[2012년도 ICT 표준화전략포럼최종연구보고서] 정보보안산업표준포럼운영 2012. 12.
제출문 한국정보통신기술협회회장귀하 본보고서를 정보보안산업표준포럼운영에관한연구 의최종결과보고서로 제출합니다. 2012 년 12월 15일 포럼사무국 연구책임자 참여연구원 : : : 지식정보보안산업협회신용녀책임연구원조연호책임연구원황지은선임연구원 방송통신연구개발관리규정제35조에따라보고서열람에동의합니다. 1
요약문 ( 초록) 과제번호과제명국제사실표준화기구( 포럼) 협력및전문가육성 포럼명 ( 국문) 정보보안산업표준포럼 ( 영문) Korea Information Security Industry Standards Forum 사무국지식정보보안산업협회연구책임자신용녀당해년도사업기간 2012. 3. 15. ~ 12. 15. ( 9 개월) 참여기관참여기관책임자 1. 포럼의목적및필요성 o 국제표준화기구(ITUT, ISO/IEC 등) 에서는차세대 IT 기술( 클라우드, 스마 트그리드, 스마트폰, 보안관리) 에대한정보보안을중요한연구주제로인식 하고관련기술표준활동을활발히진행하고있음 o 정보보안서비스사업자측면에서관련장비의상호연동성확보및연구개발또는도입제품평가의용이성을확보하고, 정보보안솔루션공급자측면에서는생산원가의절감및중복투자방지와이용자편의도모를위하여표준의수요자가직접참여하는실용적인사실표준화추진이필요함 o 국내에서도산 학 연간의협력을통해안전한디지털 ID관리기술개발및 국내외표준화추진, 디지털 ID관리기술관련국제표준화및포럼에서의 공동대응을위한전략수립및활동지원이필요함 2. 포럼핵심표준화대상(ToR) 및내용 o 개인정보보호 개인정보보호정책관리, 개인정보 DB 보안, 온라인서비스사용자/ 실제사 용자본인확인기술 o 스마트폰보안 안전한스마트폰앱개발과사용을위하여스마트폰앱과앱마켓에대한보안기준 2
o 스마트그리드보안 스마트그리드보안위협분석및요구사항도출을통한안전한스마트그리드인프라구축을위한보안기술및기능구조정의 o 클라우드서비스보안 클라우드환경에서의보안관리에대한원리와통제구조를인증및인정체계에기반하여제도화하는지침제시 3. 포럼운영개발결과및성과 정보보안산업표준포럼은국내외표준개발및저변확대등을위해총회, 운영 위원회, 분과위원회를운영하여, 총 9 회의회의를개최함. 또한, 각분과별이 슈를다룬워크숍 신규보안이슈와보안관리표준 이라는주제로세미나를개 최함. 이런활동을통해, 표준화과제를총 23 건( 국제19 건, 국내4 건) 제안하여 18 건( 국제14 건, 국내4 건) 이채택됨. 현재제도분과에서표준화과제 1 건이추가로진행중임. <2012 정보보안산업표준포럼추진실적요약> 포럼운영현황회원사현황국내표준화활동국외표준화활동 회의워크숍기관개인 TTA 표준 제정 TTA 표준 과제채택 기고서 제안 기고서 9회 2회 21개 60명 4건 4건 20건 3건 반영 4. 활용방안및기대효과 o 본포럼은정보보안전문가들과의협력을통해국제표준화및기술동향을수집및분석하여도출한표준기술을국내정보통신단체표준으로제정, 제정된표준이적용된기술을솔루션에적용함으로써사용자의편의성향상및강화된보안관리시스템구축이가능하며, 이와더불어국내정보 보안기술의산업활성화및유관표준화추진포럼의활성화에기여할것으로기대됨 o 본포럼에서포럼표준으로추진될클라우드서비스보안기술, 스마트그 리드/ 스마트폰보안기술, 개인정보보호표준프레임워크등을 ITUT 등 3
국제표준화추진을위한발판을마련할수있으며, 국내정보보호기술의표준화를통해서비스간상호연동성증가로국내기술기반제품의세계시장진출도확대될수있도록함 o 관련전문가의국제표준화회의참석을통해국제표준화및최신기술의 동향파악을하여, 국내실정에적합한표준화과제를도출하며, 국제표 준화기구및사실표준화를추진하는민간포럼등에의견제시등을통해 국가및산업체의이익을도모함 o 궁극적으로, 국가정보보안강화정책추진의기술적지원기반을마련하고, 국내정보보안업계의기술수준향상및국내기업의해외진출을촉진 4
SUMMARY 1. Purpose of Forum o International standardization organizations(itut, ISO/IEC, etc) recognize the importance of the issues on personal information security, smartphone security, smart grid security, cloud computing security. And the organizations have been actively studying and developing standards about the issues. o Security standards ensure interoperability between security equipments and facilitate evaluation of security products in information security service provider perspective. Also it prevents overlapping investments in information security solution manufactor perspective. o To develop practical security standards, collaboration with security related industry, university and institute are needed. 2. Contents and Scope of Forum o Personal Information Security Personal information policy management, personal information database security, online service user identification technologies o Smartphone Security Security guideline for development secure smartphone application and criteria for verification the application o Smart Grid Security Smart grid security threats and requirements analysis, security functional architecture for secure smart grid service 5
o Cloud Computing Security Framework and guideline for security management and controls in cloud computing environment 3. Results The forum held total 9 meetings including general meeting, operation committee and section committee for developing international and domestic standardization. Additionally, the forum held some workshop, recent security issue and security management standard, related each committee's issue. Finally, the forum suggested total 23 subjects(international 19 subjects, domestic 4 subjects) and was adopted 18 subjects(international 14 subjects, domestic 4 subjects). Now, one standard subject has been proceeding by system committee. 4. Expected effects o The forum has been studied personal information security, smartphone security, smart grid security and cloud computing security with security related industry, university and institute. o As a result of study, many practical standards are developed and those are used for improving security for smartphone, smart grid and cloud computing services. It can help developers, service providers, manufactor, user to achieve and adopt security technologies. It would contribute to revitalize security services and related business. o And this forum has been set up a foundation to develop domestic and international standard and train experts on standardization for information security. 6
CONTENTS ( 영문목차) Chapter 1 Introduction 11 Chapter 2 Management of Korea Information Security Industry Standards Forum 12 Section 1 Domestic and Oversea Trends 12 1. Key Standardization Subject 12 2. Market Trends 12 A. Oversea Market Trends 12 B. Domestic Market Trends 14 3. R&D and Standardization Trends 16 A. Oversea R&D and Standardization Trends 16 B. Domestic R&D and Standardization Trends 19 Section 2 Organization and Management of Forum 21 1. Purpose 21 2. History 22 3. Organization and Major Activities 22 A. Organization 22 B. Major Activities in each departments 23 C. Member Organization 24 D. Standardization Promotion System 24 Chapter 3 Results of Korea Information Security Industry Standards Forum in 2012 26 Section 1 Summary of Major Results 26 Section 2 Results of Activities 26 7
1. Results of Forum Management 26 2. Results of Domestic Standardization Activities 31 A. Contributions 31 B. Major Contributions 32 3. Results of International Standardization Activities 34 Chapter 4 Major Plans in 2013 35 Section 1 Goals in 2013 35 Section 2 Subjects 35 Section 3 Methods for Achievement 37 Chapter 5 Conclusion 39 Appendix. Summary of Standardization Activities in 2012 1. Results of Domestic Standardization Activities 40 2. Results of International Standardization Activities 45 3. Member List 63 4. Abbreviations 65 5. References 65 8
목차 제 1 장서론 11 제 2 장정보보안산업표준포럼운영 12 제 1 절국내외현황 12 1. 핵심표준화대상기술 12 2. 시장현황및전망 12 가. 국외시장현황및전망 12 나. 국내시장현황및전망 14 3. 기술개발및표준화현황 16 가. 국외기술개발및표준화현황 16 나. 국내기술개발및표준화현황 19 제 2 절포럼구성및운영 21 1. 목적및필요성 21 2. 연혁 22 3. 조직구성및주요활동 22 가. 조직구성 22 나. 분과별주요활동 23 다. 회원사구성 24 라. 표준화추진체계도 24 제 3장 2012 년도정보보안산업표준포럼활동결과 26 제 1 절주요추진실적요약 26 제 2 절활동결과 26 1. 포럼운영결과 26 2. 국제표준화활동결과 31 가. 기고서실적 31 9
나. 대표기고서실적 32 3. 국내표준화활동결과 34 가. 표준개발실적 34 나. 대표표준개발및활용실적 34 제 4장 2013 년도주요수행계획 35 제 1절 2013 년도정보보안산업표준포럼연구목표 35 제 제 2 절수행과제내용 35 3 절수행과제방법 37 제 5 장결론 39 붙임. 표준화추진과제( 표준( 안)/ 기고서) 요약서작성 1. 2012년도국내표준화활동실적 표준안 40 2. 2012년도국제표준화활동실적 기고서 45 3. 회원사명부작성 63 4. 약어표 65 5. 참고문헌등 65 10
