 스마트폰보안, 암호알고리즘등보안및개인정보보호기술국내외표준개발 한국 FIDO 산업포럼 -FIDO UAF 1.1, U2F 1.2, FIDO 2.0 에대한 Spec 및 FIDO 신규보안평가시스템의국내공유중 - 국내표준을 FIDO 의글로벌표준에반영중 차세대보안 Ⅰ 차세대보안 319
2.5.1. 국내표준화현황및전망 ( 암호기술 ) TTA를중심으로신규 ICT 정보보호를위한핵심암호기술규격의표준화를완료하였고, 현재양자키분배시스템표준화를시작. 양자키분배시스템표준화는시스템구축및실증과연계되어본격적으로진행될것으로전망 - (TTA 정보보호기반 PG(PG501)) KCMVP 참조규격으로활용되는표준에대한정비작업을진행하고있으며, 양자암호시스템규격에대한표준화시작 - (RRA, JTC1 SC27-Korea) 신규 ICT 정보보호를위한경량블록암호 LEA의표준화에이어, 고속해시함수 LSH의표준화진행중 < 국내표준화현황 > 개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 TTA PG501 RRA 2017-855, BB84 양자키분배프로토콜을적용한장비간연동 2018 TTAK.KO-12.0271, n비트블록암호운영모드 2016 TTAK.KO-12.0189/R1, 결정론적난수발생기 제1부- 블록암호기반난수발생기 2015 TTAK.KO-12.0272, 블록암호기반키유도함수 2015 TTAK.KO-12.0275, 형태보존암호 FEA 2015 TTAK.KO-12.0276, 해시함수 LSH 2015 해시함수 LSH 진행중 (2018) KS X 3246, 128 비트블록암호 LEA 2016 KS X 3254, n 비트블록암호운영모드 제 1 부일반 2016 암호알고리즘 암호알고리즘 ( 인증기술 ) 국내표준은 TTA를중심으로멀티팩터인증, FIDO인증, 바이오인식표준이개발또는준용되어왔으며, RRA에서바이오인식기술의국가표준을개발중 - (TTA 정보보호기반 PG(PG501)) 패스워드와 ID 기반암호시스템을이용한암호및서명으로멀티팩터인증을제공 - (TTA 개인정보보호 /ID관리, 블록체인보안 PG(PG502)) 개체인증에대한보증레벨, 신뢰승급이가능한인증등급을통해멀티팩터인증의강도를분류함. 또한 FIDO 표준의유니버셜이중인증 (U2F) 에대한표준화를완료 - (TTA 바이오인식 PG(PG505)) KISA, 인하대, 충북대, 경인여대등국내전문가그룹이모바일바이오인식제품위조샘플탐지를위한시험기술, IC카드기반의 MoC 바이오인식융합기술, 생체신호기반의텔레바이오인식기술에대한단체표준을활발히개발중 - (RRA JTC1 SC37-Korea) 전문위원회를중심으로바이오인식표준적합성시험규격개정안을완료하였으며, 바이오정보보호기술, 바이오인식위변조탐지기술등에대한국가표준을개발중 - (RRA ITU-T SG17-Korea) KISA, 충북대, 서울대, 유파인스등전문위원회를중심으로텔레바이오인식응용기술, 생체신호기반텔레바이오인식기술등에대한국가표준을개발중 - ( 사물인터넷융합포럼 ) 자동차관련이터넷네트워크보안요구사항, 클라우드커넥티드자동차보안요구사항등에대한표준화진행중 (2017) 320 ICT 표준화전략맵 Ver.2019
- (FIDO한국워킹그룹) 2018년 1월부터 FIDO한국워킹그룹및한국FIDO산업포럼회원사중심으로 FIDO솔루션관련국내표준화추진하고이를글로벌표준화로연계추진중 < 국내표준화현황 > 개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 사물인터넷융합포럼 TTA PG501 TTA PG502 TTA PG505 RRA SC37 -K ITU-T SG17 -K 자동차용이더넷네트워크보안요구사항 ( 안 ) 2017 클라우드커넥티드자동차보안요구사항 ( 안 ) 2017 PKI기반기기인증 TTAK.KO-12.0270-Part1, 패스워드와 IBC(ID 기반 암호시스템 ) 를이용한키교환프로토콜 - 제1부 2015 ID 기반암호이용 TTAK.KO-12.0270-Part2, 패스워드와 IBC(ID 기반암호시스템 ) 를이용한키교환프로토콜 - 제2부 2015 멀티팩터인증기술 ID 기반서명이용 TTAK.KO-12.0221, 모바일기기를이용한다중요소인증메커니즘 2013 TTAK.KO-12.0313, 금융서비스에신뢰승급이가능한인증등급 2017 멀티팩터인증기술 TTAE.OT-12.0018, FIDO 유니버셜이중인증 (U2F) 2016 멀티팩터인증기술, FIDO 및응용기술 TTAI.IT-Xeaa, 개체인증에대한보증프레임워크 2010 멀티팩터인증기술 2017-415, 일회용 ID기반바이오인증기술 진행중 (2018) 2017-050, 모바일바이오인식제품의위조샘플탐 진행중 지를위한시험평가지침 (2018) 2017-049, 바이오인식과 IC 카드를이용한접근제 진행중 어용개인확인시스템 (2018) 바이오인식응용서비스 TTAE.IT-X.1085, 바이오인식보안토큰을이용한원격 2017 바이오인증프레임워크 TTAE.IT-X.1087, 모바일디바이스에서의텔레바이오인식보안지침 2017 TTAK.KO-12.0322, 바이오인식응용카드기반의개인인증시스템 2017 TTAK.KO-12.0324, 개인인증용생체신호정보보호지침 TTAK.KO-12.0325, 생체신호인증알고리즘성능시험지침 TTAK.KO-12.0323, 개인인증용심전도및광용적맥파특징점데이터교환포맷 KSXISO/IEC30107-2, 생체인식제시형공격탐지기술 -파트2: 데이터포맷 KSXISO/IEC30107-3, 생체인식제시형공격탐지기술 -파트3: 성능시험방법 KSXISO/IEC19794-15, 손금인식데이터교환규격- 파트15 2017 진행중 (2019) 진행중 (2019) 진행중 (2019) KSX1966, 바이오정보보호를위한기술적 관리적지침 2018 KSXISO/IEC24709-1R1, BioAPI를위한적합성시험방법-파트1: 시험방법및절차 2018 KSXISO/IE30107-1, 생체인식제시형공격탐지기술 -파트1: 프레임워크 2018 KSXITUTX.1085, 바이오인식보안토큰을이용한원격바이오인증프레임워크 KSXITUTX.1087, 모바일디바이스에서의텔레바이오인식보안지침 진행중 (2019) 진행중 (2019) 생체신호기반텔레바이오인증기술 바이오인식응용서비스 바이오인식응용서비스 차세대보안 Ⅰ 차세대보안 321
( 사이버보안 ) 국내표준은 TTA, ETRI, KISA를중심으로개발되어왔으며, 사이버보안정보공유프레임워크와정보공유프로토콜은 ITU-T와 IETF 등국제표준화기구에서제정한표준을국내상황에맞게준용중 - (TTA 응용보안 / 평가인증 PG(PG504)) 공격노출점평가에필요한자산상태정보를정의하고, 수집된자산상태정보를통합연계할수있는교환포맷을규격화하기위한표준이 2017년 8월에제안. 상태정보정의및교환포맷의스키마를명시한표준문서가 2018년도에제정 - (TTA 사이버보안 PG(PG503)) 침해사고정보전달포맷및프로토콜에대한표준이제정되었으며, 사이버위협정보공유관련하여 STIX 2.0 표준과유스케이스에대한표준이개발중 < 국내표준화현황 > 개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 TTAE.IT-X.1544, 사이버공격패턴목록및분류 2017 TTAI.OT-12.0020-part1, 구조화된 위협 정보 표현 규격 (STIX) 제1부 : 개요 TTAI.OT-12.0020-part2, 구조화된 위협 정보 표현 규격 (STIX) 제2부 : 공통 2016 2016 TTA PG503 TTAI.OT-12.0020-part3, 구조화된 위협 정보 표현 규격 (STIX) 제3부 : 코어 2016 TTAE.IT-X.1546, 악성코드속성목록및특성 2016 TTAK.KO-12.0279, 보안정보메시지교환프로토콜 2015 TTAE.IF-RFC4766, 침입탐지메시지교환요구사항 2015 능동형사이버보안침해정보수집및보존기술 TTAK.KO-12.0282, 침입탐지시스템을위한보안정책메시지및배포프로토콜 TTAK.KO-12.0283, Snort 기반침입탐지시스템탐지규칙요구사항 2015 2015 ( 보안관리 / 보안평가 ) 국내자체개발표준및국제표준의부합화를통해국내요구와국제동향을지속적으로반영 - (PG 504) 정보보호역량성숙도모델표준화등관련표준의제개정및폐지를통해정보보호관리체계관련표준의지속적관리중 - ( 국가기술표준원 ) 27003 정보보호관리시스템구현지침개정등 ISO/IEC 27001 관련표준시리즈의지속적인제개정을통해부합화표준을현행화하고있음 2009년 12월공통평가기준국제표준을준용하는국내표준 KS X ISO/IEC 15408-1, 15408-2, 15408-3을개정하였으며, 2010년 12월공통평가방법론국제표준을준용하는국내표준 KS X ISO/IEC 18045를개정 - (NSR IT보안인증사무국 ) CCRA에서제정한 CC 및 CEM을홈페이지에게시하고있으며, 제품유형별보호프로파일을개발하여공개 322 ICT 표준화전략맵 Ver.2019
< 국내표준화현황 > 개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 TTA PG504 TTAK.KO-12.0316, 클라우드컴퓨팅환경에서개인정보보호지침 2017 정보보호관리체계 TTAK.KO-12.0293, 암호모듈현장시험지침 2016 IT 제품보안성평가기준 TTAK.KO-12.0284, 정보보호역량성숙도모델지침 2015 정보보호관리체계 KS X ISOIEC 27009, 정보기술 - 보안기술 -ISO/IEC 27001 의분야별적용 - 요구사항 2018 국가기술표준원 IT 보안인증사무국 KS X ISOIEC 27011, 정보기술-보안기술-ISO/IEC 27002에기초한통신조직을위한정보보호통제 KS X ISOIEC 27003, 정보기술-보안기술-정보보호관리시스템이행지침 2018 2017 KECS-PP-0822-2017, 국가용통합인증보호프로파일 2017 KECS-PP-0821-2017, 국가용문서암호화보호프로파일 KECS-PP-0820-2017, 국가용데이터베이스암호화보호프로파일 KECS-PP-0819-2017, 국가용무선침입방지시스템보호프로파일 KECS-PP-0803-2017, 국가용침입방지시스템보호프로파일 KECS-PP-0804-2017, 국가용네트워크자료유출방지보호프로파일 KECS-PP-0805-2017, 국가용네트워크자료유출방지보호프로파일 KECS-PP-0714-2016, 국가용네트워크장비보호프로파일 KECS-PP-0715-2016, 국가용침입차단시스템보호프로파일 KECS-PP-0716-2016, 국가용가상사설망보호프로파일 KECS-PP-0717-2016, 국가용인터넷전화방화벽보호프로파일 KECS-PP-0718-2016, 국가용무선랜인증보호프로파일 2017 2017 2017 2017 2017 2017 2016 2016 2016 2016 2016 정보보호관리체계 IT 제품보안성평가기준 ( 융합보안 ) 의료보안분야는 PG505 바이오인식그룹과스마트의료보안포럼에서최근사회적이슈가되고있는의료기기안전성및보안성을위한 TTA 표준문서들을개발하고있으며, 제조보안분야는국가보안기술연구소에서산업제어시스템에대한보안요구사항표준을개발하였으나, 의료기관이나제조업현장에서보안표준및기술을제한적으로만적용중 - (TTA 바이오인식PG(PG505)) 의료와보안양쪽을아우르기위한작업으로의료보안표준기술을스마트의료보안포럼과협업하에개발중 차세대보안 Ⅰ 차세대보안 323
