IP Phone/IP PBX 통합보호프로파일 V

IP Phone/IP PBX 통합보호프로파일 V0.9 2008. 11. 26

( 본면은양면인쇄를위해의도적으로비워놓은공란임 ) 2

Document History Version Date Comment - 2008. 7. 3 전문가위원회 1차회의검토의견반영 - TOE 범위결정 (IP Phone, IP PBX) 0.1 2008. 8. 20 PP 소개, 준수선언, 보안문제정의, 보안목적작성 0.2 2008. 9. 18 전문가위원회 2차회의검토의견반영 - PP 제목수정 ( VoIP 사용자를위한 삭제 ) - 사용자단말, IP 기반교환기용어를 IP Phone, IP PBX로수정함 - 운영환경일부수정함 - 중요데이터용어수정 - IP PBX의접근통제기능추가함 - 위협 T. 비정상적인패킷발송, TOE 보안목적 O. 비정상적인패킷차단 추가함 - 위협서술시 TOE 용어대신해당구성요소 (IP Phone, IP PBX) 을식별함 - 위협 T. 전송데이터무결성훼손 으로수정 - 가정사항 A. 상호운용성 추가함 0.3 보안기능요구사항, 보증요구사항작성 - 위협 T. 서비스거부공격, 보안목적 O. 서비스거부공격차단추가 - 보안목적 O. 정보흐름통제, O. 접근통제추가 0.4 2008. 11. 25 전문가위원회 3차회의검토의견반영 - 음성데이터 를 미디어데이터 로수정 - T. 서비스방해공격 삭제, T. 통신방해공격 으로 대신함 - 상호운용성 을 상호호환성 으로수정 - ( 그림 1) TOE 운영환경, ( 그림 2) TOE 보안기능수정 - FDP_IFC.1을 반복 오퍼레이션 적용하여 정보흐름통제와비정상적인패킷차단기능으로분리 - FDP_ACC.1, FDP_IFC.1의오퍼레이션수정 - FIA_SOS.1 삭제 0.9 2008. 11. 26 평가신청을위한버전변경 (V0.4 V0.9) 3

( 본면은양면인쇄를위해의도적으로비워놓은공란임 ) 4

목차 1 보호프로파일소개... 1 1.1 보호프로파일식별... 1 1.2 TOE 개요... 1 1.2.1 TOE 운영환경... 2 1.2.2 TOE 범위... 3 1.2.3 작성규칙... 4 1.2.4 용어정의... 5 1.2.5 보호프로파일구성... 10 2 준수선언... 11 2.1 공통평가기준준수... 11 2.2 보호프로파일준수... 11 2.3 패키지준수... 11 2.4 준수선언의이론적근거... 11 2.5 보호프로파일준수방법... 11 3 보안문제정의... 13 3.1 위협... 13 3.2 조직의보안정책... 14 3.3 가정사항... 15 4 보안목적... 16 4.1 TOE 보안목적... 16 4.2 운영환경에대한보안목적... 17 4.3 TOE 보안목적... 18 4.3.1 TOE 보안목적의이론적근거... 19 4.3.2 운영환경에대한보안목적의이론적근거... 20 5 보안요구사항... 21 5.1 보안기능요구사항... 22 5.1.1 보안감사... 24 5.1.2 암호지원... 26 5.1.3 사용자데이터보호... 27 5.1.4 식별및인증... 29 5.1.5 보안관리... 31 5.1.6 TSF 보호... 32 5.2 보증요구사항... 33 5.2.1 보안목표명세서... 34 5.2.2 개발... 38 5.2.3 설명서... 40 5.2.4 생명주기지원... 42 5

5.2.5 시험... 44 5.2.6 취약성평가... 46 5.3 보안요구사항의이론적근거... 47 5.3.1 보안기능요구사항의이론적근거... 47 5.3.2 보증요구사항의이론적근거... 52 5.4 종속관계에대한이론적근거... 53 5.4.1 보증기능요구사항의종속관계... 53 5.4.2 보증요구사항의종속관계... 54 6 보호프로파일응용시주의사항... 55 6

1 보호프로파일소개 VoIP 서비스는회선교환방식 (PSTN) 과는달리인터넷망의근간인 IP Network 에미디어데이터를패킷형태로전송하는서비스이다. VoIP 서비스는두통신실체간에전송중인호설정및미디어데이터를보호하기위해 IP Network 에안전한통신채널을구축할수있는장치를사용함으로써이루어진다. VoIP 서비스가정상적으로이루어지기위해서는 IP 기반네트워크인프라, 호처리및제어를담당하는서버, 게이트웨이, 사용자단말등의구성요소들이갖추어져있어야한다. VoIP 서비스제공자측면에서 IP 기반네트워크인프라, 호처리및제어를담당하는서버, 게이트웨이등의장비들을갖추어서비스를제공하고, VoIP 서비스사용자측면에서는기본적으로 IP Phone 을갖추어야하며일정규모이상의기관에서는호처리및제어를수행하는 IP PBX 를갖추어야한다. 본보호프로파일은 VoIP 서비스를이용하는사용자에게필요한제품인 IP Phone 과 IP PBX 에대한보안기능요구사항및보증요구사항을정의한다. 1.1 보호프로파일식별 제목 : IP Phone/IP PBX 통합보호프로파일보호프로파일버전 : V0.9 평가기준 : 정보보호시스템공통평가기준 ( 행정안전부고시제 2008-26 호 ) 공통평가기준버전 : V3.1 Revision 2 평가보증등급 : EAL3 작성자 : KISA, KOSYAS 인증기관 : KECS 등록번호 : 검증결과 : 주요단어 : VoIP, IP Phone, IP PBX, 접근통제, 정보흐름통제, 암호키생성 / 분배 / 파기 1.2 TOE 개요 TOE 는암호화된데이터를송 수신하는 IP Phone 과암호화된호처리및제어, 불법 Phone 에대한접근통제, IP Phone 관리기능을수행하는 IP PBX 로구성되어안전한 VoIP 서비스를제공하기위해보안을향상시킨 VoIP 보안시스템이다. IP Phone 은인터넷전화서비스를위한것으로상대 Phone 과실시간 쌍방간통신채널을연결하게되며음성전화기능뿐만아니라데이터및화상서비스를제공할수있으며, 또한 IP PBX 와연동하여다양한서비스를제공받을수있는가입자전화기를말한다. IP Phone 의형태로는유 / 무선단말, 소프트폰, USB 폰등이있으나, 본보호프로파일에서는유선단말을 TOE 범위로한다. IP Phone 은소프트웨어또는하드웨어형태로구현될수있다.

IP PBX 는호처리및제어기능, 불법 Phone 에대한접근통제, IP Phone 관리기능외에도통신과관련한다양한부가서비스를제공할수있으며, 소프트웨어또는하드웨어형태로구현될수있다. TOE 는암호화된데이터를송 수신하는 IP Phone 과암호화된호처리및제어를수행하는 IP PBX 구성요소로구성된다. 1.2.1 TOE 운영환경 TOE 는 IP Phone 간안전한통신을위해암호화된호설정데이터및미디어데이터를송 수신하며, IP Phone 간통신시호처리및제어, 불법 Phone 에대한접근통제, IP Phone 에대한인증및관리기능, 감사데이터생성및조회등의보안감사기능을수행한다. IP Phone 은 IP Network 기반 VoIP 서비스를이용하여외부의 IP Phone 과통신할수있으며, 또한회선교환방식의일반전화기와도통신할수있다. 이러한 VoIP 서비스를이용하기위해서는 VoIP 서비스통신사업자측에서추가적인구성요소들을제공하게된다. VoIP 서비스를안전하게이용하기위해서는 TOE 운영환경내에외부망과의연결지점에침입차단시스템을설치하여논리적또는물리적으로 VoIP 서비스망과데이터망을분리하고, 스위칭환경의네트워크를구성하며, DHCP 서버등을이용하여 IP Phone 에사설 IP 를할당하여운영함으로써운영환경에대한보안을향상시킬수있다. 그리고논리적또는물리적으로분리된 VoIP 서비스망에 IP Phone 과 IP PBX 를설치함으로써사용자는안전한 VoIP 서비스를이용할수있는환경이된다. TOE 가설치되어운영되는환경은아래 ( 그림 1) 과같다. ( 그림 1) TOE 운영환경 2

1.2.2 TOE 범위 TOE 는호설정데이터및미디어데이터에대한데이터보호기능, 단말에대한인증및접근통제기능, 사용자및관리자에대한식별및인증기능, 보안감사, 보안관리기능등이구현되어야한다. TOE 는아래 ( 그림 2) 와같이 IP Phone 과 IP PBX 의보안을향상시키기위한보안기능을제공한다. 식별및인증 보안관리 식별및인증 보안관리 보안감사 전송데이터보호 호설정데이터 전송데이터보호 접근통제 저장데이터보호 호설정데이터 음성데이터 IP Phone ( 그림 2) TOE 보안기능 IP Phone 은다음과같은보안기능을제공한다. 식별및인증기능은 IP Phone 을사용하는관리자를식별및인증하는것으로인가된관리자만이 IP Phone 의보안기능을관리할수있다. 보안관리기능은 IP Phone 의사용자또는관리자계정정보를포함한 TSF 데이터를관리할수있다. 전송데이터보호기능은 IP Phone 과 IP PBX 간전송되는호설정데이터와 IP Phone 과상대 IP Phone 간전송되는미디어데이터가공격자에게노출되는것을방지하기위하여암호화및무결성을제공한다. 또한 IP PBX 로부터 IP Phone 관리를위한데이터전송시암호화를제공한다. IP PBX 는다음과같은보안기능을제공한다. 식별및인증기능은 IP PBX를관리할수있는관리자를식별및인증하는것으로인가된관리자만이 IP PBX를관리할수있다. 또한, IP Phone에대한인증기능을제공하여인가된 IP Phone에대해서만통신을허용한다. 3

보안관리기능은 IP PBX 의관리자계정, IP Phone 정보등을포함한 TSF 데이터, 보안속성, 보안기능등을관리할수있다. 보안감사기능은 IP PBX 의보안과관련된행동에대한책임을추적하기위해보안관련사건, IP Phone 에대한통화내역등기록을저장및유지하고저장된로그를검토한다. 또한감사된사건에대한잠재적보안위반을탐지하고대응행동을수행한다. 접근통제기능은특정단말에대한호설정요청시단말의보안속성값을이용하여접근을차단하는기능을제공한다. 전송데이터보호기능은 IP Phone 과 IP PBX 간전송되는호설정데이터를송 수신할때공격자에게노출되는것을방지하기위하여송 수신되는데이터에대하여암호화및무결성을제공한다. 또한 IP Phone 관리를위한데이터전송시암호화를제공한다. 저장데이터보호기능은 TSF 실행코드및데이터에대해외부의불법적인노출및변경으로부터보호하기위하여암호화및무결성을제공한다. 1.2.3 작성규칙 본보호프로파일은일부약어및명확한의미전달을위해영어를혼용한다. 사용된표기법, 형태, 작성규칙은정보보호시스템공통평가기준 ( 이하 공통평가기준 이라한다 ) 을따른다. 공통평가기준은보안기능요구사항에서수행될수있는반복, 선택, 정교화, 할당, 추가작성자에의한결정오퍼레이션을허용한다. 각오퍼레이션은본보호프로파일에서사용된다. 반복 다양한오퍼레이션에서같은컴포넌트가반복될경우사용된다. 반복오퍼레이션의결과는컴포넌트식별자뒤에괄호안의반복번호, 즉, ( 반복번호 ) 로표시된다. 선택 요구사항서술시정보보호시스템공통평가기준에서제공되는선택사항중하나이상을선택하는데사용된다. 선택오퍼레이션의결과는밑줄그은이탤릭체으로표시된다. 정교화 요구사항에상세사항을추가함으로써요구사항을더욱제한하는데사용된다. 정교화오퍼레이션의결과는, 굵은글씨로표시된다. 할당 명세되지않은매개변수에특정값을할당하는데사용된다 ( 예 : 패스워드길이 ). 할당오퍼레이션의결과는대괄호, 즉, [ 할당 _ 값 ] 으로표시된다. 4

추가작성자에의한결정 보호프로파일의요구사항외에추가적인사항을서술할때사용된다. 추가작성자에의한결정의결과는중괄호, 즉, { 결정값 } 으로표시된다. 요구사항의의미를명확히하고, 구현시선택사항에대한정보를제공하며, 요구사항에대한 적합 / 부적합 기준을정의하기위해응용시주의사항이제공된다. 응용시주의사항은필요한경우해당요구사항과함께제공된다. 1.2.4 용어정의 본보호프로파일에사용된용어중공통평가기준에사용된용어와동일한것은공통평가기준을따른다. 객체 (Object) 주체의오퍼레이션대상이며정보를포함하거나수신하는 TSC(TSF 통제범위 ) 내의실체로써응용프로그램또는파일임 게이트키퍼 (gate keeper) 인터넷전화서비스를제공할때사용되는제어용서버. ITU-T 권고 H.323 에규정된기능의하나로서전화번호와 IP 주소에의대응등을관리 운용한다. 전화기로부터호 ( 呼 ) 를수신한 H.323 단말이나 VoIP 게이트웨이장치는입력된상대방전화번호를근거로게이트키퍼에접속지 VoIP 게이트웨이나 H.323 단말의 IP 주소를조회한다. 게이트웨이 (Gateway) 넓은의미로는 2 개이상의다른종류또는같은종류의통신망을상호접속하여통신망간정보를주고받을수있게하는기능단위또는장치. 통신망에는구내정보통신망 (LAN), 공중데이터망 (PDN), 일반전화교환망 (PSTN) 등이포함된다. 좁은의미로는 OSI 기본참조모델의각계층에서프로토콜이달라호환성이없는복수의통신망을상호접속하여프로토콜의변환을행하는기능단위또는장치. 통신프로토콜이같거나유사한통신망을상호접속하여정보를주고받는브리지와는달리, 게이트웨이는프로토콜이다른복수의통신망간에프로토콜을변환하여정보를주고받는다. 보안목표명세서 (ST, Security Target) 식별된 TOE 의평가를위한근거로사용되는보안요구사항과구현명세의집합 보호프로파일 (PP, Protection Profile) TOE 범주를위한특정소비자의요구에부합하는구현에독립적인보안요구사항의집합 사설교환기 (PBX, Private Branch exchange) 5

