포럼사무국한국해킹보안협회 - tta.or.kr 격과 년 공격 정보유출해킹 금융피해등역기능에대비한해킹보안2011 ddos , , 기술과정보보호기술을기준으로하는표준화가미흡한실정임

최종보고서

뒷면( ) 앞면( )

주 의

편집순서( 1)

↑

위여백

5㎝

해

킹

보

안

기

술

포

럼

운

영

2012・12

한국정보통신기술협회

아래여백

3㎝

↓

↑

위 여백 5㎝

[TTA-12082-SA]

년도 표준화전략포럼 최종연구보고서[2012 ICT ]

해킹보안기술 포럼운영

2012. 12. 15.

포럼 사무국 한국해킹보안협회

아래 여백 5㎝

↓

좌 철 양면인쇄( ) ( )

주의

1. 본 연구보고서는 방송통신발전기금으로 수행한 방송통신표

준기술력향상사업의 연구결과입니다.

본 연구보고서의2. 내용을 발표할 때에는 반드시 방송통신표준

기술력향상사업의 연구결과임을 밝혀야 합니다.

년도 표준화전략포럼2012 ICT

최종연구보고서

편집 및 발행인 이근협:

발행처 한국정보통신기술협회:

463-824

경기도 성남시 분당구 서현동 267-2

TEL : +82-31-724-0114

FAX : +82-31-724-0009

- 1 -

제 출 문

한국정보통신기술협회 회장 귀하

본 보고서를 “ 해킹보안기술 포럼 운영 에 관한 연구 의 최종결과보고서로 제”

출합니다.

년 월 일2012 12 15

포럼 사무국 한국해킹보안협회:

연구 책임자 박대우 의장:

참여 연구원 최영황 사무국장:

방송통신 연구개발 관리규정 제 조에 따라 보고서 열람35 에 동의합니다.

- 2 -

요 약 문 초 록( )

과 제 번 호

과 제 명 국제사실표준화기구 포럼 협력 및 전문가 육성( )

포 럼 명국문( ) 해킹보안기술포럼

영문( ) Hacking and Security Technology Forum

사 무 국 한국해킹보안협회 연구책임자 박대우

당 해 년 도사 업 기 간 개월2012. 3. 15. 12. 15. ( 9 )～

참 여 기 관 참여기관책임자

포럼 연구의 필요성1.

사이버 공간에서는 국경과 지역과 국민이 따로 없다 최근 사이버 공간에서의 해킹.

으로 인한 정보유출 기술유출로 수천억원 수조원 정도의 피해가 발생하고 있으며 스, ~ ,

턱스넷 으로 불리는 사이버 미사일과 같은 무기들은 국가의 안보를 위협하고(Stuxnet)

있다 또한 해킹공격을 수행하는 해커는 비대면으로서 활동하며 익명성이 있어 사건에. ,

대한 추적과 처벌이 용이 하지 않다.

국가에 대한 해킹과 피해는 국제 비즈니스 환경과 정치적 지형에서 국가 사이버 공

간의 신뢰도 하락은 기업이나 국가의 경쟁력을 약화시키게 될 것이며 국제 분쟁으로,

쉽게 이어질 수 있다.

국가 안보와 국민 보호 국가경쟁력 강화를 위한 사이버 보안 강화 정책이 요구되는,

데 사이버 해킹 위험의 심각성과 사이버 보안의 중요성 국내 사이버 보안 현황에 대, ,

한 정확한 이해를 바탕으로 국내 사이버 보안을 강화하기 위한 다음과 같은 몇 가지

정책적 과제를 제시할 수 있을 것이다.

우리나라가 년대초 인터넷강국 로 발돋움하였으나 년 공o 2000 ' KOREA' 2009 DDoS

격과 년 공격 정보유출 해킹 금융피해 등 역기능에 대비한 해킹보안2011 DDoS , ,

기술과 정보보호기술을 기준으로 하는 표준화가 미흡한 실정임.

기존 공격 정보유출 해킹 보안에 대한 취약점 와 해킹보안기술에 대한- DDoS , DB

보안기준 정립.

글로벌로 생활화 되어가는 사이버 금융거래 스마트폰 등에 대한 차세대- , , SNS

해킹보안기술에 대한 분석조사 및 체계적인 표준화 수립.

미국 중국 소련 등 국가에서는 사이버 공간의 해킹공격 위협을 인식하고 자국o , , ,

의 사이버 해킹 공격과 해킹 보안 정책을 향상시키고 있다 따라서 미국 중국 북. , EU, ,

- 3 -

한 등의 사이버 해킹 보안 정책을 살펴보고 국내 사이버보안 정책과 비교 분석하기 위·

한 자유토론을 통해 향후 국가 사이버보안 정책 수립 시 활용한다, .

포럼 핵심 표준화 대상 및 내용2. (ToR)

공격 인터넷공격에 대한 취약점 구축 표준화o DDoS , DB

해킹공격 기술 분석 및 공격대상에 대한 취약점 구축 표준화- DB

개인정보보호를 위한 취약점 구축 표준화o DB

서버 웹서버 등 개인정보유출 및 사고 취약점 구축 표준화- DB , DB

스마트환경에서의 스팸 해킹공격에 대한 해킹보안 표준화o ,

클라우딩컴퓨팅 스마트폰 등 스팸 해킹공격에 대한 해킹보안 산업기술기준 및- , ,

표준화

금융거래와 침해사고에 대한 피해자보상대책 기준 및 이용자보호 표준화o

피싱 파밍 금융정보탈취 공격기술 조사연구 및 피해자보상기준 판정을 위한- , ,

기술 점검내용 기준 확립과 이용자 보호대책 표준화

포럼 운영 개발 결과 및 성과3.

정량적 성과o

국제 기고서- CJKICT : Introduction of Hacking and Security Technology Forum(

편1 )

- RAISE Forum : Introduction of the Hacking and Security Technology Forum

국제 기고서 편in Korea( 1 )

파밍에 대한 보안장치와 피해자 보안 대책 피- TTA PG 504 : (TTAK.KO-12.0213),

싱에 대한 보안 시스템과 피해자 보안 대책(TTAK.KO-12.0212)

금융보안시스템 안전성 확보와 보안대책 스마트 단말기에서 모바- TTA PG 504 : ,

일뱅킹을 위한 개인정보보호관리 메커니즘 스마트폰 단말기의 금,

융해킹 침해사고에 대한 보안 지침(

취약점 의 정보 분배와 공유 취약점 의 정보 저장 취약점- TTA PG 503 : DB , DB , DB

의 정보 전송 프로토콜

정성적 성과o

산업의 발전지원 및 해킹 보안 분야의 산업화 지원- IT

역기능에 대한 기술유형을 발굴 조사하여 국내산업체에 전파-

국내 해킹보안 활동 활성화 및 국제 표준화 선도-

정보보호영역 확대에 따른 신규고용창출과 국가경쟁력 제고-

활용방안 및 기대효과4.

최근 발생한 온라인 쇼핑몰과 금융거래에 대한 사이버침해 피해와 같이 웜 바이러스· ,

- 4 -

개인정보 유출 피싱 파밍을 이용한 기업과 개인의 경제적 피해를 예방하고 공공기관, , ,

과 금융기관의 서버에 대한 조직적인 공격에 대한 예방 및 대응체계 강화를DoS/DDoS

위해 대응서비스를 확대하고 이를 통해 인터넷상의 악성트래픽을 조기에DoS/DDoS ,

탐지하여 이를 정화하는 서비스를 확대 할 수 있다 또한 바람직한 인터넷 문화조성을.

위한 윤리운동 전개와 누구나 이용할 수 있는 인터넷 그리고 대국민 인터넷 문화 확,

산 등을 통해 우리나라 인터넷 문화를 선진화할 것이다 또한 악성프로그램 확산방지.

를 위한 법률의 제정을 추진하고 관련 법제도의 선진화를 도모하여 보안 취약성을 줄,

여서 안전성을 높이고 개인정보보호의 보안성 강화하는데 기여할 것이다, .

해킹보안기술에 대한 취약점 구축의 표준화로 해킹 공격에 다른 즉각적인 대응이DB

가능해 지고 체계적인 구축을 통해 똑같은 해킹 공격으로부터 예방하는 효과가 기DB

대된다 또한 모바일 보안으로 스마트환경에서의 스팸 해킹공격에 대한 해킹보안 표. , ,

준화로 무선 네트워크에서 이루어지는 스마트폰이나 테블릿 를 활용한 해킹 공격에PC

대한 보안에 대해 체계적인 대응을 할 수 있을 것이다 또한 금융거래와 침해사고에. ,

대한 피해자보상대책 기준 및 이용자보호 표준화를 통하여 정부나 기업에서는 침해사

고에 대한 피해보상대책을 체계적으로 마련할 수 있고 이용자들은 체계적인 보호를,

받을 수 있을 것으로 기대된다.

- 5 -

SUMMARY

1. Necessity of Forum Research

Separately there is not a border and an area and a citizen from cyber space.

Thousands hundred million won ~ trillion won the damage of degree occurs with

information outflow which is caused by recently with hacking from cyber space and

technical outflow, with the cyber missile which at four (Stuxnet) it soaks the same

weapons are threatening the security of the nation. Also the hacker who accomplishes a

hacking attack when is active and it assumes another's name and an anonymous

characteristic as there is, tracking and punishing are not easily in about event.

In about the nation hacking and damage reliability depreciation of national cyber

space competitive power of the enterprise or the nation will become weakening

possibility from international business environment and political terrain, it will be joined

together easily with international dispute and it makes make.

The cyber security reinforcement policy for a national security and a national

protection and a national competitive power reinforcement is demanded, in about

importance and domestic cyber security present condition of seriousness and cyber

security of cyber hacking danger the gain and loss which is accurate it strengthens a

domestic cyber security after for with, it will be able to present a same few thing politic

subject with character.

o Our country stands on tiptoe 2000's beginning 'Internet powerful country, 2009

DDoS attacks and 2011 it is the actual condition where the standardization which

does the hacking security technique which it prepares in DDoS attack, information

outflow hacking and financial damage etc. disfunction and information protective

technique in standard is insufficient.

- In about existing DDoS attack and information outflow hacking security it takes a

triangular position a security standard in about vulnerability DECIBEL and hacking

security technique.

- With global life the cyber financial transactions which is turning out and the smart

phone, about SNS etc. analysis investigation and it establishes the standardization

which is systematic in about next generation hacking security technique.

o It recognizes the hacking attack threat of cyber space from the United States,

China and the Soviet Union etc. nation it improves the cyber hacking attack and a

- 6 -

hacking security policy of the home country to make. It observes the cyber

hacking security policy of the United States, the EU, China and North Korea etc.

consequently and it sees, domestic cyber security policy and comparison*It

analyzes the bull session for to lead, the hereafter national cyber security politic

established at the time of it applies.

2. Term of Reference and Contents

o DDoS attacks, to about the Internet attack vulnerability DB construction

standardization

- In about the hacking attack technical analysis and attack object vulnerability DB

construction standardization

o The vulnerability DB construction standardization for a private data protection

- DB server, web server etc. private data outflow and accident vulnerability DB

construction standardization

o In about spam and hacking attack from smart environment hacking security

standardization

- Clouding computer, smart phone spam and hacking attack hacking security

industrial technical standard and standardization

o With financial transactions in about infringement accident victim compensation

countermeasure standard and user protection standardization

- The Phishing, Pharming, the technical inspection contents standard establishment

for a financial data seizure attack technical investigation research and a victim

compensation standard decision and user protective measure standardization

3. Forum Manage Exploit Effect and Result

o Political Result

- CJKICT : Introduction of Hacking and Security Technology Forum(international

contribution 1)

- RAISE Forum : Introduction of the Hacking and Security Technology Forum in

Korea(international contribution 1)

- TTA PG 504 : Guideline for countermeasures against Pharming

incident(TTAK.KO-12.0213), Guideline for

countermeasures against Phishing

incident(TTAK.KO-12.0212)

- TTA PG 504 : Safety Assurance of Finance-Security-System Security Measures,

Personal Information Protection Mechanism for mobile banking in

Smart Phone Device, The Security Guideline about Financial

- 7 -

Hacking Incidents in Smart Phone Device

- TTA PG 503 : Distribution and Sharing of Vulnerability Information about

Vulnerability DB, Vulnerability Information Stored of

Vulnerability DB, Information Transfer Protocol of Vulnerability

DB

o Qualitative Result

- IT industrialization support of industrial development support and hacking

security field

- Excavation to investigate a technical type in about disfunction, in the domestic

industrial body the electric wave

- Domestic hacking security activity activation and international standardization

freshness

- The new job creation which it follows in information protection territory

magnification and national heightening of competitiveness

4. Utilization Plan and Expectation effect

Cyber infringement it avoids to about on-line shopping mall which occurs recently and

financial transactions and like the worm, virus, private data outflow and the Phishing,

Pharming. it prevents the economic damage of the enterprise which it uses a prevention

and confrontation systematic reinforcement in about DoS/DDoS attacks which are

organized and the individual, in about server of the government offices and the financial

institution it respects to magnify DoS/DDoS confrontation services, this it leads and in

early rising and it will be able to magnify the service which this the Internet coat

malignant traffic detects purifies. Also the ethical motion development for a desirable

Internet cultural creation and the Internet anyone it will be able to use, and large

national Internet cultural diffusion etc. to lead and advancement will do our country

Internet culture. Also a relation laws moral advancement and a security vulnerability and

a safety it propels the establishment by law of the law for a malignant program

non-proliferation, it plans it reduces it raises, private data protective clothing security

characteristic it strengthens will contribute.

The confrontation which is immediate in standardization of vulnerability DB

construction it is different in hacking attack comes to be possible in about hacking

security technique, the DB construction which is systematic it leads and the effect which

it prevents is expected from identical hacking attack. Also, with mobile security in about

spam and hacking attack from smart environment the smart phone or the reel which

with hacking security standardization becomes accomplished from the radio network in

- 8 -

about the hacking attack which applies PC is systematic will be the possibility of

confronting in about security. Also, with financial transactions victim compensation

countermeasure standard and user protection standardization it will lead in about

infringement accident and from the government or the enterprise it will be able to

prepare a damage compensation countermeasure systematically to about infringement

accident, the users will be systematic and it is expected with the fact that it will be the

possibility of being protected.