제 1장서론 국제표준화기구(ITUT, ISO/IEC 등) 에서는차세대 IT 기술( 클라우드, 스마트그리드, 스마트폰, 보안관리) 에대한정보보안을중요한연구주제로인식하고관련기술표준 활동을활발히진행하고있다. 정보보안서비스사업자측면에서관련장비의상호연동성확보및연구개발또는도입제품평가의용이성을확보하고, 정보보안솔루션공급자측면에서는생산원가의절감및중복투자방지와이용자편의도모를위하여표준의수요자가직접참여하는실용적인사실표준화가추진되어야한다. 국내에서도산 학 연간의협력을통해안전한디지털 ID관리기술개발및국내외 표준화추진, 디지털 ID관리기술관련국제표준화및포럼에서의공동대응을위한 전략수립및활동이지원되어야한다. 11
제 2장정보보안산업표준포럼운영 제 1절국내외현황 1. 핵심표준화대상기술 o 개인정보보호 개인정보보호정책관리, 개인정보 DB 보안, 온라인서비스사용자/ 실제사용자 본인확인기술 o 스마트폰보안안전한스마트폰앱개발과사용을위하여스마트폰앱과앱마켓에대한보안기준 o 스마트그리드보안스마트그리드보안위협분석및요구사항도출을통한안전한스마트그리드인프라구축을위한보안기술및기능구조정의 o 클라우드서비스보안클라우드환경에서의보안관리에대한원리와통제구조를인증및인정체계에기반하여제도화하는지침제시 2. 시장현황및전망 가. 국외시장현황및전망 o 개인정보보호 P3P는 XML 기반개인정보보호정책설정및협상규격으로서비스이용자가 정보서비스를이용할때, 서비스제공자와서비스이용자의자동협상을통 해서비스가자동처리되도록하는규격이며, 2006년 W3C v.1.1 제정후개 인정보보호정책협상의새로운방법으로 AT&T 개발을시작으로 Microsoft 등에서구현되고있음 IBM, 12
o 스마트폰보안 IDC 에따르면 '10 4분기에스마트폰판매량이 PC 판매량을최초로앞지름 스마트폰플랫폼과앱에보안기술을내장하고강화하는기술들이지속적으로 개발되고있음 스마트폰보안에대한관심이증가하는만큼스마트폰플랫폼과관련제품에 보안기술의수준이시장에중요한역할을할것으로기대하고있음 o 스마트그리드보안 국제에너지기구(IEA) 는 2006~2030년세계스마트그리드관련시장이 2조 9 천억달러에이를것으로전망 스마트그리드기술시장은향후 20년간연평균 9% 성장하여 2030년 1,000 억달러이상될것으로전망 세계스마트그리드사이버보안시장은 09년 12억달러에서연평균성장률 35% 로 13년 41 억달러, 15년 37 억달러에이를것으로전망(Pike Research) o 클라우드서비스보안 국외클라우드서비스시장규모는매년 18.9% 의성장률을보이며 2015년에는 1,768 억달러규모를형성할것으로전망되고있으며, 특히 SaaS 영역은 15 년 210 억달러규모까지성장하며가장큰시장을형성할전망 (2011.06, 가 트너) 이중약 7% 가클라우드보안시장으로예상 해외클라우드컴퓨팅기술은가상화, 클러스터관리, 분산시스템, SOA, 보안등 의분야에서구글을선두로아파치 S/W 재단, 아마존, 야후등이앞다투어 다양한기술을개발하여서비스에적용 Gartner 에서는 11년 7 월, 클라우드보안에관한 Hype Cycle 분석을통해기 존보안기술의단순적용보다는클라우드전용보안기술이필요하고, 또한이 들보다는클라우드서비스화시킨보안기술의개발이더욱요구되어지고있 다는분석결과를보임 세계클라우드시장규모는 420 억불규모로, 개인과기업, 기관등을중심으로 클라우드컴퓨팅도입및적용사례가급증 (IDC, '11.11) 13
서버 데스크탑가상화및클라우드서비스확산으로글로벌데이터센터의트래픽 급증전망 '20년전세계데이터양은 35.2ZB 규모로 11년대비 44 배증가할전망(IDC, '11.11) 전세계가상머신의수는 11년 2 억대에서 15년까지 5배이상증가할것으로전망 하여, 클라우드환경구축을위한서버데스크탑 가상화로의전환가속화(2011, 가 트너 ) 가상화시스템보안시장은연 10% 이상성장할것으로전망 전세계가상화시스템보안시장은 10년 4.3 억불, '11년 6.7 억불에서 15년까 지 17.5억불규모로연평균 27.1% 성장할것으로전망 출처: 2011 Virtual Security Appliance 시장동향, 인포매틱스리서치 IDC 시장조사결과, 전세계메시징보안시장에서가상화보안제품의비율이 10년 1.8%(5,030 만불) 에서 15년에는 12.2%(34,092 만불) 수준을차지할것으로 전망 나. 국내시장현황및전망 o 개인정보보호 2011 년개인정보보호법이발효되면서소프트포럼, 이니텍, 펜타시큐리티, KSign, 이글로벌시스템등보안업체를중심으로데이터베이스보안솔루션개 발이, 위너다임, 소만사등개인정보보호업체를중심으로개인정보검색및 암호화관리솔루션개발이활발함 KISA에서는 2006 년구글주민번호노출자동점검시스템을개발한바있으며, 2009~2011년에는 3 개년에걸쳐개인정보유/ 노출대응시스템을구축함 2005년 ipin 서비스가시범도입되었으며, 2008년일정조건이상의포털및 웹사이트 ipin 서비스수단도입을의무화함 2011 년개인정보보호법공표및시행됨 o 스마트폰보안 2010년 2 월방통위에서는 ' 스마트폰이용자 10 대안전수칙' 을발표했음. 방통 위에서는 정립하여발표 ' 모바일시큐리티포럼' 을통해스마트폰정보보호주체별역할을 2011년 McAfee에서는 8대 IT 보안위협을제시하였으며, 그중에서소셜미디어 보안위협, 모바일보안위협, 애플의보안위협, 어플리케이션보안위협과같이 14
스마트폰관련보안위협을 4가지포함하였음 한국인터넷진흥원에서는스마트폰보안성제공을위한폰키퍼(S.S Checker) 를 개발하여앱마켓을통해배포하고있으며, 공공앱검증을수행하고있음 안랩과하우리등에서스마트폰용보안소프트웨어를개발하여보급하고있음 국내에서모바일웹플랫폼에대한개발또한진행되고있고, 스마트폰의순수 플랫폼, 인터페이스, 앱에대한기술개발이활성화되고있으며, 보안기술에 대한인식과관심도증가하고있음. 스마트폰의보안취약점을해소하기위한여러가지기술이개발되고있으며 이를통하여스마트폰보안분야의표준화에중요한역할을할것으로기대됨 o 스마트그리드보안 2009년한국형스마트그리드비전발표하여제주구좌읍에제주스마트그리드 실증단지(Test Bed) 를구축함 G8 확대정상회의기후변화포럼(MEF) 에서스마트그리드선도국으로선정( 09) 지식경제부는 2010년스마트그리드국가로드맵확정발표함 2011 년스마트그리드법( 지능형전력망구축및이용촉진에관한법률) 제정되 었고, 2012년스마트그리드법제26조제3 항에근거하여 지능형전력망정보의 보호조치에관한지침 시행발표함 지식경제부의 스마트그리드국가로드맵(2010) 에의하면, 우리나라스마트그 리드시장은 2030년까지 73.9조원규모로성장할것으로전망 o 클라우드서비스보안 한국인터넷진흥원에서는안전한클라우드서비스제공 이용을위한 클라우드 서비스정보보호안내서 발간하여배포했으며, 안전한클라우드서비스환경을 마련하기위해중소규모의클라우드업체를대상으로보안컨설팅을진행하고 있음 클라우드컴퓨팅환경가상네트워크침입대응기술개발, 신뢰클라우드컴퓨팅 플랫폼개발등의국내클라우드관련가상화시스템보안을위한기술들에대한 개발이진행중에있음 국내클라우드컴퓨팅시장규모는 11년 1조 3,040억원에서연평균 31% 성장하여 14년경에는 2조 5480 억원으로커질전망(KISTI, 국내클라우드 컴퓨팅전망) 되며이중에서 3% 정도가보안인프라투자에사용될전망 15
국내가상화시스템보안시장은 12년 227억원에서연평균 31% 성장하여 `17년 에는 877억원수준으로크게성장할것으로예상됨 3. 기술개발및표준화현황 가. 국외기술개발및표준화현황 o 개인정보보호 개인정보보호정책기술인 P3P 기술개발 P3P 는해당웹사이트를방문하지않고검색프로그램을이용하여, 해당웹사 이트와자신의프라이버시선호수준을입력을하면정책선호도및해당웹사 이트의정책원문을확인할수있는에이전트의새로운대안프로그램으로 2003년에 AT&T 개발을시작으로 IBM 등에서구현되고있음 Oracle, Sybase 등주요 DBMS 개발사들이데이터베이스에대한암 복호화, 전자서명, 접근제어기능을제공하고있음 W3C 에서는개인선호도플랫폼(P3P) 표준제정( 04) 및개정( 06) 국외의경우, Liberty Alliance에서 Interaction Service에대한표준이개발되었 으며, OASIS에서개인정보보호정책에대한표준이제정되었음 o 스마트폰보안 IDC 에따르면 10년 4분기에스마트폰판매량이 PC 판매량을최초로앞지른 것으로나타나고, 안드로이드악성코드가 10년 6 월대비 11년 1월에 400% 로 증가하였으며, 이에따라보안소프트웨어의가치가증가하고있음 스마트폰세계시장점유율에서 2011년 2 분기에한국(23.1%) 이미국(22.5%) 을 앞지름 스마트폰플랫폼과앱에보안기술을내장하고강화하는기술들이지속적으로 개발되고있으며, 스마트폰보안에대한관심이증가하는만큼스마트폰플랫 폼과관련제품에보안기술의수준이시장에중요한역할을할것으로기대하고 있음 ITUT 에서스마트폰보안요구사항, 멀웨어감염을예방하기위한스마트폰 보안, 스마트폰앱보안프레임워크등에대한표준화가추진중임 스마트폰디바이스보안부분에서는 MOTP를중심으로표준화가이루어지고 있으며, 스마트폰에대한소프트웨어기반공격이나하드웨어기반공격에대 16
하여보안위협사항을정의하고, ARM사의 TrustZone처럼스마트폰칩셋에 신뢰구역을설정하고감사와인증제어를하도록하는기술에대한표준화가 논의중임 ITUT SG17 에서전반적인모바일폰의보안표준화에대하여다루고있음. 스마트폰하드웨어와소프트웨어로나누어인증, 무결성등의보안요구사항을 다루고있음 스마트폰보안관련기술이점차나옴에따라보안이슈에대한표준화가추진 될예정임 o 스마트그리드보안 국제에너지기구(IEA) 는 2006~2030년세계스마트그리드관련시장이 2조 9 천억달러에이를것으로전망 스마트그리드기술시장은향후 20년간연평균 9% 성장하여 2030년1,000 억달러이상성장할것으로전망 미국, 유럽, 일본등에서미래전력산업시장보안성강화를위한스마트그리드 보안원천기술에대한 R&D를가속화하고있음 2010년 NIST 스마트그리드사이버보안가이드라인(IR 7628) 발표 2010년 IEC Smart Grid Standardization Roadmap 발표 미국의회는 2007 년 '2008년부터 2020년까지스마트그리드연구개발과시범 사업을국책사업으로한다' 는내용을담은연방법안을통과시키고, 2009년 2월에 발표된경기부양법안에서는스마트그리드에연간 수립함 45억달러의투자계획을 유럽은 2030년까지 1조유로를투자할계획으로 2022년까지회원국의모든 건물에스마트계량기설치계획 일본은국가차원의신전력네트워크시험 시범단지( 약 10 개사이트) 를구축 하고분산전원통합실증시험추진및전력중앙연구소는 TIPS추진 NIST는 2009년민관협의체인 SGIP(Smart Grid Interoperability Panel) 을 구성하고, 산하에 CSWG(Cyber Security Working Group) 을통해보안표준화 추진 CSWG는 2010년스마트그리드사이버보안전략및요구사항을정의한 Guideline for Smart Grid Cyber Security 를발표함 IEC는전력시스템에대한보안표준 IEC62351 시리즈제정 IEEE는변전소전자장치에대한사이버보안요구사항등변전소관련표준 17
제정 ITUT는 2010년부터 2년동안 FG Smart(Focus Group on Smart Grid) 운영 함으로써 ICT 관점에서의스마트그리드이슈를연구함 ITUT SG17에서는 2012년 2 월정기회의에서 스마트그리드보안기능구조 (X.sgsec1)' 에대한표준화작업을시작함 o 클라우드서비스보안 클라우드컴퓨팅시장은 2014년까지매년 20% 이상성장하여 1400억달러 이상의시장으로확대될것으로예측이중에서 관련보안시장이창출될것으로예상 7% 규모의클라우드컴퓨팅 가상화, 클러스터관리, 분산시스템, SOA, 보안등의분야에서구글을선두로 하파치 S/W 재단, 아미존, 야후등이앞다투어다양한기술을개발하여서비 스에적용하고있음 현재 ETSI, 3GPP, ISO/IEC, ITUT 등의국제표준화기구에서네트워크기능 구조및서비스요구사항등 도출하는과정에있으며, M2M 에대한표준화가확대되어추진될것으로예상됨 통신서비스지원을위한기본요구사항을 정보보호등서비스안정화를위한다양한요소기술 2011년 12월 NIST에서는퍼블릭클라우드컴퓨팅에서의보안및프라이버시 를위한가이드라인, 전가상화기술을위한보안가이드 2건의보안문서를 발간 2012년 ITUT에서는 Focus GroupCloud Computing WG를운용하여클라우드 보안, Cloud computing ecosystem, intercloud and general requirements 을 포함한 7 가지분야의결과문서를도출하였으며, ITUT SG13 Q.26( 클라우드), SG17( 정보보호) 에서는클라우드보안을위한보안요구사항및구조, 안가이드등에관한표준화를진행중에있음 운영보 2012 ISO/IEC JTC1 SC27 에서는클라우드컴퓨팅보안및프라이버시관련 표준을개발중에있으며, SC 38(Distributed application platforms and services) 과클라우드컴퓨팅에대한협력추진 2012년 DMTF, OGF, SNIA, TMF등을중심으로산업계표준으로서비스및 자원관리표준을제정중이며주로클라우드용 network 들을다루고있음, computing 서버, storage, 2012년 NIST, CSA, DMTF 등에서기능요구사항및참조표준을정의중이며, 보안감사및프라이버쉬가이드라인등은 ISO, NIST, CSA, DMTF 등에서주로 18