기업이나구내의전화, 팩스등내부통신서비스를제공하는구내교환기의총칭. 자동식을별도로 PABX(Private Automatic Branch exchange) 라구분하는경우에는수동식만을지칭한다. 사용자 (User) TOE 와상호동작하는사람, 상대모바일단말간또는응용프로그램 신원 (Identity) 인가된사용자를식별하는유일한표현. 그사용자의본명이나, 약칭혹은가명일수있음 세션개시프로토콜 (SIP, Session Initiation Protocol) 인터넷상에서통신하고자하는지능형단말들이서로를식별하여그위치를찾고, 그들상호간에멀티미디어통신세션을생성하거나삭제변경하기위한절차를명시한응용계층의시그널링프로토콜. 인터넷기반회의, 전화, 음성메일, 이벤트통지, 인스턴트메시징등멀티미디어서비스세션의생성과수정, 종료를제어하는 request/response 구조로서 TCP 와 UDP 에모두사용할수있으며, 각사용자들을구분하기위해이메일주소와비슷한 SIP URL 을사용함으로서 IP 주소에종속되지않고서비스를제공받는다. HTTP 와 SMTP 의많은부분을그대로사용하여개발된텍스트기반이므로구현이용이하며, 인터넷에서사용되는다른많은프로토콜과결합하여다양한서비스들을만들수있는유연성과확장성이있다. ITU-T 의 H.323 에대응되는보다간편한프로토콜로서 1999 년에 IETF MMUSIC (Multiparty Multimedia Session Control) 워킹그룹에의해 RFC 2543 으로제안된이후별도로분리된 ITEF SIP 워킹그룹에서개정작업을진행하여 2002 년 7 월 RFC3261 표준이제정되었다. 인터넷전화 인터넷을통한개인용컴퓨터 (PC) 사용자상호간의실시간음성대화. PC 에마이크나스피커를연결하고인터넷전화용소프트웨어를장착하여전화와같이통화할수있다. 인터넷전화는전화라기보다는음성교환방식의채트 (chat) 라고하는것이정확한표현이다. 인터넷전화용소프트웨어로는미국보컬테크 (VocalTec) 사의인터넷폰 (InternetPHONE), 프리텔 (FreeTel) 사의프리텔 +(FreeTel+) 등이유명하다. 인터넷을요금이저렴한장거리전화망과같이사용하는디지폰 (Digiphone) 이라는소프트웨어도있다. 인터넷전화용소프트웨어는여러가지판을구입할수도있고웹서버로부터무료판을내려받을수도있다. 넷스케이프커뮤니케이션즈사는자사의웹브라우저인넷스케이프 3.0 에쿨토크 (CoolTalk) 라는전화기능을내장하고있고마이크로소프트사는자사의웹브라우저인인터넷익스플로러 3.0 에넷미팅 (NetMeeting) 이라는인터넷전화소프트웨어를탑재하고있다. 인터넷전화용소프트웨어는회사별로달라서서로같은소프트웨어가아니면통화할수없다. 인터넷의기술표준을다루는인터넷엔지니어링태스크포스 (IETF) 에서표준규격을검토하고있다. 인터넷전화의품질은회선용량에따라서다르지만전화에비해품질이낮다. 인터넷전화사용자는인터넷정보제공자 (ISP) 의서버에접속하는시내전화요금과접속료만지불하고장거리나국제통화를할수있으므로인터넷전화가전화사업자의수익을위협하는존재가될것을경계하고있다. 국내에서는 PC 사용자간의인터넷전화또는일반전화간, 국제전화간의인터넷전화가통화되고있다. 6

엘리먼트 (Element) 분할할수없는보안요구의최소단위 오퍼레이션 (Operation) 컴퓨터명령어나의사명령어에의해규정된연산또는작동 외부실체 (External IT Entity) TOE 외부에서 TOE 와상호작용하는실체 ( 사람또는 IT) 위협원 (Threat Agent) 자산에불법적인접근, 변경, 삭제등위협을일으키는인가되지않은사용자또는외부 IT 실체 인증데이터 (Authentication Data) 사용자의신원을증명하기위해사용되는정보 인터넷텔레포니 (VoIP, Voice Over Internet Protocol) 인터넷텔레포니의핵심기술로서지금까지 PSTN 네트워크를통해이루어졌던음성서비스를 IP(Internet Protocol) 기술을사용하여제공하는것. 음성이디지털화되고, 전달체계로 IP 를이용함으로써전화는물론인터넷팩스, 웹콜, 통합메시지처리등의향상된인터넷텔레포니서비스가가능하게된다. VoIP 기술은인터넷뿐만아니라사설 IP 기반망, 공중전화망 (PSTN) 또는이들의복합망에서도연동되어야하기때문에기술및프로토콜의표준화가중요하다. 핵심기술로는 ITU-T 에서개발한 H.323 기반기술과 IETF 에서개발하는 SIP 기반기술, 그리고 ITU-T 와 IETF 가공동으로개발하여차세대 VoIP 게이트웨이시장을주도할 MEGACO(Media Gateway Control) 기반기술등이있다. H.323 은영상회의시스템등에사용되는멀티미디어통신서비스를위한구성기능요소, 기능, 프로토콜및절차등에관한표준이다. 구성요소는단말장치 (End Point), 게이트웨이, 게이트키퍼, MCU(Multipoint Control Unit), MP(Multipoint Processor), MC(Multipoint Controller) 등이있다. SIP(Session Initiation Protocol) 는 1999 년에 IETF 의공식표준으로채택되면서현재여러분야의인터넷응용서비스를위한콜시그널링프로토콜로널리사용되고있다. MEGACO/H.248 은전화망을비롯한다양한망에접속하여멀티미디어서비스를제공할때요구되는미디어게이트웨이를제어하는프로토콜로서 IETF 또는 ETSI, MSF(Multiservice Switching Forum), ITU-T SG16 에서공동으로표준화하였다. VoIP 시장이활성화되면서사업자들이 H.323 보다기능이다양한 SIP 기반으로인프라환경을고도화하고있다. 자산 (Assets) TOE 의보안대책으로보호되는정보및자원 조직의보안정책 (Organizational Security Policies) 조직에의해운영에부여된하나이상의보안규칙, 절차, 관행, 지침등 7

종속관계 (Dependency) 임의의요구사항의목적을만족하기위하여종속되는요구사항이만족되어야하는요구사항간의관계 주체 (Subject) 객체에대한오퍼레이션을수행하는 TOE 내의능동적인실체 컴포넌트 (Component) 엘리먼트의집합으로서요구사항의기초를형성하는데사용될수가장작은선택단위 클래스 (Class) 같은보안목적을가지는공통평가기준패밀리의모음 통신사업자 (Common carrier) 통신분야에서타인의수용에응하여대가를받고사람또는물품을운송하는사업자. 통신설비를설치, 운용하여그설비에의해서비스를제공하는것을본업으로하는사업자와다른공중통신사업자로부터조달한전송시설에의하여통신서비스를재판매하는형식으로제공하는사업자 ( 부가가치통신사업자, VAC) 가있다. 평가대상 (TOE, Target of Evaluation) 가능한설명서가수반되는소프트웨어, 펌웨어및 / 또는하드웨어집합 평가보증등급 (EAL) 공통평가기준에서미리정의한보증수준을가지는 3 부의보증컴포넌트로구성된패키지 확장 (Extension) 공통평가기준 2 부, 3 부에포함되지않은보안기능요구사항, 보증요구사항을보호프로파일, 보안목표명세서에추가하는것 호설정 (call set up) 데이터교환망의발신단말이필요로하는주소 ID, 네트워크를통한경로선택및수신단말에연결허용등을포함한 2 개단말간의통신회선설정처리. 어떤데이터단말장치 (DTE) 가 ID 신호를송출해서네트워크를경유, 수신단말 ( 피호단말 ) 에연결이완료되는일련의과정을말한다. H.323 서비스품질이보증되지않은구내정보통신망 (LAN) 상에서의음성 / 동화상 / 데이터통신의단말규정. 1996 년에 ITU-T 가권고하였으며대응통신망은이더넷, 100M 이더넷, 광섬유분산데이터인터페이스 (FDDI), 토큰고리형망이다. 파일전송, 백판 (white board) 등의데이터공유를위한채널도규정하고있으며인터넷전화서비스나제품에널리채용되어있다. 동화상부호화방식으로는 H.261 과 H.263 을 8

채용하고있으며음성부호화방식으로는 G.711, G.722, G.723.1, G.728, G.729 및 MPEG-1 오디오등이있다. IP PBX(Intenet Protocol Private Branch exchange) IP 네트워크내에서, IP Phone 간의회선교환을수행하는장치또는소프트웨어이다. 회사등의조직내 LAN 에있어서, IP 전화에의한내선전화망을구현할목적으로사용된다. 보통공중전화망 ( 외선망 ) 과 IP 전화에의한내선망사이의중계도 IP PBX 가수행한다. 전용하드웨어에의해회선교환을하는것과, 범용서버로소프트웨어로서회선교환을하는것의 2 종류가있다. 기존의조직내내선전화망은전용전화선과회선교환장치 (PBX) 를이용해서구축되었다. IP-PBX 를이용한내선전화망은컴퓨터의 IP 네트워크 (LAN) 을이용하여전용전화선을배선할필요없이내선전화망을구축할수있다. 내선전화망과컴퓨터네트워크가통합가능하게되므로, 운용비용을삭감할수있고, 전화를컴퓨터에녹음할수있는등전화와컴퓨터를연계시켜서사용할수있는장점이있다. IP-PBX 는지사등멀리떨어진지역의사내 LAN 내의내선망도 IP 네트워크를통해관리할수가있다는점도큰특징중하나이다. 기존의내선망으로는 PBX 를하나의내선전화망마다설치할필요가있었으나, IP-PBX 는각거점의내선전화를한대로집중관리할수있다. IP Phone(Internet Protocol Phone) 전화망과같은회선교환망대신에인터넷과 LAN 같은데이터패킷망을통하여음성통화를하는것. 단말기로서는별도의전화기형태로제작되는 IP 전화기 ( 펌폰 ) 와컴퓨터의내부기능으로실현되는소프트웨어전화기 ( 소프트폰 ) 등이대표적이며, 사설교환기 (PABX) 를 IP PBX 화하여기존의전화기를그대로사용할수있도록하는경우도있다. IP 전화기는 LAN, DSL 등패킷네트워크와연결되는물리적인터페이스를지니며, 사용자의음성을디지털및패킷형태로저장한후적절한 IP 전화신호를만든다. TOE 보안기능성 (TSF, TOE Security Functionality) SFR 들의정확한수행에기여하는 TOE 의모든하드웨어, 소프트웨어, 펌웨어로구성된집합 PSTN(public switched telephone network) 회선교환망은세계의회선교환전화망들이얽혀있는전화망으로세계의공공 IP 기반패킷교환망인인터넷과방식이매우닮아있다. 원래고정전화의아날로그전화망이었던 PSTN 은이제거의완전히디지털이되었으며현재고정전화뿐아니라휴대전화를아우른다. PSTN 은거의 ITU-T 가만든기술표준으로관리를받으며 addressing 을위해 E.163/E.164 주소를사용한다. TSF 데이터 (TSF Data) TOE 의오퍼레이션에영향을줄수있는, TOE 에의해서 TOE 를위하여생성된데이터 VoIP 게이트웨이 (Voice over IP Gateway) 전화망과 IP 망을접속하는게이트웨이. IP 전화이용자와가입전화이용자 ( 가입자 ) 가 9

상호통화할수있도록하기위해양쪽의통신망을접속한다. VoIP 게이트웨이에는통신사업자용과일반기업용장치가있는데, 통신사업자용장치에서는일반적으로가입전화망과접속되지만공통선신호망과접속할수있는기능을가진제품도있다. 반면일반기업용장치에서는사설구내교환기 (PBX) 와구내정보통신망 (LAN) 을접속한다. 음성부호화방식으로는 ITU-T 권고 G.729 나 G.723.1 을채용한제품이많다. 또전화번호와 IP 주소변환에는게이트키퍼 (gate keeper) 를이용한제품도있다. 1.2.5 보호프로파일구성 1 장은보호프로파일소개로보호프로파일참조및 TOE 개요정보를제공한다. 2 장은준수선언으로공통평가기준, 보호프로파일, 패키지에대한준수를선언하고준수선언의이론적근거및보호프로파일준수방법에대해서술한다. 3 장은보안문제정의로 TOE 및 TOE 운영환경에서의보안문제를위협, 조직의보안정책, 가정사항의관점으로서술한다. 4 장은보안목적으로보안문제정의에서식별된위협에대응하고, 조직의보안정책및가정사항을지원하기위한 TOE 에대한보안목적및운영환경에대한보안목적을서술한다. 5 장은확장컴포넌트정의로본보호프로파일에서서술되는컴포넌트중공통평가기준 2 부나 3 부에포함되지않은새로운컴포넌트를정의한다. 6 장은보안요구사항으로보안목적을만족시키기위한보안기능요구사항및보증요구사항을서술한다. 7 장은보호프로파일응용시주의사항으로본보호프로파일적용시주의해야할특이사항을서술한다. 참고자료는본보호프로파일에관심이있는사용자가본보호프로파일에서언급된내용이상의배경및관련정보가필요할경우를위하여참고한자료들을서술한다. 약어표는자주사용되는용어나약어에대한이해를돕기위해제공한다. 10

