ITU-T SG17 편집tta.or.kr/include/Download.jsp?filename=newStdInfo/... · 을 보장하기 위해 반드시 암호 프로토콜 적용이 필요하다. 하지만, iso/iec jtc1/sc27

ITU-T SG17

정보보호 분야

2013년도

표준화활동결과보고서

SG17면지 2014.03.23 2:53 PM 페이지1

연구결과 요약

총 괄 표

세부수행결과

위원명단

제1장 ITU-T SG17 연구과제 분석 및 응방안 연구

제2장 ITU-T SG17 연구반 중점과제 연구결과

제3장 ITU-T SG17 국제회의 참가 및 기고서 제출 결과

제4장 ITU-T SG17 회람문서 검토 결과

제5장 ITU-T SG17 연구반 회의 및 워크숍 개최 결과

부록1 ITU-T SG17 회람문서 검토의견서

부록2 ITU-T SG17 국제회의 제출 기고서

2013년도 표준화활동 결과보고서

ITU-T SG17 정보보호 분야

3

4

8

9

33

85

105

115

131

159

목차

ITU-T SG17 (정보보호 분야)Ⅰ3

연구결과 요약

□ 총괄표

연 구 과 제 명 국제공식표준화기구(ITU등) 협력 및 대응 연구

담당 위원회명 한국ITU연구위원회 ITU-T SG17 (정보보호)

연 구 책 임 자(연 구 반 장)

성 명 염 흥 열 전 화 041-530-1328

소 속 단 체 순천향대학교 직 위 교수

부 서 명 정보보호학과 전 문 분 야 정보보호

연 구 기 간 2013년 1월 ~ 2013년 12월(12개월)

활 동 내 용 구 분 계 획 실 적 완료율 비 고

연 구 활 동

주요 Question 연구 7 건 12 건 171% ※ ITU 총 12개

연구반 중점과제 총 11 건 총 11 건 100% ※ ITU 총 권고 : 131건

- 일반 과제 1

(우선순위 권고안 검토)8 건 8 건 100%

- 일반 과제 2

(국내 규정과 비교 검토)2 건 2 건 100%

- 심화 과제(기준/정책/표준 제안)

건 건 % ※ 해당사항 없음

- 기타 연구 과제 1 건 1 건 100% ※ A등급 이슈 : 1건

용역 과제 건 건 ※ 해당사항 없음

회람문서 검토 - 24 건 100% ※ 수시 진행

위원회 활동

국제회의 참가 1 회 2 회 200% SG17 국제회의 : 2회

기고서 제출 38 건 54 건 142%※ 국가 기고서 : 32건※ 섹터 기고서 : 5건※ 의장단 TD : 17건

연구반 회의 4 회 3 회 75%

연구반 워크숍 1 회 1 회 100%

공 동 연 구 연구반원 27 명

4Ⅰ2013년도 ITU-T 표준화활동 결과 보고서

2. 세부수행결과

가. 주요 Question 연구 결과

NO.ITU

과제번호과 제 명 담당WP

우선

순위

연구

위원

진행상태

(완료/계속)

1 Q.1/17

(국문) 정보통신/ICT 보안 조정 그룹

WP1 3 오흥룡 계속(영문) Telecommnication/ICT security

coordination

2 Q.2/17

(국문) 보안구조 및 프레임워크

WP1 3 오흥룡 계속(영문) Security Architecture and

framework

3 Q.3/17

(국문) 정보통신 보안 관리

WP1 2 오경희 계속(영문) Telecommunications information

security management

4 Q.4/17(국문) 사이버보안

WP2 1 김종현 계속(영문) Cybersecurity

5 Q.5/17

(국문) 기술적 방법에 의한 스팸대응

WP2 3 김미주 계속(영문) Countering spam by technical

means

6 Q.6/17

(국문) 유비쿼터스 통신 서비스에서의 보

안 WP4 1 백종현 계속

(영문) Security aspects of ubiquitous

telecommunication services

7 Q.7/17(국문) 안전한 응용서비스

WP4 1 나재훈 계속(영문) Secure application services

8 Q.8/17(국문) 클라우드 컴퓨팅 보안

WP3 1 박종열 계속(영문) Cloud computing security

9 Q.9/17(국문) 텔레바이오인식

WP4 2 신용녀 계속(영문) Telebiometrics

10 Q.10/17

(국문) 아이덴티티 관리구조 및 메커니즘

WP3 2 조상래 계속(영문) Identity management architecture

and mechanisms

11 Q.11/17

(국문) 안전한 응용을 지원하기 위한 일반

기술WP5 3 염흥열 계속

(영문) Generic technologies to support

secure applications

12 Q.12/17

(국문) 통신소프트웨어 및 테스트를 위한

형식 언어WP5 3 백종현 계속

(영문) Formal languages for

telecommunication software and testing


나. 연구반 중점과제 수행 결과

1) 일반 과제 1 (우선순위 권고안 검토)

