김 기 현 (khkim@redgate.co.kr) R E D G A T E IN FRONT OF THEM ALL 정보보호 정책과 산업 2008. 10. 김 기 현 (khkim@redgate.co.kr) ㈜레드게이트 R E D G A T E IN FRONT OF THEM ALL

정보보호 정책 및 제도 CONTENTS 1 정보보호 정책과 구축 동향 2 평가인증 제도와 산업 영향 3

I. 정보보호 정책 및 제도

1. 국가사이버 안전관리 체계 o 국가사이버안전관리규정에 의거 국가정보원장을 의장으로 하는 국가사이버안전전략회의를 설치하고 산하에 국가사이버안전대책회의를 두고 있음 o 정보보호 담당기관 - 국가정보원 : 국가사이버안전센터 - 정보통신부 : 인터넷 침해사고대응지원센터 - 국 방 부 : 국방정보전대응센터 - 대 검 찰 청 : 대검찰청 인터넷범죄수사센터 디지털증거 수집분석센터 - 경 찰 청 : 경찰청 사이버테러대응센터 - 전 문 기 관 : 국가보안기술연구소 한국정보보호진흥원 한국전자통신연구원 금융보안연구원 정보공유분석센터 (금융 ISAC, 통신 ISAC)

사이버 위협 경보 체계 o 국가사이버안전관리규정에 의거 국가정보원장을 의장으로 하는 국가사이버안전전략회의를 설치하고 산하에 국가사이버안전대책회의를 두고 있음

2. 평가인증 체계 o 1998년 침입차단시스템(Firewall) 평가 시작, 2002년 공통평가기준에 의한 평가 o 2006년 CCRA 가입 - 인증기관 : 국가정보원 IT보안인증사무국 - 정부평가기관 : 한국정보보호진흥원(KISA) - 2007년 민간평가기관 허가 : 한국산업기술시험원(KTL), 한국시스템보증(COSYAS) 미국 캐나다 유럽 국제 한국 FC PP 보증 TCSEC CTCPEC ITSEC Common Criteria K Series (Firewall, IDS) 부적절한 보증 기능시험 EAL0 부적절한 E0 최소한의 보호 D K0 구조시험 EAL1 비정형적 기본설계 E1 F-C1 임의적 C1 K1(E) 방법론적 시험 과 점검 EAL2 E2 F-C2 통제된 접근보호 C2 T1 K2(E) 방법론적 설계, 시험 및 검토 EAL3 소스코드와 하드웨어 도면제공 E3 F-B1 레이블된 B1 T2 T3 K4(E) CS-1 LP-1 CS-2 CS-3 T4 준정형적 설계 및 시험 EAL4 준정형적 기능명세서 상세설계 E4 F-B2 구조적 B2 K5(E) LP-2 T5 준정형적 검증된 설계 및 시험 EAL5 보안요소 상호관계 E5 F-B3 보안 영역 B3 T6 K6(E) LP-3 정형적 검증 EAL6 정형적 E6 검증된 설계 A1 T7 K7(E) LP-4 EAL7 K3(E) CC Series EAL3+ (국가기관용)

CC 평가인증체계

보안적합성 검증 제도 o 국가 및 공공기관에 도입되는 정보보호시스템의 안정성과 적합성을 검증하기 위해 “국가정보보안기본지침” 에 의거 보안적합성 검증제도(CISSVP) 운영 o 적합성 검증필 제품목록(VISSL)에 등재된 제품을 국가 및 공공기관이 도입 행정정보보호용 시스템 o 행정자치부에서 운영 o 정보보호시스템의 보안기능 검토(국정원)결과 행정기관용으로 적합(보안적합성검증제도)하다고 인정된 시스템으로, 행정기관의 확산 보급성을 고려하여 조달청 단가계약 의뢰한 제품

암호 검증 제도 o 전자정부 구현을 위한 행정업무 등의 전자화 촉진에 관한 법률에 근거, 행정자치부에서 암호모듈 시험 및 검증 지침 고시(2004. 12) o 국가보안연구소와 한국정보보호진흥원에서 시험하고 국가정보원이 검증하는 체계로 구성

3. 공인인증기관 o 전자서명법에 근거 공인인증기관 운영(1999)

4. 정보통신기반시설 보호 체계 o 주요정보통신기반시설의 보호를 위해 2001년 “정보보호기반보호법”을 제정

5. 정보보호관리체계인증 및 정보보호안전진단 o 정보보호관리체계에 대하여 제3자의 인증기관(한국정보보호진흥원)이 객관적이고 독립적으로 평가하여 적합 여부를 보증하기 위해 ISMS(Information Security Management System) 인증제도 운영 o 주요정보통신서비스제공자(ISP), 집적정보통신시설사업자(IDC), 쇼핑몰 등의 정보통신만 침해사고 예방을 위하여 정보보호 안전진단 제도 운영