- 9 -

CONTENTS

Chapter 1 Introduction ··························································································· 13

Chapter 2 Administration of Hacking and Security Technology Forum ··· 14

Section 1 National and International Status ································································ 14

1. Core Standard Technologies ····················································································· 14

2. Market Status and Outlook ························································································ 15

A. Status and Prospective of International Market ··············································· 15

B. Status and Prospective of Domestic Market ····················································· 17

3. Status of Technology Developments ······································································ 20

A. International Status of Technology Developments ·········································· 20

B. Domestic Status of Technology Developments ··············································· 21

Section 2 Organization and Management of HST Forum ······································ 22

1. Objectives and Necessity ··························································································· 22

2. History ······························································································································ 22

3. Organization and Major Activities ············································································ 23

A. Forum Structure ·········································································································· 23

B. Working Group Activities ·························································································· 23

(1) Vulnerability Database committee ······································································ 23

(2) Mobile security committee ··················································································· 23

(3) Financial security committee ··············································································· 23

C. Members ························································································································ 24

D. Standardization Structure ························································································· 24

Chapter 3 2012 HST Forum Activities ································································ 25

Section 1 Summary of Major Achievements ······························································· 25

Section 2 Results of Activities ························································································· 26

1. Results of Forum Adminstration ·············································································· 26

2. Activities of International Standardization ····························································· 32

A. Proposals for International Standard Organizations ········································ 32

B. Representative Proposals ························································································· 32

3. Activities of Domestic Standardization ·································································· 39

A. Domestic Standards ·································································································· 39

- 10 -

B. Representative Domestic Standards ····································································· 39

4. Other Activities ·············································································································· 45

Chapter 4 2013 Workplan of HST Forum ·························································· 46

Section 1 2013 Research Targets of HST Forum ····················································· 46

Section 2 Workplan ············································································································· 46

Section 3 Approaches ········································································································ 47

Chapter 5 Conclusion ······························································································· 48

Section 1 Conclusion ·········································································································· 48

Section 2 Expected Effect ································································································ 48

- 11 -

목 차- -

제 장 서론1 ················································································································ 13

제 장2 해킹보안기술 포럼 운영 ·············································································· 14

제 절 국내외 현황1 ··············································································································· 14

핵심 표준화대상 기술1. ··································································································· 14

시장현황 및 전망2. ··········································································································· 15

가 국외 시장현황 및 전망. ······························································································ 15

나 국내 시장현황 및 전망. ······························································································ 17

기술개발 및 표준화 현황3. ····························································································· 20

가 국외 기술개발 및 표준화 현황. ················································································ 20

나 국내 기술개발 및 표준화 현황. ················································································ 21

제 절 포럼 구성 및 운영2 ··································································································· 22

목적 및 필요성1. ··············································································································· 22

연혁2. ··································································································································· 22

조직구성 및 주요활동3. ··································································································· 23

가 조직구성 조직도 포함. ( ) ······························································································· 23

나 분과 워킹그룹 별 주요활동. (or ) ················································································· 23

취약점 구축 분과 워킹그룹(1) DB (or ) ····································································· 23

모바일 보안 분과 워킹그룹(2) (or ) ············································································· 23

금융보안 분과 워킹그룹(3) (or ) ··················································································· 23

다 회원사 구성. ·················································································································· 24

라 표준화 추진체계도. ······································································································ 24

제 장 년도 해킹보안기술 포럼 활동결과3 2012 ················································· 25

제 절 주요 추진실적 요약1 ································································································· 25

제 절 활동 결과2 ··················································································································· 26

포럼 운영 결과1. ··············································································································· 26

국제표준화 활동 결과2. ··································································································· 32

가 기고서 실적 제안 반영 채택. ( / / ) ··················································································· 32

나 대표 기고서 실적. ········································································································ 32

국내표준화 활동 결과3. ··································································································· 39

가 표준개발 실적 포럼 단체 국가. ( / / ) ··············································································· 39

- 12 -

나 대표 표준개발 및 활용 실적. ···················································································· 39

기타 활동 결과4. ··············································································································· 45

제 장 년도 주요 수행계획4 2013 ············································································· 46

제 절 년도 해킹보안기술 포럼 연구목표1 2013 ··························································· 46

제 절 수행 과제 내용2 ······································································································· 46

제 절 수행 과제 방법3 ······································································································· 47

제 장 결 론5 ················································································································ 48

제 절 결론1 ··························································································································· 48

제 절 기대효과2 ··················································································································· 48

- 13 -

제 장 서론1

사이버 공간에서는 국경과 지역과 국민이 따로 없다 최근 사이버 공간에서의 해킹으로 인한.

정보유출 기술유출로 수천억 원 수조 원 정도의 피해가 발생하고 있으며 스턱스넷, ~ , (Stuxnet)

으로 불리는 사이버 미사일과 같은 무기들은 국가의 안보를 위협하고 있다 또한 해킹공격을.

수행하는 해커는 비 대면으로 활동하며 익명성이 있어 사건에 대한 추적과 처벌이 용이 하지,

않다.

국가에 대한 해킹과 피해는 국제 비즈니스 환경과 정치적 지형에서 국가 사이버 공간의 신

뢰도 하락은 기업이나 국가의 경쟁력을 약화시키게 될 것이며 국제 분쟁으로 쉽게 이어질 수,

있다.

국가 안보와 국민 보호 국가경쟁력 강화를 위한 사이버 보안 강화 정책이 요구되는데 사이, ,

버 해킹 위험의 심각성과 사이버 보안의 중요성 국내 사이버 보안 현황에 대한 정확한 이해를,

바탕으로 국내 사이버 보안을 강화하기 위한 다음과 같은 몇 가지 정책적 과제를 제시할 수

있을 것이다.

o 우리나라가 년대 초 인터넷강국 로 발돋움하였으나 년 공격과2000 ' KOREA' 2009 DDoS

년 공격 정보유출 해킹 금융피해 등 역기능에 대비한 해킹보안기술과 정보보2011 DDoS , ,

호기술을 기준으로 하는 표준화가 미흡한 실정임.

기존- 공격 정보유출 해킹 보안에 대한 취약점 와 해킹보안기술에 대한 보안기DDoS , DB

준 정립.

글로벌로- 생활화 되어가는 사이버 금융거래 스마트폰 등에 대한 차세대 해킹보안, , SNS

기술에 대한 분석조사 및 체계적인 표준화 수립.

미국 중국 소련 등 국가에서는 사이버 공간의 해킹공격 위협을 인식하고 자국의 사이버o , , ,

해킹 공격과 해킹 보안 정책을 향상시키고 있다 따라서 미국 중국 북한 등의 사이. , EU, ,

버 해킹 보안 정책을 살펴보고 국내 사이버보안 정책과 비교 분석하기 위한 자유토론을·

통해 향후 국가 사이버보안 정책 수립 시 활용한다, .

- 14 -

제 장2 해킹보안기술 포럼 운영

제 절 국내외 현황1

핵심 표준화대상 기술1.

사이버 해킹 위험과 사이버 보안의 중요성에 대한 인식o

정부에 사이버 보안과 해킹 대응 책임자가 부재하는 등 아직까지 사이버 해킹 위험의-

심각성과 중요성이 제대로 평가되고 있지 못하고 있는 상황이다 사이버 해킹 위기가 국가 위.

기의 하나로 인정받은 것도 최근의 일이고 앞의 조사결과는 아직까지 사이버 해킹 위험에 대,

한 정확한 사회적 평가가 제대로 내려지지 않았다는 사실에 대한 반증이기도 하다.

사이버 해킹 위험관리체제의 마련o

국내의 기존 사이버 해킹 위험에 대한 정책이 사이버 위기에 대한 대응에 초점이 맞춰-

져 있었으며 최근의 사이버 위기 예방 및 대응에 관한 법률안 또한 예방이라는 부분보다는 정,

부차원의 물리적 대응책에 집중하고 있음을 알 수 있다 앞으로 사이버 해킹 보안은 단순한 사.

후적인 사이버 위기대응이 아니라 사전에 위기로 현실화되지 않도록 현존하고 있는 혹은 잠재

적인 위험요소들에 대해 지속적으로 관리하는 사이버 해킹 위험관리를 입법화 행정화 상시화, ,

로 수행할 필요가 있다 따라서 사이버 보안 강화를 위해서는 단순한 효과적인 위기 대응체제.

의 구축뿐만 아니라 사이버 해킹 위험과 직 간접적으로 관련된 모든 주체들이 능동적으로 참·

여하는 지속적이고 안정적인 사이버 해킹 위험관리체제의 마련이 선행되어야 한다.

사이버 보안 법제 및 조직 정비o

현재 정보보호 관련 규정은 사이버안전관리규정과 정보통신기반보호법 정보통신망이용- ,

촉진및정보보호등에관한법률 등 여러 개별 법령에 분산되어 있고 조직 또한 국정원 행안부, ,

방통위 지경부 등으로 산재해 있어 법령 간 중복 및 공백이 존재하고 부처 간 업무 혼, , KISA ,

선 및 협력 관계 유지가 원활하지 못한 상황이다 따라서 지속적이고 안정적인 사이버 해킹 위.

험관리와 적시의 사이버 위기대응을 위해서는 통합기구 및 통합법제의 신설 등 조직적 법제,

도적 차원의 일관성을 제공함으로써 법제와 조직의 효과성을 제고해야 한다.

개인정보보호제도 강화o

개인정보보호는 현재 사회적으로 가장 커다란 문제가 되고 있는 사이버 해킹 위험으로-

최근의 옥션 사태나 사건을 통해서 알 수 있는 것처럼 개인정보 유출이 사회에 미치는NATE

영향은 그 피해자의 숫자뿐 아니라 기업이 잃게 되는 신뢰도 및 전체 사이버공간에 대한 신뢰

성의 하락으로 인한 온라인 경제의 손실이라는 영향까지 생각해 보았을 때 국민 개개인과 국

가경제에 미칠 영향력이 매우 높은 위험이라고 할 수 있다 현재 개인정보보호를 위한 다양한.

제도들이 마련되었지만 아직까지 개인정보를 보관하고 있는 기업 측의 적극적인 사이버 보안,

- 15 -

노력을 이끌어내는 데는 실패하고 있다 국내에서 개인정보보호의 효과성을 높이기 위한 방안.

을 제시해 보면 다음과 같다 첫째 민간 공공부문을 아우르는 통합 개인정보보호법이 제정. , ,

되어야 한다 지금은 민간영역과 공공영역별로 여러 개별법들로 나뉘어 있는 상황으로 이러한. ,

다원화된 보호체계는 법 적용 사각지대가 발생될 수 있고 상이한 원칙과 기준의 적용에 따른

국민 혼란이 발생될 수 있다 둘째 개인정보영향평가제도를 단계적으로 의무화해야 한다 개. , .

인정보 위험관리 차원에서 개인정보를 수집 관리하는 시스템을 구축 운영 시에 프라이버시에, ,

미칠 영향에 대해 미리 조사 예측 검토하도록 해야 한다 셋째 개인정보침해사고에 대한 처, , . ,

벌규정 및 책임성을 강화해야 한다 법제의 효과성이 떨어지는 이유는 개인정보보호 관련 법.

제 우회를 위한 비용이 그다지 높지 않기 때문에 대부분의 기업들이 굳이 사이버 보안을 위한

투자를 늘리기 보다는 벌금을 지불하는 것으로 해결하려는 경향이 높기 때문이다 위조지폐의.

경우 사회의 기본 경제 질서를 좌우할 수 있다는 점에서 사회에 미치는 영향이 크기 때문에

중형을 선고하고 있는 상황이지만 이에 반해 개인정보침해와 같은 사이버 해킹 위험은 사회,

적 영향력이 매우 높음에도 불구하고 위조지폐의 경우와 같은 사회적 억제 기능이 제공되지

못하고 있는 상황이다 개인정보침해사고에 대한 책임성과 기업의 고객정보 보호 의지를 높일.

수 있도록 하는 정책적 방안들은 다음과 같은 것들을 생각해볼 수 있다.

시장현황 및 전망2.

가 국외 시장현황 및 전망.

세계 정보보호 시장도 과거 년 간 연평균 성장 억 달러 규모 하여 같은 기간3 13.5% (417 )

정보통신 시장 성장률의 배가 넘는 높은 성장을 기록하고 있다 또한 정보보호관련 법규 및2 . ,

규제 강화 추세로 지속적인 정보보호제품 수요가 발생하고 있으며 이는 다시 대형 네트워크장

비 서비스 기업의 정보보호 시장으로 투자가 확대되고 있다, SW, .

미국1)

오바마 정부는 사이버 보안을 보다 강화시키기 위해 새로운 법안을 발의했다 이는 미o .

시민과 국가 핵심 인프라 및 정부 네트워크를 보호하기 위한 것으로 각각에 대해 세부 사항이

포함돼 있다.

우선 미 시민을 보호하기 위해 사이버 범죄에 대한 처벌을 강화하고 이를 다른 범죄와o

동일시한다는 내용이 담겨 있다 더불어 핵심 인프라에 대한 해킹에 대해 최소 형벌을 제정키.

로 했다 아울러 국가 데이터 침해 보고와 관련된 기존 개 주의 법률을 간소화 및 표준화했. 47

다 이에 따르면 해킹을 당한 기업은 공격자가 고객의 개인 정보에 접근했는지의 여부를 고객.

에게 통보해야 한다.

국가 핵심 인프라 보호와 관련 오마바 정부는 민간업체나 주정부 또는 지자체가 해킹o ,

초기 단계에 국토안보부 에 도움을 요청해올 경우 국토안보부가 이를 도울 수 있는 체계(DHS)

를 마련했다 기업은 새로운 유형의 바이러스이나 사이버 위협 혹은 사고와 관련된 정보를 국.

- 16 -

토안보부와 공유할 수 있도록 하고 이 경우 면책을 받을 수도 있다 이와 함께 국토안보부가.

핵심 인프라 운영자들에게 사이버 위협과 취약점에 대해 우선순위를 매기도록 제안하고 있다.

또한 정부 네트워크를 효과적으로 보호하기 위해 연방정보보안관리법 을 갱신하o (FISMA)

고 국토안보부가 보안전문가를 고용할 때 유연성을 확보하도록 하며 모든 연방 행정 기관의,

민간인 컴퓨터 침입 방지 시스템을 영구 감독할 권한을 확보할 수 있도록 하고 있다 이 모든.

사안은 개인의 사생활과 자유권을 보호한다는 것을 전제로 하고 있다 정보에 대한 모니터링. ,

수집 사용 압류 및 공유 활동은 사이버 보안 위협을 방지하는 선에서 제한돼야 한다는 점을, ,

명시하고 있다.

또한 버락 오바마 미국 대통령은 사이버 보안을 강화하기 위해 전 국민에게 인터넷 신o ,

분증을 발급하는 계획을 추진할 것으로 알려졌다 하워드 슈미트 백악관 사이버 보안 조정관.

은 지난 일 스탠퍼드대 경제정책연구소의 한 행사에서 최근 인터넷 신분증 제도에 관한 계7 “

획을 수립 중에 있으며 상무부가 이 일을 맡게 될 것 이라고 밝혔다고 이 일 현지시각” CNet 7 ( )

보도했다 국가안보국 이나 국토안보부가 아닌 상무부가 맡게 된 것은 정보기관의 개입이. (NSA)

초래할 사생활 침해 우려를 의식한 것으로 보인다 인터넷 신분증은 종전부터 개인사생활 보.

호와 관련 논란을 일으킨 바 있기 때문이다, .

미국은 년 테러 이후 사이버 보안을 국가위기관리의 핵심적인 요인으로 인식o 2001 9.11

하고 다양한 법제와 정책 개발을 통해 사이버 보안 강화를 위한 다각적인 노력을 수행하고 있

다.

년 월 국토안보법 을 통해 미국정부에서는 국토 안보 영o 2002 7 (Homeland Security Act)

역 중 중요한 부분으로 사이버 보안을 명시하고 백악관에 사이버 보안책임자를 두었으며 사, ‘

이버 공간 보호를 위한 국가전략 을 발표하고 최우선 순위로 국가 사이버보안대응시스템을 개’

발하였다.

년 월에는 사이버보안연구개발법 을 통해 사이버 보안을 위한 기술개발을 위한o 2002 11 ‘ ’

지원 노력을 명시하고 있다.

또한 최근에는 프로젝트를 통해 국가기반시설에 대한 사이버 해킹 위험의o Cyber Storm

결과를 시뮬레이션 하는 등 지속적으로 사이버 보안 강화를 위해 노력을 기울이고 있다.

2) EU

는 사이버 보안 강화를 위해 유럽 네트워크 및 정보보호 기구 를 설치하였고o EU ‘ (ENISA)’

인터넷 안전 및 이용자 보호를 위한 프로젝트를 추진하고 있다‘Safe Internet Plus’ .

일본3)

일본 또한 국가차원에서 사이버 보안을 강화하기 위한 정보보호 기본계획 을 수립하여o ‘ ’

추진하고 있다 년 국제정보통신연합 이 사이버 보안 프레임워크 를 제시하는 등 국가. 2007 (ITU) ‘ ’

들 간의 보안정책의 일관성과 호환성을 강화하기 위한 노력도 진행되고 있다.

- 17 -

나 국내 시장현황 및 전망.

사이버 해킹 위험은 네트워크와 정보 기술로 인해 사이버 공간에서 발생할 수 있는 발생

가능한 손실 가능성이라고 할 수 있으며 사이버 위기는 위험을 발생시킬 수 있는 여러 위험,

요인으로 인해 사이버 해킹 위험이 현실화되어 부정적인 결과가 이미 발생한 상황을 말한다.

사이버 해킹 위험을 야기하는 위험요인 위협요소들로는 사이버 테러와 사이버 전쟁 같은 군,

사적 준군사적 행위부터 사이버 범죄와 개인정보 침해에 이르기까지 매우 다양하다 사이버 해/ .