표준화를중첩해서다루고있음, 클라우드연동보안은 GICIF에서제정중 IETF에서클라우드레퍼런스프레임워크개발및 CloudAudit API 1.0 초안 개발을통해클라우드서비스제공업체의운영, 보안, 감사, 평가및보증 정보의수집을자동화할수있도록 및공통인터페이스를제공 HTTP 프로토콜을활용한프로세스기술 나. 국내기술개발및표준화현황 o 개인정보보호 2011 년개인정보보호법이발효되면서소프트포럼, 이니텍, 펜타시큐리티, KSign, 개발이활발함 이글로벌시스템등보안업체를중심으로데이터베이스보안솔루션 개인정보보호정책기술인 P3P 기술개발 ETRI에서 XACML 기술과 Interaction Service 기술개발 개인정보 DB 암 복호화및전자서명기술을포함하는제품이출시됨 2007년 ipin 서비스프레임워크/ 메시지 TTA 표준제정 2007년한국형 P3P( 개인정보보호정책설정및협상규격), 개인정보생명주기별 보안관리모델 TTA 표준제정 2008년 ipin 서비스중복가입확인정보/ 전달메시지 TTA 표준제정 2009 년개인정보보호수준정의를이한공통항목, 개인정보보호를위한 DB 보안감사로그 TTA 표준제정 국내의경우, 개인정보보호정책, 프라이버시관리모델에대한표준이개발되 었음 o 스마트폰보안 스마트폰의용도가 PC 시장을위협하고있으며, 안랩과하우리등에서스마트 폰용보안소프트웨어를개발하여보급하고있음 국내에서모바일웹플랫폼에대한개발또한진행되고있고, 스마트폰의순수 플랫폼, 인터페이스, 앱에대한기술개발이활성화되고있으며, 보안기술에 대한인식과관심도증가하고있음. 스마트폰의보안취약점을해소하기위한여러가지기술이개발되고있으며 19
이를통하여스마트폰보안분야의표준화에중요한역할을할것으로기대됨 스마트폰용보안소프트웨어가개발되어스마트폰에장착되어악성앱이설치 되는것을탐지하고있으나스마트폰에많은부하를 알려진악성앱만을방지할수있는상황임, 주고있을뿐만아니라 또한, 스마트폰앱스토어에서개인정보에관한앱검증항목을강화하고있음. 애플의앱스토어에서는개인정보수집동의여부, 위치정보활용동의여부, 악성코드포함여부를검증하고있음. SK의 T 스토어와 KT의 Olleh 마켓에서도 비슷한내용에대한검증을수행 TTA PG504 응용보안및평가인증프로젝트그룹에서는스마트폰앱보안검증 가이드라인을단체표준으로제정하였음 스마트폰관련국제표준화단체에국내기업들이참여하고있으며, 모바일 보안포럼등에서스마트폰보안에대한대책을발표하고있음. 행안부에서 모바일웹과앱개발가이드라인을추진하고있으며, 금융결재원에서스마트폰 뱅킹의표준화를추진하고있음 스마트폰보안관련특허가출원되고있으므로보안에대한표준화요구가 점점증가될것임 o 스마트그리드보안 2005 년 ~ 2013년스마트그리드 2005 ~2013 관련 11개기술개발진행중 ( 민관공동 3,342 억원투입) 2010 년제주스마트그리드실증단지컨소시엄표준개발및민간표준화협력 강화를위한스마트그리드표준화포럼출범 전력 IT 10 대국책기술에대한기술개발진행( 05~ 12 년, 민관공동 2,547억 원투입 ) 향후연평균 350 억원을투입하여전기차충전인프라시설, 전력용대규모 배터리등신규기술에대한기술개발추진 2009 년제주구좌읍에국내첫스마트그리드실증단지착공 고려대는스마트그리드보안연구센터를개소하여정보스마트그리드보안기술 연구과제수행중(~2013 년) 2020년까지 1조 4,749억원을투자하여전국에스마트미터를단계적으로보급 지식경제부 스마트그리드국가로드맵 에따라, 스마트그리드핵심기술개발 지원및조기국제표준화지원을위한표준화가이드라인설정 2011 년스마트그리드핵심기기인스마트미터에대한 지능형전력량계 제1부 20
: 기능요구사항 에대한 KS표준이제정됨 TTA PG504( 응용보안및평가인증프로젝트그룹) 에서는스마트그리드응용 보안관련표준개발임무에따라표준화추진중 o 클라우드서비스보안 KT, 삼성SDS, LG CNS 등이서비스런칭을위하여서버가상화기술, 데스크탑 가상화기술등을개발하여서비스에적용함 2009 년부터클라우드신뢰가상화플랫폼기술개발, 클라우드환경에서모바일 인증및권한관리기술개발, 가상네트워크침입대응기술개발등이수행되고 있음 TTA PG204, PG503, PG504 에서클라우드보안에대한표준을제정하고지속 추진중에있음 중소기업을위한 SaaS Platform 기술개발, 멀티테넌트접근제어및고객 관리기술, SaaS 기반원산지관리시스템기술개발 클라우드환경에서의 ID관리강화를위해 SaaS형 Security as a Service 기술 개발 클라우드환경을활용한재난방지및신속한복구기술연구중 클라우드사업자중심으로다중클라우드환경에서클라우드연동보안기술 개발중 제 2절포럼구성및운영 1. 목적및필요성 가. 포럼의목적정보보안산업표준포럼은국제표준화기구(ITUT, ISO/IEC 등) 에서는차세대 IT 기술에대한정보보안을중요한연구주제로인식하고관련기술표준활동을활발히진행하고있어이에대응하기위함 나. 포럼의필요성정보보안서비스사업자측면에서관련장비의상호연동성확보및연구개발또는도입제품평가의용이성을확보하고, 정보보안솔루션공급자측면에서는생산원가의절감및중복투자방지와이용자편의도모를위하여표준의수요자가직접참여하는실용적인사실표준화추진 21
정보보안기술관련최신기술정보수집, 및표준보급 분석및워크숍등을통한기술교류 포럼내정보보안기술개발, 표준화대책및정책대안을마련하여정보보안기술의이용및국내산업활성화장려, 국내개인정보보호제도 정책의실효성확보 2. 연혁 <2012 년> 2012. 05 : 2012. 06 : 2012. 06 : 정보보안산업표준포럼운영분과회의 정보보안산업표준포럼총회 정보보안산업표준포럼워크숍 2012. 06 : 기술분과 1차회의 2012. 07 : 제도분과 1차회의 2012. 08 : 운영분과 1차회의 2012. 10 : 기술분과 2차회의 2012. 10 : 제도분과 2차회의 2012. 11 : 기술분과 3차회의 2012. 11 : 제도분과 3차회의 2012. 12 : 정보보안산업표준포럼워크숍 (2 차) 3. 조직구성및주요활동 가. 조직구성( 조직도포함) o 포럼은의장과운영위원회를두고산하에 3개분과위원회설치 o 분과위원회는운영분과, 서비스분과, 제도분과및기술분과로구분 22
< 정보보안산업표준포럼조직도> 나. 분과별주요활동 1) o 운영위원회 포럼운영에관한전반적인사항의결및포럼활동지원 포럼운영규정의제 개정, 포럼사업계획및예산 결산승인 최신기술정보의수집, 분석, 보급및활용촉진 정보보안서비스의활성화정책 제도제안및가이드제시 분과위원회존속여부및포럼표준검토 승인 의장: 염흥열교수( 순천향대학교) 2) 기술분과 o 클라우드보안, 스마트그리드/ 스마트폰보안, IETF등정보보호기술연구및 표준개발대책마련 분과위원장: 나재훈전문위원(ETRI) 분과위원 : KISA 등총 10개기업및기관 3) 제도분과 o 개인정보보호표준및제도개발등산업활성화방안마련 분과위원장: 김정덕교수( 중앙대학교) 23
분과위원 : 윈스테크넷등총 33개기업및기관 4) 운영분과 o 정보보안표준, 세미나홍보, 인식제고및유관기관협력 분과위원장: 정길원부장( 지식정보보안산업협회) 분과위원 : 닉스테크등총 9개기업및기관 다. 회원사구성 산업체대기업중소벤처기업 연구소 학계 총계 갯수 3 9 4 5 21 백분율 (%) 14.3 42.9 19.0 23.8 100% 라. 표준화추진체계도 o 산 학 연을기반으로전략적인포럼활동을통해정부의정보보안정책지원방안마련 정보보안유관기관등관련분야별보안요구사항을도출하여정부의정보보안 관련표준화정책에의견제시 o ITUT, IETF 등국제표준화회의에지속적으로참석, 활발한기고활동을통해 제안한국제표준( 안) 에대한각국의검토의견을적극적으로수용함으로써효과적인 국제표준화추진 o TTA 및정보보안산업표준포럼활동을통해국내표준개발및효과적인표준화 추진을위한인적네트워크구축 24
< 정보보안산업표준포럼표준화추진체계> o 정보보호기술관련국제표준화동향분석 국외정보보호기술관련포럼및표준기구의기술동향파악 국제기술동향파악을통해국내에서개발가능한항목발굴및연구 관련학회지, 컨퍼런스참석등을통해지속적인동향정보제공 산 학 연전문가들과의지속적인협력을통해동향지발간예정 o 정보보안기술관련업체중심의표준화항목도출및표준개발 산업체에서필요로하는것을기반으로표준화항목도출및기술개발 학계의정보보호기술전문가들의검토를통한의견수렴및반영 스마트그리드/ 클라우드컴퓨팅표준화포럼등민간포럼과의협력체계구축 하여국내기술개발 개발된표준( 안) 의포럼표준및정보통신단체표준제정추진 o 포럼분과들의포럼활동, 워크샵개최를통해표준화동향교류및업체들의기술교류를통해서비스상호연동성확보를위한기반마련 국제표준화회의기술동향및표준화기구회의참석결과공유 정보보호기술제공기관간의서비스간상호연동성확보를위한요구사항발굴 기타연구회등에서의기술세미나지원 25
제 3 장 2012년도정보보안산업표준포럼활동결과 제 1절주요추진실적요약 (12월 15 일기준) 구분 계획건수( 계량치) 실적건수( 계량치) 대표결과물 국제활동 공적표준 기고서제안 2 20 기고서반영 1 3 기고서제정 기고서제안 O 개인정보보호프레임워크 O 스마트그리드/ 스마트폰보안기술 사실상표준 기고서반영 기고서제정 국내활동 단체표준 포럼표준 TTA표준과제채택 2 4 O 스마트그리드/ 스마트폰보안기술 TTA표준제정 1 4 O 클라우드서비스보안기술 포럼표준제정 3 포럼표준개정 O 클라우드서비스보안기술 포럼운영 기타성과지표 1 기타성과지표 2 포럼회의( 총회/ 운영위원회/ 분과회의) 9회 총회 1 회/ 운영위원회 1회기술분과 3 회, 제도분과 3회운영분과 1회 포럼세미나/ 워크숍개최 2회워크숍 2회 제 2절활동결과 1. 포럼운영결과 1) 운영위원회 가. 개요 o 일시: 2012. 5. 29 o 장소: 한국정보보호학회 o 참석자: 신용녀교수등 7명 26
나. 주요내용 o 2012 년정보보안산업표준포럼운영( 안) 검토 o 2012년정보보안산업표준포럼신임의장으로염흥열교수추천및총회선임 o 총회개최계획및일정확인 o 분과장확정및역활분담 2) 총 회 가. 개요 o 일시: 2012. 6. 13( 수) o 장소: 코엑스컨퍼런스센터(308 호) o 참석자: 염흥열의장등총105명 나. 주요내용 o 2012 년도사업계획( 안) 검토및승인 o 임원개선: 신임의장에염흥열교수( 순천향대학교) 선임 o 분과위원회관련변동사항승인 서비스분과삭제 다. 총회전경 3) 정보보안산업표준포럼워크숍 (1 차) 가. 개요 o 일시: 2012. 6. 13( 수) o 장소: 코엑스컨퍼런스센터(308 호) o 참석자: 염흥열의장등총105명 27
나. 주요내용 o 정보보안산업표준포럼목적과비전소개 o 프라이버시표준화동향 o JTC 1 SC27 운영현황및표준화동향 o ITUT SG17 정보보호표준화동향 o 국내정보보호표준동향및현황 다. 워크숍전경 4) 기술분과위원회 가. 주요활동현황 o 분과회의총 3회 o 표준개발실적 : 기고서채택 3 건, 기고서제안 14건 나. 2012년도회의개최현황 차수 1 2 3 일시/ 장소참석자주요내용 2012627 분당 TTA 20121012 분당 TTA 20121108 가락동 KISIA 10 명 16 명 12 명 1) 2012 년도사업계획검토 정보보안산업표준포럼기술분과소개 분과위원구성및향후진행방향등협의 기타논의사항 1) 표준화현황발표및포럼과제결과보고준비 ITUT SG17 스마트그리드표준화계획등표준화현황발표 포럼과제결과보고준비작업등협의 기타의견수렴 1) 보안표준동향발표 인터넷보안경보(ALERT) 프로토콜발표 클라우드컴퓨팅보안표준동향발표 결과보고관련추가자료요청 28
5) 제도분과위원회 가. 주요활동현황 o 분과회의총 3회 o 표준개발실적 : 기고서채택 1 건, 기고서제안 14건 나. 2012년도회의개최현황 차수 일시/ 장소참석자주요내용 1) 표준화과제별추진계획수립 1 201273 가락동 KISIA 12 명 제도분과회원소개 표준화과제확정 과제별참여인력확정 차기회의일정결정 1) 포럼표준안검토및협의 2 20121011 가락동 KISIA 11 명 ISO/IEC 27014 번역감수와국내표준화계획 개인정보보호기고서(PIMS) 발표와향후계획 ISO/IEC 29100 번역감수와표준화계획 정보보호관리전문가인증기고서발표 1) 국제표준동향소개및신규표준안검토 제도분과관련국제표준동향소개 3 20121129 가락동 KISIA 16 명 표준화프로젝트별작업팀구성 신규국내/ 국제표준제안검토 2012 년제도분과활동정리 포럼과제향후계획 6) 운영분과위원회 가. 주요활동현황 o 분과회의총 1회 나. 2012년도회의개최현황 차수 1 일시/ 장소참석자주요내용 201273 가락동 KISIA 12 명 1) 표준화포럼활성방안 포럼소개및분과위구성등협의 분과장선출및의장추천 포럼총회개최계획( 안) 규정재정비 29