- ( 국가기술표준원 ) ISO TC 215 보건의료표준위원회중 WG4 안전, 보안과개인정보보호그룹에서의료보안표준작업을지속적으로추진중이고, 2018년 10월부산벡스코에서개최될 IEC 국제표준총회를기점으로제조보안분과에적극참여계획중 - ( 스마트의료보안포럼 ) 의료보안분야정책, 기술, 기기, 표준등을수행하는분과를중심으로국제표준화작업및국내기술전파와인식강화를위한작업진행중 - ( 건국대학교 ) 의료보안과제조보안을기반으로한국제표준기술개발과관련전문가양성및인재교육을위한융합보안대학원설립추진중 < 국내표준화현황 > 개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 TTA PG505, 스마트의료보안포럼 2018-1735, 의료기관내무선의료기기활용서비스의보안참조모델 2018-1736, 모바일디바이스에서전자건강기록의보안 Part V : 위험평가및결과 2018-1737, 개인의료정보의비식별화 진행중 (2018) 진행중 (2018) 진행중 (2018) 진료정보교류시보안표준모델, 의료기기안전및보안프레임워크 TAK.KO-12.0307-part1, 산업제어시스템보안요구사항 제 1 부 : 개념및참조모델 2017 TTA PG504 TAK.KO-12.0307-part2, 산업제어시스템보안요구사항 - 제 2 부 : 현장장치계층 TAK.KO-12.0307-part3, 산업제어시스템보안요구사항 - 제 3 부 : 제어계층 2017 2017 스마트공장기기상호보안인증기술, 중소기업용스마트공장보안관리기술 TAK.KO-12.0307-part4, 산업제어시스템보안요구사항 - 제 4 부 : 운영계층 2017 2.5.2. 국제표준화현황및전망 ( 암호기술 ) ISO와 IETF는경량환경용암호알고리즘과암호프로토콜규격의표준화를진행중이고, ETSI는양자키분배시스템규격표준화를활발히진행중임. 특히경량환경용암호의필요성이증가함에따라, ISO 경량암호분야 (29192) 의표준화항목및대상이증가할것으로전망 - (JTC1 SC27) 경량환경을위한암호알고리즘및신규암호기술규격에대한표준화가활발히진행중 한국에서개발한블록암호 LEA를경량블록암호표준 (29192-2) 에추가하기위한작업진행중 경량메시지인증코드표준 (29192-6) 항목이신설되었고, 벨기에 COSIC에서개발한 Chasky와 LightMAC이포함된표준개발중 경량인증프로토콜표준 (29192-7) 항목이신설되었고, TESLA 프로토콜이포함된표준개발중 324 ICT 표준화전략맵 Ver.2019
범용암호화알고리즘표준에동형암호표준 (18033-6) 항목이신설되었고, 표준화작업이진행중 한국에서개발한서버 / 클라이언트모델용키교환프로토콜을키관리방식표준 (11770-4) 에추가하기위한작업진행중 미국연방정부용신규해시함수 SHA-3를전용해시함수알고리즘표준 (10118-3) 에추가하기위한작업진행중 경량블록암호 SKINNY 와 Deoxys-BC, 그리고형태보존암호의표준화적합성검토진행중 - (IETF SEC, IRTF CFRG) 경량환경에적합한암호프로토콜규격및프로토콜적용을위한핵심암호기술에대한표준화가활발하게진행중 특히 (D)TLS는 IoT 연결플랫폼개발을위한오픈소스프로젝트 (IoTivity, openm2m, Thread 등 ) 를비롯하여경량환경에서의정보보호를위한핵심프로토콜로채택되고있음 TLS의안전성강화를위한새로운규격개발 (TLS 1.3) 및관련신규암호기술의표준화가진행중 경량 / 소형기기에서의암호기술활용을위한패스워드기반암호알고리즘다수표준화 해시함수 SHA-3의암호프로토콜적용을위한표준화가진행될것으로전망 < 국제표준화현황 > 개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 JTC1 SC27 ISO/IEC 29192-6, Lightweight cryptography Part 6(CD): Message authentication codes (MACs) ISO/IEC 29192-7, Lightweight cryptography Part 7(CD): Broadcast authentication protocol ISO/IEC 29192-2, Lightweight cryptography Amendment to Part 2 LEA ISO/IEC 18033-6, Encryption algorithms - Part 6(DIS): Homomorphic encryption 진행중 (2020) 진행중 (2020) 진행중 (2019) 진행중 (2019) ISO/IEC 11770-4, Amendment 1 to Part 4 진행중 (2019) ISO/IEC 10118-3, Hash-functions Part 3(FDIS): Dedicated hash-functions 2018 ISO/IEC 11770-4, Key management Part 4(NP): Mechanisms based on weak secrets 2017 ISO/IEC 29192-4, Lightweight cryptography Amendment 1 to Part 4 2016 ISO/IEC 29192-5, Lightweight cryptography Part 5: Hash-functions 2016 ISO/IEC 29192-4, Lightweight cryptography Part 4: Mechanisms using asymmetric techniques 2013 ISO/IEC 29192-2, Lightweight cryptography Part 2: Block ciphers 2012 ISO/IEC 29192-3, Lightweight cryptography Part 3: Stream ciphers 2012 암호알고리즘 IETF RFC 8236, J-PAKE: Password-Authenticated Key Exchange by Juggling 2017 암호알고리즘 차세대보안 Ⅰ 차세대보안 325
개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 RFC 8235, Schnorr Non-interactive Zero-Knowledge Proof RFC 8133, The Security Evaluated Standardized Password-Authenticated Key Exchange(SESPAKE) Protocol RFC 8032, Edwards-Curve Digital Signature Algorithm(EdDSA) RFC 7914, The scrypt Password-Based Key Derivation Function 2017 2017 2017 2016 RFC 7748, Elliptic Curves for Security 2016 ( 인증기술 ) ISO와 ITU-T를중심으로멀티팩터, 바이오인식기술의표준화가활발히진행되고있으며, FIDO Alliance가 W3C를통해 FIDO 기술의표준화추진중 - (IEEE) 자율협력주행차량을위한 WAVE(Wireless Access for Vehicle Environment) 국제표준이 2013년처음만들어졌고 2016년에추가개정되어사용중이며실증프로젝트의결과를반영하여향후추가개정될예정임 ( 미국 ) SCMS(Security Credential Management System) 시스템을이용하여현재 CV Pilot를진행하고있으며홈페이지 (https://wiki.campllc.org/) 에결과를반영하여문서를수정중 (European Commission) 유럽지역에자율협력주행 (C-ITS) 구현및운영을위한인증서정책방안가이드라인을발표함 (2017.7) - (JTC1 SC27) 인증요소기술 ( 영지식 /blind 전자서명기반인증, 바이오메트릭기반인증, 속성기반익명비연결실체인증 ) 및객체인증보증프레임워크표준화추진중 ITU-T SG17과공동으로바이오인식기반하드웨어보안토큰 (17922) 을개발완료하였으며, 바이오정보보호기술 (24745R1) 개정작업을추진중 - (JTC1 SC37) C++ 기반바이오인식호환규격적합성시험기술개정작업 (24709-1R1) 은완료되었으며, C# JAVA 등객체지향형바이오인식호환규격적합성시험기술 (30106-1AMD1, 30107-4) 을개발중 - (ITU-T SG17) (Q.7) 경량클라이언트-서버모델에서하이브리드인증및키관리메커니즘표준화추진중 (Q.9) 모바일디바이스에서의텔레바이오인식보안지침 (X.1087), 바이오인식기반하드웨어보안토큰 (X.1085) 은개발완료하였으며, 생체신호를이용한텔레바이오인식기술 (X.tab), 스마트 ID카드를이용한원격바이오접근제어기술 (X.tac) 을개발중. 향후 ISO TC215 와공동으로생체신호인증기반의헬스모니터링분석기술에대한국제표준을신규로개발할예정 (Q.10) 객체인증보증프레임워크와접근하는자원별서로다른인증수준을적용하기위한스텝업인증프로토콜표준화추진중 - (FIDO Alliance) 기존모바일중심의 FIDO1.0/1.1/1.2에서모바일뿐만아니라웹, PC운영체제로의 Upgrade되어 W3C를통해표준화추진중. EMVCo, GSMA, ISO와도 326 ICT 표준화전략맵 Ver.2019
Liaison을맺고표준화관련협업중. 또한효율적인사실표준화를위해 5개의 Regional WG을 FIDO Alliance 산하조직으로운영중 ( 한국 / 중국 / 일본 / 유럽 / 인도 ) < 국제표준화현황 > 개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 IEEE U.S. DOT/ NHTSA European Commission JTC1 SC27 JTC1 SC37 Wireless Access in Vehicular Environments - Security Services for Applications and Management Messages(IEEE Std. 1609.2-2016) Security Credential Management System Proof-of-Concept Implementation, EE Requirements and Specifications Supporting SCMS Software Release 1.2.2 NHTSA,(November 15, 2016) Security Credentials Management System(SCMS) Design and Analysis for the Connected Vehicle System, U.S. Department of Transportation, Research and Innovative Technology Administration (December 27, 2013) Certificate Policy for Deployment and Operation of European Cooperative Intelligent Transport Systems(C-ITS) ISO/IEC NP 9798-5, Entity authentication Part 5: Mechanisms using zero-knowledge techniques ISO/IEC NP 29115, Entity authentication assurance framework ISO/IEC AWI 27551, Requirements for attribute-based unlinkable entity authentication ISO/IEC 24745R1, Biometric Information Protection ISO/IEC CD 20009-3, Anonymous entity authentication - Part 3: Mechanisms based on blind signatures concepts ISO/IEC CD 24761, Authentication context for biometrics X.1085 ISO/IEC 17922, Telebiometric authentication framework using biometric hardware security module ISO/IEC 29115, Security techniques Entity authentication assurance framework 30106-1AMD1, Object oriented BioAPI - Part 1: Architecture - Amendment 1: Additional specifications and conformance statements 30106-4, Information technology - Object oriented BioAPI - Part 4: C++ Implementation 24709-1R1, Conformance Test for BioAPI Part1 revision 19794-15, Biometric data interchange format - Part 15: Palm crease image data 2016 PKI 기반기기인증 2016 2013 PKI 기반기기인증 2017 PKI 기반기기인증 진행중 (2022) 진행중 (2022) 진행중 (2022) 진행중 (2021) 진행중 (2020) 진행중 (2020) 멀티팩터인증기술 바이오인식응용서비스 멀티팩터인증기술 2017 바이오인식응용서비스 2013 멀티팩터인증기술 진행중 (2019) 진행중 (2019) 2017 2017 바이오인식응용서비스 ITU-T SG17 X.te, Trust Elevation Protocol - Authentication Step-Up Protocol and Metadata Version 1.0 진행중 (2022) 멀티팩터인증기술 차세대보안 Ⅰ 차세대보안 327