킹 위험의 특징은 네트워크화와 정보화의 진전으로 정부 기업 학교 등 사회 전반에서 인터넷, ,

망에 대한 의존도가 심화되고 모든 영역이 개방형 네트워크로 연결되면서 어느 한 곳에 대한

사이버 해킹 공격으로 인해 특정 기술의 약한 고리에서 발생한 위험이 전 사회를 총체적 위기

로 몰아갈 수 있는 잠재적 가능성이 상존하게 된다는 것이다 즉 초국가 네트워크로서의 사이. ,

버 공간의 특성상 영역 간 국가 간 물리적 경계가 존재하지 않기 때문에 사이버 공간 내의 어,

느 한 곳의 네트워크가 위험에 처하게 되면 전체의 네트워크에 파장을 미치고 우리의 삶 한

부분에 한정되지 않고 삶 전체를 위험에 처하게 만드는 네트워크 도미노 현상을 일으킬 수 있

게 된다 사이버 해킹 위험이 사이버 위기로 현실화되면 다른 어떤 위험요소들보다 한 사회.

에 매우 심각한 영향을 미칠 수 있게 된다 또한 시간 네트워크로 연결되어 있어 시간적 한. 24

계 또한 존재하지 않으므로 사이버 공간은 항상 일상화된 위험에 노출된다 년 월 일. 2003 1 25

국내에서 발생했던 인터넷 대란 사태는 사이버 해킹 위험이 현실화됨으로써 사회에 미칠 수

있는 파국적 영향력과 금융거래 중단 등으로 이어지는 네트워크 도미노 현상을 보여줌으로 사

이버 세상의 위험성을 각인시켰다 가장 최근 예로는 로 불리기까지 했던 인터넷 강. e-Stonia

국 에스토니아에서 사이버 테러로 주 간 주요 전자정부 사이트와 은행을 포함하여 대부분의3

사회시스템이 심각하게 마비되는 일이 발생하여 사이버 테러의 경각심을 높인 바 있다 예측.

불가능한 사이버 해킹 위험은 이처럼 전 세계 국가 기업 개인의 전 사회적 차원에서 발생할 수/ / /

있다.

전 세계적 차원의 사이버 해킹 위험o

감염시킬 대상의 국적을 따지지 않는 인터넷 웜이나 바이러스는 글로벌 리스크로서의-

사이버 해킹 위험의 특징을 잘 보여준다 인터넷을 통해 전 세계가 긴밀하게 연결되고 국가 간.

전자상거래가 빈번해지면서 일국에서 발생한 위험은 여러 국가에게 쉽게 영향을 미치게 된다.

특히 미국에서 발생한 국제적 신용카드사의 개인정보 유출 사고의 경우처럼 다국적 기업의 개

인정보 침해 사고로 인해 여러 국가의 국민들이 직접적으로 피해를 입는 사례가 늘어나고 있

으며 최근 많은 해킹 공격들이 특정 국가들을 경유하여 이루어지는 경우가 많아서 국가 간 법,

적 분쟁으로 이어지는 등 사이버 해킹 위험은 점차 국가 간의 주요한 갈등요소로 자리 잡고

있다.

국가의 사이버 해킹 위험o

사이버 공간에 편입된 국가 기반시설에 대한 사이버 테러와 해킹 공격 등으로 인해 정-

- 18 -

부의 기능이 마비되고 사회적 혼란이 야기될 위험이 높다 또한 적국과의 사이버 전쟁으로 인.

해 국가 정체성을 유지하기 어려울 정도의 심각한 위기 상황에 처할 수도 있다 국가의 기밀과.

국가의 핵심 산업기술을 가져가려는 각국 정부 및 기업의 첩보행위로부터도 많은 도전을 받고

있다 또한 국가적으로는 해킹의 주요 경유지로서의 국제적 오명과 보안 무법천지라는 불명예.

를 안게 될 수도 있으며 국가의 이미지 하락의 위험에 처할 수 있다, .

기업의 사이버 해킹 위험o

기업의 경우 핵심 비즈니스 영역이 사이버 공간으로 이전되면서 산업기술을 포함한 기-

업의 영업 비밀들이 사이버 해킹 공격에 의해 누출되어 기업 경쟁력에 심각한 타격을 줄 수

있는 위험이 높아지고 있다 또한 자신들이 수집한 고객의 정보를 사이버 해킹 공격으로부터.

제대로 보호하지 못하고 유출시켜 기업경쟁력은 물론 개인정보보호법제 위반 등으로 법적 책

임을 지게 되는 위험에 처할 수도 있다.

개인의 사이버 해킹 위험o

개인들은 사이버 공간 상의 사회적 약자로서 더욱 많은 위험에 노출되어 있다 공공기- .

관이나 기업들이 더욱 더 많은 개인정보를 요구하는 반면 그에 대한 충분한 보호를 제공하지

못해 개인들은 자신의 개인정보가 유출될 위험에 일상적으로 노출되어 있으며 이러한 개인정,

보 유출로 인한 명예훼손 및 신체적 위협 로 인한 금융피해와 같은 차적인 범죄 위, ID Theft 2

험에도 노출되어 있는 상황이다.

정보 통신 기술에서 보안과 관련된 표준을 개발하는 주요 표준 개발 기구 및 단체에는o

포럼이 있다 하지ITU-T, ISO/IEC, IETF, OASIS, 3GPP, 3GPP2, ATIS, ETSI, IEEE, RAISE .

만 대부분 보안 프로토콜을 정의한다거나 특정 네트워크 및 응용에서의 보안을 위한 프레임,

워크나 기반 기술을 개발하는 작업이 대부분이어서 실제 사이버 환경에서 발생하는 해킹 및,

바이러스와 같은 침해요소 대응을 위한 보안 권고안을 개발하는 표준화 활동은 미비한 편이

다.

그 중 사이버 보안과 관련하여 가장 두드러진 활동을 하는 국제 표준 기구로는 가o ITU-T

있으며 라는 주제하에 표준을 개발하, “Security, languages and telecommunication software”

는 에서 보안 관련 표준의 개발을 주도하고 있다 특히 와SG17 . Q.6(Cyber Security)

이 사이버 보안 이슈와 가장 밀접한 관계를 갖는Q.17(Countering spam by technical means)

다 에서 개발된 사이버보안 관련 표준 권고안으로는 사이버보안 정의. Q.6 (X.1205),

와 종단 사용자를 위한 스파이웨어 및 사기성 소프트웨어 대응ISP(Internet Service Provider)

가이드라인 글로벌 식별자 관리 신뢰성과 상호 운용성을 위한 요구사항 현(X.1207), (X.1250(

재 승인절차 진행 중 등이 있으며 공통 식별자 데이터 모델 디지털 식별자 교환 프레임워)) , ,

크 악성코드 대응 가이드라인 등에 대한 표준 문서 개발을 진행 중에 있다, .

- 19 -

또한 은 기술적인 수단에 의한 스팸 대응과 관련하여 표준 개발을 수행 중에 있다o Q.17 .

현재 개발 완료된 권고안으로는 기술적 스팸 대응 방법 이메일 스팸 대응 기술(X.1231),

이메일 스팸 대응을 위한 기술적 프레임워크 멀티미디어 응용 스팸 개(X.1240), (X.1241), IP

요 현재 승인 절차 진행 중 가 있으며 사용자 정책 기반 스팸 필터링 시스템(X.1244( )) , SMS ,

멀티미디어 응용스팸 대응 프레임워크 인터랙티브 스팸 대응 게이트웨이 시스템 기술적인IP , ,

이메일 스팸 대응 수단에 대한 표준 개발을 진행 중에 있다 년부터 새로운 회기를 맞이. 2009

할 은 현재 개발 중인 아이템들과 더불어 봇넷 사이버 해킹 공격 역추적 디지털 포렌Q.6/17 , ,

식에 관련된 이슈들에 대한 표준 개발을 착수할 것으로 기대된다.

년도 국내 정보보호 시장 규모는 억 원에 이른 것으로 나타났고 년까지o 2007 7,400 , 2012

의 꾸준히 성장 조 원을 돌파할 것이란 전망도 나왔다 정보보호시장 트렌드7.4% , 1 . 2008「

및 해외 정보보호시장 분석 보고서 에 따르면 국내 정보보호 시장은 기술 개(KISA, 2008. 4.)」

발 및 제품 개발 단계와 초기제품 보급단계를 지나 타 부문 제품 및 기술과 융합화가 전개되

는 시장 성숙기에 진입한 것으로 분석되었다.

대표적 제품 및 서비스도 초기 백신이나 네트워크 방화벽 및 패스워드의 세대o DOS , ID 1

제품과 보안 제품 등의 세대 제품을 지나 맞춤형 유기적 관리체계를 제공하는VPN, IPS, PC 2 ,

정보보호 서비스 중심의 세대 제품으로 진입하였다 하지만 고성장을 예상하는 시장 전망과3 .

는 달리 국내 정보보호 기업들의 매출은 정체되어 있다 한국정보보호산업협회에 여 개 이. 100

상 정보보호 업체가 등록되어 있으나 대부분 규모가 영세하고 과도한 경쟁으로 인해 수익성,

이 높지 않은 편이다 이는 국내의 정보보호 투자 현실과도 무관하지 않다 미국의 경우 정보. .

화 예산 대비 정보보호 예산이 에 달하는데 반해 국내는 에 불과다 하지만 올해9.2% , 4.3% . ,

들어 연이어 발생되고 있는 해킹 및 대규모 고객정보 유출사고 이에 따른 대규모 집단소송 사,

건들은 사이버보안이 기업 생존의 필수적인 요소임을 인식시켜주고 있으며 정보보호에 대한,

인력 및 투자를 확대하는 추세에 있다.

정부에서도 사이버보안 관련법을 강화하고 조직을 확대하는 등 정보보호에 대한 강한o ,

의지를 보이고 있어 국내정보보호 시장 활성화를 기대해 본다.

국내에서도 년 월 일 인터넷 대란의 경험을 계기로 국가 위기관리 차원에서 사o 2003 1 25

이버 안전 확보의 중요성을 인식하고 기존의 안보개념에 사이버 보안을 포함시켰으며 국가사,

이버안전관리규정을 마련하고 국가사이버안전센터를 설립하는 등의 노력을 하고 있다.

한국은 정보화지수가 세계 위 안에 드는 자타 공인 강국인데 반해 세계경제포럼o 5 IT

의 보안서버 위 와 스위스 의 사이버 보안 위 등 정보보호 수준은 많이 떨어지(WEF) (49 ) IMD (22 )

는 상황이다 지난해 국가공공기관이 건의 해킹을 당했으며 년 추산 국내 개 공. 7,588 , 2007 80

공기관 중 만 개 민간기업의 가 보안관련 전담조직이 없는 등 높아지는 사이버80%, 44 95.3%

- 20 -

해킹 위험 발생 가능성과 사이버 보안의 중요성에 비해 실제 국내 사이버 보안 현실은 이에

미치지 못하고 있다.

기술개발 및 표준화 현황3.

가 국외 기술개발 및 표준화 현황.

o Cybersecurity

년 월 글로벌 에 관련하여 중요한 사안들이 있었으며2009 9 , Cybersecurity , Cybersecurity

정보 교환 기술 이니셔티브의 채택되었다(CYBEX: Cybersecurity Information Exchange) .

이것은 지난 수년 동안 정부와 산업계에서 지속적으로 개발해 왔던 여 종의 표준들의20

결과로 나타났으며 이러한 표준들은 취약성을 최소화하기 위해 온라인 시스템을 걸어 잠,

금 또 네트워크 장애 사고 발생 시에 사고에 대한 정보분석을 위한 일관된 방법에 대한,

논의 지속적으로 이루어져 왔다.

년 월 회의에서는 주요 표준안들이2010 12 (X.1500: Cybersecurity information exchange

techniques, X.1520: Common vulnerabilities and exposures, X.1521: Common

승인 절차에 들어갔vulnerability scoring system) TAP(Traditional Approval Procedure)

고 개월간의 산업계의 전문가들의 작업이 일단락되었다, 15 CYBEX .

또한 표준 개발 중인 X.1209(Capabilities and their context scenarios for cybersecurity

와 에 대한 추가문서 도information sharing and exchange) X.1205 8 (Supplement 8 to

Recommendation: ITU-T X.1205-Supplement on best practices against botnet

이번 회의에서 승인절차에 들어갔다threats) .

그리고 현재 에서 개의 문서가 개발 중에 있으며 또한 다음과 같은 주제Q.4 11 CYBEX ,

로 개발 중에 있다.

Botnets : best practices against botnets and a framework for botnet detection•

and response

Abnormal traffic detection and control guideline for telecommunication network•

Malware : guideline on preventing malicious code spreading•

Policy Distribution: Mechanism and procedure for distributing policies for network•

security

Attacks : framework for countering cyber attacks in SIP-based services•

Traceback : capabilities and mechanisms•

A possible cybersecurity index•

Preventing web-based attacks•

o IdM(Identity Management)

내에서의 은 그 영역을 확장하려고 적극적인 활동을 하고 있다 은 인증서SG17 IdM . IdM ,

- 21 -

식별자 그에 따르는 속성에 대한 생명주기인 생성 유지 이용 폐지에 따르는 관리를 목, , , ,

적으로 한다.

그러나 담당 연구과제인 은 의 을 새로 개발을 하고자 하는 의도를 보이고Q10 IdM ToR

있다 즉 인식자의 생성 이용 폐지에 대한 표준개발을 넘어서 도메인 간의 신뢰정보의. , , ,

전달 및 판단을 위한 인증 영역의 표준개발을 하고 있으며 더 나아가 와의 연계, CYBEX

를 꾀하고 있어 의 전반적인 역할분담을 깨트리고 있는 상황이다, SG17 .

현재 개발 중인 표준문서 X.eaa(Information technology-Security techniques-Entity

는 와 공동으로 개발하고 있으며 이 표준은 엔티티의authenti-cation assurance) ISO/IEC ,

인증보증을 관리하는 프레임워크를 제공함을 목표로 하고 있다 그 주요 내용으로는 엔티.

티 인증보증의 네 가지 수준 네 가지 수준에 대한 기준 및 가이드라인 다른 인증보증, ,

스킴과의 연계를 위한 가이드 및 위협을 약화시키기 위한 통제를 위한 가이드를 포함한,

다.

o IdMIPTV

정보보호 관련 표준문건은 개의 표준초안이 개발 중에 있으며 이번 회의에서는IPTV 6 ,

문X.iptvsec-5(X.1195: Service and content protection(SCP) interoperability scheme)

서가 승인 절차에 들어 갔다 년 차기 회의에는(Consent) . 2011 X.iptvsec-2(Functional

requirements and mechanisms for secure transcodable scheme of IPTV),

X.iptvsec-3(Key management framework for secure IPTV services),

X.iptvsec-4(Algorithm selection scheme for service and content protection(SCP)

와 같은 건의 표준초안에 대하여 승인절차에 들어갈 예정에 있다descrambling) 3 .

정보보호 표준초안에 대하여 지난 월 임시회의에서부터 독일이 관심을 표명하였으IPTV 7

며 이번 회의에서는 표준초안에 대하여서 관련 기고서를 제안하였다 기고, X.iptvsec-3 .

내용은 표준초안에 기능을 추가하는 내용을 제안했다X.iptvsec-3 TA(Trusted Authority) .

그러나 는 키관리 메커니즘에 집중하고 모바일 단말의 이동성 보장을 위한X.iptvsec-3 ,

프레임워크와 그에 따르는 기능 제공에 대하여는 추후 논의를 하는 것으로 회의에서TA

결론을 내렸다.

나 국내 기술개발 및 표준화 현황.

o Cybersecurity Index

표준초안은 사이버공간에서 정보보호 안전성X.csi(Guidelines for cybersecurity index)

을 평가하는 지수 개발을 목표로 하며 이번 회의에서는 총 개의 지표가 제안되어 표준27

문서에 반영되었다 즉 기관이나 국가의 사이버공간의 보안지수를 측정하기 위한 지표와.

방법을 제시하는 것이며 향후 사이버 공간의 안전성을 평가하는 주요 지수가 될 수 있기

때문에 각국 간의 이해가 집중되는 표준초안이 된다 본 문건에 대하여는 한국의 염흥열.