6. 개인정보보호체계 o 행정자치부는 “공공부문의 개인정보보호에 관한 법률”에 의거 공공기관 보유 개인정보를 관리, 감독 - 개인정보보호법, 건강정보보호 및 관리·운영에 관한 법률 등을 발의·입법 예고 - 개인정보의 기술적·관리적 보호조치 기준 을 개정하여 웹사이트 운영자들이 정보통신망으로 개인정보를 송·수신할 때 보안서버 구축 등을 통해 개인정보를 암호화 하도록 규정 - 기타 주민등록번호 대체수단인 아이핀(i-PIN) 사용, CCTV 개인영상정보보호 가이드라인, 위치정보의 관리적 기술적 보호조치 가이드라인 등 마련.

7. 정보보호 관련 자격증 o SIS (Specialist for Information Security) : 국가공인정보보호전문가 - 국내 시행 정보보호 분야의 대표적인 국가공인자격증 - 주관 : 한국정보보호진흥원, 시행 : 한국정보통신교육원 - 연 2회 시행 - 2급 : 제한없음, 1급 : 2급 취득후 2년, 실무 3년 이상, 대학교 졸업(예정) 정보보호과목 12점 이상 o 인터넷보안전문가 - 주관 및 시행 : 한국정보통신자격협회 - 협회 2급 자격소지자, 실무 2년 이상 - 1급 : 매년 1회, 2급 : 매년 2회 o ISM (Information Security Manager) : 정보보안 관리자 - 주관 및 시행 : 정보통신컴퓨터자격관리협회 - 2급 : 제한없음, 1급 : 2급 취득자, 대학교 졸업(예정자) - 연 4회 시행 o 정보시스템감리사 - 주관 및 시행 : 한국정보사회진흥원 - 학사취득 후 정보처리분야 실무경험 9년 이상 / 석사 6년 이상 / 박사 취득자 - 국가공인 정보시스템감리사 자격검증으로 년 1회 시행

o CISA (Certified Information Systems Auditor) : 국제공인정보시스템감리사 - 주관 및 시행 : 정보시스템감사통제협회(ISACA) - 정보시스템 감사, 통제, 보안 분야 5년 이상 o CISM (Certified Information Security Manager) : 국제공인정보보호시스템관리사 - 연 2회 실시 - 최소 5년 이상의 정보보호 업무 경력 o CISSP (Certified Information Systems Security Professional) : 국제공인정보시스템 보안전문가 - 주관 및 시행 : (ISC)² (International Information Systems Security Certification Consortium) - 연 4회 시행 - 1개 영역 경력 4년 이상, 2개 이상 영역 5년 이상 o 인증 심사원 - BS7799 심사원 - ISMS 심사원 등

II. 정보보호 정책과 구축 동향

1. 정보보호 정책과 산업 연계성 현재 많음 정보보호제품들이 산재되어 있지만 국내 정보보호 산업은 법, 제도에 기반하고 있으며 정책이 발표되고 적용되는 분야에 대해 2-3년간 급성장하고 상장하는 경우가 많음 Firewall Firewall 평가 Anti-Virus PKI IDS VPN IPS 전자서명법 IDS 평가 서버보안 평가 1.25 인터넷 대란 컨설팅 정보보호기반보호법 보안관제 SecureOS VPN 평가 키보드보안 금융 해킹 DB 보안 개인정보유출 웹방화벽 웹 해킹 SSO/EAM OTP DRM 내부정보유출방지 ESM / TMS PKI 응용 전자결재 전자상거래 국가기관용 정보보호시스템 국가 정보보호 정책 해킹 사고 및 시장 이슈 보안 서버 (SSL) 개인정보보호 정보보호평가지수