개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 X.1254rev, Entity authentication assurance framework X.sup-1254rev, Supplement to X.1254rev on use cases and high level abstract implementations X.hakm, Guidelines on hybrid authentication and key management mechanisms in the client-server model X.tab, Telebiometric Authentication using Biosignals 진행중 (2020) 진행중 (2020) 진행중 (2019) 진행중 (2019) 생체신호기반텔레바이오인증기술 X.tac, Telebiometric Access Control with smart ID 2018 X.1087, A guideline to technical and operational countermeasures for telebiometric applications using mobile devices(x.tam) X.1085 ISO/IEC 17922, Telebiometric authentication framework using biometric hardware security module 2017 2017 바이오인식응용서비스 FIDO Alliance X1158, Multi-factor authentication mechanisms using a mobile device 2014 X.1254, Entity authentication assurance framework 2012 FIDO2 진행중 (2018) UAF 1.1(Universal Authentication Framework) 2017 U2F 1.2(Universal 2nd Factor) 2017 멀티팩터인증기술 FIDO 및응용기술 ( 사이버보안 ) 국외표준은 ITU-T, IETF, OASIS를중심으로개발되어왔으며, MITRE에서개발한사이버위협정보전송규격 (TAXII) 과사이버위협표현규격 (STIX) 에대한표준화작업이 OASIS의 CTI(Cyber Threat Intelligence) 기술위원회에서진행중 - (ITU-T SG17) 사이버보안침해데이터의증거능력을높이기위해수집보존도구에대한가이드라인을표준화하여수집된데이터의신뢰성확보를기대 신규표준아이템으로 Guidelines for Collection and Preservation of Cybersecurity Incidence Evidence와같이표준화아이템이제안되어논의중 - (IETF) 침해사고데이터형식인 IODEF(Incident Object Description Exchange Format) 와침해사고추적프로토콜인 RID(Real-time Inter-network Defense) 의표준화진행중 - (ITU-T SG17) 사이버보안에대한정보공유프레임워크 (CYBEX) 에대한표준이제정되었으며, 관련메커니즘에대한표준화작업이지속적으로진행중. 침해사고세션정보교환포맷에대한표준화를한국주도로진행중 - (OASIS) 2016년사이버위협에대응하기위한유관기관간의침해사고정보공유포맷및협업형통합제어프레임워크개발중 328 ICT 표준화전략맵 Ver.2019
사이버위협정보표현방식은지속적으로발전 / 통합되고있으며, 또한다른위협정보의내용과연동성을제공하는기능들을제공하는방식으로발전중 < 국제표준화현황 > 개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 X.1500 Amd.12 - X.1500(2011) Amendment 12, Overview of cybersecurity information exchange(cybex) 2018 ITU-T SG17 X.1500 Appendix I - X.1500(2011) Amendment 11, Overview of cybersecurity information exchange(cybex) Revised X.1541 - Incident object description exchange format version2 2017 2017 사이버위협정보공유포맷및프로토콜 X.1500 Appendix I - X.1500(2011) Amendment 7, Overview of cybersecurity information exchange(cybex) 2015 X.1525 - Common weakness scoring system 2015 ( 보안관리 / 보안평가 ) - (JTC1 SC27, CCRA) CCRA에서 2017년에개정한 CC 및 CEM은 ISO/IEC JTC1과협력하여 ISO/IEC 15408, ISO/IEC 18045로개정중이며, 기존의 ISO/IEC 15408 part1/2/3에 part4/5를추가하여확장 < 국제표준화현황 > 개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 ISO/IEC 15408-1, Evaluation criteria for IT security Part1: Introduction and general model(amendment) 진행중 (2020) ISO/IEC 15408-2, Evaluation criteria for IT security Part2: Security functional components(amendment) 진행중 (2020) ISO/IEC 15408-3, Evaluation criteria for IT security Part3: Security assurance components(amendment) 진행중 (2020) ISO/IEC 15408-4, Evaluation criteria for IT security - Part 4: Framework for the specification of evaluation methods and activities(amendment) 진행중 (2020) JTC1 SC27 ISO/IEC 15408-5, Evaluation criteria for IT security - Part 5: Pre-defined packages of security requirements(amendment) 진행중 (2020) IT 제품보안성평가기준 ISO/IEC 18045, Methodology for IT security evaluation(amendment) 진행중 (2020) TR 22216, Introductory guidance on Evaluation for IT security(amendment) 진행중 (2020) ISO/IEC 19896-1, Competence requirements for information security testers and evaluators 진행중 (2019) ISO/IEC 19896-3, Competence requirements for information security testers and evaluators-part 3: 진행중 (2019) 차세대보안 Ⅰ 차세대보안 329
개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 CCRA Knowledge, skills and effectiveness requirements for CC evaluators ISO/IEC 15446, Guide for the production of Protection Profiles and Security Targets(Amendment) Common Criteria for Information Technology Security Evaluation, Version 3.1, revision 5 Common Methodology for Information Technology Security Evaluation, Version 3.1, revision 5 collaborative Protection Profile for Network Devices v2.0 collaborative Protection Profile for Full Drive Encryption - Encryption Engine v2.0 collaborative Protection Profile for Full Drive Encryption Authorization Acquisition v2.0 collaborative Protection Profile for Stateful Traffic Filter Firewalls v1.0 진행중 (2019) 2017 2017 2017 2016 2016 2015 IT 제품보안성평가기준 ( 융합보안 ) 의료보안분야는 ISO TC 215 WG 4와 WG7을중심으로의료정보기술과의료기기에대한보안표준제 개정및신규표준안개발작업진행중이고, 제조보안분야는 IEC TC65 WG10에서미국 ISA 99 위원회와협업하여 IEC 62443 제조보안시스템시리즈를개발하였고, 새로운기술적용에대한제 개정작업을진행중 - (ISO TC215 WG4) 의료기기에대한위험분석과요구사항표준 (11633-1) 이개정완료되었고 IoT 의료기기에대한보안표준, PKI 응용등에대한표준제 개정및신규개발작업중 - (IEC TC65 WG10) 2018년 10월부산벡스코에서개최될표준회의에참가하여제조보안에대한국제표준화아이템발굴과인적네트워크확보계획중 < 국제표준화현황 > 개발기구표준 ( 안 ) 명개발연도관련중점표준화항목 ISO 25237, Health informatics - Pseudonymization 2017 ISO TC215 WG4/WG7 ISO 22696, Guidance for an identification and authentication framework of networked PHD ISO 27799, Health informatics - Information security management in health using ISO/IEC 27002 2017 2016 진료정보교류시보안표준모델, 의료기기안전및보안프레임워크 IEC TC65 WG10 IEC 62443-1, General Series 2017 IEC 62443-2, Policy & Procedure) Series 2017 IEC 62443-3, System Series 2017 IEC 62443-4, Component Series 2017 스마트공장기기상호보안인증기술, 중소기업용스마트공장보안관리기술 330 ICT 표준화전략맵 Ver.2019
2.6. 오픈소스현황및전망 OpenSSL - OpenSSL은암호화통신을위한대표적인오픈소스라이브러리로 TLS(Transport Layer Security) 및 SSL(Secure Sockets Layer) 에대한높은수준의툴킷및범용암호라이브러리를제공함. 1998년 12월 OpenSSL 프로젝트가공식적으로시작되었으며, 보안취약점보완등코드개선및업그레이드를진행하고있음. 현재 1.1.0 시리즈가배포되고있으며, 조만간국내개발블록암호 ARIA를포함하는 1.1.1 버전배포예정. 2006년오픈소스중최초로 1.0버전에대한 FIPS 140-2 검증을받았으며, 2016년 7월 OpenSSL 1.1에대한 FIPS 140-2 검증을시작 OWASP(The Open Web Application Security Project, OWASP) - OWASP는오픈소스웹애플리케이션보안프로젝트임. 웹에관한정보노출, 악성파일및스크립트, 보안취약점등을연구하며, 10대웹애플리케이션의취약점 (OWASP TOP 10) 을발표함. OWASP TOP 10은웹애플리케이션취약점중에서빈도가많이발생하고, 보안상영향을크게줄수있는것들 10가지를선정하여 2004년, 2007년, 2010년, 2013, 2017년을기준으로발표되었고, 문서를공개 기타오픈소스보안툴 오픈소스보안툴 Nmap OpenVAS OSSEC Security Onion Metasploit Framework Wireshark Kali Linux Nikto Moloch Bro IDS Snort OSQuery GRR 설명 가장널리알려진네트워크와포트를스캐닝하는툴임. Nmap은네트워크서비스에관한취약성, 잘못된구성및보안관련정보를탐지할수있는 NSE 스크립트를제공오픈소스취약점스캐닝툴로써, 웹기반의대쉬보드를통해보안취약점을관리가능 호스트기반의침입탐지시스템으로설치및구성이쉬우며, 누구나쉽게사용가능 네트워크보안모니터링툴로설치및구성이쉬움. 최소한의노력으로 APT를포함한네트워크기반의이상행위를탐지가능공격자의관점에서보안의수준을테스트할수있음. 침투테스트도구로익스플로잇과스캐닝그리고감사기능을포함트래픽을캡쳐하여분석할수있는기능을제공해주는오픈소스툴로다양한 OS 환경을지원 Back Track Linux 기반으로만들어졌으며, 데비안기반의보안테스트를위한리눅스용배포판 10년이넘은웹서버테스트툴, 알려진취약한스크립트, 구성실수및관련보안문제를찾기위해웹서버에서실행하기에적합패킷캡쳐분석툴로 pcap으로부터빠른검색이가능함. 캡쳐된패킷의디코딩을지원하며트래픽분석에유용한툴시그니처기반의전통적인 IDS의기능을넘어프로토콜을디코딩하고트래픽내에서의특이점을탐지가능실시간트래픽분석및패킷로깅도구로서전통적인 IDS와유사하게동작 Facebook Security Team에서시작한크로스플랫폼으로시스템에에이전트기반으로동작하면서이상행위와보안관련된이벤트를모니터링가능보안사고를신속하게대응하기위해 Google이제작한툴로, 파이썬에이전트와서버의조합을통해사고대응을원격에서수행가능 차세대보안 Ⅰ 차세대보안 331