NO. 권고번호 권 고 명 담당WP 연구위원

1 X.sgsm

(국문) 중소규모 통신조직을 위한 정보보호관리 가이드라인

WP1 오경희(영문) Information security management guidelines for small and medium telecommunication organizations

2 X.csmc

(국문) CYBEX 기술을 사용하는 사이버보안 운영의 반복적인 모델

WP2 김종현(영문) Continuous security monitoring using CYBEX techniques

3 X.cybex-tp

(국문) 사이버보안 정보 교환을 위한 전송 프로토콜

WP2 김종현(영문) Transport protocols supporting cybersecurity information exchange

4 X.sisnego

(국문) 보안정보 공유 협상 프레임워크

WP2 김종현(영문) Framework of security information sharing negociation

5 X.fsspvn

(국문) 가상화 네트워크를 위한 안전한 서비스 플랫폼 프레임워크

WP3 박종열(영문) Framework for a secure service platform for virtual network

6 X.goscc

(국문) 클라우드 컴퓨팅을 위한 운영적인 보안 지침

WP3 박종열(영문) Guidelines of operational security for cloud computing

7 X.sfcse

(국문) 소프트웨어 서비스 응용 환경을 위한 보안 기능 요구사항

WP3 박종열(영문) Security functional requirements for Software as a Service (SaaS) application environment

8 X.tif

(국문)바이오인식기반 원격의료 통합 프레임워크

WP2 신용녀(영문) Integrated framework for telebiometric data protection in e-health and worldwide telemedicines


NO. 회람문서 번호 제 목 검토/회신(건)

1 Circular 311

Meeting of Study Group 17 with a view to approving

draft new Recommendations ITU-T X.1126, X.1154, X.1526

and X.1544 in accordance with the provisions of

Resolution 1, Section 9, of WTSA (Johannesburg, 2008),

Geneva, 26 April 2013

4/2

2 Circular 024

Meeting of Study Group 17 with a view to approving

draft new Recommendations ITU-T X.1208 and X.1255 in

accordance with the provisions of Resolution 1, Section 9,

of WTSA (Dubai, 2012), Geneva, 4 September 2013

2/1


1 X.1528(국문) 공통 플랫폼 목록

WP2 김미주(영문) Common platform enumeration

2 X.1570

(국문) 사이버보안 정보 교환에서의 탐색 메커니즘

WP2 김미주(영문) Discovery mechanisms in the exchange of cybersecurity information


1 A등급 이슈(국문) 클라우드 컴퓨팅 보안

WP3 박종열(영문) Cloud Computing Security

2) 일반 과제 2 (국내 규정과 비교검토)

3) 기타 연구 과제(A등급 이슈)

4) 심화 과제 (기준/정책/표준 제안)

- 해당사항 없음

다. 국제회의 참가 및 기고서 제출 결과

NO. 회 의 명 기 간 장 소 참가자기고서

제출/반영(건)

1SG17

국제회의2013.04.17 - 04.26 스위스 제네바 염흥열 등 15명 18/18

2SG17


라. 회람문서 검토 결과


NO. 회람문서 번호 제 목 검토/회신(건)

4 AAP-11

Situation concerning Recommendations under the

Alternative Approval Process (AAP); Last Call - X.1037,

X.1092, X1156, X.1198

4/-

5 AAP-13


Alternative Approval Process (AAP); Last Call - Z.161,

Z.161.2, Z.161.3, Z.161.4, Z.165, Z.165.1, Z.166, Z.167,

Z.168, Z.169, Z.170

11/-

6 AAP-19


Alternative Approval Process (AAP); Additional Review -

X.1037

1/-

7 AAP-19


Alternative Approval Process (AAP); Last Call - X.1144,

Z.109

2/-

마. 용역과제 수행 결과

- 해당사항 없음

바. 회의 개최 내역

NO. 회의차수 일 시 장 소 참가자수 주요 회의안건

1 2013-1차 2013.03.22(금)TTA

중회의실17명

◦ 2013년도 SG17 연구반 활동계획서◦ SG17 국제회의(4월) 참가준비

2 2013-2차 2013.07.23(화)TTA

제3회의실14명

◦ Circular letter 24 검토 결과 보고◦ ITU 표준화 성과보고서 원고 작성◦ SG17 국제회의(8월) 참가준비

3 2013-3차2013.12.11.(수) -

12.12(목)