교수가 에디터로 활동하고 있다.

- 22 -

o JCA SEC

년 월 에서는 에 설립에 대한 고려를 요청2010 2 TSAG SG17 JCA-SEC(JCA on Security)

하여 한국의 염흥열 교수가 의 설립 필요성에 대하여 발표를 하였다 이 문건, JCA-SEC .

에 대하여 에서는 지난 월 제네바 회의에서 후속 토론이 있었다ITU-T SG17 4 , .

의 설립은 모든 간에 정보보호 작업을 조정하고 작업에 대한 중복투자를 피JCA-SEC SG ,

할 수 있도록 단일 창구를 두고 작업에 방해가 되는 요소를 해소하기 위한 상호협력을,

목적으로 두고 있다.

그러나 월 회의에서는 이에 대한 이해 부족과 몇몇 국가의 반대 입장으로 인하여SG17 4

설립이 추진되지 못하였으나 년 월 회의에서 재 거론되어 설립이 가결되었, 2010 12 SG17

다 앞으로 이 회의를 통하여 은 정보보호 표준개발에 있어서 조정기구로서의 역할. SG17

을 수행하고 이를 바탕으로 정보보호 표준 개발에 있어서 생산성과 효율성에 지대한 영향

력을 행사할 것으로 사료된다.

제 절 포럼 구성 및 운영2

목적 및 필요성1.

근래 사이버 공간에서의 해킹으로 인한 정보유출 기술유출로 수천억 원 수조 원 정도의, ~

피해가 발생하고 있으며 스턱스넷 으로 불리는 사이버 미사일과 같은 무기들은 국가, (Stuxnet)

의 안보를 위협하고 있다 이로 인해 정보보호에 대한 관심은 꾸준히 증가하고 있는 추세이다. .

국가에 대한 해킹과 피해는 국제 비즈니스 환경과 정치적 지형에서 국가 사이버 공간의 신

뢰도 하락은 기업이나 국가의 경쟁력을 약화시키게 될 것이며 국제 분쟁으로 쉽게 이어질 수,

있다.

국가 안보와 국민 보호 국가경쟁력 강화를 위한 사이버 보안 강화 정책이 요구되는데 사이, ,

버 해킹 위험의 심각성과 사이버 보안의 중요성 국내 사이버 보안 현황에 대한 정확한 이해를,

바탕으로 국내 사이버 보안을 강화하고 본 표준화 전략포럼을 통해 사이버 보안에 있어서 한

단계 앞서나갈 수 있는 대응책이 될 수 있다고 본다.

연혁2.

해킹보안기술포럼 창립총회o 2012.06.07 –

o 2012.08.06 - CJK Security Contribution from TTA(Invitation Letter for CJK security

국제 기고서 편Working Group) : 1

o 2012.08.07~08 - 11th 국제 기고서 편RAISE Forum : 1

표준 과제채택 편o 2012.09.18 TTA 2–

포럼 표준제정 편o 2012.09.20 6–

- 23 -

국가사이버보안정책포럼 워크숍o 2012.10.31 –

조직구성 및 주요활동3.

가 조직구성 조직도 포함. ( )

한국해킹보안기술포럼 조직도< >

나 분과 워킹그룹 별 주요활동. (or )

취약점 구축 분과 워킹그룹(1) DB (or )

해킹보안기술에 대한 취약점 구축 표준화o DB

취약점 의 정보 분배와 공유- DB

취약점 의 정보 저장- DB

취약점 의 정보 전송 프로토콜- DB

모바일 보안 분과 워킹그룹(2) (or )


스마트폰 단말기의 금융해킹 침해사고에 대한 보안 지침-

스마트 단말기에서 모바일뱅킹을 위한 개인정보보호관리 매카니즘-

금융보안 분과 워킹그룹(3) (or )


피싱에 대한 보안 지침-

- 24 -

파밍에 대한 보안 지침-

금융보안시스템 안전성 확보와 보안대책-

다 회원사 구성.

산업체연구소 학계 총계

대기업 중소벤처 기업

갯수 - 7 3 4 14

백분율(%) - 50 21 29 100%

라 표준화 추진체계도.

한국해킹보안기술포럼 표준화 상관관계도< >

- 25 -

제 장 년도 해킹보안기술 포럼 활동결과3 2012

제 절 주요 추진실적 요약1월 일 기준(12 30 )

구분계획

건수 계량치( )실적

건수 계량치( )대표 결과물

국제활동

공적표준

기고서 제안 2 1

O CJKICT- Introduction of Hacking andSecurity Technology Forum

O 11th RAISE Forum- Introduction of the Hackingand Security Technology Forumin Korea

기고서 반영 0 0

기고서 제정 0 0

사실상표준

기고서 제안 1 1

기고서 반영 0 0

기고서 제정 0 0

국내활동

단체표준

표준 과제채택TTA 2 8

O TTA PG 504- 파밍에 대한 보안장치와 피해자보안 대책- 피싱에 대한 보안 시스템과피해자 보안 대책

표준 제정TTA 1 2

포럼표준

포럼 표준제정 6 8

포럼 표준개정 6 0

기타성과 지표-1 토론회 건3 토론회 건3 O 국가사이버보안정책 토론회

기타성과 지표-2 워크숍 건1 워크숍 건1 O 국가사이버보안정책 워크숍

- 26 -

제 절 활동 결과2

포럼 운영 결과1.

분과회의o (2012. 4. 23)

회의목적 해킹보안기술포럼 운영회의- :

회의내용 시간- : : AM 11:00 ~ PM 12:00▶

포럼 운영 계획•

연구개발비 집행 계획•

분과회의o (2012. 4. 26)

회의목적 국가 사이버 공격의 실시간 대응을 위한 취약점 의 정보 전송 프로토콜- : DB

국내 해킹기술보안포럼 회의( )

회의내용 시간- : : PM 4:00 ~ 6:00▶

국가 사이버 공격의 실시간 대응을 위한 취약점 의 정보 전송 프로토DB•

콜

정보 전송 프로세스1.

프로토콜의 표준 모델 기존 표준 프로토콜 포함 설정2. ( )

프로토콜의 암복호화 방법3. ․프로토콜의 송신자와 수신자 사이에 정보 전송 방법•

취약점 의 정보 전송 프로토콜의 규격DB•

정보 전송 프로토콜의 규격1.

취약점 의 정보 전송 프로토콜2. DB

분과회의o (2012. 5. 10)

회의목적 해킹보안기술포럼 운영 관련 회의- :

회의내용 시간- : : PM 5:00 ~ 6:00▶

경비집행계획•

회의 및 세미나 개최일 계획•

표준화 제안 검토•

분과회의o (2012. 6. 5)

회의목적 취약점 의 정보 저장 요구사항 국내 해킹기술보안포럼 회의- : DB ( )

회의내용 시간- : : AM 11:00 ~ 12:00▶

취약점 의 정보 저장 요구사항DB•

정보 저장 프로세스1.

- 27 -

정보 저장 시 암복호화2. ․취약점 의 정보 저장 방법DB•

취약점 의 정보 저장의 규격DB•

정보 색인 규격1.

정보 저장2.

분과회의o (2012. 6. 14)

회의목적 국가 사이버 공격의 실시간 대응을 위한 취약점 의 정보 분배와 공유- : DB

요구사항

회의내용 시간- : : PM 4:00 ~ 6:00▶

국가 사이버 공격의 실시간 대응을 위한 취약점 의 정보 분배와 공유DB•

요구 사항

정보 분배 프로세스1.

정보 공유 프로세스2.

취약점 의 정보 분배와 공유 방법DB•

취약점 의 정보 분배와 공유의 규격DB•

정보 분배의 규격1.

정보 공유의 규격2.

분과회의o (2012. 6. 25)

회의목적 스마트폰 단말기의 금융 해킹 침해사고에 대한 보안 지침 국내 해킹기술보- : (

안포럼 회의)

회의내용 시간- : : PM 4:00 ~ 6:00▶

스마트폰 단말기의 금융 해킹 침해사고에 대한 보안 지침•

스마트폰 단말기의 보안 위반 상태1.

스마트폰 단말기의 금융 프로그램 상태2.

피해자 보상 대책3.

스마트폰 단말기의 금융 해킹사고 보안 방법•

스마트폰 단말기의 금융 해킹사고 보안의 규격•

금융 해킹사고 보안의 규격1.

스마트폰 단말기의 금융 해킹사고 보안2.

분과회의o (2012. 6. 28)

회의목적 피싱 파밍 사고에 대한 공격 사례 및 국가 사이버이용자 데이터- : PG504 ,

감시와 데이터 스니핑 공격 보안 정책

회의내용 시간- : : PM 4:00 ~ 6:00▶

피싱 사고에 대한 공격 사례PG504•

- 28 -

공격1. Man-in-the-middle

위장 공격2. URL

이용자 데이터 감시와 데이터 스니핑 공격3.

파밍 사고에 대한 공격 사례PG504•

도메인 탈취1.

서버 해킹2. DNS

파밍 피해3.

분과회의o (2012. 6. 29)

회의목적 스마트폰 단말기에서 모바일뱅킹을 하기위한 개인정보보호 매카니즘 국내- : (

해킹기술보안포럼 회의)

회의내용 시간- : : PM 4:00 ~ 6:00▶

스마트폰 단말기에서 모바일뱅킹을 하기위한 개인정보보호 매카니즘•

스마트폰 단말기 금융 서비스1.

스마트폰 단말기 금융 프로세스2.

스마트폰 단말기 금융 개인정보보호3.

스마트폰 단말기 금융 개인정보보호 방법•

스마트폰 단말기 금융 개인정보보호 규격•

금융 개인정보보호의 규격1.


분과회의o (2012. 7. 10)

회의목적 물리적 금융보안 인터넷 금융거래 네트워크 시스템의 안전성 확보를 위한- :

보안 지침 국내 해킹기술보안포럼 회의( )

회의내용 시간- : : PM 4:00 ~ 6:00▶

물리적 금융보안 인터넷 금융거래 네트워크 시스템의 안전성 확보를 위•

한 보안 지침

금융보안시스템 안전성1.

금융 피해보상2.

금융보안시스템 안전성 확보와 피해보상 방법•

금융보안시스템 안전성 확보와 피해보상의 규격•

금융보안시스템 안전성의 확보 규격1.

금융피해 보상 규격2.

분과회의o (2012. 7. 12)

회의목적 피싱에 대한 보안지침 표준 재정 회의- :

회의내용 시간- : : PM 4:00 ~ 6:00▶

- 29 -

피싱 사고•

피싱에 대한 보안 지침•

사용자 측면1.

공급자 측면2.

피싱에 대한 보안 기술 장치•

피싱에 대한 보안 방법•

해킹보안기술포럼 분과위원장 교체 및 적임자 회의•

염흥열 교수 주덕규 박사 공고( -> )

여러 후보자들 속에서 적임자 회의 끝에 염흥열 교수에서 주덕규 박사

로 분과위원장을 교체 및 공고.

분과회의o (2012. 9. 24)

회의목적 피싱에 대한 보안지침 표준 재정 회의- : PG504

회의내용 시간- : : PM 4:00 ~ 6:00▶

피싱 사고•

피싱에 대한 보안 지침•

사용자 측면1.

공급자 측면2.

피싱에 대한 보안 기술 장치•

피싱에 대한 보안 방법•

분과회의o (2012. 10. 17)

회의목적 파밍에 대한 보안지침 피싱에 대한 보안지침 표준화를 위한 회의- : ,

회의내용 시간- : : PM 5:00 ~ 8:00▶

표준의 구성 및 범위•

피해자 보상 기준 대책•

표준화를 제정함으로써 미치는 기대 효과•

분과회의o (2012. 10. 19)

회의목적 피싱에 대한 보안지침 파밍에 대한 보안지침 관련 제안서 전체적- : PG504 ,

검토 및 미비된 사항 회의

회의내용 시간- : : PM 5:00 ~ 7:00▶

파밍 예방 방법< (Pharming) >

정보보호관리체계 는 조직의 정보 자산을 체계적으로 보호하고 사(ISMS) ,•

이버침해 위협으로부터 조직이 유기적으로 대응하기 위한 종합적인 관리

체계를 유지한다.

- 30 -

전자정부 정보보호관리체계는 정부 행정기관 등의 조직 및 서비스의 특•

성에 적합하게 수립된 종합적인 정보보호 관리체계를 갖도록 한다.

피싱 예방 방법< (Phishing) >

가지의 개체 인증에 대한 보증 레벨을 정의하고 각 레벨에 대한 기준4 ,•

및 가이드라인을 정의한다.

인증 위협을 완화하기 위해 사용될 수 있는 통제와 다른 인증에 대한•

보증 스킴 과 보증 레벨을 매칭시키기 위한 가이드를 제공하며(Scheme) ,

개 보증 레벨을 기반으로 한 인증의 결과를 교환하기 위한 가이드도 함4

께 제공한다.

분과회의o (2012. 11. 8)

회의목적 피싱에 대한 보안지침 파밍에 대한 보안지침 재정 검토 및 워크- : PG504 ,

숍 준비사항 포럼 홈페이지 제작 착수 보고 회의,

회의내용 시간- : : PM 5:00 ~ 7:00▶

피싱 사고에 대한 보안 방법PG504•

국제 피싱 대응 기구협회인 안티 피싱 워킹그룹 을 통해 최신- (APWG)

블랙리스트 정보를 매일 업데이트 해 주는 보안 방법

파밍 사고에 대한 보안 방법PG504•

도메인 네임 변경 못하게 네트워크 서버 시스템 보안 금융기관 홈- :

페이지 등 피싱으로 인하여 사용자의 금융 피해가 예상될 수 있는 홈

페이지 도메인 네임 관리기관은 도메인 네임이 외부와 내부의 해킹으

로 도메인 네임이 불법적으로 변경 되지 않도록 보안시스템을 운영

국가 사이버 보안 정책 포럼 워크숍 리플릿 및 발표 자료 작성•

국가 사이버 보안 정책 포럼 홈페이지 디자인 착수•

분과회의o (2012. 11. 13)

회의목적 피싱에 대한 보안지침 파밍에 대한 보안지침 재정 검토 및 워크- : PG504 ,

숍 준비사항 포럼 홈페이지 제작 착수 보고 회의,

회의내용 시간- : : PM 5:00 ~ 7:00▶

피싱 사고에 대한 대응 지침PG504•

파밍 사고에 대한 대응 지침PG504•

국가 사이버 보안 정책 포럼 워크숍 작성Check List•

국가 사이버 보안 정책 포럼 홈페이지 수정•

분과회의o (2012. 11. 16)

회의목적 파밍사고에 대한 정보 보안 체계 관련 회의- : PG504

회의내용 시간- : : PM 4:00 ~ 6:00▶

- 31 -

파밍에 대한 정보 보안 체계•

도메인 네임 변경 못하게 네트워크 서버 시스템 보안1.

도메인 네임 사고 시 즉시 수습 및 대처2.

시그니처 기반 분류3. PE

화이트 리스트 해시 룩업4.

정적 분석 백신 검사 자동화 동적 분석 침해 지표 분석5. , , , (IOC)

정보 보호 관리 체계 인증6. (ISMS)

인증7. PIMS

전자정부 정보 보호 관리 체계 인증8. (G-ISMS)

분과회의o (2012. 11. 19)

회의목적 피싱 사고에 대한 대응 지침 표준화 회의- : PG504

회의내용 시간- : : PM 4:00 ~ 6:00▶

피싱 사고에 대한 대응 지침 관련 신고 요령PG504•

경찰청 사이버수사대 측면•

사이버범죄 신고방법은 범죄신고시스템을 이용 접수하는 방법- ,

인터넷진흥원 측면(KISA)•

인터넷침해대응 접수 및 상담-

금융감독원 측면•

문의안내 및 불법사금융피해신고센터-

유관기간•

분과회의o (2012. 11. 29)

회의목적 스마트폰 단말기의 금융 해킹 침해사고에 대한 보안 지침 표준화- : PG504

회의

및 스마트폰 단말기에서 모바일뱅킹을 하기위한 개인정보보호관리 매카니

즘 표준화 회의

회의내용 시간- : : PM 4:00 ~ 6:00▶

스마트폰 단말기의 금융 해킹 침해사고에 대한 보안 지침•

스마트폰 단말기의 보안 위반 상태1.