2 준수선언 준수선언은본보호프로파일이준수하는공통평가기준, 보호프로파일, 패키지에대한선언과다른보호프로파일및보안목표명세서가본보호프로파일을준수하는방법을서술한다. 2.1 공통평가기준준수 본보호프로파일은다음의공통평가기준을준수한다. ü 공통평가기준식별 - 정보보호시스템공통평가기준, 1 부 : 소개및일반모델, 버전 v3.1 r1, 2006. 9, CCMB-2006-09-001 - 정보보호시스템공통평가기준, 2 부 : 보안기능요구사항, 버전 v3.1 r2, 2007. 9, CCMB-2007-09-002 - 정보보호시스템공통평가기준, 3 부 : 보증요구사항, 버전 v3.1 r2, 2007. 9, CCMB-2007-09-003 ü 공통평가기준준수여부 - 정보보호시스템공통평가기준 2 부준수 - 정보보호시스템공통평가기준 3 부준수 2.2 보호프로파일준수 본보호프로파일이수용한보호프로파일은없다. 2.3 패키지준수 본보호프로파일은다음과같은보증요구사항패키지를준수한다. ü 보증패키지 : EAL3 준수 2.4 준수선언의이론적근거 본보호프로파일은다른보호프로파일에대한준수를선언하지않았으므로, 준수선언의이론적근거기술은필요하지않다. 2.5 보호프로파일준수방법 본보호프로파일은 입증가능한보호프로파일준수 를요구한다. 11

응용시주의사항 : 입증가능한보호프로파일준수의가장기본적인규칙은보안목표명세서가보호프로파일과동등하거나더제한적이어야한다는것이다. 여기서, 동등하다 는개념은보호프로파일에 A 라는 SFR 로서술된내용을보안목표명세서에서 A 라는 SFR 을그대로사용하거나, 동등한수준의 B 라는 SFR 로대체할수있음을의미한다. 예를들어, 사용자비활동기간이후의세션관리를위해, 보호프로파일의 FTA_SSL.1( 세션잠금 ) 을보안목표명세서에서 FTA_SSL.3( 세션종료 ) 으로대체할수있다. 또한, 더제한적이다 는개념은정교화오퍼레이션과같이세부사항을추가하여명세하거나더강력한요구사항을적용해서, 보안목표명세서를만족시키는 TOE 가원래의보호프로파일요구사항역시만족시켜야함을의미한다. 12

3 보안문제정의 보안문제정의는위협원에의해 TOE 자산이나환경에가해질수있는위협, 보안을위해 TOE 가따라야하는규칙, 절차, 관행, 지침인조직의보안정책, TOE 운영환경에대한가정사항으로구성된다. TOE 가보호해야할주요자산은 TOE 를통해전송되는호설정데이터및미디어데이터, TOE 자체및 TOE 내부의중요데이터 ( 보안속성, TSF 데이터, TSF 실행코드등 ) 등으로구분된다. 3.1 위협 위협원은일반적으로전송중인자산의비밀성및무결성을훼손하려하거나 TOE 에불법적인접근을시도하고비정상적인방법으로 TOE 에위해를가하는 IT 실체및사용인이다. 위협원은기본수준의전문지식, 자원, 동기를가진다. T. 가장 위협원은인가된사용자및통신상대로가장하여 IP Phone, IP PBX 에접근할수있다. T. 기록실패 위협원은 IP PBX 가보안관련사건에대한정보를기록하지않아보안과관련된행동에대한책임을추적하지못할수있다. T. 도청 위협원은 IP Phone, IP PBX 가네트워크상에서전송하는데이터를불법적으로도청하여사용자단말에대한식별및인증데이터, 호설정데이터또는음성데이터를획득할수있다. T. 비정상적인패킷발송 위협원은비정상적인구조를가지는네트워크패킷을전송하여 TOE 의정상적인서비스제공을방해할수있다. T. 암호해독 위협원은암호해독공격을사용하여 IP Phone, IP PBX 가전송하는데이터에접근할수있다. T. 연속인증시도 위협원은 IP Phone, IP PBX 에접근하기위해연속적으로인증을시도하여인가된사용자의권한을획득할수있다. T. 저장용량소진 13

위협원은감사기록할수있는저장용량을소진시켜서 IP PBX 의보안관련사건이기록되지않도록할수있다. T. 저장데이터훼손 위협원은 IP PBX 의 TSF 실행코드및 TSF 데이터를인가되지않은방식으로노출, 변경, 삭제하여악용할수있다. T. 전송데이터무결성훼손 위협원은 IP Phone, IP PBX 가네트워크상에서전송하는데이터를불법적으로변경할수있다. T. 재사용공격 위협원은인가된사용자의인증데이터를재사용하여 IP Phone, IP PBX 에접근할수있다. T. 통신방해공격 위협원은불법적으로도청하여획득한정보를이용하여 IP Phone 간의통신을방해하거나중단시킬수있다. 3.2 조직의보안정책 본절에서는기술하는조직의보안정책은본보호프로파일을수용하는 TOE 에의해서다루어진다. P. 감사 보안과관련된행동에대한책임을추적하기위해보안관련사건은기록및유지되어야하며, 기록된데이터는검토되어야한다. P. 비밀성 IP Phone, IP PBX 와통신하는통신상대로 / 로부터전송되는호설정및미디어데이터는 TOE 보안정책에서명세된경우 TOE 에의해암 복호화된다. P. 안전한관리 IP Phone, IP PBX 는인가된관리자가안전한방식으로관리할수있도록관리수단을제공해야한다. P. 접근통제 IP PBX 는접근통제정책에따른통신상태로 / 로부터접근을통제할수있어야한다. P. 평문전송 IP Phone, IP PBX 와통신하는통신상대로 / 로부터사용자의선택에따라호설정및 14

미디어데이터는 TOE 보안정책에따라암 복호화하지않고전송되는것이허용된다. 3.3 가정사항 다음의조건들이본보호프로파일을수용하는 TOE 운영환경에존재한다고가정한다. A. 물리적보안 IP PBX 는인가된관리자만이접근가능한물리적으로안전한환경에위치한다. A. 사용자단말 IP Phone 이운영되는하드웨어는인가되지않은물리적인수정으로부터안전하다. A. 상호호환성 IP Phone, IP PBX 그리고상대단말과의모든통신은상호호환성을보장해야한다. A. 신뢰된관리자 IP PBX 의인가된관리자는악의가없으며, IP PBX 관리기능을적절히교육받아야하고, 관리자지침에따라정확하게의무를수행한다. A. 운영체제보강 불필요한운영체제상의서비스나수단등을모두제거하는작업과운영체제상의취약점에대한보강작업을수행하여운영체제에대한신뢰성과안전성을보장한다. A. 운영환경분리 IP Phone, IP PBX 가운영되는네트워크는 VoIP 서비스망과데이터망을분리하여안전성을보장한다. A. 표준프로토콜 IP Phone, IP PBX 는호설정및음성 ( 영상포함 ) 데이터전송, 안전한통신을위한암 복호화가가능하도록표준화된프로토콜에따라관리되어야한다. 15

4 보안목적 본보호프로파일은보안목적을 TOE 에대한보안목적및운영환경에대한보안목적으로분류하여정의한다. TOE 에대한보안목적은 TOE 에의해서직접적으로다루어지는보안목적이고, 운영환경에대한보안목적은 TOE 가보안기능성을정확히제공할수있도록운영환경에서지원하는기술적 / 절차적수단에의해다루어져야하는보안목적이다. 4.1 TOE 보안목적 다음은 TOE 에의해직접적으로다루어져야하는보안목적이다. O. 감사 IP PBX 는보안과관련된행동의책임추적이가능하도록보안관련사건을기록및유지해야하며, 기록된데이터를검토할수있는수단을제공해야한다. O. 비정상적인패킷차단 IP PBX 는수신되는패킷중비정상적인구조를가지는패킷을차단해야한다. O. 식별및인증 IP Phone, IP PBX 는사용자를유일하게식별해야하고, IP Phone, IP PBX 접근을허용하기전에사용자의신원을인증해야한다. 또한통신을수행하기전에 IP Phone 을인증해야한다. O. 안전한관리 IP Phone, IP PBX 는인가된관리자가 IP Phone, IP PBX 를효율적으로관리할수있는관리수단을안전한방법으로제공해야한다 O. 정보흐름통제 IP PBX 는보안정책에따라 IP PBX 와외부 IP Phone 간의정보흐름을통제해야한다. O. 전송데이터보호 IP Phone, IP PBX 는네트워크상에서전송하는데이터의비밀성및무결성을보장해야한다. 응용시주의사항 : IP Phone 은사용자의선택에따라보안통신및비보안통신을수행할수있다. 또한 IP Phone, IP PBX 는전송되는데이터에대한암 복호화가가능하도록표준화된프로토콜에의해수행되어야한다. O. 저장데이터보호 IP PBX 는 TSF 실행코드및 IP PBX 에저장된 TSF 데이터를인가되지않은노출, 변경또는삭제로부터보호한다. 16

O. 접근통제 IP PBX 는통신상태의보안속성에기반하여불법적인접근으로부터통제할수있어야한다. O. 키보안 IP Phone, IP PBX 는암호키관련데이터의비밀성및무결성을보장해야하고, 안전한키교환을보장해야한다. 4.2 운영환경에대한보안목적 다음은 TOE 가보안기능성을정확히제공할수있도록운영환경에서지원하는기술적 / 절차적수단에의해다루어야하는보안목적이다. OE. 물리적보안 IP PBX 는인가된관리자만이접근가능한물리적으로안전한환경에위치해야한다. 응용시주의사항 : IP Phone 의경우조직의전산장비보안정책에따라사용자단말관리자 ( 인가된사용자 ) 에의해안전하게관리됨으로써만족되어진다. OE. 신뢰된관리자 IP Phone, IP PBX 의인가된관리자는악의가없으며, IP Phone, IP PBX 관리기능에대하여적절히교육받았고, 관리자지침에따라정확하게의무를수행해야한다. OE. 운영체제보강 불필요한운영체제상의서비스나수단등을모두제거하는작업과운영체제상의취약점에대한보강작업을수행하여운영체제에대한신뢰성과안전성을보장하여야한다. OE. 운영환경분리 IP Phone 과 IP PBX 가운영되는네트워크는데이터망과음성망을분리하여안전성을보장한다. OE. 타임스탬프 IP PBX 는 IP PBX 운영환경에서제공할수있는신뢰할수있는타임스탬프를사용해서보안관련사건을정확하게기록해야한다. OE. 표준프로토콜 IP Phone, IP PBX 와통신하는통신상대는호설정및미디어데이터전송, 안전한통신을위한암 복호화가가능하도록호환가능한표준화된프로토콜에따라관리되어야한다. 17

4.3 TOE 보안목적 보안목적의이론적근거는명세한보안목적이적합하고, 보안문제를다루기에충분하며, 과도하지않고반드시필요한것임을입증한다. ü 각위협, 조직의보안정책, 가정사항이최소한하나의보안목적에의해서다루어진다. ü 각보안목적은최소한하나의위협, 조직의보안정책, 가정사항을다룬다. [ 표 1] 은보안문제와보안목적간의대응관계를설명한다. 보안문제정의 보안목적 O. 감사 [ 표 1] 보안문제정의와보안목적대응 O. 비정상적인패킷차단 O. 식별및인증 TOE 보안목적 O. 안전한관리 O. 정보흐름통제 운영환경에대한보안목적 T. 가장 X X T. 기록실패 X T. 도청 X T. 비정상인패킷발송 X T. 암호해독 X T. 연속인증시도 X X T. 저장데이터훼손 X T. 전송데이터무결성훼손 X X T. 재사용공격 X X T. 통신방해공격 X P. 감사 X X P. 비밀성 X X X P. 안전한관리 X P. 접근통제 X P. 평문전송 X X A. 물리적보안 X A. 상호호환성 X A. 신뢰된관리자 X A. 운영체제보강 X A. 운영환경분리 X A. 사용자단말 X A. 표준프로토콜 X O. 접근통제 O. 전송데이터보호 O. 저장데이터보호 O. 키보안 OE. 물리적보안 OE. 신뢰된관리자 OE. 운영체제보강 OE. 운영환경분리 OE. 타임스탬프 OE. 표준프로토콜 18