용인 한화콘도

14명◦ Circular letter 52, 57 검토 보고◦ 2013년도 SG17 연구반 활동보고서◦ SG17 국제회의(2014.1월) 참가준비

사. 워크숍 개최 내역

NO. 행 사 명 일 시 장 소 참가자수 주요 행사내용

1SG17 연구반

워크숍2013.12.11.(수) -

12.12(목)

용인 한화콘도

14명◦SG17 국제회의(2014.1월) 기고서 발표 ◦SG17 주요이슈 및 대응전략 논의


3. 위원명단

NO. 성 명 소 속 직 위 전 화 E-mail

비 고(위원회 직책)

1 염흥열 순천향대학교 교수 [email protected].

kr반장

2 나재훈 한국전자통신연구원 전문위원 042-860-6749 [email protected] 부반장

3 백종현 한국인터넷진흥원 책임 02-405-5330 [email protected] 부반장

4 오흥룡 한국정보통신기술협회 선임 031-724-0083 [email protected] 간사

5 길연희 한국전자통신연구원 선임 042-860-1031 [email protected] 반원

6 김근옥 금융보안연구원 선임 02-6919-9154 [email protected] 반원

7 김미주 한국인터넷진흥원 선임 [email protected]

r.kr반원

8 김영화 한국정보통신기술협회 부장 031-724-0110 [email protected] 반원

9 김재성 한국인터넷진흥원 수석 02-405-5367 [email protected] 반원

10 김종현 한국전자통신연구원 선임 042-860-3843 [email protected] 반원

11 김태경 서울신학대학교 교수 032-340-9427 [email protected] 반원

12 김학일 인하대학교 교수 032-860-7385 [email protected] 반원

13 박종열 한국전자통신연구원 팀장 [email protected].

kr반원

14 변순정 한국인터넷진흥원 책임 031-791-9994 [email protected] 반원

15 송성현 금융보안연구원 주임 02-6919-9155 [email protected] 반원

16 송중석 한국과학기술정보연구원 선임 042-869-0729 [email protected] 반원

17 신용녀 한양사이버대학교 교수 [email protected].

kr반원

18 심희원 금융보안연구원 팀장 02-6919-9153hwshim@hotmail

.com반원

19 안개일 한국전자통신연구원 선임 042-860-4830 [email protected] 반원

20 엄지현 미래부 사무관 - - 반원

21 오경희 티씨에이서비스 대표 031-815-9510khoh@tcaservices

.kr반원

22 이석준 한국전자통신연구원 선임 042-860-5455 [email protected] 반원

23 임형진 금융보안연구원 책임 02-6919-9147 [email protected] 반원

24 전명근 충북대학교 교수 043-261-2388mgchun@chungb

uk.ac.kr반원

25 전인자 와이즈오토모티브 책임 [email protected]

om반원

26 조상래 한국전자통신연구원 선임 [email protected]

r반원

27 진병문 한국정보통신기술협회 연구위원 - [email protected] 반원

계 27 명


ITU-T SG17 연구과제 분석 및 응방안 연구

제1장

AANNSSII


□ 주요 Question 연구

NO.ITU

과제번호과 제 명 담당WP

우선

순위

연구

위원

진행상태

(완료/계속)