Ⅲ. 국내외표준화추진전략 3.1. 표준화 SWOT 분석 국외환경요인 기회요인 (O) 위협요인 (T) 시장 기술 표준 시장 기술 표준 국내역량요인 -신규 ICT 환경에기반한범용 / 바이오인증서비스시장규모확장 - 웹2.0, 클라우드, 빅데이터등의활성화에따른개인정보보호에대한지속적수요 - 해킹기술의고도화등으로정보보호강화요구증가 -적용환경변화및취약요소증가에대응가능한새로운암호기술개발수요확대 -ISO/IEC JTC1, ITU-T 등국제표준화기구에서논의초기단계인양자암호표준화선도 - 다양한보안분야에서글로벌기업의독점우려 - 상호운용성확보및개발규모를이유로국내개발암호기술의제품적용기피 - 국가차원의보안원천기술확보경쟁심화 - 일부국가와기업에서보안핵심원천기술확보 - 북미, 유럽표준화단체중심의국제표준화추진 시장 기술 표준 강점요인 (S) -각종보안이슈대응을위해기업및기관의침해사고대응장비구매증가 -보안필요성에대한높은범사회적인식 시장 -국제경쟁력을갖춘범용및신규 ICT용암호기반기술기및인증응용기술다수확보술 - 침해사고대응체계구축및풍부한운용경험보유 -보안분야에서국내전문가의국제표준화기여도높음표 -국내및국제표준화경험을준토대로신규표준화활동용이 SO 전략 -( 시장 ) 범용 / 바이오인증등시장 확대예상분야에서기존인프라와 결합을통한선점효과극대화 -( 기술 ) 국내개발차세대암호ㆍ 인증기술을다양한신규 ICT 보안에 활용하여 응용 측면의 융합보안 기술확보 -( 표준 ) ISO/IEC, ITU-T에서 활동 중인국제표준전문가를활용한 국제표준화 추진, 양자암호 암호 안전성기준조기수립및국내표 준화를통한관련국제표준화주도 도출 ST전략 WT전략 -( 시장 ) 국내환경선적용을통해제품인지도와완성도를제고하여해외시장경쟁력확보 -( 기술 ) 신규 ICT 서비스중심의암호ㆍ인증원천기술및융합보안기술개발을통한국제경쟁력확보 -( 표준 ) 개발기술의적용경험을 바탕으로 도출된 다양한 Use Case를 기반으로 표준화 초기 단계에서주도권확보추진 약점요인 (W) - 세계시장대비국내보안시장규모협소 - 국내개발암호기술의제품적용사례미흡 - 차세대암호ㆍ인증기술, 정보보호관리체계구축등관련고급개발인력부족 -의료, 제조분야등융합보안분야에서보안기술적용미흡 -학계와 KISA, ETRI 등정부기관중심의표준화진행과산업체의참여미흡 -표준화전문인력부족으로다양한표준화기구를통한표준화추진이어려움 WO 전략 -( 시장 ) 정보보호관리체계조기구축을통한정보보호관리영역확대및클라우드, 빅데이터, 의료등의개인정보보호제품적용분야확대추진 -( 기술 ) 국내산업계의요구사항을반영한소요기술개발및제품즉기적용을통한제품경쟁력향상 -( 표준 ) 융합보안관련분과와협력하여보안기술적용표준 -( 시장 ) 국내산 학 연연계를통한기술개발및활용의선순환체계구축 -( 기술 ) 국책연구개발과제를통한 IPR 획득및이를통한기술및서비스제공 -( 표준 ) 활용성이담보된표준개발을통한산업계참여확대및산업계표준화소요조기대응 표준화추진상의문제점및현안사항 - 차세대보안원천기술의국내산업경쟁력이선진국대비격차가존재하나, 차세대암호기술, 바이오 - 인증기술등국제표준화에적극적인대응추진 - 최신비식별화기술은정보를압축하거나변형하여필요한경우복원할수있는기술이며, 제 4 차산업혁명에필요한국가적차원의최신비식별화기술확보및관련특허및 IPR 의선행적확보추진필요 332 ICT 표준화전략맵 Ver.2019
3.2. 중점표준화항목별국내외추진전략 ㅇ영역별특징및대응전략 - 차세대공략 : 미래핵심기술및유망서비스신규표준제안을통해표준화를선점할수있는분야 : 국제표준기획단계부터주도적참여를통해국제표준화선도기반확보 : 관련표준화기구에서의적극적인제안으로국내핵심기술의국제표준화를위한발판마련 - 선도경쟁공략 : 표준화경쟁이치열하지만국내역량이높아국제표준선도가가능한분야 : 국내기술의국제표준반영을위한관련표준화기구에서의적극적인표준화활동추진 - 추격 / 협력공략 : 국제표준화가활발히진행중인분야중국내진입시기가다소늦어졌지만타국가의표준화수준에도달하기위해후발주자로써추격하거나다각화된협력이필요한분야 : 국제공식및사실표준화기구, 포럼, 컨소시엄에서의다각적인대응방안모색 : 전략적대외협력강화및제휴를통한기술 / 표준의 Catch-up 전략추진 - 지속 / 확산공략 : 국제표준화가거의완료단계이나국내역량이높아후속 / 개정표준화에서의선도가예상되며, 표준기반서비스및시장확산에집중이필요한분야 : 높은국내역량을바탕으로한후속 / 개정표준화주도및추가적인틈새표준발굴을모색 : 표준기반킬러애플리케이션개발및서비스적용을통한표준활용촉진 - 전략적수용 : 국제표준화가거의완료된분야중국내역량은낮지만전략적으로수용이필요한분야 : 국제표준의수용및적용을통한국제호환성확보와국내시장확산 차세대보안 Ⅰ 차세대보안 333
( 지속 / 확산공략 후행 ) 암호알고리즘 국내 TTA 정보보호기반 PG 전략적중요도 / 국내역량 표준화기구 / 단체 국제 JTC1 SC27, IETF 국내참여업체 / 기관 NSR, ETRI, 삼성 SDS 기술개발단계 국내 국외 기초연구 실험 시작품 제품화 사업화 기초연구 실험 시작품 제품화 사업화 기술수준 90% ( 선도국가대비 ) 선도국가 / 기업 한국 /NSR, 일본 /NTT 벨기에 /COSIC, 싱가폴 / 난양대미국 /NSA, IBM, MS 표준화단계 국내 국제 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 표준수준 100% ( 선도국가대비 ) 선도국가 / 기업 미국 /NIST 일본 /Sony 벨기에 /COSIC - Trace Tracking : 차세대공략 (Ver.2018) 지속 / 확산공략 (Ver.2019) 암호알고리즘의경우국내확보기술 ( 블록암호 LEA, 해시함수 LSH, 형태보존암호 FEA) 과관련한국제표준이기제정되었거나신규제안이필요한상황에서, 현재미국등의자국암호기술위주표준화추세에대응하고관련개정 / 신규표준화과정에서의리더쉽을확보하기위해먼저암호기술활용성강화와국제협력추진이필요하다고판단되어, Ver.2019 에서는 지속 / 확산공략 항목으로분류 334 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안 국내표준화추진계획 표준특허전략 기술개발 - 표준화 -IPR 연계방안 < 현황 > - 암호알고리즘은주로 JTC1 SC27 을통해서표준화가추진되고있음. 경량블록암호분야에서는미국의 SIMON/SPECK 과한국의 LEA 를추가하기위한작업이진행중이며, 경량메시지인증코드분야의신규표준화가진행중임. 이와별도로 JTC1 SC27 에서는경량블록암호표준에두개의신규알고리즘에대한타당성을검토하고있으며, 형태보존암호의신규표준화필요성에대해검토중 - 산업계의기술수요에대응하여개발된암호알고리즘에대한선표준화후활용의추진체계를통해시장주도권을선점하기위한전략으로볼수있음 < 대응방안 > - ( 공식표준화대응전략 : 국제표준화기구신규과제제안 ) 현재 NSR 은 SC27 전문위원회와협력하여블록암호 LEA 의 JTC1 SC27 의경량블록암호표준 (29192-2) 에추가하는작업을진행중이며, 형태보존암호의표준화필요성을제기하고과제기획에주도적으로참여하고있음. 이러한일련의표준화작업을원활하게추진하기위해표준안의작성 (Editor 수임 ) 을비롯하여, 암호알고리즘표준화를진행하고있는타국과의협력체계구축 ( 상호지지등 ) 을통해국제표준선도를위한기반조성필요 < 현황 > -NSR은 신규 암호 알고리즘 LEA( 블록 암호 ), LSH( 해시 함수 ), FEA( 형태보존 암호 ) 를 개발하고 PG501을통해표준화를완료하였으며, 이들의국제표준화에앞서 KS 표준화를 RRA JTC1 SC27-Korea를통해진행중 -암호 알고리즘의 국제표준화를 위해서는 기술의 활용도가 중요한 판단 요소가 되기 때문에, 국내표준의제정과이를참조규격으로활용하는 KCMVP를통해기술활용성과 성숙도를강화하고표준화타당성을확보하는전략으로진행 < 추진계획 > - ( 원천기술 확보 ) 일부 실용화 가능한 암호기술을 제외하고 JTC1 SC27 WG2에서 추진하고 있는 주요 차세대 암호기술과 관련한 국내 대응기술은 확보되지 않은 상황이므로, 표준화가능한원천기술개발및확보가우선필요 - ( 표준화위원회 PG 활동 ) 기 확보 기술의 경우 정부와 학계, 기업과의 협력을 통해 기술 활용성 / 성숙도강화를위한다양한활동을추진하며, 이를위해 TTA PG501/503을통한표준화추진 - 표준및 R&D 중후기전략 : 특허풀대응을위한지분확대및권리유연성확보전략 -암호알고리즘규격의경우공개를통한학계의안전성검증이표준화에필수요소이므로 IP 확보가어려움. 이에, 제품개발에관련된특허확보전략추진 - 선기술개발후표준화 -표준화되지않은신규응용서비스선도를위한우수성능의암호기술을개발하고, 이를기반으로응용서비스에최적화된암호알고리즘구현기술에대한특허를확보함. 이와동시에신규서비스에서의시장선도및다양한응용서비스에서의상호운용성확보를위한암호기술규격의표준화를추진 차세대보안 Ⅰ 차세대보안 335
( 선도경쟁공략 병행 ) PKI 기반기기인증 국내 TTA 개인정보보호및 ID 관리, 블록체인보안 PG 전략적중요도 / 국내역량 표준화기구 / 단체 국제 IEEE 802, ITU-T SG17, CAMP 국내참여업체 / 기관 KISA, 한국도로공사, 한국정보인증, 펜타시큐리티 기술개발단계 국내 국외 기초연구 실험 시작품 제품화 사업화 기초연구 실험 시작품 제품화 사업화 기술수준 95% ( 선도국가대비 ) 선도국가 / 기업 미국 /NHTSA 유럽연합위원회 /Escrypt 표준화단계 국내 국제 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 표준수준 95% ( 선도국가대비 ) 선도국가 / 기업 미국 /NHTSA 유럽연합위원회 - Trace Tracking : 다각화협력 (Ver.2018) 선도경쟁공략 (Ver.2019) PKI 기기인증기술은 4 차산업혁명을사용되는다양한 IoT 기기들에대한사용이증가하고있고특히이러한기기들의안전하고신뢰성있는사용을위한기기인증의필요성이증대되고있음. IoT 기기중에서차량의자율주행을위한부분은사람의생명과즉결되어있고전세계적으로많은연구가진행중이있으며우리나라도세종시시범사업이후서울 / 제주의시범사업이진행예정이고정부에서도 2020 년 Level 3 상용화를위해다양한노력을진행하고있음, 따라서선도경쟁공략항목으로분류 336 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안 < 현황 > - 2016 년 IEEE 을통하여 V2X 관련표준이개정된후에미국은국토부를중심으로 3 개주에통한시범사업을진행중이고유럽의경우인증모델을정하고유럽전체에적용가능한인증정책등을개발중 < 대응방안 > -( 공식표준화대응전략 : 국제표준화기구활동 ( 적극대응 )) 다양한표준화활동에적극참여하여동향을파악하고이를한국에적용하고준비가필요 국내표준화추진계획 < 현황 > -KISA 와한국도로공사와같이차량용보안인증체계구축을위한컨설팅을진행하고있음 - 자율협력주행산업발전협의회는국토부장관과민간공동의장 4 명을비롯해자동차 인프라 정보통신등 160 여개유관기관소속 400 여명이참여하여자율주행산업생태계가조속히조성될수있도록협의회를통해데이터공유, 시험환경제공, 대 중소기업간네트워크행사를적극추진 < 추진계획 > -( 국내표준개발 ) 차량용인증기관에대한인증체계, 인증업무준칙, 시설및장비규정등에대해검토하여표준화추진예정 - ( 자율협력주행산업발전협의회 ) 자율협력주행을위한통신, 정밀지도, 보안분과를통하여표준화추진예정 표준특허전략 - 표준및 R&D 중후기전략 : 특허권리범위보완전략 - 자율협력주행산업발전협의회등을중심으로다양한 Use case 분석을통한특허권리범위보완추진 기술개발 - 표준화 -IPR 연계방안 - 표준화 - 기술개발병행추진 - 표준화가완료됨과동시에자율협력주행 (C-ITS) 산업에즉시활용될수있는기술들이많은분야임. 따라서기술개발과동시에표준화를병행추진함으로써기술의파급효과를높이며더많은부가가치를창출하는 IPR 을확보함 차세대보안 Ⅰ 차세대보안 337