2. 정보보호제품 도입 동향 정부 및 공공기관 도입 동향 o “정보시스템 구축·운영 기술가이드라인”에서는 전자정부 등 주요 정보화 사업들에 대한 정보기술아키텍처를 정의 하고 이를 기반으로 시스템을 개발하는 것을 권고 항 목 해당 여부 비고 사용자 인증 ○ PKI/SSO 메일 보안 네트워크 보안 세션 보안(SSL/TLS) SSL  IP보안 NAT 적용 침입차단시스템 Firewall  침입탐지시스템 IDS  네트워크 구조 보안  DMZ 가상사설망 ×   유해 트래픽 사전 탐지 및 차단 IPS  데이터 보안 암호화 비밀키 암호알고리즘 공개키 암호알고리즘 난수발생기  암호 검증 데이터 접근 통제 DB보안  전자서명 및 해쉬알고리즘  유선 무선 정보보호시스템 스마트카드 지문인식시스템 등급기반 접근통제시스템 항 목 해당 여부 비고 서버 보안 인증 및 접근 통제 ○   재연공격 대응 사용자와 서버간 무결성, 기밀성 SSL  중요 서버 차원의 접근 통제 서버보안  실행파일 등의 보호 응용 및 데이터 보안 입력 데이터, 파라미터 값 검증 웹방화벽  사용자 인증정보 보호 접근 통제 응용 세션 관리 응용 데이터 암호화 × 운영 보안 침해사고 예방, 대응 바이러스 대책 방안 비상계획 수립 계정 및 비밀번호 관리 백업 로그 개인정보보호

정보보호제품에 대한 준수 표준으로 국가정보원의 국가기관용 보호프로파일을 권고하고 있음 (Firewall) 국가기관용 침입차단시스템 보호프로파일 (IDS) 국가기관용 침입탐지시스템 보호프로파일 (VPN) 국가기관용 가상사설망 보호프로파일 (VPN) 국가기관용 게이트웨이형 가상사설망 보호프로파일 (Firewall+VPN) 국가기관용 침입차단시스템, 가상사설망 통합보호프로파일 (SecureOS) 국가기관용 등급기반 접근통제시스템 보호프로파일 (생체인식) 국가기관용 개방형 스마트카드 플랫폼 보호프로파일 (지문인식) 국가기관용 지문인식시스템 보호프로파일  일반기관용 보호프로파일 (SecureOS) 역할기반접근통제 보호프로파일 (IPS) 네트워크 침입방지시스템 보호프로파일 (무선랜) 무선랜 인증시스템 보호프로파일 (ESM) 통합 보안관리시스템 보호프로파일 (Anti-Virus) 안티바이러스 소프트웨어 보호프로파일 (Anti-Spam) 네트워크 스팸메일차단시스템 보호프로파일

o 교육인적자원부는 교육기관의 종합 정보보호체계를 구축하기 위해 “교육기관 정보보호 기본계획”을 발표 교육기관 도입 동향 o 교육인적자원부는 교육기관의 종합 정보보호체계를 구축하기 위해 “교육기관 정보보호 기본계획”을 발표 - 기관별 정보보호 인프라 강화 : PC, 서버, 네트워크별 정보보호 준수사항 제시 - 침해사고대응팀(CERT) 구축, 사이버안전센터 구축 등 정보보호 조직체계 구축 - 전자서명 인증관리체계 구축 보호대상 보안대책 초중고 대학 전문대학 교육부 시도교육청 교육행정기관 PC 강제적 보안패치 ● ● ● 최신 백신 업데이트 ● ● ● 서버 서버보안(SecureOS) ○ ● ● 최신 패치 적용 ● ● ● 네트워크 침입차단시스템(Firewall) ○ ● ● 침입탐지시스템(IDS) △ ○ ○ 침입방지시스템(IPS) △ ○ ○ 응용서비스 온라인 보안 △ ○ ○ DB보안 (접근통제) △ ○ ○ ※ 채택여부 : ● 필수사항, ○ 권고사항, △ 선택사항 ※ 2006년 홈페이지 해킹에 따른 웹방화벽 구축 지시

보건복지부 동향 o 개인정보 관리실태를 점검하기 위해 질병관리본부, 대한적십자사, 국립암센터를 비롯한 복지부 산하 11개 기관을 대상으로 정보유출방지, 문서보안, 로그관리, DB보안, 서버보안, 보안서버, 인증관리 등 7대 보안 기능 구축현황을 점검

국가 정보보호시스템 도입 동향 <정부기관 정보보호제품별 도입 실태> <정부기관 정보보호 예산> ※ 국가정보원, “2006년 정보보호백서”

국외 정보보호제품 도입 동향 o 국외 경우 PC 보안대책으로 Anti-Virus/Anti-spyware를, 네트웍 보안대책으로 Firewall과 IDS를 사용하며 시스템 보안대책으로 서버보안을 우선 적용하고 있음