1 Q.1/17


WP1 3 오흥룡 계속(영문) Telecommnication/ICT security

coordination

2 Q.2/17

(국문) 보안구조 및 프레임워크

WP1 3 오흥룡 계속(영문) Security Architecture and

framework

3 Q.3/17


WP1 2 오경희 계속(영문) Telecommunications information

security management

4 Q.4/17(국문) 사이버보안

WP2 1 김종현 계속(영문) Cybersecurity

5 Q.5/17

(국문) 기술적 방법에 의한 스팸대응

WP2 3 김미주 계속(영문) Countering spam by technical

means

6 Q.6/17

(국문) 유비쿼터스 통신 서비스에서의 보

안 WP4 1 백종현 계속

(영문) Security aspects of ubiquitous

telecommunication services

7 Q.7/17(국문) 안전한 응용서비스

WP4 1 나재훈 계속(영문) Secure application services

8 Q.8/17(국문) 클라우드 컴퓨팅 보안

WP3 1 박종열 계속(영문) Cloud computing security

9 Q.9/17(국문) 텔레바이오인식

WP4 2 신용녀 계속(영문) Telebiometrics

10 Q.10/17

(국문) 아이덴티티 관리구조 및 메커니즘

WP3 2 조상래 계속(영문) Identity management architecture

and mechanisms

11 Q.11/17

(국문) 안전한 응용을 지원하기 위한 일반

기술WP5 3 염흥열 계속

(영문) Generic technologies to support

secure applications

12 Q.12/17

(국문) 통신소프트웨어 및 테스트를 위한

형식 언어WP5 3 백종현 계속

(영문) Formal languages for

telecommunication software and testing


NO. 01 연구과제번호 Q.1/17 연구위원 오흥룡 진행상태 계속

과 제 명(영문) Telecommunication/ICT security coordination


1. 배경

◦ ITU-T 내에 전체적인 보안 요약물, 전략, 비전, 계획, 로드맵 등을 연구하고 있으며, 정보보호

표준화 정보공유를 위한 워크숍 및 타 표준화기구들과의 협력 체계 구축, 보안 표준들 간에 이해격

차 분석을 담당한다.

◦ 특히, 연구반 간에 혹은 연구반 내에 정보보호 표준화 활동 영역을 조정하는 역할을 수행하고

있다.

2. 주요 쟁점사항

◦ 2013.4월, 일본의 제안으로 암호 프로토콜 안전성에 대한 검증 프로세스 개발을 위한 서신 그

룹(Correspondence Group)을 신설하였다. 이는 ITU-T SG17 국제표준에서 ISO/IEC JTC1/SC27 이나

암호 협의체에서 개발된 암고리즘들이 많이 활용되고 있으나 이를 검증하는 절차가 없어 이에 대한

향후 국제표준 개발 가능성을 검토하기 위한 그룹이다.

◦ 2013.9월, 미국, 유럽 등 상기 이슈에 대한 국제표준 개발이 불필요하다는 의견도 있었으나, 암

호 프로토콜 표준화 협의체 활동, 비검증된 암호 프로토콜의 위험성, 암호 프로토콜 검증 수단에 대

해 추가적인 조사 활동을 진행하기로 합의하고, 차기 SG17 국제회의까지 활동을 연장하기로 결정하

였다.

3. 국내외 동향

◦ 정보통신 환경에서 통신 주체들 간에 송수신 되는 데이터들에 대한 무결성, 기밀성, 가용성 등

을 보장하기 위해 반드시 암호 프로토콜 적용이 필요하다. 하지만, ISO/IEC JTC1/SC27 및 지역별 암

호 그룹 등에서 새로운 알고리즘들이 개발되고 있어, 국제표준에 포함시키기 위해서는 안전성 검증

이 반드시 필요하다.

◦ 현재, 모바일에 탑재되는 암호 프로토콜을 ETSI TC SAGE 그룹에서 검증하는 활동이 이루어지

고 있어, 이들 간에 협력이 이루어지 예정이다.

◦ 서신 그룹 활동에는 일본, 한국, 중국, 브라질, 미국, 프랑스 등이 참여하고 있다.

4. 추진방향(우리나라 대응방안)

◦ 한국은 제3차 한중일 정보보호 실무반(CJK Security WG) 국제회의에서 본 이슈에 대해 필요성

에 합의한 바, ITU-T SG17 내에 신규 표준화 아이템 발굴에 있어 지지하는 입장을 취할 예정이다.


NO. 02 연구과제번호 Q.2/17 연구위원 오흥룡 진행상태 계속

과 제 명(영문) Security Architecture and framework

(국문) 보안 구조 및 프레임워크

1. 배경

◦ 보안시스템의 구조, 모델, 개념, 전반적인 서비스 시나리오 등을 연구하고 있으며, 가장 대표적

인 것은 X.800(OSI 모델) 시리즈 표준들을 개발하고 있다. 또한, 개발도상국들을 위한 네트워크 인프

라를 구축함에 있어 참조할 수 있는 가이드라인 표준들을 개발하고 있다.


◦ 일본의 제안으로 “IPv6 구축에서의 기술적 보안 지침” 국제표준이 2013.4월 국제회의에서 대

체승인절차(AAP) 승인되었으나, 프랑스에서 약 80여개 이상의 코멘트를 제시하여, 추가 검토 기간

내에 합의가 이루어지지 않아, 2013.9월 국제회의에서 이를 해결하기 위한 집중적인 표준초안 검토

가 이루어졌다.

◦ 코멘트의 주요 내용은 IETF RFC 업데이트에 따른 문구 수정과 내용에 대한 표현의 문제를 주

로 다루고 있어, 2013.9월 국제회의 기간 동안에 모든 코멘트를 해결하고, 다시금 AAP로 승인되어,

현재 최종 ITU-T X.1037 국제표준으로 채택되었다.