( 선도경쟁공략 병행 ) FIDO 및응용기술 국내 FIDO 한국워킹그룹, TTA 정보보호기반 PG, 전략적중요도 / 국내역량 표준화기구 / 단체 국제 FIDO Alliance 국내참여업체 / 기관 삼성전자, BC 카드, 라온시큐어 ( 보드멤버사 ) ETRI 기술개발단계 국내 국외 선도국가 / 기업 기초연구 실험 시작품 제품화 사업화 기초연구 실험 시작품 제품화 사업화 기술수준 미국 /Google, Microsoft, Paypal 한국 / 삼성전자, BC 카드, 라온시큐어, ETRI 중국 /Lenovo 일본 /NTT DOCOMO, Line, Yahoo Japan 유럽 /Gemalto 100% ( 선도국가대비 ) 표준화단계 국내 국제 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 표준수준 90% ( 선도국가대비 ) 선도국가 / 기업 미국 /Google, Microsoft, NokNok - Trace Tracking : 적극공략 (Ver.2018) 선도경쟁공략 (Ver.2019) FIDO1.X 의개발및글로벌상용화가진행되고있으며올해부터 FIDO2 의상용화가시작됨. 2019 년부터는다양한업계로의상용화및확산이예상됨. 국내 FIDO 한국워킹그룹창설을계기로국내과제의국제표준채택추진등리더십을확보하기위해먼저 FIDO 기술활용성강화와선도적인표준화가필요하여, 선도경쟁공략 항목으로분류 338 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안 < 현황 > - FIDO Alliance 산하 FIDO한국워킹그룹이 2017년 12월 창설됨. 한국내에서의 FIDO 표준개발사항에대해서는 FIDO한국워킹그룹을통해 FIDO Alliance 보드에직접상정하고 있음. 일본 / 유럽 / 중국워킹그룹의경우, 보드에상정하기이전에 FIDO Alliance WG과의 사전조율 / 합의가필요 < 대응방안 > -( 사실표준화대응전략 : 사실표준화기구활동 ( 적극대응 )) 사실표준화기구인 FIDO Alliance 의장단및멤버로서적극적으로의견을개진하고, FIDO Alliance 산하 FIDO 한국워킹그룹주도로국내표준기술의국제표준화추진 국내표준화추진계획 < 현황 > - 한국FIDO산업포럼이 2016년부터 한국내 FIDO 에코시스템 구축에 많은 기여를 하고 있음. 또한, FIDO Alliance 산하기관인 FIDO한국워킹그룹과전략적협업추진중 < 추진계획 > -( 포럼중심 국내표준 추진 ) 한국FIDO산업포럼을 중심으로 정부와는 정책부문 협의를 하고, 산업체와는실제 FIDO 적용사례를중심으로국내표준화우선가능항목을도출 표준특허전략 - 표준및 R&D 중후기전략 : 특허권리범위보완전략 - FIDO 한국워킹그룹, 한국 FIDO 산업포럼회원사를중심으로다양한 Use case 분석을통한특허권리범위보완추진 기술개발 - 표준화 -IPR 연계방안 - 표준화 - 기술개발병행추진 - 산업에즉시활용되거나확장응용될수있는기술들이많은분야임. 표준화와기술개발을동시에병행추진하고이를통해효과적인국제표준화추진예정 차세대보안 Ⅰ 차세대보안 339
( 지속 / 확산공략 병행 ) 멀티팩터인증기술 국내 TTA 정보보호기반 PG, TTA 개인정보보호및 ID 관리, 블록체인보안 PG 전략적중요도 / 국내역량 표준화기구 / 단체 국제 ITU-T SG17, JTC1 SC27 국내참여업체 / 기관 ETRI, 삼성전자 기술개발단계 국내 국외 기초연구 실험 시작품 제품화 사업화 기초연구 실험 시작품 제품화 사업화 기술수준 90% ( 선도국가대비 ) 선도국가 / 기업 한국 /ETRI, 한국 CA 테크놀로지스미국 /IBM, Cisco, Microsoft, Amazon 표준화단계 국내 국제 선도국가 / 기업 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 미국 /IBM, Google, Microsoft 유럽 /INRIA, Gemalto 중국 /China Mobile, Alibaba 한국 /ETRI, 삼성 SDS 표준수준 90% ( 선도국가대비 ) - Trace Tracking : 지속 / 확산공략 (Ver.2019 신규 ) 영지식, 바이오메트릭, 익명인증등다양한인증요소기술을활용하는표준화뿐만아니라, FIDO 얼라이언스의유니버셜이중인증, 하이브리드인증또는스텝업인증으로개체의인증보증레벨을관리하는멀티팩터인증표준화가완료단계이고관련기술의사업화가지속적으로진행되어시장확산및추가적인표준화이슈가예상되므로, 본기술에포함되는멀티팩터인증기술에대해지속 / 확산공략항목으로분류 340 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안 국내표준화추진계획 표준특허전략 기술개발 - 표준화 -IPR 연계방안 < 현황 > -JTC1 SC27 은인증요소기술 ( 영지식 /blind 전자서명기반인증, 바이오메트릭기반인증, 속성기반익명비연결실체인증 ) 및객체인증보증프레임워크표준화추진중 -ITU-T SG17 은경량클라이언트 - 서버모델에서하이브리드인증및키관리메커니즘표준화를추진중이며, 객체인증보증프레임워크와접근하는자원별로상이한인증수준을적용하기위한스텝업인증프로토콜표준화추진중 - 다양한인증요소기술을활용하여객체의인증보증레벨을서비스요구수준에맞추거나증강하려는멀티팩터인증표준화가활발히진행되고있음 < 대응방안 > -( 공식표준화대응전략 : 국제표준화기구활동 ( 적극대응 )) ETRI에서에디터를맡고있는 JTC1 SC27를통해인증키관리메커니즘에대한표준화진행 -( 공식표준화대응전략 : 국제표준화기구활동 ( 적극대응 )) ETRI에서에디터를맡고있는 ITU-T SG17를통해클라이언트-서버모델에서하이브리드인증및키관리메커니즘에대한가이드라인 (Guideline on hybrid authentication and key management mechanisms model) 표준화진행 < 현황 > - TTA 정보보호기반 PG(PG501) 는차세대인증요소기술규격제정및패스워드와 ID기반서명을이용한멀티팩터인증표준화완료 - TTA 개인정보보호 /ID관리, 블록체인보안 PG(PG502) 개체인증에대한보증레벨, 신뢰승급이가능한인증등급을통해멀티팩터인증의강도를분류함. 또한 FIDO 표준의유니버셜이중인증 (U2F) 에대한표준화완료 < 추진계획 > -( 표준화위원회 PG 활동 ) PG501은멀티팩터인증에대한산업별수요에대응하기위해서바이오정보, 소지 ( 랜덤키 ) 정보, 지식 ( 패스워드 ) 정보등멀티팩터를이용한인증및키공유프로토콜에대한표준화추진예정 -( 표준화위원회 PG 활동 ) PG502는멀티팩터인증을통한객체인증레벨표준화추진예정 - 표준및 R&D 중후기전략 : 특허권리범위보완전략 -현재추진중인표준안은국가별의견이반영된다양한보안특성을제공해주는인증및키공유기술들을포함하고있으므로이에대응하는권리범위보완전략이필요함 - 표준화-기술개발병행추진 -표준화가완료됨과동시에산업현장에서기술이급속하게활용되고있는다양한인증기술과같이멀티팩터인증기술은산업에즉시활용될수있는기술들이많은분야임. 따라서기술개발과동시에표준화를병행추진함으로써기술의파급효과를높이며더많은부가가치를창출하는 IPR을확보함 차세대보안 Ⅰ 차세대보안 341
( 선도경쟁공략 병행 ) 바이오인식응용서비스 국내 TTA 바이오인식 PG, KBID 전략적중요도 / 국내역량 표준화기구 / 단체 국제 JTC1 SC27/SC37, ITU-T SG17, ABC 국내참여업체 / 기관 KISA, ETRI, 인하대, 충북대, 경인여대, 삼성전자, LG 전자, 슈프리마, 유니온커뮤니티 기술개발단계 국내 국외 선도국가 / 기업 기초연구 실험 시작품 제품화 사업화 기초연구 실험 시작품 제품화 사업화 한국 / 삼성전자, LG 전자미국 / 애플일본 /NEC 프랑스 /Sagem Morpho 기술수준 90% ( 선도국가대비 ) 표준화단계 국내 국제 선도국가 / 기업 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 한국 /KISA 미국 /NIST 영국 /NPL 중국 / 알리바바일본 /NTT 도코모 표준수준 90% ( 선도국가대비 ) - Trace Tracking : 적극공략 (Ver.2018) 선도경쟁공략 (Ver.2019) 모바일바이오인식기술, 바이오인식융합기술등의내용을포함하여헬스케어, 핀테크, 스마트카등다양한 IoT 환경분야에서비대면인증수단으로바이오인식국산기술을널리활용함에따라선도적인표준화가필요하며, 선도경쟁공략으로분류 342 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안 < 현황 > - ITU-T SG17 Q9(Telebiometrics) 와 ISO/IEC JTC1 SC37 간 Liaison officer 를한국 (KISA) 에서담당하고있으므로, 바이오인식분야공적표준화활동에주도적인역할을수행하는중 < 대응방안 > -( 공식표준화대응전략 : 국제표준화기구의장단수임 ) JTC1 SC37, ITU-T SG17 Q.9 에서관련표준의에디터쉽을확보하여 ISO/IEC 24745-1R1, 30106-1AMD1, 30106-4, ITU-T X.tac 등에대한국제표준화를진행중 국내표준화추진계획 < 현황 > -TTA PG505, KBID, KISA 표준연구회를중심으로활발히바이오인식분야국내표준및국제표준개발에박차를가하고있음 < 추진계획 > - ( 연구개발 표준화 연계 개발 ) KISA가 추진중인 IITP 텔레바이오인식기술 표준개발 과제의일환으로바이오인식시험기술, 텔레바이오인식응용기술등에관한표준개발을 추진중임 -( 국내 표준화 활동기반 마련 ) KISA 텔레바이오인식기술 표준연구회에서 산학연 전문가그룹과협력을통하여바이오인식응용서비스에대한국내표준화를추진중임 표준특허전략 - 표준초중기및 R&D 중후기전략 : 표준필수특허설계전략 -ISO/IEC JTC1 SC27 바이오정보보호기술, JTC1 SC37 바이오인식호환성시험기술, ITU-T SG17 텔레바이오인식기술에대한표준특허출원추진필요 기술개발 - 표준화 -IPR 연계방안 - 표준화 - 기술개발병행추진 -KISA 바이오인식표준적합성시험기술개발과병행하여 ISO/IEC JTC1 SC37 국제표준화추진예정 차세대보안 Ⅰ 차세대보안 343
( 선도경쟁공략 병행 ) 생체신호기반텔레바이오인증기술 국내 TTA 바이오인식 PG, KBID, 스마트의료정보포럼 전략적중요도 / 국내역량 표준화기구 / 단체 국제 ISO TC215, ITU-T SG17 국내참여업체 / 기관 KISA, 서울의과대학, 충북대, 리턴트루, 유파인스, 유니온커뮤니티, 삼성전자, LG 전자 기술개발단계 국내 국외 기초연구 실험 시작품 제품화 사업화 기초연구 실험 시작품 제품화 사업화 기술수준 95% ( 선도국가대비 ) 선도국가 / 기업 한국 / 삼성전자, LG 전자, KISA 미국 / 애플사, TI 사캐나다 /Bio-Nym 사 표준화단계 국내 국제 선도국가 / 기업 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 표준수준 한국 /KISA 미국 /Telebiometrics 민간연구소, TI 사스페인 /Carlos-III 마드리드대학교 100% ( 선도국가대비 ) - Trace Tracking : 차세대공략 (Ver.2018) 선도경쟁공략 (Ver.2019) Ver2019 에서는 KISA 에서생체신호를이용한텔레바이오인식인증기술개발및국내외표준화를선도적으로활발히추진함에따라, ITU-T SG17 국제표준 (X.tab) 을 2017 년도부터개발중으로향후 ISO TC215 와공동으로생체신호인증기반의헬스모니터링분석기술에대한국제표준화를선도하기위하여선도적공략이필요 344 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안 < 현황 > - ITU-T SG17 Q9(Telebiometrics) 에서 X.tab 국제표준화를선도적으로추진함에따라향후이를발전시켜헬스케어보안기술로 ISO TC215 와연계추진할필요가있음 - 미국 Telebiometrics 민간연구소, 스페인마드리드대학교등과공동연구를 KISA 가주도하여 ITU-T SG17 표준화를위한협력체계강화추진중 < 대응방안 > -( 공식표준화대응전략 : 국제표준화기구의장단수임 ) ITU-T SG17 Q9 에서관련표준의에디터쉽을확보하여 ITU-T X.tab 등에대한국제표준화를진행추진 국내표준화추진계획 < 현황 > -TTA PG505, KBID, KISA 표준연구회를중심으로생체신호기반텔레바이오인식분야에서국내표준및국제표준개발에박차를가하는중 < 추진계획 > - ( 연구개발표준화연계개발 ) KISA 가추진중인 IITP 심전도를이용한텔레바이오인식인증기술개발 국제공동연구일환으로스페인, 미국등과관련기술개발및국내표준화를병행하여추진중 -( 국내표준화활동기반마련 ) KISA 생체신호인증기술연구회에서산학연전문가그룹과협력을통하여바이오인식응용서비스에대한국내표준화를추진중 표준특허전략 - 표준및 R&D 초중기전략 : 표준화방향에따른출원및기고전략 - ITU-T SG17 X.tab 등생체신호인증기술과관련하여국제표준에대한표준특허출원중 기술개발 - 표준화 -IPR 연계방안 - 표준화 - 기술개발병행추진 -KISA 다중생체신호인증기술개발과병행하여한국, 미국, 중국지역에관련기술특허출원을추진중 차세대보안 Ⅰ 차세대보안 345