스마트폰 단말기의 금융 프로그램 상태2.

피해자 보상 대책3.

스마트폰 단말기의 금융 해킹사고 보안 방법•

스마트폰 단말기의 금융 해킹사고 보안의 규격•

금융 해킹사고 보안의 규격1.

스마트폰 단말기의 금융 해킹사고 보안2.

스마트폰 단말기에서 모바일뱅킹을 하기위한 개인정보보호관리 매카니•

- 32 -

즘

스마트폰 단말기 금융 서비스1.

스마트폰 단말기 금융 프로세스2.


분과회의o (2012. 11. 30)

- 회의목적 스마트폰 단말기에서 모바일뱅킹을 하기위한 개인정보보호관리 매: PG504

카니즘 및 금융보안시스템 안전성 확보와 보안대책 표준화 재정 회의

회의내용 시간- : : PM 4:00 ~ 6:00▶

스마트폰 단말기 금융 개인정보보호 방법•

스마트폰 단말기 금융 개인정보보호 규격•

금융 개인정보보호의 규격1.


금융보안시스템 안전성 확보와 보안대책•

금융보안시스템 안전성1.

금융 피해보상2.

금융보안시스템 안전성 확보와 피해보상 방법•

금융보안시스템 안전성 확보와 피해보상의 규격•

금융보안시스템 안전성의 확보 규격1.

금융피해 보상 규격2.

국제표준화 활동 결과2.

가 기고서 실적 제안 반영 채택. ( / / )

번호

표준구분 기고서명 기구명

표준화회의명

기고자표준화단계

연월일 문서번호

기고 반영 기고 반영

1 정책기고

Introduction ofHacking and SecurityTechnology Forum

CJKICTCJK SecurityWork Groupmeeting

ParkDeaWoo

기고서제안

20120806 - Doc-06R2 -

2 정책기고

Introduction of theHacking and SecurityTechnology Forum in

Korea

RAISEForum

11th RAISEfroum Tokyo

ParkDeaWoo

기고서제안

20120807 - RAISE-1211 -

나 대표 기고서 실적.

o CJK Security Contribution from TTA

일시 년 월 일- : 2012 8 6

장소 일본- :

제목- : Introduction of Hacking and Security Technology Forum

- 33 -

기술정의-






클라우팅컴퓨팅 스마트폰 등 스팸 해킹공격에 대한 해킹보안 산업기술기준 및 표- , ,

준화


피싱 파밍 금융정보탈취 공격기술 조사연구 및 피해자보상기준 판정을 위한 기술- , ,

점검내용 기준 확립과 이용자 보호대책 표준화

주요내용-


정부에 사이버 보안과 해킹 대응 책임자가 부재하는 등 아직까지 사이버 해킹 위험-

의 심각성과 중요성이 제대로 평가되고 있지 못하고 있는 상황이다 사이버 해킹.

위기가 국가 위기의 하나로 인정받은 것도 최근의 일이고 앞의 조사결과는 아직까,

지 사이버 해킹 위험에 대한 정확한 사회적 평가가 제대로 내려지지 않았다는 사실

에 대한 반증이기도 하다.


국내의 기존 사이버 해킹 위험에 대한 정책이 사이버 위기에 대한 대응에 초점이-

맞춰져 있었으며 최근의 사이버 위기 예방 및 대응에 관한 법률안 또한 예방이라,

는 부분보다는 정부차원의 물리적 대응책에 집중하고 있음을 알 수 있다 앞으로.

사이버 해킹 보안은 단순한 사후적인 사이버 위기대응이 아니라 사전에 위기로 현

실화되지 않도록 현존하고 있는 혹은 잠재적인 위험요소들에 대해 지속적으로 관리

하는 사이버 해킹 위험관리를 입법화 행정화 상시화로 수행할 필요가 있다 따라, , .

서 사이버 보안 강화를 위해서는 단순한 효과적인 위기 대응체제의 구축뿐만 아니

라 사이버 해킹 위험과 직 간접적으로 관련된 모든 주체들이 능동적으로 참여하는·

지속적이고 안정적인 사이버 해킹 위험관리체제의 마련이 선행되어야 한다.


현재 정보보호 관련 규정은 사이버안전관리규정과 정보통신기반보호법 정보통신망- ,

이용촉진및정보보호등에관한법률 등 여러 개별 법령에 분산되어 있고 조직 또한 국

정원 행안부 방통위 지경부 등으로 산재해 있어 법령 간 중복 및 공백이, , , , KISA

존재하고 부처 간 업무 혼선 및 협력 관계 유지가 원활하지 못한 상황이다 따라서, .

지속적이고 안정적인 사이버 해킹 위험관리와 적시의 사이버 위기대응을 위해서는

- 34 -

통합기구 및 통합법제의 신설 등 조직적 법제도적 차원의 일관성을 제공함으로써,

법제와 조직의 효과성을 제고해야 한다.


개인정보보호는 현재 사회적으로 가장 커다란 문제가 되고 있는 사이버 해킹 위험-

으로 최근의 옥션 사태나 사건을 통해서 알 수 있는 것처럼 개인정보 유출이NATE

사회에 미치는 영향은 그 피해자의 숫자뿐 아니라 기업이 잃게 되는 신뢰도 및 전

체 사이버공간에 대한 신뢰성의 하락으로 인한 온라인 경제의 손실이라는 영향까지

생각해 보았을 때 국민 개개인과 국가경제에 미칠 영향력이 매우 높은 위험이라고

할 수 있다 현재 개인정보보호를 위한 다양한 제도들이 마련되었지만 아직까지. ,

개인정보를 보관하고 있는 기업 측의 적극적인 사이버 보안 노력을 이끌어내는 데

는 실패하고 있다 국내에서 개인정보보호의 효과성을 높이기 위한 방안을 제시해.

보면 다음과 같다 첫째 민간 공공부문을 아우르는 통합 개인정보보호법이 제정. , ,

되어야 한다 지금은 민간영역과 공공영역별로 여러 개별법들로 나뉘어 있는 상황.

으로 이러한 다원화된 보호체계는 법 적용 사각지대가 발생될 수 있고 상이한 원,

칙과 기준의 적용에 따른 국민 혼란이 발생될 수 있다 둘째 개인정보영향평가제. ,

도를 단계적으로 의무화해야 한다 개인정보 위험관리 차원에서 개인정보를 수집. ,

관리하는 시스템을 구축 운영 시에 프라이버시에 미칠 영향에 대해 미리 조사 예, ,

측 검토하도록 해야 한다 셋째 개인정보침해사고에 대한 처벌규정 및 책임성을, . ,

강화해야 한다 법제의 효과성이 떨어지는 이유는 개인정보보호 관련 법제 우회를.

위한 비용이 그다지 높지 않기 때문에 대부분의 기업들이 굳이 사이버 보안을 위한

투자를 늘리기 보다는 벌금을 지불하는 것으로 해결하려는 경향이 높기 때문이다.

위조지폐의 경우 사회의 기본 경제 질서를 좌우할 수 있다는 점에서 사회에 미치는

영향이 크기 때문에 중형을 선고하고 있는 상황이지만 이에 반해 개인정보침해와,

같은 사이버 해킹 위험은 사회적 영향력이 매우 높음에도 불구하고 위조지폐의 경

우와 같은 사회적 억제 기능이 제공되지 못하고 있는 상황이다 개인정보침해사고.

에 대한 책임성과 기업의 고객정보 보호 의지를 높일 수 있도록 하는 정책적 방안

들은 다음과 같은 것들을 생각해볼 수 있다.

활용분야-

공격 인터넷공격에 대한 해킹기술에 대한 취약점 구축 표준화o DDoS , DB


해킹보안기술제품에 대한 표준화 기술 구축o CERT/CC, DB

스마트환경에 모바일 스팸 해킹 공격에 대한 취약점 분석 및 보안 기술 표준화o ,

금융피해에 대한 피해자보상기준 판정을 위한 기술 점검대책 및 이용자보호대책 표o

준화 구축DB

스팸 해킹공격 방어기술 방어시스템에 대한 기술모델 발굴 관리 등을 통한 산업o , , , ,

- 35 -

계와 정부 학계 간의 조정 단체 설립 추진,

해외 해킹보안기관 및 포럼과 정보교류 및 국제표준화 연동 추진o

기대효과-

최근 발생한 온라인 쇼핑몰과 금융거래에 대한 사이버침해 피해와 같이 웜 바이러스 개인정· ,

보 유출 피싱 파밍을 이용한 기업과 개인의 경제적 피해를 예방하고 공공기관과 금융기관의, , ,

서버에 대한 조직적인 공격에 대한 예방 및 대응체계 강화를 위해 대응DoS/DDoS DoS/DDoS

서비스를 확대하고 이를 통해 인터넷상의 악성트래픽을 조기에 탐지하여 이를 정화하는 서비,

스를 확대 할 수 있다 또한 바람직한 인터넷 문화조성을 위한 윤리운동 전개와 누구나 이용할.

수 있는 인터넷 그리고 대국민 인터넷 문화 확산 등을 통해 우리나라 인터넷 문화를 선진화할,

것이다 또한 악성프로그램 확산방지를 위한 법률의 제정을 추진하고 관련 법제도의 선진화를. ,

도모하여 보안 취약성을 줄여서 안전성을 높이고 개인정보보호의 보안성 강화하는데 기여할,

것이다.

해킹보안기술에 대한 취약점 구축의 표준화로 해킹 공격에 다른 즉각적인 대응이 가능해DB

지고 체계적인 구축을 통해 똑같은 해킹 공격으로부터 예방하는 효과가 기대된다 또한DB . ,

모바일 보안으로 스마트환경에서의 스팸 해킹공격에 대한 해킹보안 표준화로 무선 네트워크,

에서 이루어지는 스마트폰이나 테블릿 를 활용한 해킹 공격에 대한 보안에 대해 체계적인PC

대응을 할 수 있을 것이다 또한 금융거래와 침해사고에 대한 피해자보상대책 기준 및 이용자. ,

보호 표준화를 통하여 정부나 기업에서는 침해사고에 대한 피해보상대책을 체계적으로 마련할

수 있고 이용자들은 체계적인 보호를 받을 수 있을 것으로 기대된다, .

o 11th RAISE Forum

일시 년 월 일 일- : 2012 8 7 ~ 8

장소 일본- :

제목- : Introduction of the Hacking and Security Technology Forum in Korea

기술정의-






클라우팅컴퓨팅 스마트폰 등 스팸 해킹공격에 대한 해킹보안 산업기술기준 및 표- , ,

준화


피싱 파밍 금융정보탈취 공격기술 조사연구 및 피해자보상기준 판정을 위한 기술- , ,

점검내용 기준 확립과 이용자 보호대책 표준화

- 36 -

주요내용-


정부에 사이버 보안과 해킹 대응 책임자가 부재하는 등 아직까지 사이버 해킹 위험-

의 심각성과 중요성이 제대로 평가되고 있지 못하고 있는 상황이다 사이버 해킹.

위기가 국가 위기의 하나로 인정받은 것도 최근의 일이고 앞의 조사결과는 아직까,

지 사이버 해킹 위험에 대한 정확한 사회적 평가가 제대로 내려지지 않았다는 사실

에 대한 반증이기도 하다.


국내의 기존 사이버 해킹 위험에 대한 정책이 사이버 위기에 대한 대응에 초점이-

맞춰져 있었으며 최근의 사이버 위기 예방 및 대응에 관한 법률안 또한 예방이라,

는 부분보다는 정부차원의 물리적 대응책에 집중하고 있음을 알 수 있다 앞으로.

사이버 해킹 보안은 단순한 사후적인 사이버 위기대응이 아니라 사전에 위기로 현

실화되지 않도록 현존하고 있는 혹은 잠재적인 위험요소들에 대해 지속적으로 관리

하는 사이버 해킹 위험관리를 입법화 행정화 상시화로 수행할 필요가 있다 따라, , .

서 사이버 보안 강화를 위해서는 단순한 효과적인 위기 대응체제의 구축뿐만 아니

라 사이버 해킹 위험과 직 간접적으로 관련된 모든 주체들이 능동적으로 참여하는·

지속적이고 안정적인 사이버 해킹 위험관리체제의 마련이 선행되어야 한다.


현재 정보보호 관련 규정은 사이버안전관리규정과 정보통신기반보호법 정보통신망- ,

이용촉진및정보보호등에관한법률 등 여러 개별 법령에 분산되어 있고 조직 또한 국

정원 행안부 방통위 지경부 등으로 산재해 있어 법령 간 중복 및 공백이, , , , KISA

존재하고 부처 간 업무 혼선 및 협력 관계 유지가 원활하지 못한 상황이다 따라서, .

지속적이고 안정적인 사이버 해킹 위험관리와 적시의 사이버 위기대응을 위해서는

통합기구 및 통합법제의 신설 등 조직적 법제도적 차원의 일관성을 제공함으로써,

법제와 조직의 효과성을 제고해야 한다.


개인정보보호는 현재 사회적으로 가장 커다란 문제가 되고 있는 사이버 해킹 위험-

으로 최근의 옥션 사태나 사건을 통해서 알 수 있는 것처럼 개인정보 유출이NATE

사회에 미치는 영향은 그 피해자의 숫자뿐 아니라 기업이 잃게 되는 신뢰도 및 전

체 사이버공간에 대한 신뢰성의 하락으로 인한 온라인 경제의 손실이라는 영향까지

생각해 보았을 때 국민 개개인과 국가경제에 미칠 영향력이 매우 높은 위험이라고

할 수 있다 현재 개인정보보호를 위한 다양한 제도들이 마련되었지만 아직까지. ,

개인정보를 보관하고 있는 기업 측의 적극적인 사이버 보안 노력을 이끌어내는 데

는 실패하고 있다 국내에서 개인정보보호의 효과성을 높이기 위한 방안을 제시해.

- 37 -

보면 다음과 같다 첫째 민간 공공부문을 아우르는 통합 개인정보보호법이 제정. , ,

되어야 한다 지금은 민간영역과 공공영역별로 여러 개별법들로 나뉘어 있는 상황.

으로 이러한 다원화된 보호체계는 법 적용 사각지대가 발생될 수 있고 상이한 원,

칙과 기준의 적용에 따른 국민 혼란이 발생될 수 있다 둘째 개인정보영향평가제. ,

도를 단계적으로 의무화해야 한다 개인정보 위험관리 차원에서 개인정보를 수집. ,

관리하는 시스템을 구축 운영 시에 프라이버시에 미칠 영향에 대해 미리 조사 예, ,

측 검토하도록 해야 한다 셋째 개인정보침해사고에 대한 처벌규정 및 책임성을, . ,

강화해야 한다 법제의 효과성이 떨어지는 이유는 개인정보보호 관련 법제 우회를.

위한 비용이 그다지 높지 않기 때문에 대부분의 기업들이 굳이 사이버 보안을 위한

투자를 늘리기 보다는 벌금을 지불하는 것으로 해결하려는 경향이 높기 때문이다.

위조지폐의 경우 사회의 기본 경제 질서를 좌우할 수 있다는 점에서 사회에 미치는

영향이 크기 때문에 중형을 선고하고 있는 상황이지만 이에 반해 개인정보침해와,

같은 사이버 해킹 위험은 사회적 영향력이 매우 높음에도 불구하고 위조지폐의 경

우와 같은 사회적 억제 기능이 제공되지 못하고 있는 상황이다 개인정보침해사고.

에 대한 책임성과 기업의 고객정보 보호 의지를 높일 수 있도록 하는 정책적 방안

들은 다음과 같은 것들을 생각해볼 수 있다.

