평가기준 개요 및 보안기능요구사항 사업부 평가사업팀 조규민

목 차 개발 현황 평가 기준의 적용 범위 평가기준 구성 항목별 요구사항 등급별 요구사항 요약 침입유형의 평가

개발 현황 - 개발 방향 침입탐지시스템 평가기준 국내외 침입탐지시스템 국외 시장 및 기술 동향 표준 및 논문 참조 국제공통 평가기준과의 호환성 확보 침입차단시스템 평가기준 고려

CC(Common Criteria:국제공통평가기준) 정보통신망 침입차단시스템 평가기준 침입탐지시스템 관련문서 개발 현황 - 평가기준 개발 근거 및 자료(1) CC(Common Criteria:국제공통평가기준) 정보통신망 침입차단시스템 평가기준 침입탐지시스템 관련문서 한국정보보호센터 개발 문서 호스트기반 침입탐지시스템 개발에 관한 연구 대규모 전산망에서의 침입탐지를 위한 기본 시스템 개발 실시간 네트워크 침입탐지시스템 멀티호스트기반 침입탐지시스템 개발 국제 표준 ISO/IEC WD 19547, IDS Framework IETF Internet Draft, Common Intrusion Detection Framework

개발 현황 - 평가기준 개발 근거 및 자료(2) 산업체 전문가와의 자문회의 5회 학계 전문가와의 자문회의 2회 관련 문서 Intrusion Detection Product Evaluation Criteria Towards a Taxonomy of Intrusion-Detection Systems Intrusion Detection Assessment by ICSA Language and Tools for Rule-Based Distributed Intrusion Detection Host-Based Misuse Detection and Conventional Operating System’ Audit Data Collection 산업체 전문가와의 자문회의 5회  총 12개업체 20명 참가 학계 전문가와의 자문회의 2회 영국의 평가기관과 공동 개발

평가기준 적용범위 - 침입탐지시스템 분류 탐지영역 분석 방법 분류에 관계 없이 공통으로 적용 가능한 기준 단일호스트 기반 멀티호스트 기반 네트워크 기반 하이브리드 분석 방법 지식기반(Knowledge Based) 행위기반(Behavior Based) 분류에 관계 없이 공통으로 적용 가능한 기준

평가기준 적용범위 - 침입탐지시스템 구조 축약감사데이터 생성 감사데이터 관리 침입분석/탐지 탐지결과 조정 감사데이터 수집 감사데이터 축약 축약감사데이터 생성 비정상 행위탐지 침입분석/탐지 오용탐지 축약된 감사데이터 IDS 감사데이터 감사데이터 관리 보안감사 대응 탐지결과 조정

평가기준 구성 보안기능 요구사항 보증 요구사항 축약감사데이터 생성 보안위반 분석 보안감사 대응 신분확인 데이터 보호 보안감사 보안관리 보안기능의 보호 개발과정 시험과정 형상관리 운영환경 설명서 취약성 평가 등급 7단계 : K1 ~ K7

항목별 요구사항 축약감사데이터 생성 감사대상 데이터 수집 호스트, 네트워크 등 침입탐지시스템의 대상에서 침입탐지를 위한 기본 데이터 수집 축약감사데이터 생성 기본 데이터를 침입탐지 분석을 위한 축약감사데이터로 축약 및 변환 축약감사데이터 포함 정보 축약감사데이터에 포함되어야 하는 기본정보에 대한 요구사항

항목별 요구사항 보안위반 분석 알려진 공격 탐지 알려진 공격 탐지를 위한 보안위반 사건 목록에 의한 탐지 요구 알려지지 않은 공격 탐지 알려지지 않은 공격 탐지를 위한 시스템의 정상상태 유지 및 이에 근거한 탐지 요구

항목별 요구사항 보안감사 대응 관리자에게 통보 E-mail, 시스템 콘솔, 문자메지시 등을 통한 통보 보안위반 사건 정보의 저장 침입을 탐지하였을 경우 근거가 되는 데이터 저장 시스템 보호를 위한 대응행동의 수행 서비스 중지, 침입차단시스템 환경설정 변경, session 종료 등 보안위반 사건 관련 상세정보의 저장 상세 정보 수집을 위한 별도의 기능에 의한 정보수집 예) 역추적을 위한 정보 수집 및 기록