( 선도경쟁공략 병행 ) 능동형사이버보안침해정보수집및보존기술 국내 TTA 사이버보안 PG, TTA 응용보안 / 평가인증 PG 전략적중요도 / 국내역량 표준화기구 / 단체 국제 ITU-T SG17, JTC1 SC27, ETSI 국내참여업체 / 기관 ETRI, KISA 기술개발단계 국내 국외 기초연구 실험 시작품 제품화 사업화 기초연구 실험 시작품 제품화 사업화 기술수준 95% ( 선도국가대비 ) 선도국가 / 기업 미국 /IBM, FireEye 표준화단계 국내 국제 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 표준수준 90% ( 선도국가대비 ) 선도국가 / 기업 미국 /NIST - Trace Tracking : 선도경쟁공략 (Ver.2019 신규 ) 사이버공격에대한원인분석과능동적인사이버보안기술개발을위해사이버보안침해정보및위협정보를수집하고공유하기위한가이드라인, 프로토콜, 프레임워크등에대한표준화가 ITU-T SG17 및 ISO/IEC SC27, ETSI 등에서지속적으로진행되고있으며, 사이버보안침해정보수집및보존기술표준화에대한국내역량이높아국제표준선도가가능하여선도경쟁공략항목으로분류 346 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안 국내표준화추진계획 표준특허전략 기술개발 - 표준화 -IPR 연계방안 < 현황 > - 현재 ITU-T SG17 에서는사이버보안에대한정보공유프레임워크 (CYBEX) 의표준화가완료되었고, 사이버침해정보수집및보존을위한절차및가이드라인에대해서는 ISO/IEC SC27 에서표준화를진행하고있음. 또한 ETSI 에서는합법적감청에대한표준화를진행하는등사이버보안을위한침해정보수집및공유에있어서표준화의중요성이더욱높아지고있으나, 실질적으로수집된정보의신뢰성을보장하기위한도구및기술에대한표준화는미비한상황 < 대응방안 > -( 공식표준화 대응전략 : 국제표준화기구 활동 ( 적극대응 )) 2018년도에 ITU-T SG17에서 사이버보안침해정보수집및보존기술에대한신규과제가채택되었으며, 이에따라 2020년까지국내기술의국제표준반영을위해적극적인표준화활동이필요 -( 사실표준화 대응전략 : 사실표준화기구 활동 ( 협력대응 )) 2020년 이후부터는 ITU-T의 표준기술을기반으로 IETF, ISO/IEC 등다양한표준화기구를통한표준을확보하고, 다양한 네트워크 보안 업체 및 기관들의 국제표준화 그룹 참여를 유도함으로써 실용표준으로활용될수있도록하는전략을모색 < 현황 > -TTA PG503 을통해네트워크포렌식도구에대한데이터증거보존및분석을위한요구사항표준제정 -TTA PG504 에서는조직의공격노출점평가를위한자산상태정보교환포맷표준화가진행되었으며, 자산정보를보안전략에따라동적으로변화시켜보다적극적인사이버보안을제공하는사이버자가변이기술에대한요구사항표준화가진행중 < 추진계획 > - ( 연구개발 표준화 연계 개발 ) 보다 적극적인 능동적인 사이버보안을 위한 사이버 자가변이 기술 개발을 추진하고 이에 대한 요구사항, 가이드라인 등을 신규 표준화 아이템으로도출및세부항목에대한표준개발을적극적으로진행 - 표준및 R&D 중후기전략 : 특허권리범위보완전략 - 관련기술에대한특허분석을통해국제특허의효용가치를분석하여선별된국가에권리범위가보완된국제특허를출원예정 - 표준화 - 기술개발병행추진 - 사이버보안침해정보수집기술이시작품개발단계에있으며, 이에대한 IPR 확보를추진중에있음. 국제표준이개발단계에있으므로표준화과정에서국내주도로등록된 IPR 이반영되도록적극적활동및상호협력방안모색 차세대보안 Ⅰ 차세대보안 347
( 차세대공략 병행 ) 정보보호관리체계 국내 TTA 개인정보보호및 ID 관리, 블록체인보안 PG 전략적중요도 / 국내역량 표준화기구 / 단체 국제 ISO TC307, JTC1 SC27, ITU-T SG17 국내참여업체 / 기관 TCA 서비스, 금융보안원 기술개발단계 국내 국외 기초연구 실험 시작품 제품화 사업화 기초연구 실험 시작품 제품화 사업화 기술수준 80% ( 선도국가대비 ) 선도국가 / 기업 한국 /TCA 서비스미국 /IBM 독일 /Microsoft 표준화단계 국내 국제 선도국가 / 기업 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 한국 /TCA 서비스, 블로코미국 /IBM 독일 /Microsoft 표준수준 100% ( 선도국가대비 ) - Trace Tracking : 적극공략 (Ver.2018) 차세대공략 (Ver.2019) 전세계적으로블록체인기술을활용한응용시스템이도입되고있으며플랫폼및보안기술이개발되고있으나블록체인서비스를제공하는기관이안전하게서비스를운영하고있는지확인하기위한기준이존재하지않는실정임. 이에따라블록체인서비스제공기관및이용기관에게필요한정보보안관리통제를제공하고이에기초하여블록체인서비스제공기관에대한인증을부여하는제도가필요함. 국제표준제정에따른파급력이크며관련 SDO 에서의한국영향이높아차세대공략항목으로분류 348 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안 < 현황 > -ISO TC307 은 JTC1 SC27 WG5 와함께 JWG1 을구성하여블록체인보안관련표준을개발중 -JTC1 SC27 은 ISMS 관련각종지침과함께분야별정보보안관리통제표준을개발중 - ITU-T SG17 Q.14 역시블록체인보안표준을개발하고있음 < 대응방안 > -( 공식표준화대응전략 : 국제표준화기구의장단수임, 신규과제제안 ) 한국이라포처십을보유한 ITU-T 에서에디터로서블록체인보안관리지침개시, ISMS 인증기준및분야별인증요구사항표준을보유한 ISO/IEC JTC1 SC27 과공동개발추진, JGW 를구성하고있는 ISO TC307 과협력 국내표준화추진계획 < 현황 > - 분산원장기술표준포럼에서 블록체인 관련 기업 / 기관 / 학계가 참여하여 블록체인 용어, 활용사례, 참조아키텍처등포럼표준개발중 -TTA PG502를통해단체블록체인용어, 활용사례의표준화진행중 < 추진계획 > -( 포럼표준개발 ) 분산원장기술표준포럼에참여하고있는참여기업 / 기관 / 학계와함께포럼표준개발하고 TTA PG502 를통해단체표준화및국제표준과병행하여국가표준화진행 표준특허전략 - 표준및 R&D 초중기전략 : 표준화방향에따른출원및기고전략 - 블록체인운영조직의보안수준평가를위한위험평가방법론의특허추진 기술개발 - 표준화 -IPR 연계방안 - 표준화 - 기술개발병행추진 - 블록체인플랫폼표준및보안기술을기반으로서비스운영에필요한관리통제를도출, 관리체계수립을위한기술개발및특허출원으로연계 차세대보안 Ⅰ 차세대보안 349
( 전략적수용 병행 ) IT 제품보안성평가기준 국내 TTA 응용보안 / 평가인증 PG, 국가기술표준원 전략적중요도 / 국내역량 표준화기구 / 단체 국제 JTC1 SC27 WG3, CCRA, CCUF 국내참여업체 / 기관 NSR, KCCUF,( 주 ) 윈스,( 주 ) 안랩,( 주 ) 시큐아이 기술개발단계 국내 국외 선도국가 / 기업 기초연구 실험 시작품 제품화 사업화 기초연구 실험 시작품 제품화 사업화 한국 /( 주 ) 안랩,( 주 )HP 코리아미국 /Microsoft 독일 /Tuvit 프랑스 /Gelmato 기술수준 80% ( 선도국가대비 ) 표준화단계 국내 국제 선도국가 / 기업 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 한국 /NSR, ETRI, TTA 미국 /NIST, NIAP, Atsec 독일 /BIS 일본 /IPA, AIST 표준수준 90% ( 선도국가대비 ) - Trace Tracking : 적극공략 (Ver.2018) 전략적수용 (Ver.2019) 정보보호제품의국제적인신뢰성확보와국가통신망의정보보호수준제고및정보보호제품의경쟁력강화를위해법에근거를두고평가인증제도가운영되고있으나, 국내용과국제용으로이원화운영되고국제용인증수요가현격하게줄면서평가기술격차가발생함. 국제표준개정에전략적으로대응할필요가있으므로전략적수용항목으로분류 350 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안 국내표준화추진계획 표준특허전략 기술개발 - 표준화 -IPR 연계방안 < 현황 > -JTC1 SC27은 ISO/IEC 15408과 ISO/IEC 18045를 개정하고 전환가이드를 TR22216로 개발하는중임. 추가적으로평가기관의자격요건에대한기준과패치및배포보증에 대한기준개발중 -CCRA는 공통평가기준 (CC) 과 평가방법론 (CEM) 을 개정하고 ISO/IEC JTC1 SC27과 협력하여 국제표준인 ISO/IEC 15408( 보안성평가기준 ) 과 ISO/IEC 18045( 평가방법론 ) 의 개정을진행중 -CCRA는기술적인요구사항에대해 CCUF와협력하여 cpp와 cpp SD를개발하고있음. CCUF는글로벌벤더들이주도적으로참여중 < 대응방안 > -( 공식표준화대응전략 : 표준재개정추진, 국제표준화기구의장단수임 ) 한국이에디터로서 ISO/IEC 15408( 보안성평가기준 ) 과 ISO/IEC 18045( 평가방법론 ) 의개정추진 (2020 년까지 ) - ( 사실표준화대응전략 : 사실표준화기구활동 ( 적극대응 )) CCRA 의기술커뮤니티그룹 (itc) 에가입하여활동기반을마련하고 CCUF 활동에적극참여하여 cpp 의기술별보안요구사항의정확한이해및국내기술반영추진 < 현황 > -TTA PG504의 응용보안 / 평가인증에 PG5041 정보보안 평가 및 검증기술 실무반을 구성 (2018.5) 하여표준화중점추진 -NSR의 IT보안인증사무국은 CCRA의 CC와 CEM을한글화하여홈페이지에공지 -국내정보보호기업으로구성된 KCCUF는 CCUF 활동내역을공개 < 추진계획 > - ( 국제표준준용 ) ISO/IEC 15408, ISO/IEC 18045 등의표준의국내준용표준제정추진 - 평가관련기술은표준특허관련해당사항없음 - 표준화 - 기술개발병행추진 - 정책기관, 인증기관, 평가 / 시험기관, 산업체등협력을통한평가기술개발및국제회의및기술커뮤니티 (Technical Community) 참여를통해기술개발 차세대보안 Ⅰ 차세대보안 351
( 전략적수용 병행 ) 진료정보교류시보안표준모델 국내 TTA 바이오인식 PG, 스마트의료보안포럼 전략적중요도 / 국내역량 표준화기구 / 단체 국제 ISO TC215, ITU-T SG17 국내참여업체 / 기관 보건산업진흥원, 건강보험심사평가원, 사회보장정보원, 경북대, 건국대 국내 기초연구 실험 시작품 제품화 사업화 기술개발단계 국외 기초연구 실험 시작품 제품화 사업화 기술수준 80% ( 선도국가대비 ) 선도국가 / 기업 미국 /GE Healthcare 유럽 /Philips, Siemens 표준화단계 국내국제 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 표준수준 90% ( 선도국가대비 ) 선도국가 / 기업 미국 /GE Healthcare 유럽 /Philips, Siemens - Trace Tracking : 전략적수용 (Ver.2019 신규 ) 2016 년도부터의료기관에대한사이버위협및공격이빈발함에따라, 의료기관간상호진료정보교류에대한필요성과요구가증가함에따라, 한국주도로표준작성과더불어서관련된요소기술을파악하여특허화함으로써시장선점의기회를갖도록함 352 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안국내표준화추진계획표준특허전략기술개발 -표준화 -IPR 연계방안 < 현황 > -ISO TC 215 보건의료표준화위원회에서국제표준화작업을체계적으로잘진행하고있으며, 국내에서도관련분야전문가 20 인으로구성된전문위원회에서적극적으로참여하여표준화작업을진행중 - 보건의료분야국제표준화단체, 사실표준화단체, 선진각국에서관련기술표준화활동을정부와의료단체등을중심으로활발히전개하고있음에따라관련기관과의교류활동을통한협력체계구축필요 ( 미국 FDA, ONC, HL7, IHE 등 ) < 대응방안 > -( 공식표준화대응전략 : 국제표준화기구의장단수임및신규과제제안 ) 국내의료기관, 단체등과협업을통하여 ISO TC 215 WG 의장, 부의장, 프로젝트리더등을수임하여주도권확보와더불어관련신규표준적극제안 < 현황 > -의료보안 표준 관련해서 TTA PG 505 그룹과 스마트의료보안포럼, 건국대 등에서 국가표준, TTA 표준등제안하고있으며, 상호협업하여표준화기반을마련중 < 추진계획 > - ( 연구개발표준화연계개발 ) 정부에서추진하는 R&D 연구과제기획에의료보안관련과제를제안하여과제채택되도록하고, 관련기관간상호협업을통해연구과제를추진하면서, 국제표준화주제발굴 -( 표준확산추진 ) 관련기업과의료기관과의표준화안마련에참여를유도하여실제의료현장에서국제표준기술을활용할수있도록실증작업을병행추진 - 표준및 R&D 중후기전략 : 특허권리범위보완전략 - 표준화작업과정에서요구되는요소기술들을선제적으로발굴하여, 특허가능성을사전파악하고특허관련기관과공동작업추진 - 표준화 - 기술개발병행추진 - 초반부터의료분야에집중하고있고, 관심있는개발 제조 보안기업을참여토록하여, 표준작업과정에서파악되는기술요소들을발굴하고, 현장에서쓰임새있도록표준화추진 - 표준작업과정에서파악되는기술요소들의 IPR 추진가능성을조기에확인하고출원할수있도록사업진행과정에특허전문가참여유도 차세대보안 Ⅰ 차세대보안 353