활용분야-





금융피해에 대한 피해자보상기준 판정을 위한 기술 점검대책 및 이용자보호대책 표o

준화 구축DB

스팸 해킹공격 방어기술 방어시스템에 대한 기술모델 발굴 관리 등을 통한 산업o , , , ,

계와 정부 학계 간의 조정 단체 설립 추진,


기대효과-

최근 발생한 온라인 쇼핑몰과 금융거래에 대한 사이버침해 피해와 같이 웜 바이러스 개인정· ,

보 유출 피싱 파밍을 이용한 기업과 개인의 경제적 피해를 예방하고 공공기관과 금융기관의, , ,

서버에 대한 조직적인 공격에 대한 예방 및 대응체계 강화를 위해 대응DoS/DDoS DoS/DDoS

서비스를 확대하고 이를 통해 인터넷상의 악성트래픽을 조기에 탐지하여 이를 정화하는 서비,

스를 확대 할 수 있다 또한 바람직한 인터넷 문화조성을 위한 윤리운동 전개와 누구나 이용할.

수 있는 인터넷 그리고 대국민 인터넷 문화 확산 등을 통해 우리나라 인터넷 문화를 선진화할,

것이다 또한 악성프로그램 확산방지를 위한 법률의 제정을 추진하고 관련 법제도의 선진화를. ,

도모하여 보안 취약성을 줄여서 안전성을 높이고 개인정보보호의 보안성 강화하는데 기여할,

- 38 -

것이다.

해킹보안기술에 대한 취약점 구축의 표준화로 해킹 공격에 다른 즉각적인 대응이 가능해DB

지고 체계적인 구축을 통해 똑같은 해킹 공격으로부터 예방하는 효과가 기대된다 또한DB . ,

모바일 보안으로 스마트환경에서의 스팸 해킹공격에 대한 해킹보안 표준화로 무선 네트워크,

에서 이루어지는 스마트폰이나 테블릿 를 활용한 해킹 공격에 대한 보안에 대해 체계적인PC

대응을 할 수 있을 것이다 또한 금융거래와 침해사고에 대한 피해자보상대책 기준 및 이용자. ,

보호 표준화를 통하여 정부나 기업에서는 침해사고에 대한 피해보상대책을 체계적으로 마련할

수 있고 이용자들은 체계적인 보호를 받을 수 있을 것으로 기대된다, .

- 39 -

국내표준화 활동 결과3.

가 표준개발 실적 포럼 단체 국가. ( / / )

나 대표 표준개발 및 활용 실적.

피싱에 대한 보안 지침 표준제정번호o ( : TTAK.KO-12.0212)

기술정의-

피싱 사고에 대한 대응 지침을 표준화한다 피싱을 방지하기 위한 보안 기술 장치 및 보안.

방법을 이용한 보안 지침을 정의하여 피싱으로 인한 금전적 피해가 발생하지 않도록 하기 위,

하여 피싱에 대한 보안 지침의 적용이 적절하게 이루어지도록 한다.

주요내용-

피싱 에 대한 보안 지침을 표준화한다 피싱을 방지하기 위한 보안 기술 장치 및(phishing) .

보안 방법을 이용한 보안 지침을 정의하여 피싱으로 인한 금전적 피해가 발생하지 않도록 하,

기 위하여 피싱에 대한 보안 지침의 적용이 적절하게 이루어지도록 한다.

피싱이 금융 기관 등의 웹 사이트에서 보낸 와 이메일 등으로SMS(Short Message Service)

위장하여 링크를 유도해 개인의 인증 번호나 신용 카드 번호 계좌 정보 등을 빼내어 국내 피,

싱 사고 건수는 년 건 년 분기 건으로 증가하고 있다 출처2011 1,849 , 2012 1 1,218 ( : KISA).

반면 파밍 은 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네, (pharming)

번호 제개정 표준 초안 명( )표준화기구

회의명 구분과제채택연월일

표준제정연월일

과제채택번호

표준제정번호

1 제정 피싱 사고에 대한 대응 지침 TTA 제 차 표준총회74 제정 20120919 20121221 2012-1487 TTAK.KO-12.0212

2 제정 파밍 사고에 대한 대응 지침 TTA 제 차 표준총회74 제정 20120919 20121221 2012-1488 TTAK.KO-12.0213

3 제정금융보안시스템 안전성 확보와

보안대책TTA

제 차83운영위원회

과제채택 20120919 - 2012-1486 -

4 제정스마트 단말기에서모바일뱅킹을 위한

개인정보보호관리 메커니즘TTA


과제채택 20120919 - 2012-1485 -

5 제정스마트폰 단말기의 금융해킹침해사고에 대한 보안 지침

TTA제 차83

운영위원회과제채택 20120919 - 2012-1484 -

6 제정 취약점 의 정보 분배와 공유DB TTA제 차83

운영위원회과제채택 20120919 - 2012-1482 -

7 제정 취약점 의 정보 저장DB TTA제 차83

운영위원회과제채택 20120919 - 2012-1481 -

8 제정취약점 의 정보 전송DB

프로토콜TTA


과제채택 20120919 - 2012-1480 -

- 40 -

임 시스템 이름을 속여 사용자들이 진짜 사이트로 오인하도록 유도하여 개인 정보를 훔(DNS)

치는 해킹 기법으로 피싱 기법과는 차이가 있다.

활용분야-

피싱을 방지하기 위한 보안 기술 장치 및 보안 방법을 이용한 보안 지침을 산업 현장에 적

용하여 피싱으로 인한 금전적 피해를 방지하고자 한다 만약 피싱으로 인하여 금전적 피해가, .

발생하였을 시에는 피싱에 대한 보안 지침에 따른 보안 기술 장치 및 보안 방법을 적절하게,

적용하였는지를 판단하여 책임의 한계 및 소재를 판단하는 데 사용될 것이다, .

기대효과-

피싱을 방지하기 위한 보안 기술 장치 및 보안 방법을 이용한 보안 지침을 산업 현장에 적

용하여 피싱으로 인한 금전적 피해를 방지하고자 한다 만약 피싱으로 인하여 금전적 피해가, .

발생하였을 시에는 피싱에 대한 보안 지침에 따른 보안 기술 장치 및 보안 방법을 적절히 적,

용하였는지를 판단하여 책임의 한계 및 소재를 판단하는 데 사용될 것이다, .

파밍에 대한 보안 지침 표준제정번호o ( : TTAK.KO-12.0213)

기술정의-

파밍 사고에 대한 대응 지침을 표준화한다 파밍을 방지하기 위한 보안 기술 장치 및 보안.

방법을 이용한 보안 지침을 정의하여 파밍으로 인한 금전적 피해가 발생하지 않도록 하기 위,

하여 파밍에 대한 보안 지침의 적용이 적절하게 이루어지도록 한다.

주요내용-

파밍 에 대한 보안 지침을 표준화한다 파밍을 방지하기 위한 보안 기술 장치 및(pharming) .

보안 방법을 이용한 보안 지침을 정의하여 파밍으로 인한 금전적 피해가 발생하지 않도록 하,

기 위하여 파밍에 대한 보안 지침의 적용이 적절하게 이루어지도록 한다.

파밍은 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS)

이름을 속여 사용자들이 진짜 사이트로 오인하도록 유도하여 개인 정보를 훔치는 기법이다.

반면 피싱은 불특정 다수의 이메일 사용자에게 신용 카드나 은행 계좌 정보에 문제가 발생

해 수정이 필요하다는 등의 거짓 이메일을 발송해 가짜 웹 사이트로 유인하여 개인의 신상 정

보 인증 번호 금융 기관의 신용 카드 정보나 계좌 정보 암호 정보 등을 빼내는 해킹 기법이, , ,

다.

활용분야-

파밍을 방지하기 위한 보안 기술 장치 및 보안 방법을 이용한 보안 지침을 산업 현장에 적

용하여 파밍으로 인한 금전적 피해를 방지하고자 한다 만약 파밍으로 인하여 금전적 피해가, .

발생하였을 시에는 파밍에 대한 보안 지침에 따른 보안 기술 장치 및 보안 방법을 적절하게,

- 41 -

적용하였는지를 판단하여 책임의 한계 및 소재를 판단하는 데 사용될 것이다, .

기대효과-

파밍을 방지하기 위한 보안 기술 장치 및 보안 방법을 이용한 보안 지침을 산업 현장에 적

용하여 파밍으로 인한 금전적 피해를 방지하고자 한다 만약 파밍으로 인하여 금전적 피해가, .

발생하였을 시에는 파밍에 대한 보안 지침에 따른 보안 기술 장치 및 보안 방법을 적절히 적,

용하였는지를 판단하여 책임의 한계 및 소재를 판단하는데 사용될 것이다, .

금융보안시스템 안전성 확보와 보안대책 과제채택번호o ( : 2012-1486)

기술정의-

금융보안시스템 안전성 확보와 보안대책을 위함이다 금융보안시스템의 금융거래에서 침해.

사고를 대비한 안전성 확보 방법과 침해사고가 발생 시에 피해자보상대책 기준을 위한 피해보

상의 규격을 정의하여 금융보안시스템 안전성 확보와 피해보상이 효율적으로 이루어지도록,

하고자 한다.

주요내용-

금융보안시스템 안전성 확보와 보안대책을 위함이다 금융보안시스템의 금융거래에서 침해.

사고를 대비한 안전성 확보 방법과 침해사고가 발생 시에 피해자보상대책 기준을 위한 피해보

상의 규격을 정의하여 금융보안시스템 안전성 확보와 피해보상이 효율적으로 이루어지도록,

하고자 한다.

활용분야-

금융보안시스템 안전성 확보와 보안대책을 위해 피해보상과 보상방법을 고려하여 피해보상

의 규격을 정의하여 금융보안시스템 안전성 확보와 피해보상이 효율적으로 이루어지도록 하,

고자 한다.

기대효과-

금융보안시스템 안전성 확보와 보안대책에 있어 금융보안시스템 안전성 확보로 추가 피해,

를 막고 금융사고로 인한 피해보상의 기준을 수립하여 금융보안시스템 안전성 확보와 피해보,

상 원칙을 제시함으로서 체계적인 피해보상 체계가 확립될 것으로 기대된다.

스마트 단말기에서 모바일뱅킹을 위한 개인정보보호관리 매카니즘 과제채택번호o ( :

2012-1485)

기술정의-

스마트폰 단말기에서 모바일뱅킹을 하기위한 개인정보보호관리 메카니즘 표준화를 위하여

- 42 -

금융거래와 침해사고에 대한 금융 개인정보보호를 위한 방법과 이용자보호를 고려하여 규격을

제시하고 스마트폰 단말기 금융 개인정보보호가 효율적으로 이루어지도록 하고자 한다, .

주요내용-

스마트폰 단말기 금융 개인정보보호 표준화를 위하여 스마트폰 단말기에서 금융거래와 침해

사고에 대한 금융 개인정보보호를 위한 방법과 이용자보호를 고려하여 규격을 제시하고 스마,

트폰 단말기 금융 개인정보보호가 효율적으로 이루어지도록 하고자 한다.

활용분야-

스마트폰 단말기 금융 개인정보보호 표준화를 위하여 스마트폰 단말기에서 금융거래와 침해

사고에 대한 금융 개인정보보호를 위한 방법과 이용자보호를 고려하여 규격을 제시하고 스마,

트폰 단말기 금융 개인정보보호가 효율적으로 이루어지도록 하고자 한다.

기대효과-

스마트폰 단말기에서 모바일뱅킹을 하기 위한 개인정보보호관리 메카니즘에 있어 금융거래,

와 이용자의 개인정보보호의 원칙을 제시하고 금융거래와 침해사고에 대한 피해자보상대책,

기준 및 이용자보호를 고려하여 스마트폰 단말기 금융 개인정보보호 보안에 기여할 것이다.

스마트폰 단말기의 금융해킹 침해사고에 대한 보안 지침 과제채택번호o ( : 2012-1484)

기술정의-

스마트폰 단말기의 금융 해킹사고 보안 표준화를 위하여 스마트폰 단말기에서 금융거래와

침해사고에 대한 피해자보상대책 기준 및 이용자보호를 고려하여 규격과 방법을 표준화 한다.

주요내용-

스마트폰 단말기 금융 해킹사고 보안 표준화를 위하여 스마트폰 단말기에서 금융거래와 침

해사고에 대한 피해자보상대책 기준 및 이용자보호를 고려하여 규격과 방법을 표준화 한다.

활용분야-

스마트폰 단말기 금융 해킹사고 보안 표준화를 위하여 스마트폰 단말기에서 금융거래와 침

해사고에 대한 피해자보상대책 기준 및 이용자보호를 고려하여 규격과 방법을 표준화 한다.

기대효과-

스마트폰 단말기의 금융 해킹사고 보안에 있어 스마트환경에서의 금융 해킹사고에 대한 스,

마트폰 단말기 금융 해킹 사고 보안 원칙을 제시하고 스마트폰 단말기에서 금융거래와 침해,

사고에 대한 피해자 보상 대책 기준 및 이용자 보호를 고려해 스마트폰 단말기 금융 해킹사고

보안에 기여할 것이다.

- 43 -

취약점 의 정보 분배와 공유 과제채택번호o DB ( : 2012-1482)

기술정의-

취약점 의 정보 분배와 정보 공유 표준화를 위하여 취약점 의 정보를 효과적이고 안전DB DB ,

하게 분배하고 공유하는 규격과 방법을 표준화하여 취약점 의 정보 분배와 정보 공유에서DB

정보를 빠르고 효과적으로 공유하고 분배하도록 표준화 한다.

주요내용-

국가 사이버 공격의 실시간 대응을 위한 취약점 의 정보 분배와 공유 요구사항 표준화를DB

위하여 취약점 의 정보를 효과적이고 안전하게 분배하고 공유하는 규격과 방법을 표준화하DB ,

여 정보 분배와 정보 공유에서 정보를 빠르고 효과적으로 공유하고 분배하도록 표준화 한다.

활용분야-

취약점 의 정보 분배와 공유 표준화를 위하여 취약점 의 정보를 효과적으로 분배하고 공DB DB

유하는 규격과 방법을 제시하고 취약점 의 정보 분배와 공유에 있어서 분배 프로세스와 공, DB

유 프로세스의 규격을 정의한다.

기대효과-

미국의 일본의 중국의 유럽의NIST, US-CERT, IPA, JPCERT/CC, CNCERT/CC, ENISA,

와 같은 국외 취약점 관리기관을 비롯해 소프트웨어 벤더 국내 보안전문가 보안EGC , CERT, ,

관련 기업 등이 취약점 의 정보 분배와 공유의 구성원이 될 수 있다DB .

취약점 정보의 수집은 중앙 집중식으로 취약점 를 구축하여 저장하고 저장된 취약점DB , DB

는 취약점을 관리하는 국가 콘트롤 타워의 지휘아래 국가기관이 취약점 정보를 분배하고 공유

하여 취약점 공격에 대한 실시간 협력 대응이 가능하다, .

취약점 의 정보 저장 과제채택번호o DB ( : 2012-1481)

기술정의-

개인 기업 공공기관 국가의 중요 정보보호를 위한 전체 시스템과 네트워크에 대한 취약점, , ,

정보를 취약점 에 저장하기 위하여 취약점 의 저장을 위한 저장 프로세스의 규격과 방법DB DB

및 저장 정보의 관리와 정보 저장 시 암복호화를 표준화하여 취약점 의 정보보호 및 정보의DB․확산과 정보의 분배를 위한 저장을 표준화 한다.

주요내용-

개인 기업 공공기관 국가의 중요 정보의 정보보호를 위한 전체 시스템과 네트워크에 대한, , ,

취약점 정보를 에 저장하기 위하여 취약점 에 저장을 위한 저장 프로세스의 규격과 방법DB DB

- 44 -

및 저장 정보의 관리와 정보 저장 시 암복호화를 표준화하여 취약점 의 정보보호 및 정보의DB․확산과 정보의 분배를 위한 저장 요구사항을 표준화 한다.

활용분야-

취약점 의 정보 저장 표준화를 위하여 개인정보보호법과 기업 국가의 중요정보를 보호하DB ,

기 위한 전체 시스템과 네트워크에 대한 취약점과 취약점 의 정보 저장을 위한 저장 프로세DB

스의 규격과 방법을 제시하고 취약점 의 정보를 보호하고 안정한 정보 저장이 되도록 규격, DB ,

을 정의한다.