7) 정보보안산업표준포럼워크숍 가. 행사명: 정보보안산업표준포럼워크숍신규보안이슈와보안관리표준 나. 일시: 2012. 12. 11( 화) 다. 장소: TTA 회의실(9F) 라. 주관: 지식정보보안산업협회(KISIA) 마. 참가자: 김정덕교수등 19명 바. 일정 시간내용비고 13:40 ~ 14:00 행사준비및등록 14:00 ~ 14:10 환영사( 순천향대학교) 염흥열교수 축사( 한국정보통신기술협회표준화본부) 위규진본부장 14:20 ~ 14:50 정보보호국제표준화현황및클라우드표준화동향 TTA/ 오흥룡선임 14:50 ~ 15:20 금융보안표준화동향금보연/ 김근옥주임 15:20 ~ 15:50 기업개인정보보호표준추진전략 NC Soft/ 김창오팀장 15:50 ~ 16:00 휴식 16:00 ~ 16:30 개인정보보호관리체계동향순천향대 / 염흥열교수 16:30 ~ 17:00 ISMS 표준화변경사항중앙대/ 김정덕교수 17:30 ~ 18:30 석식 사. 세미나전경 30
2. 국제표준화활동결과 가. 기고서실적( 제안/ 반영/ 채택) 번호 1 2 3 4 5 6 7 표준구분 기술반영 기술반영 정책기고 정책기고 정책기고 기술반영 기술반영 기고서명 Proposed dispositions of comments on draft Rec. ITUT Disposition of comments on SC 27 N10162 ISO/IEC 1st CD Introduction of a Korea Information Security Standardization Forum Review of agreement of the April 2012 CJK IT Standards Meeting Introduction of the Korea Information Security Standardization Forum Draft Recommendation ITUT X.websec4: Threats and security requirements for enhanced web based telecommunication service Threats for enhcanced webbased services 기구명 ISO ISO/IEC JTC1 CJK ICT meeting CJK ICT meeting RAISE20 12 ITUT 표준화회의명 13th Meeting of ISO/IEC JTC 1/SC 27/WG 5 ISO/IEC JTC 1/SC 27/WG 4 Information security WG Information security WG RAISE2012 meeting Q6Q7 rapporteur 기고자 KR KR NB 표준화단계 염흥열기고서제안 염흥열기고서제안 염흥열 나재훈 연월일 문서번호 기고반영기고반영 기고서제안 20120504 SC 27 N11084 신규과제채택 20120504 20120525 SC 27 N11001 20120806 20120816 20120806 20120816 TokyoSecur ity WGDoc 03 TokyoSecur ity WGDoc 01 기고서제안 20120807 20120807 ( 첨부파일참조 ) 기고서제안 APT ASTAP 나재훈기고서제안 20120621 20120621 SeoulQ6Q7 Doc02 20120730 20120804 ASTAP20/IN P05 SC 27 N11001 TokyoSec urity WGDoc 08 TokyoSec urity WGDoc 08 ( 첨부파일참조 ) TD3001 ASTAP20/ OUT23 8 기술반영 Security Requirements of enhanced webbased services APT ASTAP 나재훈기고서제안 20120730 20120804 ASTAP20/IN P06 ASTAP20/ OUT23 9 10 11 12 13 기술반영 기술반영 기술반영 기술반영 기술반영 Proposal for CJK collaboration on Web Service security standardization The 9th revised text of draft Recommendation ITUT X.websec4: Threats and security requirements for enhanced webbased telecommunication service for consent Proposal for new work item on security framework for smart grid Proposal for new work item on guideline for secure applications on mobile phone Proposal for revised text on draft Recommendation CJK ICT meeting Information security WG 나재훈기고서제안 ITUT SG17 나재훈기고서제안 ITUT SG17 김미주신규과제채택 ITUT SG17 김미주신규과제채택 ITUT SG17 김미주기고서제안 20120806 20120816 Toyosecurit y WGdoc 07 TokyoSec urity WGDoc 08 20120830 20120907 C732 TD3166 20120220 20120302 C613 TD2796R3 20120220 20120302 C614 TD2745R3 20120220 20120302 C615 TD2736 31
14 15 16 17 18 19 20 21 22 23 기술반영 기술반영 기술반영 기술반영 기술반영 기술반영 정책기고 정책기고 기술반영 정책기고 X.usnsec3: Security requirements for wireless sensor network routing Proposed draft text of X.sgsec1 Security functional architecture for smart grid services using telecommunication network Telebiomtric authentication framework using biometric hardware security module First draft of a guideline to technical and operational countermeasure for telebiometric applications using mobile devices. Proposal for revised draft text of X.bhsm: Telebiometric authentication framework using biometric hardware security module. Information security management guidelines for small and mediumsized telecommunication organizations KR Comments on ISO/IEC 2nd CD 27001 (revision) KR Contribution on International certification of information security management specialists Rapporteurs' report to International certification of information security management specialists NB Comments on ISO/IEC 3rd CD 27001 (revision) Meeting report Study Period on International Certification of Information Security Management Specialists ITUT SG17 김미주기고서제안 ITUT SG17 신용녀기고서제안 ITUT SG17 신용녀기고서제안 ITUT SG17 신용녀기고서제안 20120829 20120907 C730 TD3189R1 20120220 20120302 C621 TD2735 20120830 20120907 C740 TD3161 20120830 20120907 C739 TD3171 ITUT SG17 김정덕기고서제안 20120830 20120907 C720 TD3216 R2 ISO/IEC JTC1 ISO/IEC JTC1 ISO/IEC JTC1 ISO/IEC JTC1 ISO/IEC JTC1 SC27/WG1 오경희기고서제안 20120227 20120229 N10641 SC 27 N10821 SC27/WG1 오경희기고서제안 20120712 20121026 번호없음 SC 27 N11393 SC27/WG1 오경희기고서제안 20120917 20121026 N11478 SC 27 N11922 SC27/WG1 오경희기고서제안 20120920 20121026 번호없음 SC 27 N11462 SC27/WG1 오경희기고서제안 20121026 20121105 번호없음 SC 27 N11922 나. 대표기고서실적 o 스마트그리드보안프레임워크 ITUT 국제표준화신규아이템제안 (No.11, Proposal for new work item on security framework for smart grid) 과금우회, 개인정보수집, 원격제어등스마트그리드보안위협을소개함으 32
로써스마트그리드보안기술에대한표준화필요성으로주장하여 제표준화신규아이템으로채택됨 스마트그리드보안위협, 보안요구사항, 보안기능구조등제시 ITUT 스마트그리드서비스확산에대비하여시스템설계및구현시활용되어안전 한스마트그리드서비스이용환경마련에기여하며, 국 스마트그리드관련장비 개발시보안지침으로활용되어산업활성화에기여할것으로예상됨 o 스마트폰앱보안검증가이드라인 ITUT 국제표준화신규아이템제안 (No.12, Proposal for new work item on guideline for secure applications on mobile phone) 개인정보 위치정보수집및활용, 악성코드유포등스마트폰앱의악성행위를 소개함으로써앱보안검증표준화의필요성을주장하여 ITUT 국제표준화신 규아이템으로채택됨 스마트폰앱보안을위한보안성검증절차및기준제시 향후국내외앱스토어등앱배포사이트에서앱검증을위한기준으로활용되 어악성앱유포에따른피해를예방함으로써안전한스마트폰사용환경마련에 기여할것으로예상됨 33
3. 국내표준화활동결과 가. 표준개발실적( 포럼/ 단체/ 국가) 번호제개정 표준( 초안) 명 표준화기구 회의명 구분 과제채택연월일 표준제정연월일 과제채택번호 표준제정번호 1 제정 스마트그리드시스템보안기능요구사항 TTA PG504 표준제정 20120614 20121221 2012893 TTAK.KO 12.0209 2 제정 무선센서네트워크라우팅보안요구사항 TTA PG504 표준제정 20120614 20121221 2012894 TTAK.IT X.1313 3 제정정보보호거버넌스 KS 전문위원회표준제정 4 제정 5 제정 정보보호조직구성및운영지침 정보보호관리체계범위설정지침 TTA PG504 표준제정 20121221 2010142 'TTAK.KO 12.0204 TTA PG504 표준제정 20121221 2010143 'TTAK.KO 12.0205 나. 대표표준개발및활용실적 o 스마트그리드서비스보안기능구조 TTA 표준제정 정보통신망을기반으로제공되는스마트그리드서비스환경에서발생할수있는보안위협을식별하고, 이를기반으로스마트그리드시스템구축을위한보안기능요구사항을제시함 스마트그리드시스템을운영하는사업자및관련장비개발자들에게참고자료로활용될수있을것으로예상되며, 이는스마트그리드서비스의안전성및신뢰성을확보함으로써스마트그리드및관련사업활성화에기여할것으로예상됨 o 무선센서네트워크라우팅보안요구사항 TTA 표준제정 무선센서네트워크라우팅토폴로지및라우팅프로토콜의특징을보안관점 에서분석하고, 이를기반으로무선센서네트워크라우팅보안요구사항을 제시함무선센서네트워크기술기반의 USN 서비스사업자및관련장비개발자들 에게보안을위한참고자료로활용될수있을것으로예상되며, 이는무선센서 네트워크기술기반의서비스의안전성및신뢰성을확보함으로써관련사업 활성화에기여할것으로예상됨 34
제 4장 2013년도주요수행계획 제 1 절 2013년도정보보안산업표준포럼연구목표 o 유비쿼터스사회에서사용자, 네트워크및응용레벨에서정보보안요구가증가함에따라, 정보보안강화를위한기술개발및포럼표준제정 o 포럼내정보보안기술개발, 표준화대책및정책대안을마련하여정보보안기술의이용및국내산업활성화장려, 국내개인정보보호제도 정책의실효성확보 o 정보보안기술관련최신기술정보수집, 및표준보급 분석및워크샵등을통한기술교류 o 정보보안기술에대한국제표준화활동에적극참여하여국내정보보안산업의 위상및경쟁력제고 제 2 절수행과제내용 o 정보보호기술관련국내/ 국제표준개발및제 개정 개인정보보호표준프레임워크국제표준화추진 세계스마트폰시장확대와국산제품경쟁력이강화되고있으나, 폰운영체제플랫폼기술은약세임으로, 국산스마트 국내스마트폰시장의경쟁력을바탕 으로스마트폰앱과위치정보자가제어기준에대한표준화추진 클라우드환경에서의보안관리에대한원리와통제구조를인증및인정체계 에기반하여제도화하는지침제시 클라우드환경의상황인지형인증기술을표준화하기위해국내사이버보안포 럼, 유관기관과협력하여표준안건을만들고, TTA PG503을통해국내표준화 를진행하며향후 ISO/IEC SC27을통해신규국제표준제안 스마트그리드서비스의핵심기술인스마트미터보안프로토콜에대한국제 표준화추진을위해스마트그리드및정보보호관련산 학 연의견수렴을 기반으로표준안을만들고스마트그리드표준화포럼및 국내표준화를진행하며, 향후 ITUT SG17을통해국제표준개발 TTA PG504를통해 35