III. 평가인증 제도와 산업 영향

1. 정보보호시스템 평가제도 1980년대 초반 미국이 TCSEC을 처음 개발한 이후 유럽은 ITSEC, 캐나다는 CTCPEC 등을 개발하여 사용 1993년 미국이 자국의 평가기준 개발과 동시에 각국의 관계 기관들과 국가적으로 서로 상이한 평가 기준을 통합하는 프로젝트를 시작 1996년 CC v1.0을 시작으로 1998년 CC v2.0, 1999년에는 CC v2.1이 국제표준인 ISO/IEC 15408로 완성 되었고, 2005년에는 CCv2.3, 현재에는 CC v3.0의 수정본인 CC v3.1 공식버전이 등재 현재 국내에서는 CC v2.3으로 평가를 진행하고 있으며 2009년 CC v3.1로 전환할 예정 TCSEC (미국) Federal Criteria (미국) ISO IS 15408 ISO IS 15408 R1 ITSEC (유럽) CC Project (1993) CC v1.0 (1996) CC v2.1 (1999) CC v2.2 (2004) CTCPEC (캐나다) CC v3.1 (2006) CC v3.0 (2005) CC v2.3 (2005) 2009년 국내 CC 평가 적용 예정 버전 현재 국내 CC 평가 적용 버전

[참고] 정보보호시스템 평가 제도 미국 캐나다 유럽 국제 한국 FC PP 보증 TCSEC CTCPEC ITSEC Common Criteria K Series (Firewall, IDS) 부적절한 보증 기능시험 EAL0 부적절한 E0 최소한의 보호 D K0 구조시험 EAL1 비정형적 기본설계 E1 F-C1 임의적 C1 K1(E) 방법론적 시험 과 점검 EAL2 E2 F-C2 통제된 접근보호 C2 T1 K2(E) 방법론적 설계, 시험 및 검토 EAL3 소스코드와 하드웨어 도면제공 E3 F-B1 레이블된 B1 T2 T3 K4(E) CS-1 LP-1 CS-2 CS-3 T4 준정형적 설계 및 시험 EAL4 준정형적 기능명세서 상세설계 E4 F-B2 구조적 B2 K5(E) LP-2 T5 준정형적 검증된 설계 및 시험 EAL5 보안요소 상호관계 E5 F-B3 보안 영역 B3 T6 K6(E) LP-3 정형적 검증 EAL6 정형적 E6 검증된 설계 A1 T7 K7(E) LP-4 EAL7 K3(E) CC Series EAL3+ (국가기관용)

[참고] K 평가제도 (K4 평가) K7 K6 K5 K4 K3 K2 K1 등급 항목 신분확인 임의적 접근통제 강제적 접근통제 보안레이블 데이터 무결성 전송 데이터 무결성 비밀성 감사기록 및 추적 보안관리 기능명세 기본설계 구현 시험 형상관리 개발환경 보안 설명서 취약성 분석 오용분석 접근통제 기능 부분 개발 상세설계 설치 시동 및 운영 개발 및 운용환경 보증 부분 무결성 : 추가요구사항 없음 : 새롭거나 확장된 요구사항 : 요구사항 없음 : 선택적 제공사항

[참고] CC 평가 제출물 - 보안목표명세 형상관리 생명주기 지원 배포절차, 설치지침 관리자 설명, 사용자 설명 기능명세, 기본설계, 상세설계, 검증명세 시험 CC v2.3 기반 EAL3+ 평가제출물 취약성 분석 APE (PP 평가) ASE (ST 평가) ACM (형상관리) ALC (생명주기 지원) ADO (배포 및 운영) AGD (설명서) ADV (개발) ATE (시험) CC 2.3 AVA (취약성 분석) CC 3.1 ACO (합성) 형상관리, 배포절차, 생명주기 준비절차, 사용자 운영설명 기능명세, TOE설계, 검증명세, 보안구조설계 CC v3.1 기반 EAL4 평가제출물 (평가자 수행 제외)