기대효과-

취약점 의 정보 저장하고 관리하는데 있어 취약점 정보의 유출에 따른 차 차 피해 확DB , 2 , 3

산을 막기 위하여 인적 관리적 시스템적 정보보호가 필요하며 취약점 의 유출을 막기 위, , , DB

한 보안시스템 산업과 네트워크 보안 시스템 산업의 영향을 미치며 정보 저장 장치는 지역기,

반 취약점 저장과 국가기반 취약점 저장 단위로 발전하여 국가 전체 인프라의 보호와DB DB IT

관련 산업계 발전에 기여할 것이다.

취약점 의 정보 전송 프로토콜 과제채택번호o DB ( : 2012-1480)

기술정의-

취약점 의 정보 전송 프로토콜의 표준화를 한다 국내 사이에 혹은 국제 사이에 취약점DB . ,

의 정보 전송을 위한 전송 프로토콜의 프로세스와 전송 프로토콜의 규격과 방법을 표준화DB

하여 취약점 의 정보를 보호하고 송수신자에게 원활한 정보 가 전송되도록 표준화 한다DB , .․

주요내용-

국가 사이버 공격의 실시간 대응을 위한 취약점 의 정보 전송 프로토콜의 표준화를 한다DB .

국내 사이에 혹은 국제 사이에 취약점 의 정보 전송을 위한 전송 프로토콜의 프로세스와 전, DB

송 프로토콜의 규격과 방법을 표준화하여 취약점 의 정보 전송 프로토콜 정보를 보호하고DB ,

송수신자에게 원활한 정보가 전송되도록 표준화 한다.․

기대효과-

인터넷상의 취약점 공격으로 인한 국가 산업 경제와 금융 및 기술피해가 발생하고 있어 국,

가 사이버 공격의 실시간 대응을 위한 취약점 의 정보 전송 프로토콜 정보를 공유하고 확산DB

하여 국가 산업의 경제 자산과 산업 인프라를 보호하며 국가 간의 협조 체제를 갖추어 국가와,

산업 사회의 정보 침해사고로 인한 피해 예방 및 대책을 세우는데 기여할 것이다.

- 45 -

기타 활동 결과4.

뉴스광장 방송o KBS (2012.07.27.)

- 인터넷전화 국정원 보안 규정 현실성 외면‘ ’

- 46 -

제 장 년도 주요 수행계획4 2013

제 절 년도 해킹보안기술 포럼 연구목표1 2013










클라우팅컴퓨팅 스마트폰 등 스팸 해킹공격에 대한 해킹보안 산업기술기준- , ,

및 표준화




제 절 수행 과제 내용2

연구 목표▶





금융피해에 대한 피해자보상기준 판정을 위한 기술 점검대책 및 이용자보호대책o

표준화 구축DB

스팸 해킹공격 방어기술 방어시스템에 대한 기술모델 발굴 관리 등을 통한o , , , ,

산업계와 정부 학계 간의 조정 단체 설립 추진,


▶ 진행 방법

국가사이버보안정책 전문가 토론회 발표o ,

- 47 -

국가사이버보안정책 워크숍을 개최하고 전략적인 해킹보안기술 표준화 도출o




서버 웹서버 등 개인정보보호 유출 및 사고 취약점 구축 표준화- DB , DB


클라우팅컴퓨팅 스마트폰 등 스팸 해킹공격에 대한 해킹보안 산업기술기준- , ,

및 표준화




▶ 관련 국제회의

미국 참석 정보수집 및 정보 교류o LA DEFCON20 Conference

제 절 수행 과제 방법3

원활한 포럼운영을 위해 한국해킹보안협회 내 사무국을 두고o , 기업 및 보안업체 등IT 관련

사업자 및 유관기관의 의견수렴과 상호협조

표준화 대상 전문가 위원회 실무반 등 조직하여 표준화전략 도출 및 이슈조정- ,

국제 해킹보안포럼 가입 및 회의 참석 등을 통한 국제표준 협력 및 선도o

운영위원회 포럼 활동 방향 및 운영에 대한 의사결정o :

o 취약점 구축 분과DB 위원회 해킹보안기술에 대한: 취약점 구축 표준화DB

모바일 보안 분과위원회 스마트환경에서의 스팸 해킹공격에 대한 해킹보안 표o : ,

준화

금융보안 분과위원회 금융거래와 침해사고에 대한 피해자보상대책 기준 및 이o :

용자보호 표준화

- 48 -

제 장 결 론5

제 절 결론1

사이버 테러의 위협이 증가하고 디지털 정보가 중요시 되는 사이버공간에서는 국경

과 지역과 국민이 따로 없다 최근 사이버 공간에서의 해킹으로 인한 정보유출 기술. ,

유출로 수천억 원 수조 원 정도의 피해가 발생하고 있으며 스턱스넷 으로 불~ , (Stuxnet)

리는 사이버 미사일과 같은 무기들은 국가의 안보를 위협하고 있는 실정이다 이 표+ .

준화 전략포럼을 통해서라도 사이버 해킹 위험의 심각성과 사이버 보안의 중요성을 확

실히 이해하고 대비하여 국내 사이버 보안을 강화해야할 것이다 또한 스마트폰의 대.

중화로 인한 해킹 피싱 파밍 등 스마트환경속에서 모바일 보안의 사건사례가 증가하, ,

는 만큼 표준화를 통하여 보안에 대해 체계적인 대응을 할 수 있을 것이다.

제 절 기대효과2

본 표준화 전략포럼을 통해 개인정보 유출 피싱 파밍을 이용한 기업과 개인의 경, ,

제적 피해를 예방하고 공공기관과 금융기관의 서버에 대한 조직적인 공격, DoS/DDoS

에 대한 예방 및 대응서비스가 확대될 것이다 이를 통해 인터넷상의 악성DoS/DDoS .

트래픽을 조기에 탐지하여 이를 정화하는 서비스와 바람직한 인터넷 문화조성을 위한

윤리운동 전개와 누구나 이용할 수 있는 인터넷 그리고 대국민 인터넷 문화 확산 등,

을 통해 우리나라 인터넷 문화를 선진화할 것이다.

한층 더 보안을 강화하기 위해 악성프로그램 확산방지를 위한 법률의 제정을 추진하

고 관련 법제도의 선진화를 도모하여 보안 취약성을 줄여서 안전성을 높이고 개인정, ,

보보호의 보안성 강화하는데 기여할 것이라 본다.

또한 모바일 보안으로 스마트환경에서의 스팸 해킹공격에 대한 해킹보안 표준화로, ,

무선 네트워크에서 이루어지는 스마트폰이나 테블릿 를 활용한 해킹 공격에 대한 보PC

안에 대해 체계적인 대응을 할 수 있을 것이다 또한 금융거래와 침해사고에 대한 피. ,

해자보상대책 기준 및 이용자보호 표준화를 통하여 정부나 기업에서는 침해사고에 대

한 피해보상대책을 체계적으로 마련할 수 있고 이용자들은 체계적인 보호를 받을 수,

있을 것으로 기대된다.

표준화 추진과제 표준 안 기고서 요약서 작성( ( )/ )

년도 국내표준화 활동실적 표준안1. 2012 -

포럼 명 해킹보안기술포럼표준 안 명( ) 국문- : 피싱 사고에 대한 대응 지침

영문- : Guideline for Countermeasures against Phishing Incident표준 상태 포럼표준 개발중① □ 포럼표준 제정완료, ② ■ 표준 과제채택, TTA③ □,

표준 완료TTA④ ,□ 국가표준 제안 채택/⑤ □표준화 내용요약 주요 표준화 대상 및 범위( )표준의 목적1.본 표준에서는 피싱 사고에 대한 대응 지침을 표준화한다 피싱을 방지하기 위한 보안 기술 장치 및.보안 방법을 이용한 보안 지침을 정의하여 피싱으로 인한 금전적 피해가 발생하지 않도록 하기,위하여 피싱에 대한 보안 지침의 적용이 적절하게 이루어지도록 한다.추진 경위2.포럼표준개발 시작일 종료일,①표준 제안일 표준 과제채택일 표준 완료일TTA , TTA , TTA②

국가표준 채택일 등을 자세히 기재하여주십시오.③대상 및 범위3.본 표준은 피싱을 방지하기 위한 보안 기술 장치 및 보안 방법을 이용한 보안 지침을 산업 현장에적용하여 피싱으로 인한 금전적 피해를 방지하고자 한다 만약 피싱으로 인하여 금전적 피해가, .발생하였을 시에는 피싱에 대한 보안 지침에 따른 보안 기술 장치 및 보안 방법을 적절하게,적용하였는지를 판단하여 책임의 한계 및 소재를 판단하는 데 사용될 것이다, .

피싱 사고-피싱에 대한 보안 지침-피싱에 대한 보안 기술 장치-피싱에 대한 보안 방법-내용요약4.본 표준의 내용은 다음과 같다.피싱 사고-피싱에 대한 보안 지침-피싱에 대한 보안 기술 장치-피싱에 대한 보안 방법-기대효과5.

본 표준은 피싱을 방지하기 위한 보안 기술 장치 및 보안 방법을 이용한 보안 지침을 산업 현장에적용하여 피싱으로 인한 금전적 피해를 방지하고자 한다 만약 피싱으로 인하여 금전적 피해가, .발생하였을 시에는 피싱에 대한 보안 지침에 따른 보안 기술 장치 및 보안 방법을 적절히,적용하였는지를 판단하여 책임의 한계 및 소재를 판단하는 데 사용될 것이다, .

Reference 참고자료

국내외 표준과 관련성 국내외 관련 참조표준 기재하여 주십시오.※

붙임

포럼 명 해킹보안기술포럼

표준 안 명( ) 국문- : 파밍 사고에 대한 대응 지침영문- : Guideline for Countermeasures against Pharming Incident

표준 상태 포럼표준 개발중① □ 포럼표준 제정완료, ② ■ 표준 과제채택, TTA③ □,표준 완료TTA④ ,□ 국가표준 제안 채택/⑤ □

표준화 내용요약 주요 표준화 대상 및 범위( )표준의 목적1.본 표준에서는 파밍 사고에 대한 대응 지침을 표준화한다 파밍을 방지하기 위한 보안 기술 장치 및.보안 방법을 이용한 보안 지침을 정의하여 파밍으로 인한 금전적 피해가 발생하지 않도록 하기,위하여 파밍에 대한 보안 지침의 적용이 적절하게 이루어지도록 한다.추진 경위2.포럼표준개발 시작일 종료일,①표준 제안일 표준 과제채택일 표준 완료일TTA , TTA , TTA②

국가표준 채택일 등을 자세히 기재하여주십시오.③대상 및 범위3.본 표준은 파밍을 방지하기 위한 보안 기술 장치 및 보안 방법을 이용한 보안 지침을 산업 현장에적용하여 파밍으로 인한 금전적 피해를 방지하고자 한다 만약 파밍으로 인하여 금전적 피해가, .발생하였을 시에는 파밍에 대한 보안 지침에 따른 보안 기술 장치 및 보안 방법을 적절하게,적용하였는지를 판단하여 책임의 한계 및 소재를 판단하는 데 사용될 것이다, .

파밍 사고-파밍에 대한 보안 지침-파밍에 대한 보안 기술 장치-파밍에 대한 보안 방법-내용요약4.

본 표준의 내용은 다음과 같다.파밍 사고-파밍에 대한 보안 지침-파밍에 대한 보안 기술 장치-파밍에 대한 보안 방법-기대효과5.본 표준은 파밍을 방지하기 위한 보안 기술 장치 및 보안 방법을 이용한 보안 지침을 산업 현장에적용하여 파밍으로 인한 금전적 피해를 방지하고자 한다 만약 파밍으로 인하여 금전적 피해가, .발생하였을 시에는 파밍에 대한 보안 지침에 따른 보안 기술 장치 및 보안 방법을 적절히,적용하였는지를 판단하여 책임의 한계 및 소재를 판단하는데 사용될 것이다, .




표준 안 명( ) 국문- : 금융보안시스템 안전성 확보와 보안대책영문- : Safety Assurance of Finance-Security-System Security Measures

표준 상태 포럼표준 개발중① □ 포럼표준 제정완료, ② □ 표준 과제채택, TTA③ ■,표준 완료TTA④ ,□ 국가표준 제안 채택/⑤ □

표준화 내용요약 주요 표준화 대상 및 범위( )표준의 목적1.본 표준에서는 금융보안시스템 안전성 확보와 보안대책을 위함이다 금융보안시스템의 금융거래에서.침해사고를 대비한 안전성 확보 방법과 침해사고가 발생 시에 피해자보상대책 기준을 위한 피해보상의규격을 정의하여 금융보안시스템 안전성 확보와 피해보상이 효율적으로 이루어지도록 하고자 한다, .

추진 경위2.포럼표준개발 시작일 종료일,①표준 제안일 표준 과제채택일 표준 완료일TTA , TTA , TTA②

국가표준 채택일 등을 자세히 기재하여주십시오.③

대상 및 범위3.본 표준에서는 금융보안시스템 안전성 확보와 보안대책을 위해 피해보상과 보상방법을 고려하여피해보상의 규격을 정의하여 금융보안시스템 안전성 확보와 피해보상이 효율적으로 이루어지도록,하고자 한다 그 주요 내용은 다음과 같다. .

금융보안시스템 안전성-금융 피해보상-

본 표준의 적용 범위는 금융보안시스템 안전성 확보와 피해보상을 대상으로 한다.

내용요약4.본 표준의 내용은 다음과 같다.금융보안시스템 안전성-금융 피해보상-

기대효과5.본 표준은 금융보안시스템 안전성 확보와 보안대책에 있어 금융보안시스템 안전성 확보로 추가,피해를 막고 금융사고로 인한 피해보상의 기준을 수립하여 금융보안시스템 안전성 확보와 피해보상,원칙을 제시함으로서 체계적인 피해보상 체계가 확립될 것으로 기대된다.




표준 안 명( )국문- : 스마트폰 단말기에서 모바일뱅킹을 하기위한 개인정보보호관리

매카니즘영문- : Personal Information Protection Mechanism for mobile banking in

Smart Phone Device


표준화 내용요약 주요 표준화 대상 및 범위( )표준의 목적1.본 표준에서는 스마트폰 단말기에서 모바일뱅킹을 하기위한 개인정보보호관리 메카니즘 표준화를위하여 금융거래와 침해사고에 대한 금융 개인정보보호를 위한 방법과 이용자보호를 고려하여 규격을제시하고 스마트폰 단말기 금융 개인정보보호가 효율적으로 이루어지도록 하고자 한다, .추진 경위2.포럼표준개발 시작일 종료일,①표준 제안일 표준 과제채택일 표준 완료일TTA , TTA , TTA②

국가표준 채택일 등을 자세히 기재하여주십시오.③대상 및 범위3.본 표준에서는 스마트폰 단말기 금융 개인정보보호 표준화를 위하여 스마트폰 단말기에서금융거래와 침해사고에 대한 금융 개인정보보호를 위한 방법과 이용자보호를 고려하여 규격을제시하고 스마트폰 단말기 금융 개인정보보호가 효율적으로 이루어지도록 하고자 한다 본 표준의, .내용은 다음과 같다.

스마트폰 단말기 금융 서비스-스마트폰 단말기 금융 프로세스-스마트폰 단말기 금융 개인정보보호-

본 표준의 적용 범위는 스마트폰 단말기 금융 개인정보보호를 대상으로 한다.내용요약4.

본 표준의 내용은 다음과 같다.스마트폰 단말기 금융 서비스-스마트폰 단말기 금융 프로세스-스마트폰 단말기 금융 개인정보보호-기대효과5.본 표준의 스마트폰 단말기에서 모바일뱅킹을 하기 위한 개인정보보호관리 메카니즘에 있어,금융거래와 이용자의 개인정보보호의 원칙을 제시하고 금융거래와 침해사고에 대한 피해자보상대책,기준 및 이용자보호를 고려하여 스마트폰 단말기 금융 개인정보보호 보안에 기여할 것이다.