스마트그리드보안프레임워크국제표준화추진을위해스마트그리드및 정보보호관련산 학 연의견수렴을기반으로표준안을만들고스마트그리드 표준화포럼및 TTA PG504 를통해국내표준화를진행하며, 향후 ITUT SG17 을통해국제표준개발 스마트그리드에서의개인정보보호국제표준화추진을위해스마트그리드및 정보보호관련산 학 연의견수렴을기반으로표준안을만들고스마트그리드 표준화포럼및 TTA PG504 를통해국내표준화를진행하며, 향후 ITUT SG17 을통해국제표준개발 o 정보보호기술관련최신기술정보의수집, 분석, 보급및활용촉진 ITUT SG 17 기술표준화동향 ISO/IEC JTC1 SC27 WG5 기술표준화동향 OASIS 및 Liberty Alliance의기술표준화동향 IETF 및 OMA 에서의정보보호관련표준기술동향 EU의 PrimeLife 등의 FP7의관련프로젝트동향파악 OECD WPISP(Working Party on Information Security and Privacy) 동향파악 o 정보보호서비스의활성화정책 제도제안및가이드제시 강화된개인정보보호정책에따라온라인상에서개인정보수집을최소화하는 기술을적극활용할수있도록정책제안 제한적본인확인제도에따라사용하고있는민간 공공 정보보호강화정책제안 ipin 서비스등개인 개정정보통신망이용촉진및정보보호등에관한법률에적용되는개인정보 관리기관에대한기술능력, 시설및장비보유, 보호조치등의요건, 제공서비스 제안 클라우드서비스및스마트그리드에대한사전보안대책을강구할수있도록 하는구체적정책도입제안 o 정보보호기술관련세미나, 워크샵등행사개최 포럼정기총회 운영위원회및분과위원회회의정기개최 기술, 제도, 서비스분과별워크샵개최 36
o 정보보호기술관련국제표준화회의, 국제포럼등의참석및동향발표 ITUT, ISO/IEC JTC1 등참석 정보보호기술최신표준화동향분석 정보보호기술의국내표준화요구사항도출 국내정보보호기술및포럼기술의국제표준화추진 제 3 절수행과제방법 o 정보보호기술관련국제표준화동향분석 국외정보보호기술관련포럼및표준기구의기술동향파악 국제기술동향파악을통해국내에서개발가능한항목발굴및연구 관련학회지, 컨퍼런스참석등을통해지속적인동향정보제공 산 학 연전문가들과의지속적인협력을통해동향지발간예정 o 정보보안기술관련업체중심의표준화항목도출및표준개발 산업체에서필요로하는것을기반으로표준화항목도출및기술개발 학계의정보보호기술전문가들의검토를통한의견수렴및반영 스마트그리드/ 클라우드컴퓨팅표준화포럼등민간포럼과의협력체계구축 하여국내기술개발 개발된표준( 안) 의포럼표준및정보통신단체표준제정추진 o 포럼분과들의포럼활동, 워크샵개최를통해표준화동향교류및업체들의기술교류를통해서비스상호연동성확보를위한기반마련 국제표준화회의기술동향및표준화기구회의참석결과공유 정보보호기술제공기관간의서비스간상호연동성확보를위한요구사항발굴 기타연구회등에서의기술세미나지원 37
< 정보보안산업표준포럼조직도> o 산 학 연을기반으로전략적인포럼활동을통해정부의정보보안정책지원 방안마련 정보보안유관기관등관련분야별보안요구사항을도출하여정부의정보보안 관련표준화정책에의견제시 < 정보보안산업표준포럼표준화추진체계> 38
제 5장결론 정보보안산업표준포럼은개인정보보호, 스마트폰보안, 스마트그리드보안, 클라우드 서비스보안연구및표준개발을목적으로 2012 년설립되었다. 정보보안산업표준포럼은기술분과, 제도분과, 운영분과등 3 개분과로활동하였으며, 각분과별활동은다음과같다. 기술분과는총3 회회의를개최하였으며, 기고서는 14 건을제안하였고, 4 건이채택되었다. 제도분과는총3 회회의를개최하였으며, 기고서는 14 건을제안하였고, 1 건이채택되었다. 운영분과는 1 회회의를개최하였으며, 총회, 워크숍등개최준비를진행하였고, 분과장은 9 월 스마트워크구축사례및보안기술 수요전망 세미나시포럼을소개하였다. 이러한활동을통해산업에서필요로하는정보보안표준화아이템을발굴하고, 산학연전문가검토및의견수렴을기반으로표준을개발하였다. 이렇게개발된표준들은정보통신단체표준으로추진하였으며, 국제표준화추진을위한발판을마련하는계기가되었다. 국내정보보호기술의표준화를통해서비스간상호운용성을확보로국내기술기반제품의세계시장진출도확대될것으로기대된다. 실용성있는핵심보안기술에대한표준을개발하기위해서는신규 IT융합서비스에 대한분석및산업체수요를바탕으로표준화아이템이발굴되어야하고, 산학연협력 을통해표준개발및의견수렴이진행되어야한다. 이를위해정보보안산업표준포럼 은산학연전문가구성하였고, 협력을통하여표준안들을개발하였다. 이는향후정보 보안핵심기술표준개발및정보보안산업활성화에기여할것이다. 관련전문가의국제표준화회의참석을통해국제표준화및최신기술의동향 파악을하여, 국내실정에적합한표준화과제를도출하며, 국제표준화기구및사실 표준화를추진하는민간포럼등에의견제시등을통해국가및산업체의이익을도모 할것으로예상된다. 39
붙임 표준화추진과제( 표준( 안)/ 기고서) 요약서작성 1. 2012년도국내표준화활동실적표준안 포럼명 표준( 안) 명 표준상태 표준화내용요약 1. 표준의목적 국문 : 정보보안산업표준포럼스마트그리드시스템보안기능요구사항 영문 : Security Functional Requirements for Smart Grid System 1포럼표준개발중, 2포럼표준제정완료, 3TTA 표준과제채택, 4TTA표준완료, 5국가표준제안/ 채택 ( 주요표준화대상및범위) 본표준은스마트그리드시스템에서의보안기능요구사항을정의한다. 2. 추진경위 1 포럼표준개발시작일 : 20120401 2 종료일 : 20121130 3 TTA 표준제안일 : 20120510 4 TTA 표준과제채택일 : 20120614 5 TTA 표준완료일 : 심의중 3. 대상및범위본표준은스마트그리드시스템보안기능요구사항을정의하고있으며, 구성되어있다. 스마트그리드참조모델 스마트그리드보안위협 스마트그리드시스템보안요구사항 크게세개의장으로 4. 내용요약주요내용으로는 ICT 관점에서의스마트그리드참조모델을기준으로스마트그리드보안위협을식별하고, 이를기반으로스마트그리드시스템보안기능요구사항을도출한다. 5. 기대효과 본표준은스마트그리드시스템을운영하는사업자및관련장비개발자들에게참고자료로활용될 수있을것으로예상된다. 이는스마트그리드서비스의안전성및신뢰성을확보함으로써 스마트그리드및관련사업활성화에기여할것이다 Reference 국내외표준과관련성 없음 참고자료 ITUT SmartO33Rev.6, "ITUT FGSmart Deliverable Smart Grid Architecture", 2011 ( 본표준은 ITUT SmartO33Rev.6에서정의한스마트그리드참조모델을기반으로스마트그리드시스템 보안기능요구사항을도출함 ) 40
포럼명 표준( 안) 명 표준상태 표준화내용요약 국문 : 정보보안산업표준포럼무선센서네트워크라우팅보안요구사항 영문 : Security requirements for wireless sensor network routing 1포럼표준개발중, 2포럼표준제정완료, 3TTA 표준과제채택, 4TTA표준완료, 5국가표준제안/ 채택 ( 주요표준화대상및범위) 1. 표준의목적 본표준은안전한무선센서네트워크라우팅을위한보안요구사항을정의한다. 2. 추진경위 1 포럼표준개발시작일 : 20120401 2 종료일 : 20121130 3 TTA 표준제안일 : 20120510 4 TTA 표준과제채택일 : 20120614 5 TTA 표준완료일 : 심의중 3. 대상및범위본표준은안전한무선센서네트워크라우팅을위한보안요구사항을정의하고있으며, 개의장으로구성되어있다. 무선센서네트워크토폴로지및라우팅프로토콜보안고려사항 무선센서네트워크라우팅보안요구사항 크게두 4. 내용요약주요내용으로는무선센서네트워크의라우팅토폴로지및라우팅프로토콜의특징을보안관점에서분석하고, 이를기반으로보안요구사항을도출한다. 5. 기대효과본표준은무선센서네트워크기술기반의 USN 서비스사업자및관련장비개발자들에게보안을위한참고자료로활용될수있을것으로예상된다. 이는무선센서네트워크기술기반의서비스의안전성및신뢰성을확보함으로써관련사업활성화에기여할것이다. Reference 참고자료없음국내외표준과관련성 ITUT X.1313, "Security requirements for wireless sensor network routing", 2012 ( 본표준은 ITUT X.1313 에대한국문표준임) 41
포럼명 표준( 안) 명 표준상태 표준화내용요약 국문 : 정보보호거버넌스 정보보안산업표준포럼 영문 : Governance of information security 1포럼표준개발중, 2포럼표준제정완료, 3TTA 표준과제채택, 4 TTA표준완료, 5 국가표준제안/ 채택, ( 주요표준화대상및범위) 1. 표준의목적 JTC 1 SC 27과 ITUT SG 17 이 common text로개발한 ISO/IEC 27014 (X.1054, 정보보호 거버넌스, 2013년 1 월국제표준발간예정) 를국가표준화함으로써국내정보보호거버넌스개 념을소개하고거버넌스구현시주요참고자료로사용하고자함 2. 추진경위 1 포럼표준개발시작일 : 2012. 9. 20 2 KS 국가표준으로추진하기로결정하고현재표준개발중 3. 대상및범위 정보보호에대한이사회및최고경영층의역할과책임을규명한문서로서정보보호를수행하는모든조직을적용대상으로함 4. 내용요약 정보보호에대한이사회및최고경영층의역할과책임을규명한문서 정보보호거버넌스정의, 목표, 효과, 기타거버넌스와의관계, ISMS와의관계등기본적개념 소개 정보보호거버넌스를수행하기위한 6가지원칙제시 정보보호거버넌스수행을위한 5 가지프로세스( 평가, 지시, 모니터링, 소통, 보증) 제시 정보보호거버넌스 5개프로세스별거버넌스주체및경영층이수행할과제제시 외부이해관계자와소통시사용할수있는정보보호현황보고서샘플을부록에포함 5. 기대효과 정보보호와비즈니스와의연계, 가치전달및책임성보장등이개선될것으로기대 Reference ISO/IEC 27014 (FDIS), KS 참고자료 초안 국내외표준과관련성 42
포럼명 표준( 안) 명 표준상태 표준화내용요약 정보보안산업표준포럼 국문 : 정보보호관리체계범위설정지침 영문 : A Guide for Establishing the Scope of Information Security Management System 1포럼표준개발중, 2포럼표준제정완료, 3TTA 표준과제채택, 4TTA표준완료, 5국가표준제안/ 채택 조직에서정보보호관리체계의범위를결정할때유의해야할사항을설명하고, 조직적, 기술적, 물리적측면을검토하여범위를정의하는방법을제시한다. 1. 표준의목적조직에서는다양한정보보호활동과업무를체계적이고효율적으로수행하기위해정보보호관리체계를수립 운영하는데, 이를위해서는가장먼저정보보호관리체계의범위를설정해야한다. 본표준은조직에서정보보호관리체계(ISMS) 를수립하기위한범위를적절하게설정하기위한지침을제시한다. 2. 추진경위 1 포럼표준개발시작일, 종료일: 2012. 6. 30, 2012. 11. 30 2 TTA 표준제안일, TTA 표준과제채택일, TTA 표준완료일 : 미상, 미상, 2012. 12. 21 3 국가표준채택일 : 해당사항없음 3. 대상및범위대상 : 정보보호관리체계(ISMS) 를구축하고자하는일반기업및기관범위 : 정보보호관리체계(ISMS) 범위정의에관한요구사항과일반적으로고려해야할요소, 이를만족하기위한업무및조직, 주요기술요소, 물리적위치측면에서범위와경계의정의방법및이를통합하여정보보호관리체계(ISMS) 범위를정의하는방법 4. 내용요약관리체계범위설정시중요요소의누락을방지하고범위와경계를명확히하기위해서는조직의핵심정보자산을기본으로하여범위를정의하여야한다. 범위정의시에는핵심정보자산의관련요소를조직적측면, 기술적측면, 물리적측면의 3가지측면에서검토하여각각범위와경계를정의하고이를통합하여최종적으로정보보호관리체계(ISMS) 의범위와경계를정의한다. 5. 기대효과일반기업및기관에서주요정보자산을보호하기위한정보보호활동및업무를효율적으로수행할수있도록지원한다. 또한기업의정보보호관리체계를적절한범위에대하여수립 운영할수있도록함으로써보안수준을향상시키고, 인증취득을준비하는기업을지원하며인증제도활성화에기여할것이다. Reference 참고자료 국내외표준과관련성 ISO/IEC 27003, Information technology Security techniques Information security management systems implementation guidance, 2010. 상기표준의범위부분을추가설명및예제제공 43