4.3.1 TOE 보안목적의이론적근거 O. 감사 본보안목적은 TOE 가보안과관련된사건의책임추적이가능하도록감사데이터를기록및유지하고, 검토하는수단을제공하도록한다. 즉 TOE 는감사데이터가포화상태에도달했을때대응기능을제공한다. 또한, 인가되지않은사용자의비정상적인통신요청에따른인증실패시, 인가되지않은사용자에대한연속인증시도시공격자탐지등책임을추적할수있으므로위협 T. 가장, T. 기록실패, T. 연속인증시도에대응하고조직의보안정책 P. 감사를수행하는데필요하다. O. 비정상적인패킷차단 본보안목적은 TOE 가비정상적인구조를가진패킷을차단하는수단을제공함으로위협 T. 비정상적인패킷발송에대응한다. O. 식별및인증 본보안목적은 TOE 가인가된관리자및 TOE 와통신하는통신상태를유일하게식별및인증함을보장함으로위협 T. 가장, T. 연속인증시도, T. 재사용공격에대응한다. O. 안전한관리 본보안목적은 TOE 가인가된사용자에게 TOE 를안전하게관리하는수단을제공하도록보장하므로조직의보안정책 P. 안전한관리를수행하는데필요하다. O. 정보흐름통제 본보안목적은 TOE 가보안정책에따라정보흐름을통제함을보장하므로조직의보안정책 P. 비밀성및 P. 평문전송을수행하는데필요하다. O. 전송데이터보호 본보안목적은 TOE 가통신하는통신상대로 / 로부터송수신되는데이터에대해비밀성및무결성을보장하고, 사용자의선택에따라보안통신또는비보안통신을가능하게하므로위협 T. 도청, T. 전송데이터무결성훼손, T. 통신방해공격, T. 재사용공격에대응하며, 조직의보안정책 P. 비밀성, P. 평문전송을수행하는데필요하다. O. 저장데이터보호 본보안목적은 TOE 가 TSF 실행코드및 TOE 에저장된 TSF 데이터를인가되지않은노출, 변경또는삭제로부터보호함을보장하므로위협 T. 저장데이터훼손에대응한다. O. 접근통제 본보안목적은전화번호차단정책에따라통신상대로 / 로부터접근을통제함을보장하므로조직의보안정책 P. 접근통제를수행하는데필요하다. O. 키보안 본보안목적은 TOE 가암호키의비밀성및무결성을제공하고, 적절한키교환이 19

제공됨을보장함으로위협 T. 암호해독, T. 전송무결성에대응하며조직의보안정책 P. 비밀성을수행하는데필요하다. 4.3.2 운영환경에대한보안목적의이론적근거 OE. 물리적보안 본운영환경에대한보안목적은 TOE 의물리적안전을보장하므로가정사항 A. 물리적보안, A. 사용자단말을지원하는데필요하다. OE. 신뢰된관리자 본운영환경에대한보안목적은 TOE 의인가된관리자를신뢰할수있음을보장함으로가정사항 A. 신뢰된관리자를지원하는데필요하다. OE. 운영체제보강 본운영환경에대한보안목적은불필요한운영체제상의서비스나수단등을모두제거하는작업과운영체제상의취약점에대한보강작업을수행하여운영체제가안전하고신뢰됨을보장함으로 A. 운영체제보강을지원하는데필요하다. OE. 운영환경분리 본운영환경에대한보안목적은 TOE 가운영되는네트워크를데이터망과음성망으로분리함으로써보안이강화됨을보장함으로 A. 운영환경분리를지원하는데필요하다. OE. 타임스탬프 본운영환경에대한보안목적은 TOE 가 TOE 운영환경에서제공하는신뢰할수있는타임스탬프를사용해서보안관련사건을정확하게기록함을보장함으로조직의보안정책 P. 감사를수행하는데필요하다. OE. 표준프로토콜 본운영환경에대한보안목적은 TOE 와통신하는상호인증된다른 TOE 가호환가능한표준화된프로토콜에따라수행하도록관리됨을보장함으로가정사항 A. 상호호환성, A. 표준프로토콜을지원하는데필요하다. 20

5 보안요구사항 보안요구사항은본보호프로파일을수용하는 TOE 에서만족되어야하는기능및보증요구사항을서술한다. 본보호프로파일은보안요구사항에서요구하는모든주체, 객체, 오퍼레이션, 보안속성, 외부실체등을다음의 [ 표 2] 와같이정의한다. a) 주체와객체및관련보안속성, 오퍼레이션 [ 표 2] 주체와객체및관련보안속성, 오퍼레이션정의 주체 ( 사용자 ) 주체 ( 사용자 ) 보안속성 객체 ( 정보 ) 객체 ( 정보 ) 보안속성 오퍼레이션 IP Phone IP PBX 를통해서정보를송 수신하는내 외부 IP Phone 전화번호 전화번호 인가된관리자 - 불법전화번호목록 IP PBX 를통해서전송되는데이터 전화번호 발신지및목적지전화번호, 통신프로토콜 차단 통신상대로전송되는정보의암호화 정보의복호화및무결성검사, 주체로송신 정보통과 감사데이터 - 읽기등 암호키속성 - 변경 식별및인증데이터 - 변경, 삭제 실패한인증시도횟수 - 한계치명세 TSF 데이터 - 무결성검증 보안속성 - 디폴트값변경, 질의, 변경, 삭제 디폴트값대체를위한초기값명세 b) 외부실체 - 보안기능및보증요구사항에서명시적으로표현한외부실체가없음 보안목표명세서작성자는본보호프로파일에서명시적으로표현하지않은주체, 객체, 오퍼레이션, 보안속성, 외부실체등을명확하게정의해야한다. 21

5.1 보안기능요구사항 본보호프로파일에서정의된보안기능요구사항은 4 장에서식별한보안목적을만족시키기위하여공통평가기준 2 부로부터관련보안기능컴포넌트를선정하여표현하였다. 다음의 [ 표 3] 은본보호프로파일에서사용하는보안기능컴포넌트를요약하여보여준다. [ 표 3] 보안기능요구사항 보안기능클래스보안감사암호지원사용자데이터보호식별및인증보안관리 보안기능컴포넌트 FAU_ARP.1 보안경보 FAU_GEN.1 감사데이터생성 FAU_SAA.1 잠재적인위반분석 FAU_SAR.1 감사검토 FAU_STG.1 감사증적저장소보호 FAU_STG.3 감사데이터손실예측시대응행동 FAU_STG.4 감사데이터의손실방지 FCS_CKM.1 암호키생성 FCS_CKM.2 암호키분배 FCS_CKM.4 암호키파기 FCS_COP.1 암호연산 FDP_ACC.1 부분적인접근통제 FDP_ACF.1 보안속성에기반한접근통제 FDP_IFC.1(1) 부분적인정보흐름통제 (1) FDP_IFC.1(2) 부분적인정보흐름통제 (2) FDP_IFF.1 단일계층보안속성 FIA_AFL.1(1) 인증실패처리 (1) FIA_AFL.1(2) 인증실패처리 (2) FIA_ATD.1 사용자속성정의 FIA_UAU.2(1) 모든행동이전에사용자인증 (1) FIA_UAU.2(2) 모든행동이전에사용자인증 (2) FIA_UAU.7 인증피드백보호 FIA_UID.2(1) 모든행동이전에사용자식별 (1) FIA_UID.2(2) 모든행동이전에사용자식별 (2) FMT_MOF.1 보안기능관리 FMT_MSA.1 보안속성관리 FMT_MSA.3 정적속성초기화 FMT_MTD.1(1) TSF 데이터관리 (1) FMT_MTD.1(2) TSF 데이터관리 (2) FMT_MTD.1(3) TSF 데이터관리 (3) FMT_SMF.1 관리기능명세 22

보안기능클래스 TSF 보호 FMT_SMR.1 FPT_RPL.1 FPT_TST.1 보안기능컴포넌트보안역할재사용공격탐지및대응행동 TSF 자체시험 TOE 는 IP Phone 과 IP PBX 로구성되며, 각구성요소별로요구되는보안기능요구사항은 [ 표 4] 와같다. [ 표 4] TOE 구성요소별보안기능요구사항 TOE 구성요소 IP Phone IP PBX 보안기능요구사항 FAU_ARP.1 X O FAU_GEN.1 X O FAU_SAA.1 X O FAU_SAR.1 X O FAU_STG.1 X O FAU_STG.3 X O FAU_STG.4 X O FCS_CKM.1 O O FCS_CKM.2 O O FCS_CKM.4 O O FCS_COP.1 O O FDP_ACC.1 X O FDP_ACF.1 X O FDP_IFC.1(1) X O FDP_IFC.1(2) X O FDP_IFF.1 X O FIA_AFL.1(1) O O FIA_AFL.1(2) X O FIA_ATD.1 X O FIA_UAU.2(1) O O FIA_UAU.2(2) X O FIA_UAU.7 O O FIA_UID.2(1) O O FIA_UID.2(2) X O FMT_MOF.1 X O FMT_MSA.1 X O FMT_MSA.3 X O FMT_MTD.1(1) O O FMT_MTD.1(2) O O FMT_MTD.1(3) X O FMT_SMF.1 O O 23

TOE 구성요소 IP Phone IP PBX 보안기능요구사항 FMT_SMR.1 O O FPT_RPL.1 X O FPT_TST.1 X O 5.1.1 보안감사 FAU_ARP.1 보안경보 계층관계 : 없음 종속관계 : FAU_SAA.1 잠재적인위반분석 FAU_ARP.1.1 TSF 는잠재적인보안위반을탐지한경우, [ 할당 : 혼란을최소화하는대응행동의목록 ] 을취해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FAU_GEN.1 감사데이터생성 계층관계 : 없음 종속관계 : FPT_STM.1 신뢰할수있는타임스탬프 FAU_GEN.1.1 TSF 는다음과같은감사대상사건들의감사레코드를생성할수있어야한다. a) 감사기능의시동 (start-up) 과종료 (shut-down) b) [ 선택 : 최소, 기본, 상세, 지정되지않음중하나를선택 ] 감사수준에따른모든감사대상사건 c) [ 할당 : 기타특별히정의된감사대상사건 ] FAU_GEN.1.2 TSF 는최소한다음정보를각감사레코드내에기록해야한다. a) 사건일시, 사건유형, 주체의신원 ( 가능한경우 ), 사건결과 ( 성공또는실패 ) b) 각감사사건유형에대하여, 보호프로파일 / 보안목표명세서에포함된기능컴포넌트의감사대상사건정의에기반한 [ 할당 : 기타감사관련정보 ] 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FAU_SAA.1 잠재적인위반분석 계층관계 : 없음 종속관계 : FAU_GEN.1 감사데이터생성 24

FAU_SAA.1.1 TSF 는감사된사건을검사하는경우에규칙집합을적용할수있어야하고, 이규칙에기반하여 SFR 의수행에대한잠재적위반을지적할수있어야한다. FAU_SAA.1.2 TSF 는감사된사건을검사하는경우에다음과같은규칙을적용해야한다. a) 잠재적인보안위반을나타내는알려진 [ FIA_UAU.2 의감사대상사건중인증실패감사사건, FCS_COP.1 의감사대상사건중암호연산실패감사사건, FDP_ACF.1 의감사대상사건중불법전화차단규칙위반감사사건, FDP_IFF.1 의감사대상사건중정보흐름통제 SFP 의위반감사사건, FPT_TST.1 의감사대상사건중무결성위반감사사건 ] 의누적또는조합 b) [ 할당 : 기타규칙 ] 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FAU_SAR.1 감사검토 계층관계 : 없음 종속관계 : FAU_GEN.1 감사데이터생성 FAU_SAR.1.1 TSF 는 [ 인가된관리자 ] 에게감사레코드로부터 [ 모든감사데이터 ] 를읽을수있는기능을제공해야한다. FAU_SAR.1.2 TSF 는인가된관리자가정보를해석하기에적합하도록감사레코드를제공해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FAU_STG.1 감사증적저장소보호 계층관계 : 없음 종속관계 : FAU_GEN.1 감사데이터생성 FAU_STG.1.1 TSF 는인가되지않은삭제로부터감사증적내에저장된감사레코드를보호해야한다. FAU_STG.1.2 TSF 는감사증적내에저장된감사레코드에대한비인가된변경을방지해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FAU_STG.3 감사데이터손실예측시대응행동 계층관계 : 없음 종속관계 : FAU_STG.1 감사증적저장소보호 FAU_STG.3.1 TSF 는감사증적이 [ 할당 : 미리정의된한도 ] 를초과할경우 [ 할당 : 감사저장실패가예상되는경우에취해야할대응행동 ] 을취해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. 25

FAU_STG.4 감사데이터의손실방지 계층관계 : FAU_STG.3 종속관계 : FAU_STG.1 감사증적저장소보호 FAU_STG.4.1 TSF 는감사증적이포화인경우, TSF 는 [ 선택 : 감사된사건을무시, 특별권한을갖는인가된사용자에의해취해진행동을제외한감사된사건의방지, 가장오래된감사레코드덮어쓰기 중하나를선택 ] 및 [ 할당 : 감사저장실패의경우에취해야할그밖의행동 ] 을수행해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. 5.1.2 암호지원 FCS_CKM.1 암호키생성 계층관계 : 없음 종속관계 : [FCS_CKM.2 암호키분배또는 FCS_COP.1 암호연산 ] FCS_CKM.4 암호키파기 FCS_CKM.1.1 TSF 는다음의 [ 할당 : 표준목록 ] 에부합하는명세된암호키생성알고리즘 [ 할당 : 암호키생성알고리즘 ] 과명세된암호키길이 [ 할당 : 암호키길이 ] 에따라암호키를생성해야한다. FCS_CKM.2 암호키분배 계층관계 : 없음 종속관계 : [FDP_ITC.1 보안속성없이사용자데이터유입또는 FDP_ITC.2 보안속성을포함한사용자데이터유입또는 FCS_CKM.1 암호키생성 ] FCS_CKM.4 암호키파기 FCS_CKM.2.1 TSF 는다음의 [ 할당 : 표준목록 ] 에부합하는명세된암호키분배방법 [ 할당 : 암호키분배방법 ] 에따라암호키를분배해야한다. FCS_CKM.4 암호키파기 계층관계 : 없음 종속관계 : [FDP_ITC.1 보안속성없이사용자데이터유입또는 FDP_ITC.2 보안속성을포함한사용자데이터유입또는 FCS_CKM.1 암호키생성 ] FCS_CKM.4.1 TSF 는다음의 [ 할당 : 표준목록 ] 에부합하는명세된암호키파기방법 [ 할당 : 암호키파기방법 ] 에따라암호키를파기해야한다. 26