표준 안 명( )국문- : 스마트폰 단말기의 금융 해킹 침해사고에 대한 보안 지침영문- : The Security Guideline about Financial Hacking Incidents in Smart

Phone Device


표준화 내용요약 주요 표준화 대상 및 범위( )표준의 목적1.본 표준에서는 스마트폰 단말기의 금융 해킹사고 보안 표준화를 위하여 스마트폰 단말기에서금융거래와 침해사고에 대한 피해자보상대책 기준 및 이용자보호를 고려하여 규격과 방법을 표준화한다.추진 경위2.포럼표준개발 시작일 종료일,①표준 제안일 표준 과제채택일 표준 완료일TTA , TTA , TTA②

국가표준 채택일 등을 자세히 기재하여주십시오.③대상 및 범위3.본 표준에서는 스마트폰 단말기 금융 해킹사고 보안 표준화를 위하여 스마트폰 단말기에서금융거래와 침해사고에 대한 피해자보상대책 기준 및 이용자보호를 고려하여 규격과 방법을 표준화한다 그 주요 내용은 다음과 같다, .

스마트폰 단말기의 보안 위반 상태-스마트폰 단말기의 금융 프로그램 상태-피해자 보상 대책 기준-

본 표준의 적용 범위는 스마트폰 단말기 금융 해킹사고 보안을 대상으로 한다.내용요약4.본 표준의 내용은 다음과 같다.스마트폰 단말기의 보안 위반 상태-스마트폰 단말기의 금융 프로그램 상태-스마트폰 단말기의 보안 시스템 피해자 보상 조건-기대효과5.본 표준은 스마트폰 단말기의 금융 해킹사고 보안에 있어 스마트환경에서의 금융 해킹사고에 대한,스마트폰 단말기 금융 해킹 사고 보안 원칙을 제시하고 스마트폰 단말기에서 금융거래와 침해사고에,대한 피해자 보상 대책 기준 및 이용자 보호를 고려해 스마트폰 단말기 금융 해킹사고 보안에 기여할것이다.




표준 안 명( )국문- : 취약점 의 정보 분배와 공유DB영문- : Distribution and Sharing of Vulnerability Information about

Vulnerability DB


표준화 내용요약 주요 표준화 대상 및 범위( )표준의 목적1.본 표준에서는 취약점 의 정보 분배와 정보 공유 표준화를 위하여 취약점 의 정보를 효과적이고DB DB ,

안전하게 분배하고 공유하는 규격과 방법을 표준화하여 취약점 의 정보 분배와 정보 공유에서 정보를DB빠르고 효과적으로 공유하고 분배하도록 표준화 한다.추진 경위2.포럼표준개발 시작일 종료일,①표준 제안일 표준 과제채택일 표준 완료일TTA , TTA , TTA②

국가표준 채택일 등을 자세히 기재하여주십시오.③대상 및 범위3.본 표준은 취약점 의 정보 분배와 공유 표준화를 위하여 취약점 의 정보를 효과적으로 분배하고DB DB공유하는 규격과 방법을 제시하고 취약점 의 정보 분배와 공유에 있어서 분배 프로세스와 공유, DB프로세스의 규격을 정의하며 그 주요 내용은 다음과 같다, .

정보 분배 프로세스-정보 공유 프로세스-내용요약4.본 표준에서는 취약점 의 정보 분배와 정보 공유 표준화를 위하여 취약점 의 정보를 효과적이고DB DB ,

안전하게 분배하고 공유하는 규격과 방법을 표준화하여 취약점 의 정보 분배와 정보 공유에서 정보를DB빠르고 효과적으로 공유하고 분배하도록 표준화 한다.정보 분배 프로세스-정보 공유 프로세스-기대효과5.

미국의 일본의 중국의 유럽의 와 같은NIST, US-CERT, IPA, JPCERT/CC, CNCERT/CC, ENISA, EGC국외 취약점 관리기관을 비롯해 소프트웨어 벤더 국내 보안전문가 보안관련 기업 등이 취약점 의, CERT, , DB정보 분배와 공유의 구성원이 될 수 있다.취약점 정보의 수집은 중앙 집중식으로 취약점 를 구축하여 저장하고 저장된 취약점 는 취약점을DB , DB

관리하는 국가 콘트롤 타워의 지휘아래 국가기관이 취약점 정보를 분배하고 공유하여 취약점 공격에 대한,실시간 협력 대응이 가능하다.




표준 안 명( ) 국문- : 취약점 의 정보 저장DB영문- : Vulnerability Information Stored of Vulnerability DB


표준화 내용요약 주요 표준화 대상 및 범위( )표준의 목적1.본 표준에서는 개인 기업 공공기관 국가의 중요 정보보호를 위한 전체 시스템과 네트워크에 대한, , ,

취약점 정보를 취약점 에 저장하기 위하여 취약점 의 저장을 위한 저장 프로세스의 규격과 방법DB DB및 저장 정보의 관리와 정보 저장 시 암복호화를 표준화하여 취약점 의 정보보호 및 정보의 확산과DB․정보의 분배를 위한 저장을 표준화 한다.추진 경위2.포럼표준개발 시작일 종료일,①표준 제안일 표준 과제채택일 표준 완료일TTA , TTA , TTA②

국가표준 채택일 등을 자세히 기재하여주십시오.③대상 및 범위3.본 표준에서는 취약점 의 정보 저장 표준화를 위하여 개인정보보호법과 기업 국가의 중요정보를DB ,

보호하기 위한 전체 시스템과 네트워크에 대한 취약점과 취약점 의 정보 저장을 위한 저장DB프로세스의 규격과 방법을 제시하고 취약점 의 정보를 보호하고 안정한 정보 저장이 되도록 규격을, DB ,정의하며 그 주요 내용은 다음과 같다, .

정보 저장의 프로세스-저장 정보의 관리-정보 저장 시 암복호화- ․내용요약4.본 표준의 내용은 다음과 같다.정보 저장의 프로세스-저장 정보의 관리-정보 저장 시 암복호화- ․기대효과5.

본 표준은 취약점 의 정보 저장하고 관리하는데 있어 취약점 정보의 유출에 따른 차 차 피해DB , 2 , 3확산을 막기 위하여 인적 관리적 시스템적 정보보호가 필요하며 취약점 의 유출을 막기 위한, , , DB보안시스템 산업과 네트워크 보안 시스템 산업의 영향을 미치며 정보 저장 장치는 지역기반 취약점,저장과 국가기반 취약점 저장 단위로 발전하여 국가 전체 인프라의 보호와 관련 산업계DB DB IT

발전에 기여할 것이다.Reference 참고자료


포럼 명 해킹보안기술포럼표준 안 명( ) 국문 명- : 취약점 의 정보 전송 프로토콜DB

영문 명- : Information Transfer Protocol of Vulnerability DB


표준화 내용요약 주요 표준화 대상 및 범위( )표준의 목적1.본 표준에서는 취약점 의 정보 전송 프로토콜의 표준화를 한다 국내 사이에 혹은 국제 사이에DB . ,

취약점 의 정보 전송을 위한 전송 프로토콜의 프로세스와 전송 프로토콜의 규격과 방법을DB표준화하여 취약점 의 정보를 보호하고 송수신자에게 원활한 정보 가 전송되도록 표준화 한다DB , .․추진 경위2.포럼표준개발 시작일 종료일,①표준 제안일 표준 과제채택일 표준 완료일TTA , TTA , TTA②

국가표준 채택일 등을 자세히 기재하여주십시오.③대상 및 범위3.The purpose of this standard is to transfer between domestic, or information transfer of

vulnerability DB with process of the transfer protocol for the information transfer of vulnerabilityDB between international it presents the standard and a method of transfer protocol from thestandard which it sees, in order it protects, to become the information transfer which is smoothin the sender addressee, it defines a standard, This standard contents are as follows.․- It defines an information transfer process between the sender and the addressee.- It sets the standard model (existing standard protocol inclusion) of Information transfer

protocol.- It defines the encryption for the protection of vulnerability DB information and decode

method etc.The application scope of the standard is aimed at Information Transfer Protocol of vulnerability

DB.내용요약4.본 표준의 내용은 다음과 같다.송신자와 수신자 사이에 정보 전송 프로세스를 정의한다- .정보 전송 프로토콜의 표준 모델 기존 표준 프로토콜 포함 을 설정한다- ( ) .취약점 정보의 보호를 위한 암복호화 방법 등을 정의한다- DB .․기대효과5.

인터넷상의 취약점 공격으로 인한 국가 산업 경제와 금융 및 기술피해가 발생하고 있어,취약점 의 정보를 공유하고 확산하여 국가 산업의 경제 자산과 산업 인프라를 보호하며 국가 간의DB ,협조 체제를 갖추어 국가와 산업 사회의 정보 침해사고로 인한 피해 예방 및 대책을 세우는데 기여할것이다.



년도 국제표준화 활동실적 기고서2. 2012 -


기고서 명 국문 명 해킹보안기술포럼 소개- :영문 명- : Introduction of Hacking and Security Technology Forum

작성자 인적사항성명 박대우 소속 호서대학교 벤처전문대학원직급 교수 연락처 010-8299-4455

제출 표준화 기구

기구명 CJKICT 관련기술위원회 ITU-T/SG 17

회의명 1th CJK SecurityWG meeting 회의기간 2012.8.6 ~ 2012.8.6

장소 Tokyo, Japan기고서 상태 기고서 제안① ■ 기고서 반영, ② □ 기고서 제정, ③ □표준화 내용요약 주요 표준화 대상 및 범위( )

작성배경 및 목적1.Recently, information leakage caused by hacking in cyberspace and technology outflow,caused the damage of about hundreds of billions ~ one trillion won, Hacking in the country forthe damage caused by the international business environment and the political landscape withfalling confidence in the state of cyberspace undermine the competitiveness of companies andcountries will be.Stuxnet called cyber weapons such as missiles and is a threat to national security. Inaddition, the non-face-to-face and anonymous hackers, hacking attacks and the case foraction is not easy to trace and punish. In addition, easily could lead to international conflict.Consequently, the cyber security reinforcement policy for a national security and a nationalprotection and national competitive power reinforcement is demanded. In about importance anddomestic cyber security present condition of seriousness and cyber security of cyber hackingdanger the gain and loss which is accurate it strengthens a national cyber security mustaccomplish the few thing politic subject for with character.기고서 내용2.National cyber security politic specialist discussion forum and announcement●National cyber security policy workshops, and derive strategic hacking security technology●

standardizationVulnerability database construction standardization about DDoS attacks and the Internet●

attacks- Vulnerability database construction standardization about the hacking attacks technical analysisand attacks objectVulnerability database construction standardization for a private data protection●

- Private data outflow and accident vulnerability database construction standardization in the

database server, web server etc.Hacking security standardization about spam and hacking attacks from smart environment●

- Hacking security industrial technical standard and standardization about spam and hackingattacks(cloud computing, smart phone etc.)Victim compensation countermeasure standard and user protection standardization on●

financial transactions and security incident- Phishing and Pharming, the technical inspection contents standard establishment for afinancial data seizure attacks technical investigation research and a victim compensationstandard decision and user protective measure standardization중요도3.※ 등을 구분하여 기재하여 주십시오(Base Document/ Comment/ Technical Error(Amendment)) .


국내표준화 여부


기고서 명 국문 명 해킹보안기술포럼 소개- :영문 명- : Introduction of Hacking and Security Technology Forum

작성자 인적사항성명 박대우 소속 호서대학교 벤처전문대학원직급 교수 연락처 010-8299-4455

제출 표준화 기구

기구명Regional AsiaInformation

Security Exchange관련기술위원회 ITU-T/SG 17

회의명11th Regional AsiaInformation

Security ExchangeForum Meeting

회의기간 2012.8.7 ~ 2012.8.8

장소 Tokyo, Japan기고서 상태 기고서 제안① ■ 기고서 반영, ② □ 기고서 제정, ③ □표준화 내용요약 주요 표준화 대상 및 범위( )

작성배경 및 목적1.Recently, information leakage caused by hacking in cyberspace and technology outflow,caused the damage of about hundreds of billions ~ one trillion won, Stuxnet called cyberweapons such as missiles and is a threat to national security. In addition, the non-face-to-faceand anonymous hackers, hacking attacks and the case for action is not easy to trace andpunish.Hacking in the country for the damage caused by the international business environment andthe political landscape with falling confidence in the state of cyberspace undermine thecompetitiveness of companies and countries will be. In addition, easily could lead tointernational conflict.Consequently, the cyber security reinforcement policy for a national security and a nationalprotection and national competitive power reinforcement is demanded. In about importance anddomestic cyber security present condition of seriousness and cyber security of cyber hackingdanger the gain and loss which is accurate it strengthens a national cyber security mustaccomplish the few thing politic subject for with character.기고서 내용2.Vulnerability database construction standardization about hacking technique on DDoS attacks●

& the Internet attacksVulnerability database construction standardization for a private data protection●Standardization technical database construction about CERT/CC and hacking security●

technical product

Vulnerability analysis and security technical standardization about mobile spam and hacking●attacks in smart environmentTechnical inspection countermeasure and user protective measure standardization database●

construction for a victim compensation standard decision from financial damageAdjust organizations to launch among Industry, government and academia through Spam,●

hacking attacks, defense technology, defense technology, the model for the excavation, andmanagement etc.Overseas hacking security agency and forum and information interchange and international●

standardization gearing propulsion중요도3.※ 등을 구분하여 기재하여 주십시오(Base Document/ Comment/ Technical Error(Amendment)) .


국내표준화 여부

회원사 명부 작성3.

기관 회원 기관o : 14

구분 NO 회원사 명 비고

산업체

중소 벤처( )・

1 하몬소프트㈜

2 변호사 구태언 법률사무소

3 씨에이에스 보안사업부㈜

4 하이테크진

5 에스엠에스㈜

6 김앤장 법률사무소

7 정보보안팀NHN㈜

연구 기관

8 시큐리티 정보보호연구소KCC

9 한국기술사업화진흥협회 액션러닝센터

10 한국산업기술평가관리원 지식정보보안 실PD

학 계

11 강원대학교 정보통신공학과

12 경복대학교 컴퓨터정보과

13 선일이비즈니스고등학교 특성화부

14 한국학중앙연구원 한국학대학원

개인회원 명o : 14

NO 성명 소속 직책 비고

1 강원석 하몬소프트㈜ 대표이사

2 구태언 변호사 구태언 법률사무소 변호사

3 김광종 씨에이에스 보안사업부㈜ 상무이사

4 김상춘 강원대학교 정보통신공학과 교수

5 방세중 시큐리티 정보보호연구소KCC 소장

6 배희호 경복대학교 컴퓨터정보과 학과장 부교수/

7 백양순 하이테크진 대표이사

8 서미숙 에스엠에스㈜ 대표이사

9 송상엽 김앤장 법률사무소 변호사

10 안재민 선일이비즈니스고등학교 특성화부 교사

11 이재유 한국학중앙연구원 한국학대학원 박사과정수료

12 전학성 한국기술사업화진흥협회 액션러닝센터 전문위원

13 조태희 정보보안팀NHN㈜ 부장

14 차영태 한국산업기술평가관리원 지식정보보안 실PD PD

약어표4.

URL Uniform Resource Locator

SMS Short Message Service

SSL Secure Socket Layer

SPF Sender Policy Framework

CSS Cross-site Scripting

S/MIMESecurity Services for MIME, Security Services for Multipurpose Internet

Mail Extension

OTP One-Time Password

PKI Public Key Infrastructure

PAKE Password Authenticated Key Exchange

AMI Advanced Metering Infrastructure

DB DataBase

DNS Domain Name Server

DNSSEC Domain Name Server Security Extensions

IPv4 Internet Protocol version 4

IPv6 Internet Protocol version 6

PE Portable Executable

LTE Long Term Evolution

VM Virtual Machine

OS Operating System

USIM Universal Subscriber Identity Module

EFARS Electronic Financial Accident Response System

HSM Hardware Security Module

DBMS Database Management System

TCP Transmission Control Protocol

IP Internet Protocol

FTP File Transfer Protoco

IPSec Internet Protocol Security

Documents

포럼사무국한국해킹보안협회 - tta.or.kr 격과 년 공격 정보유출해킹 금융피해등역기능에대비한해킹보안2011 ddos , , 기술과정보보호기술을기준으로하는표준화가미흡한실정임