1. 포럼명 표준( 안) 명 표준상태 표준화내용요약 표준의목적 국문 : 정보보안산업표준포럼정보보호조직구성및운영지침 영문 : A Guide for Constitution and Operation of Information Security Organization 1포럼표준개발중, 2포럼표준제정완료, 3TTA 표준과제채택, 4TTA표준완료, 5국가표준제안/ 채택 정보보호활동및업무를체계적이고효율적으로수행하기위하여조직내에정보 보호책임을할당하고전담조직을구성하기위해필요한지침을제공한다. 조직에서정보보호관리체계를수립 운영하기위해서는이에관련된업무를수행할조직과책임의 규정이필요하다. 조직이보안목표를달성하고정보보호정책방향에따라다양한정보보호활동 및업무를체계적이고효율적으로수행하기위하여조직내에정보보호책임을할당하고전담 조직을구성하기위해필요한지침을제공한다. 2. 추진경위 1 포럼표준개발시작일, 종료일: 2012. 6. 30, 2012. 11. 30 2 TTA 표준제안일, TTA 표준과제채택일, TTA 표준완료일 : 미상, 미상, 2012. 12. 21 3 국가표준채택일 : 해당사항없음 3. 대상및범위 대상 : 정보보호관리체계(ISMS) 를구축하고자하는일반기업및기관 범위 : 정보보호활동및업무를수행하기위하여조직내에정보보호책임을할당하고정보보호 전담조직을구성하기위한고려사항과책임명시 4. 내용요약조직의정보보호관리업무를체계적이고효율적으로수행하기위한책임할당및정보보호전담조직의구성과운영에있어고려해야할사항을제시하고, 전체조직에걸친정보보호책임할당과정보보호심의위원회등정보보호조직이수행해야할역할및주요활동을정의하기위한지침을제공한다. 정보보호활동을수행하는정보보호조직구성원( 인력) 에대한책임과역할(R&R, Role & Responsibility) 을기술한다. 또한정보보호조직의책임자및실무담당자등구성원의자격요건, 역할및책임을정의하기위한지침을제공한다. 5. 기대효과 본표준은모든산업분야에대하여조직내정보보호책임을적절히할당하고전담조직을구성할 수있도록지침을제공함으로써정보보호관리체계수립및운영에필요한다양한정보보호활동 및업무수행을체계적이고효율적으로수행할수있게한다. 정보보호는기본적으로기술적 문제이기전에인적현안이므로, 특히기밀정보나고객정보를다루는산업분야에서이표준의 적용은대상조직의정보보호수준제고에중요한역할을할것이다. Reference 참고자료 국내외표준과관련성 ISO/IEC 27003, Information technology Security techniques Information security management systems implementation guidance, 2010. 상기표준의범위부분을추가설명및예제제공 44
2. 2012년도국제표준화활동실적기고서 포럼명기고서명작성자인적사항제출표준화기구 정보보안산업표준포럼 국문명 : 스마트그리드보안프레임워크신규표준화아이템제안 영문명 : Proposal for new work item on security framework for smart grid 성명김미주소속한국인터넷진흥원 직급주임연구원연락처 024055207 기구명 ITUT SG17 관련기술위원회 Q.6/WP2 회의명장소 SG17 정기회의 회의기간 2012.2.20 ~ 2012.3.2 스위스제네바 기고서상태 1 기고서제안, 2 기고서채택 표준화내용요약 ( 주요표준화대상및범위) 1. 작성배경및목적 o ITUT Q.6/17 에서스마트그리드홈영역에해당하는홈네트워크보안표준화를진행한바있음 o 지난 9월회의스마트그리드보안프레임워크신규아이템제안을하였으나 ITUT FG Smart( 스마트그리드포커스그룹) 활동존중을위해신규아이템채택여부판단을 FG Smart가 활동을종료하는 2011년 12월이후로연기함 2. 기고서내용 o 스마트그리드보안필요성 o FG Smart 활동결과 o 신규표준화아이템제안요약서 o 표준안목차제안 3. 중요도 신규아이템제안 Reference 참고자료 국내표준화여부 45
포럼명기고서명작성자인적사항제출표준화기구 정보보안산업표준포럼 국문명 : 모바일폰어플리케이션보안가이드라인신규표준화아이템제안 영문명 : Proposal for new work item on guideline for secure applications on mobile phone 성명 김미주 소속 한국인터넷진흥원 직급주임연구원연락처 024055207 기구명 ITUT SG17 관련기술위원회 Q.6/WP2 회의명장소 SG17 정기회의 회의기간 2012.2.20 ~ 2012.3.2 스위스제네바 기고서상태 1 기고서제안, 2 기고서채택 표준화내용요약 ( 주요표준화대상및범위) 1. 작성배경및목적 o ITUT Q.6/17에서는모바일보안표준화를진행중에잇음 o 안전한스마트폰환경을마련하기위한모바일폰어플리케이션보안성체크를위한가이드라인제안 2. 기고서내용 o 모바일어플리케이션보안필요성 o 모바일어플리케이션보안성체크절차 o 모바일어플리케이션보안성체크지침 o 신규표준화아이템제안요약서 o 표준안목차제안 3. 중요도 신규아이템제안 Reference 참고자료 국내표준화여부 46
포럼명기고서명작성자인적사항제출표준화기구 정보보안산업표준포럼 국문명 : WSN 라우팅보안요구사항수정권고안제안 영문명 : Proposal for revised text on draft Recommendation X.usnsec3: Security requirements for wireless sensor network routing 성명김미주소속한국인터넷진흥원 직급주임연구원연락처 024055207 기구명 ITUT SG17 관련기술위원회 Q.6/WP2 회의명장소 SG17 정기회의 회의기간 2012.2.20 ~ 2012.3.2 스위스제네바 기고서상태 1 기고서제안, 2 기고서채택 표준화내용요약 ( 주요표준화대상및범위) 1. 작성배경및목적 o ITUT Q.6/17에서 USN 보안표준화추진중 o Q.6/17 에서무선센서네트워크보안라우팅메커니즘(X.usnsec3) 신규표준화아이템채택 o ITUT SG17 2월정기회의예정된 Consent 추진을위한수정권고안제출 2. 기고서내용 o WSN 라우팅보안에영향을미치는토폴로지및메시지교환을위한절차정의 o 기존의라우팅프로토콜정리 o 토폴로지및메시지교환속성에따른보안요소정의 3. 중요도 Base Document Reference 참고자료 국내표준화여부 47
포럼명기고서명작성자인적사항제출표준화기구 정보보안산업표준포럼 국문명 : X.sgsec1에대한드래프트텍스트제안 영문명 : Proposed draft text of X.sgsec1 Security functional architecture for smart grid services using telecommunication network 성명김미주소속한국인터넷진흥원 직급주임연구원연락처 024055207 기구명 ITUT SG17 관련기술위원회 Q.6/WP2 회의명장소 SG17 정기회의 회의기간 2012.8.29 ~ 2012.9.7 스위스제네바 기고서상태 1 기고서제안, 2 기고서채택 표준화내용요약 ( 주요표준화대상및범위) 1. 작성배경및목적 o ITUT Q.6/17 에서스마트그리드홈영역에해당하는홈네트워크보안표준화를진행한바있음 o 2011년 9월회의스마트그리드보안프레임워크신규아이템제안을하였으나 ITUT FG Smart( 스마트그리드포커스그룹) 활동존중을위해신규아이템채택여부판단을 FG Smart가 활동을종료하는 2011년 12월이후로연기함 o 2012년 2월회의스마트그리드보안프레임워크신규아이템을제안하여채택됨 2. 기고서내용 o 표준안의주요구성및 FG Smart 에서정의한스마트그리드참조모델분석, 용어정의, 배경등 제안 o 주요국입장 : 일본대표가 coeditor로참여하고있음 3. 중요도 Base Document Reference 참고자료 국내표준화여부 48
포럼명기고서명작성자인적사항제출표준화기구 정보보안산업표준포럼 국문명 : 바이오보안토큰을이용한바이오인증프레임워크 영문명 : Proposal for revised draft text of X.bhsm: Telebiomtric authentication framework using biometric hardware security module 성명 신용녀 소속 한양사이버대학교 직급 조교수 연락처 0222900303 기구명 ITUT SG17 관련기술위원회 Question 9 회의명 ITUT SG17 회의기간 2012.2.20 ~ 2012.3.2 장소 기고서상태 1 기고서제안, 2 기고서반영, 3 기고서채택 표준화내용요약 ( 주요표준화대상및범위) 1. 작성배경및목적공인인증서가사용되는부분은인터넷뱅킹이나증권과같은금융분야에서조세행정, 정부조달같은공공분야및원격진료, 의료상담및진료자료조회와같은민감한개인정보를다루는영역에까지그적용범위를넓혀가고있다. 공인인증서의해킹과같이본인이원하지않는상황에서노출된공인인증서로말미암아금전적피해를입는것도문제지만, 정부조달과같은분야에서사용자의고의에의해서담합을위하여공인인증서를대여함으로서선의의피해자를양산하는문제를해결하고, 바이오보안토큰제품의시장확대와더불어확실한개인인증으로안전한인터넷사용환경을만드는데기여한다. 바이오인식정보중에서임베디드화가가장용이하고가장널리사용되고있는지문인식이채택되고있다. 그러나이와더불어보안토큰에서의취약한개인인증기법에대한취약점이노출되고있으며, 바이오인식과같은확실하고안전한개인인증기법을활용하여, 바이오보안토큰과공인인증서의연계모델을제시하고, 모델별발생할수있는다양한보안위협으로부터민감한개인프라이버시정보인바이오정보를보호하기위한통합보안프레임워크를제시하고자한다. 2. 기고서내용 바이오보안토큰은바이오인식센서와바이오인식정보를처리할수있는 MCU(MicroController Unit), 스마트카드로구성된 USB 형태의하드웨어기기로서, 기기내부에서바이오인식센서로 가입자의바이오인식정보를추출하여보안토큰에안전하게저장하며, 사용자인증시바이오인식 센서로부터취득된바이오인식정보와저장되어있는바이오인식정보를기기내부 MCU에서매칭하여 사용자를인증하는독립된하드웨어보안모듈이다. 바이오보안토큰과공인인증서의연계모델을 제시하고, 모델별발생할수있는다양한보안위협으로부터민감한개인프라이버시정보인 바이오정보를보호하기위한통합보안프레임워크를제시한다. 바이오보안토큰을이용한개인인증프레임워크에관한지난 2011년 8월회의및 TSB의의견을 수렴하여 Summary 수정, Fig 4 추가(BHSM과 Service Provider 간정보흐름) 등을수정하였다. 3. 중요도 Base Document Reference 참고자료 국내표준화여부 해당사항없음 49
포럼명기고서명작성자인적사항제출표준화기구 정보보안산업표준포럼 국문명 : 모바일디바이스기반바이오정보보호를위한기술적, 관리적 가이드라인초안 영문명 : First draft of a guideline to technical and operational countermeasure for telebiometric applications using mobile devices. 성명신용녀소속한양사이버대학교 직급조교수연락처 0222900303 기구명 ITUT SG17 관련기술위원회 Question 9 회의명 ITUT SG17 회의기간 2012.8.29 ~ 2012.9.7 장소 기고서상태 1 기고서제안, 2 기고서반영, 3 기고서채택 표준화내용요약 ( 주요표준화대상및범위) 1. 작성배경및목적 현재스마트폰은많은센서들 (proximity sensor, light sensor, accelerometer, bluetooth, microphone, GPS 등) 을포함하고있으며, 최근출시되는제품에는지문인식센서나 NFC(Near Field Communication) 센서와같은새로운센서들이추가적으로포함되고있다. 이들센서들중에서는 보안과상관없는것들도있지만, 보안위협에이용되거나, 또는보안위협에대응하는수단으로서의 기능을담당할수도있다. 개방형플랫폼을탑재하고바이오인식센서를가진스마트폰은이동성과편의성이뛰어난반면각종 침해위협에쉽게노출될수있어철저한보안대책을마련하는것이무엇보다중요하다. 특히높은 신뢰성을기반으로하는금융서비스분야및조달서비스에바이오인식기반스마트폰이사용되는경우 잠재적인보안위협에선제적으로대응할수있는보안체계를갖추려는노력이필요하다. 2. 기고서내용 제안된 Mobile Security Reference Model은바이오인식기반스마트폰서비스에관한체계적인 정보보안위협분석및대응책마련에대한가이드를시스템개발자에게제시함으로써시스템의 보안성을향상시키는데도움이된다. 스마트폰기반바이오인식기술사용서비스에서발생할수있는위협과대처방안에대한초기 모델을제시함으로써더많은위협요인들과대응방안들을찾아내어축적할수있는토대를제공한다. 바이오인식기반보안성에있어서개인컴퓨터와스마트폰간의차이점을명시적으로제시하였으며, 스마트폰침해사고유형을분류하고, 모바일악성코드피해사례및감염경로를분석한다. 바이오인식기반스마트폰서비스구성요소및침해위협들과이에대한대처방안을모델화하여 바이오인식기반스마트폰서비스보안참조모델을제시한다. 3. 중요도 Base Document Reference 참고자료 국내표준화여부 해당사항없음 50