FCS_COP.1 암호연산 계층관계 : 없음 종속관계 : [FDP_ITC.1 보안속성없이사용자데이터유입또는 FDP_ITC.2 보안속성을포함한사용자데이터유입또는 FCS_CKM.1 암호키생성 ] FCS_CKM.4 암호키파기 FCS_COP.1.1 TSF 는다음의 [ 할당 : 표준목록 ] 에부합하는명세된암호알고리즘 [ 할당 : 암호알고리즘 ] 과명세된암호키길이 [ 할당 : 암호키길이 ] 에따라 [ 할당 : 암호연산목록 ] 을수행해야한다. 5.1.3 사용자데이터보호 FDP_ACC.1 부분적인접근통제 계층관계 : 없음 종속관계 : FDP_ACF.1 보안속성에기반한접근통제 FDP_ACC.1.1 TSF 는 [ 할당 : 주체목록, 객체목록, SFP 에의해서다루어지는주체와객체간의오퍼레이션목록 ] 에대하여 [ 할당 : 접근통제 SFP ] 를강제해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FDP_ACF.1 보안속성에기반한접근통제 계층관계 : 없음 종속관계 : FDP_ACC.1 부분적인접근통제 FMT_MSA.3 정적속성초기화 FDP_ACF.1.1 TSF 는 [ 할당 : 다음의 SFP 하에서통제되는주체와객체의목록, 주체와객체각각에대해 SFP 에적절한보안속성또는명명된보안속성의그룹 ] 에기초하여객체에대한 [ 할당 : 접근통제 SFP ] 를강제해야한다. FDP_ACF.1.2 TSF 는통제된주체와통제된객체간의오퍼레이션을허용할것인지를결정하기위하여다음과같은규칙을강제해야한다 : [ 할당 : 통제된객체에대한통제된오퍼레이션을이용하여통제된주체와통제된객체간의접근을제어하는규칙 ] FDP_ACF.1.3 TSF 는다음과같은추가적인규칙에기반하여객체에대한주체의접근을명시적으로인가해야한다 : [ 할당 : 보안속성에기반하여객체에대한주체의접근을명시적으로인가하는규칙 ] FDP_ACF.1.4 TSF 는 [ 할당 : 보안속성에기반하여객체에대한주체의접근을명시적으로거부하는규칙 ] 에기반하여객체에대한주체의접근을명시적으로거부해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. 27

FDP_IFC.1(1) 부분적인정보흐름통제 (1) 계층관계 : 없음 종속관계 : FDP_IFF.1 단일계층보안속성 FDP_IFC.1.1(1) TSF 는 [ 다음의주체목록, 정보목록, SFP 에의하여다루어지는통제된주체로 / 주체로부터의정보흐름을유발하는오퍼레이션목록 ] 에대하여 [ 할당 : 정보흐름통제 SFP ] 를강제해야한다. a) 주체목록 : IP PBX 를통해서정보를송 수신하는 IP Phone b) 정보목록 : IP PBX 를통해서주체에서다른곳으로전송되는데이터 c) 오퍼레이션목록 : 허용하는규칙이있을경우통과 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당되며, IP Phone 은사용자선택에따라보안통신및비 - 보안통신을할수있다. 이보안정책은명백하게허용하고있는규칙을제외한모든접속을차단하는정책이다. 즉 IP PBX 는허용하고자하는서비스에대한규칙을정의하여접근을허용하고나머지는차단하는정보흐름통제정책이다. FDP_IFC.1(2) 부분적인정보흐름통제 (2) 계층관계 : 없음 종속관계 : FDP_IFF.1 단일계층보안속성 FDP_IFC.1.1(2) TSF 는 [ 다음의주체목록, 정보목록, SFP 에의하여다루어지는통제된주체로 / 주체로부터의정보흐름을유발하는오퍼레이션목록 ] 에대하여 [ 할당 : 정보흐름통제 SFP ] 를강제해야한다. a) 주체목록 : IP PBX 를통해서정보를송 수신하는 IP Phone b) 정보목록 : IP PBX 를통해서주체에서다른곳으로전송되는데이터 c) 오퍼레이션목록 : 차단하는규칙이있을경우차단 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당되며, IP Phone 은사용자선택에따라보안통신및비 - 보안통신을할수있다. 이보안정책은비정상적인패킷에대한차단정책이며, 명시적으로차단하는규칙을제외하고는모든접속을허용하는정책이다. FDP_IFF.1 단일계층보안속성 계층관계 : 없음 종속관계 : FDP_IFC.1 부분적인정보흐름통제 FMT_MSA.3 정적속성초기화 FDP_IFF.1.1 TSF 는적어도 [ 할당 : 다음의 SF 에서통제되는주체와정보의목록및각각에대한보안속성 ] 과같은주체보안속성및정보보안속성유형에기반하여 [ 할당 : 정보흐름통제 SFP ] 를강제해야한다. FDP_IFF.1.2 TSF 는다음과같은규칙이유지되면통제된오퍼레이션을통하여통제된 28

주체와통제된정보간의정보흐름을허용해야한다 : [ 할당 : 각오퍼레이션에대하여주체와정보보안속성간에서유지되어야하는보안속성에기반한관계 ] FDP_IFF.1.3 TSF 는 [ 할당 : 추가정보흐름통제 SFP 규칙 ] 을강제해야한다. FDP_IFF.1.4 TSF 는 [ 할당 : 보안속성에기반하여명시적으로정보흐름을인가하는규칙 ] 에기반하여정보흐름을명시적으로인가해야한다. FDP_IFF.1.5 TSF 는 [ 할당 : 보안속성에기반하여명시적으로정보흐름을거부하는규칙 ] 에기반하여정보흐름을명시적으로거부해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당되며, IP Phone 은사용자선택에따라보안통신및비 - 보안통신을할수있다. 5.1.4 식별및인증 FIA_AFL.1(1) 인증실패처리 계층관계 : 없음 종속관계 : FIA_UAU.1 인증 FIA_AFL.1.1(1) TSF 는 [ 사용자인증시도 ] 에관련된 [ 선택 : [ 할당 : 양수 ], 관리자가구성가능한 [ 할당 : 허용할수있는수의범위 ] 안의양수 ] 번의실패한인증시도가발생한경우이를탐지해야한다. FIA_AFL.1.2(1) 실패한인증시도가정의된횟수에 [ 선택 : 도달, 초과 ] 하면, TSF 는 [ 할당 : 대응행동목록 ] 을수행해야한다. FIA_AFL.1(2) 인증실패처리 계층관계 : 없음 종속관계 : FIA_UAU.1 인증 FIA_AFL.1.1(2) TSF 는 [ IP Phone 인증시도 ] 에관련된 [ 선택 : [ 할당 : 양수 ], 관리자가구성가능한 [ 할당 : 허용할수있는수의범위 ] 안의양수 ] 번의실패한인증시도가발생한경우이를탐지해야한다. FIA_AFL.1.2(2) 실패한인증시도가정의된횟수에 [ 선택 : 도달, 초과 ] 하면, TSF 는 [ 할당 : 대응행동목록 ] 을수행해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FIA_ATD.1 사용자속성정의계층관계 : 없음종속관계 : 없음 FIA_ATD.1.1 TSF는각사용자에속한다음의보안속성목록을유지해야한다 : [ a) 사용자신원 29

b) 역할 c) { 보안목표명세서작성자에의해결정 } 된기타사용자보안속성 ] 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FIA_UAU.2(1) 모든행동이전에사용자인증 계층관계 : FIA_UAU.1 종속관계 : FIA_UID.1 식별 FIA_UAU.2.1(1) TSF 는사용자를대신하여 TSF 가중재하는다른모든행동을허용하기전에사용자를성공적으로인증해야한다. FIA_UAU.2(2) 모든행동이전에사용자인증 계층관계 : FIA_UAU.1 종속관계 : FIA_UID.1 식별 FIA_UAU.2.1(2) TSF 는 IP Phone 을대신하여 TSF 가중재하는다른모든행동을허용하기전에 IP Phone 을성공적으로인증해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FIA_UAU.7 인증피드백보호 계층관계 : 없음 종속관계 : FIA_UAU.1 인증 FIA_UAU.7.1 TSF 는인증이진행되는동안사용자에게 [ 할당 : 피드백목록 ] 만을제공해야한다. FIA_UID.2(1) 모든행동이전에사용자식별 계층관계 : FIA_UID.1 종속관계 : 없음 FIA_UID.2.1(1) TSF 는사용자를대신하여 TSF 가중재하는다른모든행동을허용하기전에각사용자를성공적으로식별해야한다. FIA_UID.2(2) 모든행동이전에사용자식별 계층관계 : FIA_UID.1 종속관계 : 없음 FIA_UID.2.1(2) TSF 는 IP Phone 을대신하여 TSF 가중재하는다른모든행동을허용하기전에각 IP Phone 을성공적으로식별해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. 30

5.1.5 보안관리 FMT_MOF.1 보안기능관리 계층관계 : 없음 종속관계 : FMT_SMF.1 관리기능명세 FMT_SMR.1 보안역할 FMT_MOF.1.1 TSF 는 [ 할당 : 기능목록 ] 의기능에대해 [ 선택 : 행동을결정, 중지, 개시, 행동을변경 ] 하는능력을 [ 할당 : 인가된역할 ] 로제한해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FMT_MSA.1 보안속성관리 계층관계 : 없음 종속관계 : [FDP_ACC.1 부분적인접근통제또는 FDP_IFC.1 부분적인정보흐름통제 ] FMT_SMF.1 관리기능명세 FMT_SMR.1 보안역할 FMT_MSA.1.1 TSF 는 [ 할당 : 보안속성목록 ] 의보안속성을 [ 선택 : 디폴트값변경, 질의, 변경, 삭제, [ 할당 : 기타연산 ] ] 하는능력을 [ 할당 : 인가된역할 ] 로제한하도록 [ 할당 : 접근통제 SFP, 정보흐름통제 SFP ] 를강제해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FMT_MSA.3 정적속성초기화 계층관계 : 없음 종속관계 : FMT_MSA.1 보안속성관리 FMT_SMR.1 보안역할 FMT_MSA.3.1 TSF 는 SFP 를강제하기위하여사용되는보안속성의제한적인디폴트값을제공하도록 [ 할당 : 접근통제 SFP, 정보흐름통제 SFP ] 를강제해야한다. FMT_MSA.3.2 TSF 는객체나정보생성시디폴트값을대체하기위하여 [ 인가된관리자 ] 이선택적인초기값을명세하도록허용해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FMT_MTD.1(1) TSF 데이터관리 계층관계 : 없음 종속관계 : FMT_SMF.1 관리기능명세 FMT_SMR.1 보안역할 31

FMT_MTD.1.1(1) TSF 는 [ 암호키속성 ] 을변경하는능력을 [ 인가된관리자 ] 로제한해야한다. FMT_MTD.1(2) TSF 데이터관리 계층관계 : 없음 종속관계 : FMT_SMF.1 관리기능명세 FMT_SMR.1 보안역할 FMT_MTD.1.1(2) TSF 는 [ 식별및인증데이터 ] 을변경, 삭제하는능력을 [ 인가된관리자 ] 로제한해야한다. FMT_MTD.1(3) TSF 데이터관리 계층관계 : 없음 종속관계 : FMT_SMF.1 관리기능명세 FMT_SMR.1 보안역할 FMT_MTD.1.1(3) TSF 는 [ 할당 : TSF 데이터목록 ] 을 [ 선택 : 디폴트값변경, 질의, 변경, 삭제, [ 할당 : 기타연산 ] ] 하는능력을 [ 할당 : 인가된역할 ] 로제한해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FMT_SMF.1 관리기능명세 계층관계 : 없음 종속관계 : 없음 FMT_SMF.1.1 TSF 는다음의관리기능을수행할수있어야한다 : [ 할당 : TSF 가제공하는관리기능목록 ] FMT_SMR.1 보안역할계층관계 : 없음종속관계 : FIA_UID.1 식별 FMT_SMR.1.1 TSF는 [ 인가된관리자 ] 역할을유지해야한다. FMT_SMR.1.2 TSF는인가된관리자와역할을연관지을수있어야한다. 5.1.6 TSF 보호 FPT_RPL.1 재사용공격탐지및대응행동 계층관계 : 없음 32

종속관계 : 없음 FPT_RPL.1.1 TSF 는다음의실체 [ 할당 : 식별된실체목록 ] 에대해재사용을탐지해야한다. FPT_RPL.1.2 TSF 는재사용이탐지된경우 [ 할당 : 특정대응행동목록 ] 을수행해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. FPT_TST.1 TSF 자체시험 계층관계 : 없음 종속관계 : 없음 FPT_TST.1.1 TSF 는 [ 선택 : [ 할당 : TSF 의부분들 ], TSF ] 의정확한운영을입증하기위하여시동시, 정규운영동안주기적으로, 인가된사용자요구시, { 보안목표명세서작성자에의해결정 } 된자체시험이발생해야하는조건 ] 조건시자체시험을실행해야한다. FPT_TST.1.2 TSF 는인가된관리자에게 [ 선택 : [ 할당 : TSF 데이터의부분들 ], TSF 데이터 ] 의무결성을검증하는기능을제공해야한다. FPT_TST.1.3 TSF 는인가된관리자에게저장된 TSF 실행코드의무결성을검증하는기능을제공해야한다. 응용시주의사항 : 본보안기능요구사항은 IP PBX 에만해당된다. 5.2 보증요구사항 본보호프로파일의보증요구사항은공통평가기준 3 부의보증컴포넌트로구성되었고, 평가보증등급은 EAL3 이다. [ 표 5] 는보증컴포넌트를요약하여보여준다. [ 표 5] 보증요구사항 보증클래스 보안목표명세서 개발 ASE_INT.1 ASE_CCL.1 ASE_SPD.1 ASE_OBJ.2 ASE_ECD.1 ASE_REQ.2 ASE_TSS.1 ADV_ARC.1 ADV_FSP.3 ADV_TDS.2 보증컴포넌트보안목표명세서소개준수선언보안문제정의보안목적확장컴포넌트정의도출된보안요구사항 TOE 요약명세보안구조설명완전한요약정보가제공되는기능명세구조적인설계 33