( 전략적수용 병행 ) 의료기기안전및보안프레임워크 국내 TTA 바이오인식 PG, 스마트의료보안포럼 전략적중요도 / 국내역량 표준화기구 / 단체 국제 ISO TC215, ITU-T SG17, IEEE PHD WG 국내참여업체 / 기관 국가기술표준원, 식품의약품안전처, 의공협회, KISA, 경북대, 건국대 국내 기초연구 실험 시작품 제품화 사업화 기술개발단계 국외 기초연구 실험 시작품 제품화 사업화 기술수준 80% ( 선도국가대비 ) 선도국가 / 기업 미국 /GE Healthcare 유럽 /Philips, Siemens 표준화단계 국내국제 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 표준수준 90% ( 선도국가대비 ) 선도국가 / 기업 미국 /GE Healthcare 유럽 /Philips, Siemens - Trace Tracking : 전략적수용 (Ver.2019 신규 ) 2017 년초부터의료기기를대상으로한보안취약성과랜섬웨어공격이빈발함에따라, 의료기기간상호보안인증에대한국제표준초안을제안하여, 한국주도로표준안작성을적극추진하고있으며, 표준화과정에서관련된요소기술을우선적으로파악하여특허화함으로써시장선점의기회를갖도록함 354 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안국내표준화추진계획표준특허전략기술개발 -표준화 -IPR 연계방안 < 현황 > -ISO TC 215 보건의료표준화위원회에서국제표준화작업을체계적으로잘진행하고있으며, 국내에서도관련분야전문가 20 인으로구성된전문위원회에서적극적으로참여하여표준화작업을진행하고있음 - 보건의료분야국제표준화단체, 사실표준화단체, 선진각국에서관련기술표준화활동을정부와의료단체등을중심으로활발히전개하고있음에따라관련기관과의교류활동을통한협력체계구축필요 (IEEE, PHCA, FDA, HL7, IHE 등 ) < 대응방안 > -( 공식표준화대응전략 : 국제표준화기구의장단수임및신규과제제안 ) 국내의료기관, 단체등과협업을통하여 ISO TC 215 WG 의장, 부의장, 프로젝트리더등을수임하여주도권확보와더불어관련신규표준적극제안 < 현황 > - 의료기기보안표준관련해서 TTA PG 505 그룹과스마트의료보안포럼, 건국대등에서국가표준, TTA 표준등제안하고있으며, 상호협업하여표준화기반을마련하고있음 < 추진계획 > - ( 연구개발표준화연계개발 ) 정부에서추진하는 R&D 연구과제기획에의료기기보안관련과제를제안하여과제채택되도록하고, 관련기관간상호협업을통해연구과제를추진하면서, 국제표준화주제발굴 -( 표준확산추진 ) 관련기업과의료기관과의표준화안마련에참여를유도하여실제의료현장에서국제표준기술을활용할수있도록실증작업을병행추진 - 표준및 R&D 중후기전략 : 특허권리범위보완전략 -표준화작업과정에서요구되는요소기술들을선제적으로발굴하여, 특허가능성을사전파악하고특허관련기관과공동작업추진 - 표준화-기술개발병행추진 -초반부터의료분야에집중하고있고, 관심있는개발 제조 보안기업을참여토록하여, 표준작업과정에서파악되는기술요소들을발굴하고, 현장에서쓰임새있도록표준화추진 -표준작업과정에서파악되는기술요소들의 IPR 추진가능성을조기에확인하고출원할수있도록사업진행과정에특허전문가참여유도 차세대보안 Ⅰ 차세대보안 355
( 전략적수용 병행 ) 스마트공장기기상호보안인증기술 국내 TTA CPS PG, 사물인터넷융합포럼 전략적중요도 / 국내역량 표준화기구 / 단체 국제 IEC TC65 WG10, ISA 99 국내참여업체 / 기관 NSR, KISA, 순천향대, 건국대, NNSP, 온시큐리티 국내 기초연구 실험 시작품 제품화 사업화 기술개발단계 국외 기초연구 실험 시작품 제품화 사업화 기술수준 70% ( 선도국가대비 ) 선도국가 / 기업 미국 /GE, Rockwell 유럽 /Philips, Siemens, ABB 표준화단계 국내 국제 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 표준수준 70% ( 선도국가대비 ) 선도국가 / 기업 미국 /GE, Rockwell 유럽 /Philips, Siemens, ABB - Trace Tracking : 전략적수용 (Ver.2019 신규 ) 2017 년초부터유럽특히독일을중심으로스마트공장국제표준안을제안하여주도하고있으며, 미국이관련분야우월성을확보하기위해적극적으로나서고있으며, 한국이틈새분야에대한표준작성과더불어서관련된요소기술을파악하여특허화함으로써시장선점의기회를갖도록함 356 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안 < 현황 > - 미국 ISA 99 위원회주도로 ISA 62443 시리즈국제표준화가이루어지고있으며, 최근독일을중심으로유럽진영에서 RAMI 4.0 등국제표준화작업을적극추진하고있음. - 독일이유럽을근간으로스마트공장 제조분야중자동차 제조공장등에 ISO 26262 등국제표준을적용한제품 설비 부품등만을납품토록하고, 관련보안인증프로그램을마련하여추진하려고하고있으며, 미국도경쟁적으로나서고있음 < 대응방안 > -( 공식표준화대응전략 : 국제표준화기구활동 ( 협력대응 )) IEC TC 65 WG 10 보안그룹, 미국 ISA 99 보안그룹등에적극참여하여앞선표준화기술들을신속하게확보 국내표준화추진계획표준특허전략 < 현황 > -TTA CPS PG(PG 609) 에서제조보안관련표준을개발하고있으며, 산업제어시스템등을대상으로표준기반인증프로그램을적용코자추진중 < 추진계획 > - ( 연구개발표준화연계개발 ) 정부에서추진하는 R&D 연구과제기획에스마트공장 제조보안관련과제를제안하여과제채택되도록하고, 관련기관간상호협업을통해연구과제를추진하면서, 국제표준화주제발굴 -( 표준확산추진 ) 제조기업의표준화안마련에참여를유도하여실제기업현장에서국제표준기술을활용할수있도록실증작업을병행추진 - 표준및 R&D 중후기전략 : 특허권리범위보완전략 - 표준화작업과정에서요구되는요소기술들을선제적으로발굴하여, 특허가능성을사전파악하고특허관련기관과공동작업추진 기술개발 -표준화 -IPR 연계방안 - 표준화 - 기술개발병행추진 - 제조분야개발 생산기업과보안기업을공동참여토록하여, 표준작업과정에서파악되는기술요소들을발굴하고, 현장에서쓰임새있도록표준화추진 - 표준작업과정에서파악되는기술요소들의 IPR 추진가능성을조기에확인하고출원할수있도록사업진행과정에특허전문가참여유도 차세대보안 Ⅰ 차세대보안 357
( 전략적수용 병행 ) 중소기업용스마트공장보안관리기술 국내 TTA CPS PG, 사물인터넷융합포럼 전략적중요도 / 국내역량 표준화기구 / 단체 국제 IEC TC65 WG10, ISA 99 국내참여업체 / 기관 NSR, KISA, 순천향대, 건국대, NNSP, 온시큐리티 국내 기초연구 실험 시작품 제품화 사업화 기술개발단계 국외 기초연구 실험 시작품 제품화 사업화 기술수준 70% ( 선도국가대비 ) 선도국가 / 기업 미국 /GE, Rockwell 유럽 /Philips, Siemens, ABB 표준화단계 국내 국제 과제기획 과제승인 개발 검토 표준채택 과제기획 과제승인 개발 검토 표준채택 표준수준 70% ( 선도국가대비 ) 선도국가 / 기업 미국 /GE, Rockwell 유럽 /Philips, Siemens, ABB - Trace Tracking : 전략적수용 (Ver.2019 신규 ) 2017 년초부터유럽특히독일을중심으로스마트공장국제표준안을제안하여주도하고있으며, 미국이관련분야우월성을확보하기위해적극적으로나서고있으며, 한국이틈새분야에대한표준작성과더불어서관련된요소기술을파악하여특허화함으로써시장선점의기회를갖도록함 358 ICT 표준화전략맵 Ver.2019
< 국제표준화대응체계 > 국제표준화대응방안국내표준화추진계획표준특허전략 < 현황 > - 미국 ISA 99 위원회주도로 ISA 62443 시리즈국제표준화가이루어지고있으며, 최근독일을중심으로유럽진영에서 RAMI 4.0 등국제표준화작업을적극추진하고있음. - 독일이유럽을근간으로스마트공장 제조분야중자동차 제조공장등에 ISO 26262 등국제표준을적용한제품 설비 부품등만을납품토록하고, 관련보안인증프로그램을마련하여추진하려고하고있으며, 미국도경쟁적으로나서고있음 < 대응방안 > -( 공식표준화대응전략 : 국제표준화기구활동 ( 협력대응 )) IEC TC 65 WG 10 보안그룹, 미국 ISA 99 보안그룹등에적극참여하여앞선표준화기술들을신속하게확보 < 현황 > -TTA CPS PG(PG 609) 에서제조보안관련표준을개발하고있으며, 산업제어시스템등을대상으로표준기반인증프로그램을적용코자추진중 - 제조분야를포함한포괄적인 KISA 정보보호관리체계인증제도가적용중 < 추진계획 > - ( 연구개발표준화연계개발 ) 종소제조기업에서필수적으로적용해야할보안요소기술을우선적으로개발적용할수있도록추진 -( 표준확산추진 ) 중소제조기업의표준화안마련에참여를유도하여실제기업현장에서국제표준기술을활용할수있도록실증작업을병행추진 - 표준및 R&D 중후기전략 : 특허권리범위보완전략 - 표준화작업과정에서요구되는요소기술들을선제적으로발굴하여, 특허가능성을사전파악하고특허관련기관과공동작업추진 기술개발 -표준화 -IPR 연계방안 - 표준화 - 기술개발병행추진 - 제조분야개발 생산중소기업과보안기업을공동참여토록하여, 현장에서필수적으로적용해야만할요소기술을중심으로표준화추진 - 표준작업과정에서파악되는기술요소들의 IPR 추진가능성을조기에확인하고출원할수있도록사업진행과정에특허전문가참여유도 차세대보안 Ⅰ 차세대보안 359
3.3. 중기 (3 개년 ) 및장기 (10 개년 ) 표준화계획 중기 (2019~2021) 표준화계획 360 ICT 표준화전략맵 Ver.2019
차세대보안 Ⅰ 차세대보안 361
장기 (~2029) 표준화계획 362 ICT 표준화전략맵 Ver.2019
[ 작성위원 ] 구분소속성명직위국내외표준화활동 총괄 IITP 이재학 PM 과기정통부정보보호 CP 분과장 NSR 권대성센터장 JTC1 SC27 전문가 JTC1 SC27 전문위원, 국가표준 (KS) 정보보호기술심의회위원 위원 ETRI 김승현선임 TTA 개인정보보호 /ID 관리, 블록체인보안 (PG502) 위원 위원 KISA 김인섭책임 차세대보안표준화 위원 KISA 김재성수석 ITU-T SG17 에디터, JTC1 SC37 에디터 바이오인식 (PG505) 의장, 정보보호 (TC5) 위원 위원한국정보인증김재중상무 암호포럼, 사물인터넷융합포럼위원 위원 ETRI 김종현책임 위원 카카오모빌리티 위원 ETRI 나재훈실장 위원 국가보안기술연구소 (NSR) ITU-T SG17 에디터 TTA 사이버보안 (PG503) 부의장 김창오팀장 ITU-T SG17 Q3 에디터, ITU-T SG17 Q5 부라포쳐 ITU-T SG17 WP4 부의장, Q7/17 라포처 TTA 응용보안 / 평가인증 (PG504) 의장 박제홍선임 TTA PG501 부의장 위원 TCA 서비스오경희대표 위원윈스이수현팀장 JTC1 SC27 전문가, ITU-T SG17 Q14 라포처 표준회의위원, KS 정보기술기술심의회위원, SC27 전문위원등 JTC1 SC27 WG3 Co-Editor SC27 전문위원, TTA PG504/WG5041( 정보보안평가및검증 ) 위원 위원 ETRI 이주영책임 사이버보안프로젝트그룹 (PG503) 위원 위원슈프리마전동훈수석 TTA PG505 부의장 위원 ETRI 진승헌본부장 ITU-T SG17 위원 위원건국대한근희교수 ISO TC215 위원, 스마트헬스표준포럼위원, TTA PG505 위원 위원경인여대한승진교수 TTA PG505 간사 위원글로벌피디홍동표대표 FIDO 한국워킹그룹수석부회장 특허분석 KISTA 김병년선임 차세대보안특허분석 TTA PG 담당 TTA 박수정선임 TTA 개인정보보호 /ID 관리, 블록체인보안 PG(PG502) 담당 간사 TTA 오정엽선임 TTA 표준화전략맵차세대보안분야간사 차세대보안 Ⅰ 차세대보안 363