포럼명기고서명작성자인적사항제출표준화기구 정보보안산업표준포럼 국문명 : X.1085(X.bhsm)( 바이오메트릭하드웨어보안모듈을이용한 텔레바이오메트릭인증프레임워크) 의텍스트 영문명 : Proposal for revised draft text of X.bhsm: Telebiometric authentication framework using biometric hardware security module. 성명 신용녀 소속 한양사이버대학교 직급 조교수 연락처 0222900303 기구명 ITUT SG17 관련기술위원회 Question 9 회의명 ITUT SG17 회의기간 2012.8.29 ~ 2012.9.7 장소 기고서상태 1 기고서제안, 2 기고서반영, 3 기고서채택 표준화내용요약 ( 주요표준화대상및범위) 1. 작성배경및목적공인인증서가사용되는부분은인터넷뱅킹이나증권과같은금융분야에서조세행정, 정부조달같은공공분야및원격진료, 의료상담및진료자료조회와같은민감한개인정보를다루는영역에까지그적용범위를넓혀가고있다. 공인인증서의해킹과같이본인이원하지않는상황에서노출된공인인증서로말미암아금전적피해를입는것도문제지만, 정부조달과같은분야에서사용자의고의에의해서담합을위하여공인인증서를대여함으로서선의의피해자를양산하는문제를해결하고, 바이오보안토큰제품의시장확대와더불어확실한개인인증으로안전한인터넷사용환경을만드는데기여한다. 바이오인식정보중에서임베디드화가가장용이하고가장널리사용되고있는지문인식이채택되고있다. 그러나이와더불어보안토큰에서의취약한개인인증기법에대한취약점이노출되고있으며, 바이오인식과같은확실하고안전한개인인증기법을활용하여, 바이오보안토큰과공인인증서의연계모델을제시하고, 모델별발생할수있는다양한보안위협으로부터민감한개인프라이버시정보인바이오정보를보호하기위한통합보안프레임워크를제시하고자한다. 2. 기고서내용바이오보안토큰은바이오인식센서와바이오인식정보를처리할수있는 MCU(MicroController Unit), 스마트카드로구성된 USB 형태의하드웨어기기로서, 기기내부에서바이오인식센서로가입자의바이오인식정보를추출하여보안토큰에안전하게저장하며, 사용자인증시바이오인식센서로부터취득된바이오인식정보와저장되어있는바이오인식정보를기기내부 MCU에서매칭하여사용자를인증하는독립된하드웨어보안모듈이다. 바이오보안토큰과공인인증서의연계모델을제시하고, 모델별발생할수있는다양한보안위협으로부터민감한개인프라이버시정보인바이오정보를보호하기위한통합보안프레임워크를제시한다. o '10년 04월 New work Item 채택( 한국제안) o '11년 04월 X.bhsm의초안제출 o '12년 05월 ISO/IEC JTC1 SC27 WG5 common text로채택 o 현재 X.bhsm의 common text 제출 o 본권고안은한국에서제안하였으므로찬성입장. 또한본권고안은 ISO/IEC JTC1 SC27 WG5와 ITUT SG17의 common text로써전폭적지원을받고있으므로특별한이견없음 3. 중요도 Base Document Reference 참고자료 국내표준화여부 해당사항없음 51
포럼명기고서명작성자인적사항제출표준화기구기고서상태표준화내용요약 정보보안산업표준포럼 국문명 : 정보통신중소기업을위한정보보호관리지침, 영문명 : X.sgsm, Information security management guidelines for small and mediumsized telecommunication organizations 성명김정덕소속중앙대학교 직급교수연락처 01020066380 기구명 ITUT 관련기술위원회 Q. 3 회의명 SG 17 회의기간 2012.08. ~ 2012.11. 장소제네바정기회의 (12.08), 서울임시회의(12.11) 1 기고서제안, 2 기고서반영, 3 기고서채택 ( 주요표준화대상및범위) 1. 작성배경및목적 정보통신중소기업을위한정보보호관리지침으로 X.1051과 ISO/IEC 27002를기반으로중소기 업에적합한지침을개발하는문서로서한국과일본이공동개발하고있음 2010년 4월부터시작된본프로젝트는 2013년 4월회의시 consent를목표로최종작업중에 있음 2. 기고서내용 27002의내용중한국이맡은 6, 7, 8, 9, 10장에해당되는보안통제에서중소기업이수행할수 있는구현지침을선택또는새롭게개발해서제안하였음 지난 9월제네바정기회의와 11월서울임시회의에서이에대한검토를진행하였음 2013년 1월 14 일서울에서의임시회의에에디터에의해계속적으로검토하기로함. 2013. 4 월콘센트를위해일본에디터와상의하여표준문건완성목표 3. 중요도 Comment Reference 국내표준화여부 참고자료 C720, Q3Nov 2012Doc005 52
포럼명 기고서명 작성자인적사항 제출표준화기구 지식정보보안산업표준포럼 국문명 : 정보보호전문가의국제인증에대한조사보고서 영문명 :Rapporteurs ' report to International certification of information security management specialists 성명 오경희 소속 티씨에이서비스 직급 대표 연락처 05021070000 기구명 ISO/IEC JTC1 관련기술위원회 SC27 WG1 회의명 ICISMS 회의기간 2012.10.23 ~ 2012.10.23 장소 기고서상태 1 기고서제안, 2 기고서반영, 3 기고서제정 표준화내용요약 1. 작성배경및목적 정보보호전문가의국제인증필요성에대한조사 정보보호전문가의국제인증필요성및타당성을조사하고필요시표준항목을도출및제안 2. 기고서내용 1 Background : Terms of reference, Contributions (Korea, Japan, Sweden, ISACA, ISC2, CASCO, etc) 2 State of the art Existing certifications : CISA, CISM, CISSP, Security+, GSEC, SIS(KR), APCS(SW), ISSE(JP), etc Existing standards : ISO 17024 for bodies operating personal certification, ISO 19011 for auditing MS, ISO 27007 for auditing ISMS, ISO 24773 for certification of SE professionals, ISO TR 19759 to SEBOK, ISO TR 29154 for the application 24773 3 Survey and need Survey of potential need on personal certification for ISM in Japan Potential users and objectives of use 4 Survey conclusion Certification/qualification on Information Security is very popular around the world but they are not explicitly met the requirements for ISM in market Comparing between certifications or certification against competency requirements is difficult. 5 Discussion on potential project and Conclusion Potential project : Body of knowledge, standard for certification of bodies operating personal certification Needs of extended study period for developing contents and analysis of interested parties 3. 중요도 Base document Reference 국내표준화여부 해당사항없음해당사항없음 참고자료 53
포럼명기고서명작성자인적사항제출표준화기구 정보보안산업표준포럼 국문명 : ISO/IEC 27001 CD 버전2에대한한국의견 영문명 :KR Comments on ISO/IEC 2nd CD 27001 (revision) 성명오경희소속티씨에이서비스 직급대표연락처 05021070000 기구명 ISO/IEC JTC1 관련기술위원회 SC27 WG1 회의명 ICISMS 회의기간 2012.5.8 ~ 2012.5.11 장소 기고서상태 1 기고서제안, 2 기고서반영, 3 기고서제정 표준화내용요약 ISO/IEC 27001 CD 버전 2에대한한국의견 8가지중 6가지반영 1. 작성배경및목적정보보호관리체계인증을위한국제표준개정안에대한한국의견제시및반영 2. 기고서내용 1 The requirements of interested parties are on ISMS including the management system itself and information security. 2 Resources are almost always insufficient in any organization and squeezing budget occurs frequently. 3 If providing sufficient resources is a requirement, managers should check the sufficiency and appropriately react to any change. 4 Even the information security risk assessment and treatment processes are reliable; the results could contain errors and omissions if the input doesn't reflects the real situation. Determining the reliability of the result could be very difficult because it relates with probability, not an exact prediction. You can say just it s reasonable or not rather than saying it s correct or wrong (except simple and clear errors). In b), there is any mention about control objectives but risk treatment options. Thus the first sentence of NOTE 2 should be changed to about treatment options. 5 After the implementation of controls, management should review the controls work effectively as expected. 6 Note 1 is not necessary. 7 Justification for a control is a reference to risk 8 The information security risk treatment plan and the residual risks are approved by risk owner. But the level of acceptable risk and the residual risk over the level should be approved by top management. Add sentence as follows: Risk owners should review the controls implemented as planed and the risk is changed as expected. 3. 중요도 Comment Reference 국내표준화여부 해당사항없음해당사항없음 참고자료 54
포럼명 기고서명 정보보안산업표준포럼 국문명 : 정보보호전문가의국제인증에대한한국의견 영문명 :KR Contribution on International certification of information security management specialists 작성자인적사항 성명오경희소속티씨에이서비스직급대표연락처 05021070000 기구명 ISO/IEC JTC1 관련기술위원회 SC27 WG1 제출표준화기구 회의명 ICISMS 회의기간 2012.10.23 ~ 2012.10.23 장소 기고서상태 1 기고서제안, 2 기고서반영, 3 기고서제정 표준화내용요약 정보보호전문가의국제인증필요성에대한한국입장설명 1. 작성배경및목적 정보보호전문가의국제인증표준에대한한국입장에서의필요성및기여의사설명 2. 기고서내용 Korea strongly supports ICIS to commence a formal project. Korea has developed different schemes to certify information security professionals to meet the needs for qualifying personnel for implementing and operating organizational ISMS as well as auditing. These include certification schemes for KISMS auditors, SIS (specialist for information security) for implementing and operating information security, and CPPG (Certified Privacy Protection General) for protecting personal data. KISMS auditor and SIS schemes are run by KISA (Korean Internet Security Agency) and have been on courses for stateauthorization. CPPG is certified by an private association, Korea CPO(Chief Privacy Officer) forum, but owed by Personal Information Protection (PIP) Act went into effect on last September, has enhanced its reputation. According to the PIP act, the organizations which manage personal information should appoint Chief Privacy Officer (CPO), a member of senior management or having specialty on privacy. The law also mandates Personal Information Impact Analysis to public institutions and recommends to private. Ministry of Public Administration and Security started study project on qualification scheme for Personal Information Impact Analysis Professionals to support the needs. Moreover, Financial Supervisory Service mandates financial institutions appoint Chief Security Officer, and the CSO qualification becomes one of hot issues. Korea is willing to share its experience on this area and refer global view to establish qualification schemes for new needs. This international standard would be helpful other NBs in a similar situation. 3. 중요도 Base document Reference 국내표준화여부 해당사항없음해당사항없음 참고자료 55