2. 국내 평가제도 변화와 산업체 영향 평가제도 비고 1998 o 침입차단시스템 평가인증제도 시행 o K등급제도 침입차단시스템 최초 인증 o 국가도입기준 : K4 등급 이상 2000 o 침입탐지시스템 평가·인증제도 시행 o 평가 순위에 따라 업체 순위가 결정, 평가받지 못한 제품은 도태 하기 시작 2001 o K등급제도 침입탐지시스템 최초 인증 o 보안적합성 검증(보안성 검토) 제동 시행 o 행정정보보호용시스템 선정 제도 시행 o 국가도입기준 : 평가제품일 경우 K4 이상, 나머지 제품군은 보안적합성 검증필 제품 o 평가제품이 아닌경우 보안적합성 검증필 후 행정정보보호용 시스템에 등재 후 조달등록 2002 o 정보보호시스템 공통평가기준 제정 (CC v2.1 ) o 평가인증 제품군 가상사설망 확대 o 국가도입기준 : 평가제품일 경우 K4 이상 또는 CC EAL3+ 이상 나머지 제품군은 보안적합성 검증필 제품 2003 o CC에 의한 가상사설망·침입차단시스템 최초 인증 o 지문인식시스템, 운영체제보안시스템 평가 시행 o 보안적합성 검토 제도를 업체들이 영업적으로 활용하기 시작 - 정보보호제품 보급 사업에 공고일 기준 K4 및 보안적합성 검증 제품만 참여토록 제한 2004 o CCRA 인증서 발행국 가입 신청 o 2003년 영향으로 보안적합성 검토 제품 증가 2005 o CC에 의한 운영체제보안시스템 최초 인증 o CC 평가인증제도 변경 - CC 인증효력 3년 폐지 - CC v2.3으로 평가기준 변경 - 전체 정보보호제품으로 평가대상 확대 o 암호검증제도 시행 o 암호검증 제품 최초 인증 o CCRA 가입에 대비 국가도입기준을 보안적합성 검증필 제품으로 변경 - 정보보호제품은 CC 인증 후 보안적합성 검증 - 암호제품은 암호검증 후 보안적합성 검증 - 기존 K4, CC로 평가된 제품을 보안적합성 검증필 목록에 등재 o 제도는 변경되었으나 업체 참여 미비

평가제도 비고 2006 o CCRA 인증서 발행국 가입 - 평가기관 : 한국정보보호진흥원 - 인증기관 : IT보안인증사무국 o 국제 CC로 인증서 발행 o 안티바이러스, 통합보안관리시스템 평가 시행 o CC 평가제도와 보안적합성 검토 제도 혼선 - 보호프로파일이 없는 제품의 경우 CC 평가없이 보안 적합성검토 신청 - 보호프로파일이 있는 제품의 경우 CC 평가 후 보안 적합성 검토 신청 o 2006년말/2007년초 CC 평가없는 제품에 대한 보안성 검토 신청 접수 중지 발표 2007 o K 등급 평가 폐지 (효력 3년 유지) o 정보보호제품 국가공공기관 도입 세부 절차 마련 o 국내용 CC 인증과 국제 CC 인증 분리 o 민간평가기관 확대 - 한국산업기술시험원 - 한국시스템보증 o CC 평가를 받지 않은 상태에서 보안적합성이 검증되는 제품이 발생되는 등 혼선 발생 (적용 시점 문제) - CC 평가없이 보안적합성 검증이 진행된 제품과 CC 평가 를 우선적으로 준비한 업체간의 분쟁 발생 o 국가도입기준 보안적합성 검증필 제품으로 강화 - EAL4/EAL3+ 가급, EAL3 나급, EAL2 다급 - CC 평가없이 보안적합성 검증 신청 못하도록 치 - CC 평가 또는 암호검증후 보안적합성 검증필 신청 가능 o 보안성 검토된 제품만 조달등록이 되도록 조치 o 전체 정보보호산업체로 CC 평가 확대 - 평가 적체 현상 발생 2008 o CC 평가제도 및 보안적합성 검증제도 변경 - 보호프로파일 EAL3+/EAL4에서 EAL3로 변경 - 보안적합성 검증 제도 변경 o 보호프로파일 등급을 낮춰 평가기간 축소 o CC 평가 제품(EAL2 이상) 또는 암호검증 제품에 대하여 선도입후 기관 자율에 의한 보안적합성 검증으로 제도 변경 o 지적재산권 분쟁 업체에 대해 CC 인증을 거부하도록 민원 하는 등 평가 우선 순위 경쟁 심화

3. 평가 제도의 변화 2008년 4월 2일 “정보보호제품 평가· 인증제도 개선 설명회” (국가정보원) - 국내용 평가· 인증 제도 개선을 통해 정보보호제품의 평가기간을 6개월에서 3.5개월로 단축 평가적체현상 해소 - 기존 CC인증 후 보안적합성 검증필을 획득한 제품만 도입 가능했으나 이제 EAL2이상의 국내외 CC인증을 받았거나 암호검증을 받은 제품에 대해 도입기관이 자율적으로 선택 - 보안적합성 검증제도에서 가나다 등급의 제품 보안등급 및 보안적합성 검증 목록이 폐지되고, 보안적합성 검증 관련 ‘선 도입, 후 검증’ 제도가 전면 도입

4. CC 인증서

5. 기타 인증서