[ 참고문헌 ] 1. 정보통신용어사전, http://www.tta.or.kr 2. 정보통신표준화위원회, http://committee.tta.or.kr 3. Biometrics Research Group, Inc., http://www.biometricupdate.com/research, 2014 4. Korea association for Bioemtric IDentity security(kbid), http://kbid.or.kr, 2016 5. 김재성, 생체신호인증기술및표준화동향, TTA 저널, 2016.6 6. 개인정보보호가이드라인 의료기관편 (2015), 보건복지부 / 행정자치부 7. 개인정보보호가이드라인 사회복지시설편 (2013), 보건복지부 / 안전행정부 8. 개인정보보호가이드라인 약국편 (2013), 보건복지부 / 안전행정부 9. 보건의료정보가이드라인 보건복지부 / 한국보건산업진흥원 10. ISO/DIS 27799:2014(E), "Health informatics - Information security management in health using ISO/IEC 27002" 11. ISO/IEC 27001:2013, "information security management system" 12. ISO/IEC NP 27002:2013, "Code of practice for information security controls, https://www.iso.org/standard/75652.html?browse=tc 13. ISO/IEC PDTS 27008 Information technology -- Security techniques -- Guidelines for the assessment of information security controls, https://www.iso.org/standard/67397.html?browse=tc 14. ISO/IEC CD 27009 Information technology -- Security techniques -- Sector-specific application of ISO/IEC 27001 Requirements, https://www.iso.org/standard/73907.html?browse=tc 15. ISO/IEC CD 27552 Information technology -- Security techniques -- Enhancement to ISO/IEC 27001 for privacy management Requirements, https://www.iso.org/standard/71670.html?browse=tc 16. NIST, NISTIR 8197 Criticality Analysis Process Model: Prioritizing Systems and Components, https://csrc.nist.gov/publications/detail/nistir/8179/final 17. NIST, SP 800-171A Assessing Security Requirements for Controlled Unclassified Information, https://csrc.nist.gov/publications/detail/sp/800-171a/final 18. NIST, SP 800-171 Rev.1 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations, https://csrc.nist.gov/publications/detail/sp/800-171/rev-1/final 19. NIST 800-16 "Information Technology Security Training Requirements:A Role- and Performance-Based Model" 20. NIST 800-50 "Building an Information Technology Security Awareness and Training Program 21. 국가기술표준원, 2017 표준기반 R&D로드맵, 2017년 5월 22. 국가기술표준원, 스마트공장기술및표준화동향, 2015년 9월 23. FIDO Alliance, Universal Authentication Framework v1.1, 2017.2 24. W3C, Web Authentication: An API for accessing Public Key Credentials Level 1, 2018.3 364 ICT 표준화전략맵 Ver.2019
25. ISO/IEC PDAM 11770-4/AMD 1 Information technology Security techniques Key management Part 4: Key establishment mechanisms based on weak secrets Amendment 1 26. ITU-T X.hakm Guidelines on hybrid authentication and key management mechanisms in client-server model(draft Recommendation) 27. TTAK.KO-12.0313, 금융서비스에신뢰승급이가능한인증등급, 2017년 12월 28. ISO/IEC 29100:2011, Information Technology -- Security techniques Privacy Framework, 2011.12 29. NIST, De-identification of Personally Identifiable Information NSTR 8053, 2015.10 30. NIST, De-identification Government Datasets, 2016.12 31. ITU-T X.fdip, Framework of de-identification processing service for telecommunication server providers, TD-2997, 2016.08.29. 32. 한국산업인력공단, 정보보호관리 운영, 2017, http://ncs.go.kr 33. 김재성, 텔레바이오인식기반비대면인증기술표준화동향, 정보보호학회지, 제25권, 제4호, August, 2015. 34. 김재성, 생체인식시스템보안성평가및표준적합성시험기술, 인하대학교공학박사학위논문, August, 2005. 35. 박광석, 생체신호와개인인증, KISA 표준연구회연구보고서, December, 2014. 36. 박광석, 국내외생체신호개인식별기술분석및연구용 DB 구축, KISA 용역과제연구보고서, January, 2016. 37. 김재성, 바이오인식기술표준화현황및발전전망, TTA 저널, June, 2015. 38. 김재성, 모바일생체신호인증기술특허현황분석보고서, KISA 표준연구회연구보고서, December, 2015. 39. 과기정통부정보통신기술진흥센터, 스마트융합보안서비스를위한텔레바이오인식기술표준개발 2017년도연구보고서, 한국인터넷진흥원, March, 2018. 40. Jason Kim, Draft Recommendation of ITU-T SG17 X.1087 : A guideline to technical and operational countermeasures for telebiometric applications using mobile devices, March. 2017. 41. Jason Kim, Myung-Geun Chun, ISO/IEC DIS 17922 & Draft Recommendation of ITU-T SG17 X.1085 : Telebiometric authentication framework using biometric hardware security module, March. 2017. 42. Jason Kim, 3rd revised text of draft Recommendation for X.tab, Telebiometric Authentication using Biosignals, ITU-T SG17 Q.9, Match., 2018. 43. ISO/IEC FDIS 30107-1, Biometricss presentation attack detection-part1:framework, January. 2016. 44. ISO/IEC 24709-1R1, Conformance test for BioAPII -- Part 1: Test methods and procedures, December. 2017. 45. ISO/IEC DAM 30106-1AMD1, Object oriented BioAPI -- Part 1: Architecture-Amendment1: Additional specifications and conformance statements, January. 2018. 차세대보안 Ⅰ 차세대보안 365
[ 약어 ] BERC CBP CC CCRA CCUF CEM C-ITS cpp CTAP ETSI FIDO ICO ISMS itc KBID KCCUF KCMVP FIDO MTD NIST NSA OASIS OASIS CTI PSD2 PKI PIMS PIV QKD SAML SD STIX TAXII UKAN WAVE Biometric Engineering Research Center Customs and Border Protection Common Criteria Common Criteria Recognition Arrangement Common Criteria Users Forum Common Methodology for Information Technology Security Evaluation Cooperative-Intelligent Transport Systems collaborative Protection Profile Client to Authenticator Protocol European Telecommunications Standards Institute Fast IDentity On-line alliance Information Commissioner s Office Information Security Managemtent System international Technology Community Korea association for Biometric IDentity security Korea Common Criteria Users Forum Korea Cryptographic Module Validation Program Fast IDentity Online Moving Target Defense National Institute of Standards and Technology National Security Agency Organization for the Advancement of Structured Information Standards OASIS Cyber Threat Intelligence The Second Payment Services Directive Public Key Infrastructure Privacy Information Management System Personal Identity Verification Quantum Key Distribution Security Assertion Markup Language Supporting Document Structured Threat Information expression Trusted Automated exchange of Indicator Information UK Anonymisation Network Wireless Access for Vehicle Environment 366 ICT 표준화전략맵 Ver.2019