항목별 요구사항 신분확인 식별 관리자 ID, 호스트 주소에 의한 식별 인증 인증 실패 관리 관리자의 침입탐지시스템 접근에 대한 인증 인증 실패 관리 관리자 인증의 연속적인 실패에 대한 탐지 및 대응

항목별 요구사항 데이터 보호 저장된 데이터 무결성 침입탐지시스템이 관리하는 주요 데이터에 대한 무결성 확인 내부전송 데이터 무결성 침입탐지시스템 내부에서 네트워크를 통해 전송되는 데이터에 대한 무결성 확인 내부전송 데이터 보호 네트워크를 통해 전송되는 중요데이터의 노출에 대한 대응 요구

항목별 요구사항 보안감사 감사데이터 생성 다른 보안기능의 수행 및 결과에 대한 기록 감사데이터 보호 감사데이터 보호를 위한 기능 보안감사 검토 감사기록의 조회 기능

항목별 요구사항 보안관리 다른 보안기능에 대한 관리 기준에 요구된 다른 보안기능의 설정 및 해제 등 관리 기능 예) 보안감사 대응행도의 설정, 조회, 변경

항목별 요구사항 보안기능의 보호 타임 스탬프 침입탐지시스템에서 사용하는 시간을 별도의 체계로 운영하여 신뢰성제공 안전한 경로 예) 침입탐지 기록, 감사기록 시 사용 안전한 경로 원격지 관리 시에 관리자와 침입탐지시스템 간의 안전한 경로 요구 예) 웹 베이스로 관리기능을 제공할 때 SSL 사용

K7 K6 K5 K4 K3 K2 K1 등급별 요구사항 요약 축약감사 데이터 생성 보안위반 분석 보안감사 대응 식별및 인증 알려지지 않은 공격탐지 타임스탬프 제공 상호인증 K4 상세정보 저장 재시도 공격 방지 전송데이터 보호 K3 데이터 무결성 안전한 경로 K2 대응 행동 수행 인증실패 관리 감사데이터 보호 K1 축약감사 데이터 생성 알려진 공격탐지 관리자통보 기본정보저장 식별 및 인증 감사데이터 생성 및 검토 보안 관리 축약감사 데이터 생성 보안위반 분석 보안감사 대응 식별및 인증 데이터 보호 보안 감사 보안 관리 보안기능 보호

침입유형의 평가 평가대상 침입유형 평가방법 사용자에 공개 여부 침입유형의 변경 : 사후관리에서 처리 평가신청인 제출 목록 평가기관 유지 목록 평가방법 평가신청인 제출 목록 : 평가신청인 제시 시험방법에 의한 평가 평가기관 유지 목록 : 평가기관의 시험방법에 의한 평가 사용자에 공개 여부 평가신청인 제출 목록 : 공개 평가기관 유지 목록 : 비공개 침입유형의 변경 : 사후관리에서 처리

의견 및 답변 평가기준에 부가적인 사항이 너무 많고, IDS 고유의 영역에 대한 항목은 부족한 것 같습니다. 또, 탐지 가능한 침입유형에 따른 등급 구분은 없습니까? 답 : 평가,인증 제도 상에서 평가는 시스템의 보안성과 신뢰성에 대한 것이며 성능에 대한 평가는 아닙니다. IDS의 특성 상 중요한 탐지가능한 침입유형에 대한 사항은 앞에서 설명드린 바와 같습니다. 프로파일 기반 위반 분석이 K5에 명시되어 있습니다. Misuse 만으로는 K5이상을 받을 수 없습니까? 답 : 평가기준에서 요구하는 것은 K5이상에서는 알려진 공겨과 알려지지 않은 공격에 대한 대응 수단을 모두 요구하는 것입니다. 일반적으로 알려진 공격에 대한 대응 수단으로서 Misuse만으로 K5이상의 요구사항을 만족할 수는 없습니다. 알려지지 않은 공격에 대한 대응방안은 K5 보증요구사항의 준정형화에 의해 보증되어야 하기 때문에 K5에 요구되었습니다. 인증된 제품이 언제쯤 나올 수가 있을까요? 답 : 현재 계획대로 진행되면, 평가기준은 7월 중에 고시되고, 고시와 동시에 평가가 시행됩니다. 평가기간은 평가신청업체의 평가신청시기와 평가등급, 평가진행 상황에 따라 달라짐으로 명확히 말씀 드리기는 어렵습니다.