보증클래스 보증컴포넌트 설명서 AGD_OPE.1 사용자운영설명서 AGD_PRE.1 준비절차 ALC_CMC.3 인가통제 ALC_CMS.3 구현표현형상관리범위 생명주기지원 ALC_DEL.1 배포절차 ALC_DVS.1 보안대책의식별 ALC_LCD.1 개발자가정의한생명주기모델 ATE_COV.2 시험범위의분석 시험 ATE_DPT.1 기본설계시험 ATE_FUN.1 기능시험 ATE_IND.2 독립적인시험 : 표본시험 취약성평가 AVA_VAN.2 취약성분석 5.2.1 보안목표명세서 ASE_INT.1 보안목표명세서소개 종속관계 : 없음 개발자요구사항 ASE_INT.1.1D 개발자는보안목표명세서소개를제공해야한다. 증거요구사항 ASE_INT.1.1C 보안목표명세서소개는보안목표명세서참조, TOE 참조, TOE 개요, 설명을포함해야한다. ASE_INT.1.2C 보안목표명세서참조는유일하게보안목표명세서를식별해야한다. ASE_INT.1.3C TOE 참조는 TOE 를식별해야한다. ASE_INT.1.4C TOE 개요는 TOE 의용도와주요보안특성을요약해야한다. ASE_INT.1.5C TOE 개요는 TOE 유형을식별해야한다. ASE_INT.1.6C TOE 개요는 TOE 에서요구되는비 -TOE 에해당하는하드웨어 / 소프트웨어 / 펌웨어를식별해야한다. ASE_INT.1.7C TOE 설명은 TOE 의물리적인범위를서술해야한다. ASE_INT.1.8C TOE 설명은 TOE 의논리적인범위를서술해야한다. 평가자요구사항 ASE_INT.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_INT.1.2E 평가자는 TOE 참조, TOE 개요, TOE 설명이서로일관성이있음을확인해야한다. 34

ASE_CCL.1 준수선언 종속관계 : ASE_INT.1 보안목표명세서소개 ASE_ECD.1 확장컴포넌트정의 ASE_REQ.1 명시된보안요구사항 개발자요구사항 ASE_CCL.1.1D 개발자는준수선언을제공해야한다. ASE_CCL.1.2D 개발자는준수선언의이론적근거를제공해야한다. 증거요구사항 ASE_CCL.1.1C 준수선언은보안목표명세서및 TOE 가준수하는공통평가기준의버전을식별하기위해공통평가기준준수선언을포함해야한다. ASE_CCL.1.2C 공통평가기준준수선언은보안목표명세서의공통평가기준 2 부에대한준수선언을 2 부준수 또는 2 부확장 으로서술해야한다. ASE_CCL.1.3C 공통평가기준준수선언은보안목표명세서의공통평가기준 3 부에대한준수선언을 3 부준수 또는 3 부확장 으로서술해야한다. ASE_CCL.1.4C 공통평가기준준수선언은확장컴포넌트정의와일관성이있어야한다. ASE_CCL.1.5C 준수선언은보안목표명세서가준수하는모든보호프로파일및보안요구사항패키지를식별해야한다. ASE_CCL.1.6C 준수선언은보안목표명세서의패키지에대한준수선언을 패키지준수 또는 패키지추가 로서술해야한다. ASE_CCL.1.7C 준수선언의이론적근거는보안목표명세서의 TOE 유형이그보안목표명세서가준수하는보호프로파일의 TOE 유형과일관성이있음을입증해야한다. ASE_CCL.1.8C 준수선언의이론적근거는보안목표명세서의보안문제정의에대한설명이그보안목표명세서가준수하는보호프로파일의보안문제정의설명과일관성이있음을입증해야한다. ASE_CCL.1.9C 준수선언의이론적근거는보안목표명세서의보안목적에대한설명이그보안목표명세서가준수하는보호프로파일의보안목적설명과일관성이있음을입증해야한다. ASE_CCL.1.10C 준수선언의이론적근거는보안목표명세서의보안요구사항에대한설명이그보안목표명세서가준수하는보호프로파일의보안요구사항설명과일관성이있음을입증해야한다. 평가자요구사항 ASE_CCL.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_SPD.1 보안문제정의 35

종속관계 : 없음 개발자요구사항 ASE_SPD.1.1D 개발자는보안문제정의를제공해야한다. 증거요구사항 ASE_SPD.1.1C 보안문제정의는위협을서술해야한다. ASE_SPD.1.2C 모든위협은위협원, 자산, 공격행동의관점에서서술되어야한다. ASE_SPD.1.3C 보안문제정의는조직의보안정책 (OSP) 을서술해야한다. ASE_SPD.1.4C 보안문제정의는 TOE 운영환경에관한가정사항을서술해야한다. 평가자요구사항 ASE_SPD.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_OBJ.2 보안목적 종속관계 : ASE_SPD.1 보안문제정의 개발자요구사항 ASE_OBJ.2.1D 개발자는보안목적에대한설명을제공해야한다. ASE_OBJ.2.2D 개발자는보안목적의이론적근거를제공해야한다. 증거요구사항 ASE_OBJ.2.1C 보안목적에대한설명은 TOE 보안목적과운영환경에대한보안목적을서술해야한다. ASE_OBJ.2.2C 보안목적의이론적근거는 TOE 에대한각보안목적을보안목적에의해대응되는위협과보안목적에의해수행되는조직의보안정책으로추적해야한다. ASE_OBJ.2.3C 보안목적의이론적근거는운영환경에대한각보안목적을보안목적에의해대응되는위협, 보안목적에의해수행되는조직의보안정책, 보안목적에의해지원되는가정사항으로추적해야한다. ASE_OBJ.2.4C 보안목적의이론적근거는보안목적이모든위협에대응함을입증해야한다. ASE_OBJ.2.5C 보안목적의이론적근거는보안목적이모든조직의보안정책을수행함을입증해야한다. ASE_OBJ.2.6C 보안목적의이론적근거는운영환경에대한보안목적이모든가정사항을지원함을입증해야한다. 평가자요구사항 ASE_OBJ.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 36

ASE_ECD.1 확장컴포넌트정의 종속관계 : 없음 개발자요구사항 ASE_ECD.1.1D 개발자는보안요구사항에대한설명을제공해야한다. ASE_ECD.1.2D 개발자는확장컴포넌트정의를제공해야한다. 증거요구사항 ASE_ECD.1.1C 보안요구사항에대한설명은확장된모든보안요구사항을식별해야한다. ASE_ECD.1.2C 확장컴포넌트정의는각각확장된보안요구사항에대한확장컴포넌트를정의해야한다. ASE_ECD.1.3C 확장컴포넌트정의는각확장컴포넌트가기존의공통평가기준컴포넌트, 패밀리, 클래스와어떻게연관되는지를서술해야한다. ASE_ECD.1.4C 확장컴포넌트정의는기존의공통평가기준컴포넌트, 패밀리, 클래스와방법론을모델로하여표현해야한다. ASE_ECD.1.5C 확장컴포넌트는각엘리먼트에대한준수여부를입증할수있도록측정가능하고객관적인엘리먼트로구성되어야한다. 평가자요구사항 ASE_ECD.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_ECD.1.2E 평가자는확장된컴포넌트가기존의컴포넌트를이용하여명확히표현할수없음을확인해야한다. ASE_REQ.2 도출된보안요구사항 종속관계 : ASE_OBJ.2 보안목적 ASE_ECD.1 확장컴포넌트정의 개발자요구사항 ASE_REQ.2.1D 개발자는보안요구사항에대한설명을제공해야한다. ASE_REQ.2.2D 개발자는보안요구사항의이론적근거를제공해야한다. 증거요구사항 ASE_REQ.2.1C 보안요구사항에 대한 설명은 보안기능요구사항과 보증요구사항을 서술해야한다. ASE_REQ.2.2C 보안기능요구사항및보증요구사항에서사용되는모든주체, 객체, 오퍼레이션, 보안속성, 외부실체, 기타조건들은정의되어야한다. ASE_REQ.2.3C 보안요구사항에대한설명은보안요구사항에대한모든오퍼레이션을식별해야한다. 37

ASE_REQ.2.4C 모든오퍼레이션은정확히수행되어야한다. ASE_REQ.2.5C 보안요구사항의각종속관계는만족되어야하며, 그렇지않을경우에는보안요구사항의이론적근거에그에대한정당화가제공되어야한다. ASE_REQ.2.6C 보안요구사항의이론적근거는각보안기능요구사항을 TOE 에대한보안목적으로추적해야한다. ASE_REQ.2.7C 보안요구사항의이론적근거는보안기능요구사항이 TOE 에대한모든보안목적을만족한다는것을입증해야한다. ASE_REQ.2.8C 보안요구사항의이론적근거는보증요구사항이선택된이유를설명해야한다. ASE_REQ.2.9C 보안요구사항에대한설명은내부적으로일관성이있어야한다. 평가자요구사항 ASE_REQ.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_TSS.1 TOE 요약명세 종속관계 : ASE_INT.1 보안목표명세서소개 ASE_REQ.1 명시된보안요구사항 ADV_FSP.1 기본적인기능명세 개발자요구사항 ASE_TSS.1.1D 개발자는 TOE 요약명세를제공해야한다. 증거요구사항 ASE_TSS.1.1C TOE 요약명세는 TOE 가어떻게각각의보안기능요구사항을만족시키는지서술해야한다. 평가자요구사항 ASE_TSS.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_TSS.1.2E 평가자는 TOE 요약명세가 TOE 개요및 TOE 설명과일관성이있음을확인해야한다. 5.2.2 개발 ADV_ARC.1 보안구조설명종속관계 : ADV_FSP.1 기본적인기능명세 38

ADV_TDS.1 기본적인설계 개발자요구사항 ADV_ARC.1.1D 개발자는 TSF 의보안특성이우회되지않도록 TOE 를설계하고구현해야한다. ADV_ARC.1.2D 개발자는신뢰되지않은능동적실체에의한침해로부터 TSF 자체를보호할수있도록 TSF 를설계하고구현해야한다. ADV_ARC.1.3D 개발자는 TSF 의보안구조설명을제공해야한다. 증거요구사항 ADV_ARC.1.1C 보안구조설명은 TOE 설계문서에서술된 SFR- 수행추상화설명에알맞은상세수준으로서술되어야한다. ADV_ARC.1.2C 보안구조설명은 TSF 에의해서 SFR 과일관성있게유지되어야하는보안영역을서술해야한다. ADV_ARC.1.3C 보안구조설명은 TSF 초기화과정이어떻게안전한지서술해야한다. ADV_ARC.1.4C 보안구조설명은 TSF 가침해로부터자신을보호함을입증해야한다. ADV_ARC.1.5C 보안구조설명은 TSF 가 SFR- 수행기능성의우회를방지함을입증해야한다. 평가자요구사항 ADV_ARC.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ADV_FSP.3 완전한요약정보가제공되는기능명세 종속관계 : ADV_TDS.1 기본적인설계 개발자요구사항 ADV_FSP.3.1D 개발자는기능명세를제공해야한다. ADV_FSP.3.1D 개발자는기능명세에서 SFR 로의추적성을제공해야한다. 증거요구사항 ADV_FSP.3.1C 기능명세는 TSF 를완전하게표현해야한다. ADV_FSP.3.2C 기능명세는모든 TSFI 에대한목적과사용방법을서술해야한다. ADV_FSP.3.3C 기능명세는각 TSFI 와관련된모든매개변수를식별및서술해야한다. ADV_FSP.3.4C 각 SFR- 수행 TSFI 에대해, 기능명세는해당 TSFI 와관련된 SFR- 수 행행동을서술해야한다. ADV_FSP.3.5C 각 SFR- 수행 TSFI 에대해, 기능명세는해당 TSFI 호출과관련된보안수행효과및예외사항결과로발생하는직접적인오류메시지를서술해야한다. ADV_FSP.3.6C 기능명세는각 TSFI 와관련된 SFR- 지원및 SFR- 비 - 간섭행동을 39