포럼명 기고서명 작성자인적사항 정보보안산업표준포럼 국문명 : ISO/IEC 27001 CD 버전3에대한한국의견 영문명 :KR Comments on ISO/IEC 3nd CD 27001 (revision) 성명오경희소속티씨에이서비스 직급대표연락처 05021070000 기구명 ISO/IEC JTC1 관련기술위원회 SC27 WG1 제출표준화기구 회의명 ICISMS 회의기간 2012.10.23 ~ 2012.10.23 장소 기고서상태 1 기고서제안, 2 기고서반영, 3 기고서제정 표준화내용요약 ISO/IEC 27001 CD 버전 3에대한한국의견 6개중 3개반영 1. 작성배경및목적 정보보호관리체계인증을위한국제표준개정안에대한한국의견제시및반영 2. 기고서내용 1 Information security risk assessment is the process to evaluate the gap between the reality and objectives in information security. Information security risk treatment is the planning process to achieve information security objectives. 2 Organization is defined as person or group of people. If management system is a set of interrelated or interacting elements of an organization, it should be a set of interrelated or interacting elements of a person or group of people. But management system is not a person or group of people. It includes structure, roles and responsibilities, planning, operation, etc. 3 If something is referred by a and b, it means it referred by a combination of them. 4 Regardless of the scope of the information security management system covers entire organization or not, the top management refers to those who direct and control the ISMS scope. 5 If the maintenance of information management system includes implementation and operation of information security controls, then there is no more resources needed, and the identical text is enough. If not, the organization should provide the resources needed for information security controls to make ISMS effective. Ensuring that information security procedures support the business requirements doesn t depend on sufficiency of resources but extent of how well the procedures is designed 6 Quality and/or environmental management system is less related with information security. 3. 중요도 Comment Reference 국내표준화여부 해당사항없음해당사항없음 참고자료 56
포럼명기고서명작성자인적사항제출표준화기구 정보보안산업표준포럼 국문명 : 정보보호전문가의국제인증에대한연구회의보고서 영문명 :Meeting report Study Period on International Certification of Information Security Management Specialists 성명 오경희 소속 티씨에이서비스 직급 대표 연락처 05021070000 기구명 ISO/IEC JTC1 관련기술위원회 SC27 WG1 회의명 ICISMS 회의기간 2012.10.23 ~ 2012.10.23 장소 기고서상태 1 기고서제안, 2 기고서반영, 3 기고서제정 표준화내용요약 정보보호전문가의국제인증필요성에대한연구회의보고서 1. 작성배경및목적 정보보호전문가의국제인증필요성및타당성을조사하고필요시표준항목을도출및제안 2. 기고서내용 The rapporteurs presented the study report N11478 including the state of the art concerning existing certification schemes and standards as well as a market survey. During the meeting, ISOs potential role and contribution to the area was discussed. Some concerns were raised with regards to how a potential ISO contribution would work in relation to existing schemes. The meeting voted unanimously to extend the study period with the following activities: 1) Investigating the need and feasibility to tailor ISO 17024 into something ISMS specific 2) Investigating the need of an ISMS specific Body of Knowledge (BOK), 3) Analysis of potential certification candidates 4) Analysis of interested parties (other than those identified in 3) above) Activities 1 and 3 will be lead by Yonosuke Harada (JP), activity 2 by Kyeong Hee Oh (KR), activity 4 and coordination by Fredrik Björck (SE). The meeting was successful and it was noted that accreditation bodies as well as certification bodies were represented at the meeting and actively involved in the discussion. Given the importance of participation by certification organisations as well as CASCO (the ISO group that owns the ISO/IEC 17000series) and SC7 WG20 (Software and systems bodies of knowledge and professionalization that owns ISO TR 19759 and ISO 24773), the meeting will also result in liaison statements being sent. The rapporteurs were thanked for their work by the meeting delegates. Meeting was closed. 3. 중요도 Base document Reference 국내표준화여부 해당사항없음해당사항없음 참고자료 57
포럼명기고서명작성자인적사항제출표준화기구 국문명 : 정보보안산업표준포럼 영문명 : Draft Recommendation ITUT X.1144(websec4): Threats and security requirements for enhanced web based telecommunication service 성명나재훈소속 ETRI 직급전문위원연락처 042 860 6749 기구명 ITUT 관련기술위원회 Question 7 회의명장소 Q6Q7 래포처 회의기간 2011.06.21~ 2011.06.22 서울 기고서상태 1 기고서제안, 2 기고서반영, 3 기고서채택 표준화내용요약 ( 주요표준화대상및범위) 1. 작성배경및목적 ITUT SG17 8월회의에서승인받고자작성된표준안으로 Question 7 검토하고자함. 내에서문서를사전 2. 기고서내용 웹 2.0 및매쉬업등의향상된웹기술은월드와이드웹 (WWW) 기술과사용자들에게창의성, 정보공유및협력을촉진하는것을목적하는웹디자인의새로운경향이다. 개발자가효율적으로 사용할수있도록하고, 비용면에서효율적으로새로운서비스를개발및배포하고, 쉽고빠르게복합 서비스를형성하는다양한소스의콘텐츠를통합할수있기때문에향상된웹기술을통신서비스에 적용하고있다. 향상된웹기반응용프로그램뿐만아니라전통적인웹애플리케이션과같은보안문제를가지고 있으며그위험들은자신의특정형태를갖추고있습니다. 이러한기술로보안위협이 식별되어야하고, 다양한서비스에대한보안요구사항및기능을제공하여야한다. 이표준은향상된웹기술들을( 웹응용프로그램프로그래밍인터페이스 (API) 와매쉬업) 사용함에 있어서발생되는위협과이를대응하기위한보안요구사항과기능들에대하여정의한다. 3. 중요도웹기술기반의서비스들에대한보안위협을인식시키고, 정의하여산업에활용하도록제시 그에상응하는보안요구사항을 Reference 참고자료 국내표준화여부 TTA PG504 에서전년도(2011) 에단체표준으로제정(TTAK.KO12.0184,TTAK.KO12.0185) 58
포럼명기고서명작성자인적사항제출표준화기구 국문명 : 정보보안산업표준포럼 영문명 : Threats for enhcanced webbased services 성명나재훈소속 ETRI 직급전문위원연락처 042 860 6749 기구명 APT 관련기술위원회 IS EG 회의명장소 ASTAP 7월 회의기간 2011.07.30~ 2011.08.04 방콕 기고서상태 1 기고서제안, 2 기고서반영, 3 기고서채택 표준화내용요약 ( 주요표준화대상및범위) 1. 작성배경및목적 환태평양국가들간의웹서비스위협에대한의견을상호교환 2. 기고서내용 공통적위협인 DOS, 도청, 맨인더브라우저, 맨인더미들, 위장, 메시지위변조, 부인, 재전송과같은 8 종을위협을구분하고, 비동기서비스에대한 Exploiting silent transactions, Crosssite request forgery (CSRF), Crosssite scripting (XSS), JSON hijacking, Malformed scripting language object serialization, Script injection in a Document Object Model 위협과, 웹공개 API 에대한 Injection flaws, Session hijacking and theft 위협과, 데이터신디케이션에대한 Masquerade of anonymous user, RSS injection, XML message injection and manipulation 위협과, 매쉬업에대한 Scalable mashup 위협을분석 3. 중요도 웹서비스에대한위협분석으로환태평양국가간의정보공유 (Comment) Reference 참고자료 국내표준화여부 59