요약해야한다. ADV_FSP.3.7C 추적성은 SFR 이기능명세내의 TSFI 로추적됨을입증해야한다. 평가자요구사항 ADV_FSP.3.1E 평가자는제공된정보가모든증거요구사항을만족함을확인해야한다. ADV_FSP.3.2E 평가자는기능명세가 SFR 을정확하고완전하게실체화하는지결정해야한다. ADV_TDS.2 구조적인설계 종속관계 : ADV_FSP.3 완전한요약정보가제공되는기능명세 개발자요구사항 ADV_TDS.2.1D 개발자는 TOE 설계를제공해야한다. ADV_TDS.2.2D 개발자는기능명세의 TSFI 와 TOE 설계에서사용가능한가장상세수준분해간의대응관계를제공해야한다. 증거요구사항 ADV_TDS.2.1C 설계는 TOE 의구조를서브시스템측면에서서술해야한다. ADV_TDS.2.2C 설계는 TSF 의모든서브시스템을식별해야한다. ADV_TDS.2.3C 설계는각 SFR- 비 - 간섭 TSF 서브시스템행동이 SFR- 비 - 간섭행동임을결정할수있도록충분히상세하게서술해야한다. ADV_TDS.2.4C 설계는 SFR- 수행서브시스템의 SFR- 수행행동을서술해야한다. ADV_TDS.2.5C 설계는 SFR- 수행서브시스템의 SFR- 지원및 SFR- 비 - 간섭행동을요약해야한다. ADV_TDS.2.6C 설계는 SFR- 지원서브시스템의행동을요약해야한다. ADV_TDS.2.7C 설계는 TSF 의모든서브시스템들간의상호작용에대한설명을제공해야한다. ADV_TDS.2.8C 대응관계는 TOE 설계내에서술된모든행동이그것을호출하는 TSFI 로대응됨을입증해야한다. 평가자요구사항 ADV_TDS.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ADV_TDS.2.2E 평가자는설계가모든보안기능요구사항을정확하고완전하게실체화하는지결정해야한다. 5.2.3 설명서 40

AGD_OPE.1 사용자운영설명서 종속관계 : ADV_FSP.1 기본적인기능명세 개발자요구사항 AGD_OPE.1.1D 개발자는사용자운영설명서를제공해야한다. 증거요구사항 AGD_OPE.1.1C 사용자운영설명서는각각의사용자역할에대해안전한처리환경내에서통제되어야하는사용자가접근가능한기능및특권에대해적절한경고를포함해서서술해야한다. AGD_OPE.1.2C 사용자운영설명서는각각의사용자역할에대해 TOE 에의해안전한방식으로제공되는인터페이스의사용방법을서술해야한다. AGD_OPE.1.3C 사용자운영설명서는각각의사용자역할에대해사용가능한기능및인터페이스를서술해야한다. 특히사용자의통제하에있는모든보안매개변수에대해안전한값을적절하게표시해야한다. AGD_OPE.1.4C 사용자운영설명서는각각의사용자역할에대해, 수행되어야할사용자가접근할수있는기능과연관된보안 - 관련사건의각유형을명확히제시해야한다. 여기에는 TSF 의통제하에있는실체에대한보안특성의변경도포함되어야한다. AGD_OPE.1.5C 사용자운영설명서는 ( 장애후의운영또는운영상의오류후의운영을포함한 ) TOE 의모든가능한운영모드, 그영향및안전한운영유지를위한관련사항들을식별해야한다. AGD_OPE.1.6C 사용자운영설명서는각각의사용자역할에대해보안목표명세서에기술된대로운영환경에대한보안목적을만족시키기위해준수해야하는보안대책을서술해야한다. AGD_OPE.1.7C 사용자운영설명서는명확하고타당해야한다. 평가자요구사항 AGD_OPE.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. AGD_PRE.1 준비절차 종속관계 : 없음 개발자요구사항 AGD_PRE.1.1D 개발자는준비절차를포함하여 TOE 를제공해야한다. 증거요구사항 AGD_PRE.1.1C 준비절차는배포된 TOE 의안전한인수를위해필요한모든단계를개발자의배포절차와일관되게서술해야한다. AGD_PRE.1.2C 준비절차는 TOE 의안전한설치및운영환경의안전한준비를위해필요한모든단계를보안목표명세서에기술된운영환경에대한보안목적과일관되게 41

서술해야한다. 평가자요구사항 AGD_PRE.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. AGD_PRE.1.2E 평가자는 TOE 가운영을위해안전하게준비될수있음을확인하기위해준비절차를적용해야한다. 5.2.4 생명주기지원 ALC_CMC.3 인가통제 종속관계 : ALC_CMS.1 TOE 형상관리범위 ALC_DVS.1 보안대책의식별 ALC_LCD.1 개발자가정의한생명주기모델 개발자요구사항 ALC_CMC.3.1D 개발자는 TOE 및그에대한참조를제공해야한다. ALC_CMC.3.2D 개발자는형상관리문서를제공해야한다. ALC_CMC.3.3D 개발자는형상관리시스템을사용해야한다. 증거요구사항 ALC_CMC.3.1C TOE 는유일한참조를위한레이블을붙여야한다. ALC_CMC.3.2C 형상관리문서는형상항목을유일하게식별하는데사용된방법을서술해야한다. ALC_CMC.3.3C 형상관리시스템은모든형상항목을유일하게식별해야한다. ALC_CMC.3.4C 형상관리시스템은형상항목에인가된변경만을허용하는수단을제공해야한다. ALC_CMC.3.5C 형상관리문서는형상관리계획을포함해야한다. ALC_CMC.3.6C 형상관리계획은형상관리시스템이 TOE 개발에사용되는방법을서술해야한다. ALC_CMC.3.7C 증거는모든형상항목이형상관리시스템하에유지되고있음을입증해야한다. ALC_CMC.3.8C 증거는형상관리시스템이형상관리계획에따라운영되고있음을입증해야한다. 평가자요구사항 ALC_CMC.3.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 42

ALC_CMS.3 구현표현형상관리범위 종속관계 : 없음 개발자요구사항 ALC_CMS.3.1D 개발자는 TOE 에대한형상목록을제공해야한다. 증거요구사항 ALC_CMS.3.1C 형상목록은 TOE, 보증요구사항에서요구하는평가증거, TOE 를구성하는부분, 구현표현을포함해야한다. ALC_CMS.3.2C 형상목록은형상항목을유일하게식별해야한다. ALC_CMS.3.3C 형상목록은각 TSF 관련형상항목의개발자를표시해야한다. 평가자요구사항 ALC_CMS.3.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ALC_DEL.1 배포절차 종속관계 : 없음 개발자요구사항 ALC_DEL.1.1D 개발자는소비자에게 TOE 나 TOE 일부를배포하는절차를문서화 해야한다. ALC_DEL.1.2D 개발자는배포절차를사용해야한다. 증거요구사항 276 ALC_DEL.1.1C 배포문서는 TOE 를소비자에게배포할때보안을유지하기위해필요한모든절차를서술해야한다. 평가자요구사항 ALC_DEL.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ALC_DVS.1 보안대책의식별 종속관계 : 없음 개발자요구사항 ALC_DVS.1.1D 개발자는개발보안문서를작성해야한다. 증거요구사항 ALC_DVS.1.1C 개발보안문서는개발환경내에서 TOE 설계및구현과정의비밀성과무결성을보호하기위하여필요한모든물리적, 절차적, 인적및기타보안대책을서술해야한다. 43

평가자요구사항 ALC_DVS.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ALC_DVS.1.2E 평가자는보안대책이적용되고있는지확인해야한다. ALC_LCD.1 개발자가정의한생명주기모델 종속관계 : 없음 개발자요구사항 ALC_LCD.1.1D 개발자는 TOE 의개발과유지에사용되는생명주기모델을수립해야한다. ALC_LCD.1.2D 개발자는생명주기정의문서를제공해야한다. 증거요구사항 ALC_LCD.1.1C 생명주기정의문서는 TOE 의개발과유지에사용되는모델을서술해야한다. ALC_LCD.1.2C 생명주기모델은 TOE 의개발과유지에필요한통제를제공해야한다. 평가자요구사항 ALC_LCD.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 5.2.5 시험 ATE_COV.2 시험범위의분석 종속관계 : ADV_FSP.2 보안 - 수행기능명세 ATE_FUN.1 기능시험 개발자요구사항 ATE_COV.2.1D 개발자는시험범위의분석을제공해야한다. 증거요구사항 ATE_COV.2.1C 시험범위의분석은시험문서내의시험항목과기능명세내의 TSFI 간의일치성을입증해야한다. ATE_COV.2.2C 시험범위의분석은기능명세의모든 TSFI 가시험되었음을입증해야한다. 평가자요구사항 ATE_COV.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 44

ATE_DPT.1 기본설계시험 종속관계 : ADV_ARC.1 보안구조설명 ADV_TDS.2 구조적인설계 ATE_FUN.1 기능시험 개발자요구사항 ATE_DPT.1.1D 개발자는시험의상세수준분석을제공해야한다. 증거요구사항 ATE_DPT.1.1C 시험의상세수준분석은시험문서내의시험항목과 TOE 설계내의 TSF 서브시스템간의일치성을입증해야한다. ATE_DPT.1.2C 시험의상세수준분석은 TOE 설계내의모든 TSF 서브시스템이시험되었음을입증해야한다. 평가자요구사항 ATE_DPT.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ATE_FUN.1 기능시험 종속관계 ATE_COV.1 시험범위의증거 개발자요구사항 ATE_FUN.1.1D 개발자는 TSF 를시험하고그결과를문서화해야한다. ATE_FUN.1.2D 개발자는시험문서를제공해야한다. 증거요구사항 ATE_FUN.1.1C 시험문서는시험계획, 예상시험결과및실제시험결과로구성되어야한다. ATE_FUN.1.2C 시험계획은수행되어야할시험항목을식별하고각시험수행의시나리오를서술해야한다. 이러한시나리오에는다른시험결과에대한순서종속관계를포함해야한다. ATE_FUN.1.3C 예상시험결과는시험의성공적인수행으로기대되는결과를제시해야한다. ATE_FUN.1.4C 실제시험결과는예상시험결과와일관성이있어야한다. 평가자요구사항 ATE_FUN.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ATE_IND.2 독립적인시험 : 표본시험 45

종속관계 : ADV_FSP.2 보안 - 수행기능명세 AGD_OPE.1 사용자운영설명서 AGD_PRE.1 준비절차 ATE_COV.1 시험범위의증거 ATE_FUN.1 기능시험 개발자요구사항 ATE_IND.2.1D 개발자는시험할 TOE 를제공해야한다. 증거요구사항 ATE_IND.2.1C TOE 는시험하기에적합해야한다. ATE_IND.2.2C 개발자는개발자의 TSF 기능시험에사용된자원과동등한자원을제공해야한다. 평가자요구사항 ATE_IND.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ATE_IND.2.2E 평가자는개발자시험결과를검증하기위하여시험문서내의시험항목에대한표본시험을수행해야한다. ATE_IND.2.3E 평가자는 TSF 가명세된대로동작함을확인하기위하여 TSF 의일부를시험해야한다. 5.2.6 취약성평가 AVA_VAN.2 취약성분석종속관계 : ADV_ARC.1 보안구조설명 ADV_FSP.1 기본적인기능명세 ADV_TDS.1 기본적인설계 AGD_OPE.1 사용자운영설명서 AGD_PRE.1 준비절차개발자요구사항 AVA_VAN.2.1D 개발자는시험할 TOE를제공해야한다. 증거요구사항 AVA_VAN.2.1C TOE는시험하기에적합해야한다. 평가자요구사항 46

AVA_VAN.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. AVA_VAN.2.2E 평가자는 TOE 의잠재적취약성을식별하기위해공개영역에대한조사를수행해야한다. AVA_VAN.2.3E 평가자는 TOE 의잠재적취약성을식별하기위해설명서, 기능명세, TOE 설계및보안구조설명, 구현의표현을이용하여독립적인취약성분석을수행해야한다. AVA_VAN.2.4E 평가자는 TOE 가기본공격성공가능성을가진공격자에의해행해지는공격에내성이있음을결정하기위해, 식별된잠재적취약성에근거하여침투시험을수행해야한다. 5.3 보안요구사항의이론적근거 보안요구사항의이론적근거는서술된보안요구사항이보안목적을만족시키기에적합하고, 그결과보안문제를다루기에적절함을입증한다. 5.3.1 보안기능요구사항의이론적근거 보안기능요구사항의이론적근거는다음을입증한다. ü 각 TOE 보안목적은적어도하나의 TOE 보안기능요구사항에의해서다루어진다. ü 각 TOE 보안기능요구사항은적어도하나의 TOE 보안목적을다룬다. [ 표 6] 은보안목적과보안기능요구사항사이의대응관계를보여준다. 보안목적보안기능요구사항 O. 감사 O. 비정상적인패킷차단 O. 식별및인증 O. 안전한관리 O. 정보흐름통제 O. 접근통제 O. 전송데이터보호 O. 저장데이터보호 O. 키보안 FAU_ARP.1 FAU_GEN.1 FAU_SAA.1 FAU_SAR.1 FAU_STG.1 FAU_STG.3 FAU_STG.4 X X X X X X X 47

보안목적 보안기능요구사항 O. 감사 O. 비정상적인패킷차단 O. 식별및인증 O. 안전한관리 O. 정보흐름통제 O. 접근통제 O. 전송데이터보호 O. 저장데이터보호 O. 키보안 FCS_CKM.1 X X FCS_CKM.2 X X FCS_CKM.4 X X FCS_COP.1 X X FDP_ACC.1 X FDP_ACF.1 X FDP_IFC.1(1) X FDP_IFC.1(2) X FDP_IFF.1 X X FIA_AFL.1(1) X FIA_AFL.1(2) X FIA_ATD.1 X FIA_UAU.2(1) X FIA_UAU.2(2) X FIA_UAU.7 X FIA_UID.2(1) X FIA_UID.2(2) X FMT_MOF.1 X FMT_MSA.1 X FMT_MSA.3 X FMT_MTD.1(1) X FMT_MTD.1(2) X FMT_MTD.1(3) X FMT_SMF.1 X FMT_SMR.1 X FPT_RPL.1 X FPT_TST.1 X [ 표 6] 보안목적과보안기능요구사항대응 FAU_ARP.1 보안경보 본컴포넌트는보안위반을탐지한경우대응행동을취하는능력을보장하므로 TOE 보안목적 O. 감사를만족시킨다. FAU_GEN.1 감사데이터생성 48

본컴포넌트는감사대상사건을정의하고감사레코드를생성하는능력을보장하므로 TOE 보안목적 O. 감사를만족시킨다. FAU_SAA.1 잠재적인위반분석 본컴포넌트는감사된사건을검사하여인증실패, 통제규칙위반, 무결성검사오류와같은보안위반을지적하는능력을보장하므로 TOE 보안목적 O. 감사를만족시킨다. FAU_SAR.1 감사검토 본컴포넌트는인가된관리자가감사데이터를검토하는능력을보장하므로 TOE 보안목적 O. 감사를만족시킨다. FAU_STG.1 감사증적저장소보호 본컴포넌트는인가되지않은변경및삭제로부터감사레코드를보호하는능력을보장하므로 TOE 보안목적 O. 감사를만족시킨다. FAU_STG.3 감사데이터손실예측시대응행동 본컴포넌트는감사증적이미리정의된한도를초과하는경우대응행동을취하는능력을보장하므로 TOE 보안목적 O. 감사를만족시킨다. FAU_STG.4 감사데이터의손실방지 본컴포넌트는감사저장소가포화인경우대응행동을취하는능력을보장하므로 TOE 보안목적 O. 감사를만족시킨다. FCS_CKM.1 암호키생성 본컴포넌트는명세된암호키생성알고리즘과명세된암호키길이에따라암호키를생성하는능력을보장하므로 TOE 보안목적 O. 전송데이터보호, O. 키보안을만족시킨다. FCS_CKM.2 암호키분배 본컴포넌트는명세된암호키분배방법에따라암호키를분배하는능력을보장하므로 TOE 보안목적 O. 전송데이터보호, O. 키보안을만족시킨다. FCS_CKM.4 암호키파기 본컴포넌트는명세된암호키파기방법에따라암호키를파기하는능력을보장하므로 TOE 보안목적 O. 전송데이터보호, O. 키보안을만족시킨다. FCS_COP.1 암호연산 49

본컴포넌트는명세된암호알고리즘과명세된암호키길이에따라암호연산을수행하는능력을보장하므로 TOE 보안목적 O. 정보흐름통제, O. 전송데이터보호를만족시킨다. FDP_ACC.1 부분적인접근통제 본컴포넌트는 TOE 의접근통제를위한보안정책이정의되고, 접근통제보안정책의범위가정의됨을보장함으로 TOE 보안목적 O. 접근통제를만족시킨다. FDP_ACF.1 보안속성에기반한접근통제 본컴포넌트는속성에기반하여정의된접근통제보안정책이수행됨을보장하므로 TOE 보안목적 O. 접근통제를만족시킨다. FDP_IFC.1(1) 부분적인정보흐름통제 (1) 본컴포넌트는 TOE 의정보흐름통제를위한보안정책이정의되고, 보안정책의범위가정의됨을보장함으로 TOE 보안목적 O. 정보흐름통제를만족시킨다. FDP_IFC.1(2) 부분적인정보흐름통제 (2) 본컴포넌트는 TOE 의정보흐름통제를위한보안정책이정의되고, 보안정책의범위가정의됨을보장함으로 TOE 보안목적 O. 비정상적인패킷차단을만족시킨다. FDP_IFF.1 단일계층보안속성 본컴포넌트는명시적인공격에대한대응기능을기술하고있으므로 TOE 보안목적 O. 비정상적인패킷차단, O. 정보흐름통제를만족시킨다. FIA_AFL.1(1) 인증실패처리 (1) 본컴포넌트는인가된관리자인증시도실패횟수를정의하고, 정의된횟수에도달하거나초과하면대응행동을취하는능력을제공하므로 TOE 보안목적 O. 식별및인증을만족시킨다. FIA_AFL.1(2) 인증실패처리 (2) 본컴포넌트는 IP Phone 인증시도실패횟수를정의하고, 정의된횟수에도달하거나초과하면대응행동을취하는능력을제공하므로 TOE 보안목적 O. 식별및인증을만족시킨다. FIA_ATD.1 사용자속성정의 본컴포넌트는각사용자별보안속성목록을정의하므로 TOE 보안목적 O. 식별및인증을만족시킨다. 50

FIA_UAU.2(1) 모든행동이전에사용자인증 (1) 본컴포넌트는인가된사용자를성공적으로인증하는능력을보장하므로 TOE 보안목적 O. 식별및인증을만족시킨다. FIA_UAU.2(2) 모든행동이전에사용자인증 (2) 본컴포넌트는 IP Phone 을성공적으로인증하는능력을보장하므로 TOE 보안목적 O. 식별및인증을만족시킨다. FIA_UAU.7 인증피드백보호 본컴포넌트는인증이진행되는동안사용자에게지정된인증피드백만이제공됨을보장하므로 TOE 보안목적 O. 식별및인증을만족시킨다. FIA_UID.2(1) 모든행동이전에사용자식별 (1) 본컴포넌트는인가된관리자를성공적으로식별하는능력을보장하므로 TOE 보안목적 O. 식별및인증을만족시킨다. FIA_UID.2(2) 모든행동이전에사용자식별 (2) 본컴포넌트는 IP Phone 을성공적으로식별하는능력을보장하므로 TOE 보안목적 O. 식별및인증을만족시킨다. FMT_MOF.1 보안기능관리 본컴포넌트는인가된관리자가보안기능을관리하는능력을보장하므로 TOE 보안목적 O. 안전한관리를만족시킨다. FMT_MSA.1 보안속성관리 본컴포넌트는인가된관리자가접근통제정책에적용되는보안속성을관리함을보장하므로 TOE 보안목적 O. 안전한관리를만족시킨다. FMT_MSA.3 정적속성초기화 본컴포넌트는접근통제정책에적용되는보안속성의초기값을제공하므로 TOE 보안목적 O. 안전한관리를만족시킨다. FMT_MTD.1(1) TSF 데이터관리 (1) 본컴포넌트는인가된관리자에게만암호키속성을관리하는능력을제공하므로 TOE 보안목적 O. 안전한관리를만족시킨다. 51

FMT_MTD.1(2) TSF 데이터관리 (2) 본컴포넌트는인가된관리자에게만식별및인증데이터를관리하는능력을제공하므로 TOE 보안목적 O. 안전한관리를만족시킨다. FMT_MTD.1(3) TSF 데이터관리 (3) 본컴포넌트는인가된관리자에게만보안과관련있는 TSF 데이터를관리하는능력을제공하므로 TOE 보안목적 O. 안전한관리를만족시킨다. FMT_SMF.1 관리기능명세 본컴포넌트는 TSF 가제공해야하는보안속성, TSF 데이터, 보안기능등의관리기능을명세할수있도록요구하므로 TOE 보안목적 O. 안전한관리를만족시킨다. FMT_SMR.1 보안역할 본컴포넌트는사용자를인가된관리자역할에연관시킴을보장하므로 TOE 보안목적 O. 안전한관리를만족시킨다. FPT_RPL.1 재사용공격탐지및대응행동 본컴포넌트는재사용공격을탐지하고대응행동을수행하는능력을제공하므로 TOE 보안목적 O. 식별및인증을만족시킨다. FPT_TST.1 TSF 자체시험 본컴포넌트는 TSF 의정확한운영을위한자체시험을보장하고, 인가된관리자가 TSF 데이터및 TSF 실행코드의무결성을검증하는기능을보장하므로 TOE 보안목적 O. 저장데이터보호를만족시킨다. 5.3.2 보증요구사항의이론적근거 본 IP Phone/IP PBX 통합보호프로파일의평가보증등급은 EAL3 이다. EAL3 는체계적인시험및검사를요구하는보증패키지로, 개발자가설계단계에서기존개발방법론의많은변경없이실용적인보안공학을적용하여최대한의보증을얻을수있도록한다. EAL3 는개발자나사용자가독립적으로보증된중간수준의보안성을필요로하고, 실질적인재공학없이 TOE 및 TOE 개발에대한철저한조사를필요로할경우에적용가능하다. 52

EAL3 는보안행동을이해하기위해기능및인터페이스명세, 설명서, TOE 설계의구조적설명을이용하여완전한보안목표명세서에포함된보안기능요구사항을분석함으로써보증을제공한다. 이분석은 TSF 의독립적인시험, 기능명세및 TOE 설계에기반하여개발자가수행한시험의증거, 개발자가수행한시험결과표본의독립적인확인, 기본공격성공가능성을가진공격자의침투공격에대한내성을입증하는 ( 제공된기능명세, TOE 설계, 보안구조설명, 설명서증거에근거한 ) 취약성분석에의해뒷받침된다. 또한, EAL3 는개발환경통제, TOE 의형상관리, 안전한배포절차의증거를통하여보증을제공한다. 5.4 종속관계에대한이론적근거 5.4.1 보증기능요구사항의종속관계 [ 표 7] 은기능컴포넌트의종속관계를보여준다. FAU_GEN.1 은 FPT_STM.1 에종속관계를가지나, TOE 는 TOE 운영환경에서제공하는신뢰할수있는타임스탬프를사용해서보안관련사건을정확하게기록하므로, FPT_STM.1 대신운영환경에대한보안목적 OE. 타임스탬프에의해 FAU_GEN.1 의종속관계가만족된다. FIA_AFL.1, FIA_UAU.7 은 FIA_UAU.1 에종속관계를가지며, 이는 FIA_UAU.1 과계층관계에있는 FIA_UAU.2 에의해만족된다. FIA_UAU.2, FMT_SMR.1 은 FIA_UID.1 에종속관계를가지며, 이는 FIA_UID.1 과계층관계에있는 FIA_UID.2 에의해만족된다. [ 표 7] 기능컴포넌트종속관계 번호기능컴포넌트종속관계참조번호 1 FAU_ARP.1 FAU_SAA.1 3 2 FAU_GEN.1 FPT_STM.1-3 FAU_SAA.1 FAU_GEN.1 2 4 FAU_SAR.1 FAU_GEN.1 2 5 FAU_STG.1 FAU_GEN.1 2 6 FAU_STG.3 FAU_STG.1 5 7 FAU_STG.4 FAU_STG.1 5 8 FCS_CKM.1 9 FCS_CKM.2 [FCS_CKM.2 또는 FCS_COP.1], FCS_CKM.4 [FDP_ITC.1 또는 FDP_ITC.2 또는 FCS_CKM.1], FCS_CKM.4 53 [9 또는 11], 10 [- 또는 또는 8], 10 10 FCS_CKM.4 [FDP_ITC.1 또는 FDP_ITC.2 또는 [- 또는 또는

번호기능컴포넌트종속관계참조번호 11 FCS_COP.1 FCS_CKM.1], 8] [FDP_ITC.1 또는 FDP_ITC.2 또는 FCS_CKM.1], FCS_CKM.4 [- 또는 또는 12 FDP_ACC.1 FDP_ACF.1 13 13 FDP_ACF.1 FDP_ACC.1, FMT_MSA.3 12, 27 14 FDP_IFC.1(1) FDP_IFF.1 15 15 FDP_IFC.1(2) FDP_IFF.1 15 16 FDP_IFF.1 FDP_IFC.1, FMT_MSA.3 14, 27 17 FIA_AFL.1(1) FIA_UAU.1 20, 21 18 FIA_AFL.1(2) FIA_UAU.1 20, 21 19 FIA_ATD.1 - - 20 FIA_UAU.2(1) FIA_UID.1 23, 24 21 FIA_UAU.2(2) FIA_UID.1 23, 24 22 FIA_UAU.7 FIA_UAU.1 20, 21 23 FIA_UID.2(1) - - 24 FIA_UID.2(2) - - 25 FMT_MOF.1 FMT_SMF.1, FMT_SMR.1 31, 32 26 FMT_MSA.1 [FDP_ACC.1 또는 FDP_IFC.1], [12 또는 14], FMT_SMF.1, FMT_SMR.1 31, 32 27 FMT_MSA.3 FMT_MSA.1, FMT_SMR.1 26, 32 28 FMT_MTD.1(1) FMT_SMF.1, FMT_SMR.1 31, 32 29 FMT_MTD.1(2) FMT_SMF.1, FMT_SMR.1 31, 32 30 FMT_MTD.1(3) FMT_SMF.1, FMT_SMR.1 31, 32 31 FMT_SMF.1 - - 32 FMT_SMR.1 FIA_UID.1 23, 24 33 FPT_RPL.1 - - 34 FPT_TST.1 - - 8], 10 5.4.2 보증요구사항의종속관계 정보보호시스템 공통평가기준에서 제공하는 각 보증 패키지의 종속관계는 이미 만족된다. 54

6 보호프로파일응용시주의사항 본보호프로파일은다음과같이활용될수있다. 제품개발자또는판매자는본보호프로파일에정의된내용들을모두준수하여보안목표명세서를작성할수있고사용자는사용하고자하는제품의선정및운용관리를위해활용할수있다. 본보호프로파일은 IP Phone, IP PBX 에구현되어야하는최소한의보안요구사항을포함하고있으며, 상호호환성을위한표준화된프로토콜을사용해야함을기술하였다. IP Phone 의구현형태 ( 예 : 무선단말, USB 폰등 ) 에따라발생할수있는보안상문제에대해서개발자는추가적인보안문제, 보안목적, 보안요구사항을정의해야한다. 예컨대, IP Phone 이무선네트워크와연동되는형태로구현될경우, 운영환경에무선 AP 가설치됨에따른각구성요소간전송데이터를외부의위협으로부텨보호하기위하여개발자는보안목표명세서에추가적인보안문제, 보안목적, 보안요구사항을정의해야한다. 55