3. 국내외 동향

◦ ITU-T 내에 IPv6 국제표준화 활동은 일본에서 주도하고 있으며, 표준 개발에 간접적으로 참여

하고 있는 국가는 한국, 중국, 미국, 프랑스, 러시아 등이 참여하고 있다. 향후, IPv6 국제표준화 활

동은 X.1037 국제표준을 구현하기 위해 조직 내에 IPv6 적용을 위한 보안 관리 부속서 개발을 추진

할 계획이다.


◦ 한국은 X.mgv6(Supplement to ITU-T X.1037) 부속서 개발에 간접적으로 참여할 예정이며, 국내

IPv6 구현하는 산업체에 관련 정보 제공할 예정이다.


NO. 03 연구과제번호 Q.3/17 연구위원 오경희 진행상태 계속

과 제 명(영문) Telecommunications information security management


1. 배경

◦ ITU-T SG17 Q.3에서는 통신조직의 업무자산을 적절히 관리하고 업무 활동을 보호하기 위한 정

보보호 관리 영역의 표준을 개발하고 있다. X.1051을 기초로 하여 거버넌스, 관리 프레임워크, 위험,

사건 및 자산 등의 구체적인 관리영역의 표준을 개발하고 있으며, 클라우드 컴퓨팅, IPv6 전환, 개인

식별정보의 보호 등을 포함하는 전세계적 대책을 요구하는 새로운 보안 관리 현안을 연구하여

X.105x 시리즈로 개발하고 있다.


◦ X.1051이 기반으로 하고 있는 ISO/IEC 27002의 개정에 따라 한국 및 일본 주도로 X.1051의 개

정 작업이 진행되고 있다. 본 개정 표준은 ISO/IEC와 공동개발하고 있으며 2013년 10월 초안(WD1)에

합의하였다. 최종 개정 시점은 2016년 완료를 목표로 추진하고 있다.

◦ 또한, 지난 회기(2012)에서 중소규모 통신 조직을 위한 보안관리 지침인 X.sgsm, 개발도상국을

위한 사고대응 표준 제시를 위한 X.sup 1056의 개발에 착수하였으나 참가국의 기고가 저조하여 진

행이 미진한 상태이다. X.sgsm은 X.1051의 구조를 따르고 있으므로 X.1051의 구조가 확정된 다음 회

의부터 본격적으로 개발이 진행될 예정이다.

3. 국내외 동향

◦ ITU-T SG17 Q3 내의 국제표준화 활동은 일본이 가장 크게 기여하고 있으며, 다음으로 한국이

주 기고자로서 참여하고 있고 러시아, 중국, 레바논, 미국 등이 참여하여 기고 및 의견을 제시하고

있다.


◦ 한국은 기존 참여 인력의 변동 및 축소로 인해 일부 어려움을 겪고 있다. 특히 X.sgsm의 경우

최초 제안국이었던 한국의 참여 미흡으로 신뢰가 저하된 상태이다. 한국인터넷진흥원 등 관련 기관

의 표준화 지원이 필요하다.


NO. 04 연구과제번호 Q.4/17 연구위원 김종현 진행상태 계속

과 제 명(영문) Cybersecurity

(국문) 사이버보안

1. 배경

◦ ITU-T SG17 Q.4는 사이버공간에서 발생하는 침해사고 및 취약점 등에 대한 대응방안 및 정보

공유 등에 대한 사이버보안 분야의 표준 개발을 담당하고 있으며, Q.4에서 중점적으로 다루고 있는

표준화 작업은 CYBEX(정보공유 프레임워크) 관련 권고안과 일반적인 사이버 침해대응 관련 권고안

으로 나누어서 개발되고 있다.

◦ 2012년까지 개발된 권고안은 X.1205, X.1206, X.1207, X.1209, X.1303, X.1500, X.1500.1, X.1520,

X.1521, X.1524, X.1528, X.1528.1, X.1528.2, X.1528.2, X.1528.3, X.1528.4, X.1541, X.1570, X.1580,

X.1581, X.Suppl.8, X.Suppl.9, and X.Suppl.10. 등이 완료되었다.

◦ 본 연구과제는 ITU-T Study Groups, ETSI, FIRST, IETF, IEEE, ISO/IEC JTC 1, OASIS, OMA,

TCG, 3GPP, 3GPP2 등과 협력해 표준화를 추진하고 있다.


◦ 한국 주도로 개발된 사이버보안지수에 대한 권고안(X.sci)이 2013년 8월 SG17회의 기간 동안,

총 5회의 회의를 통해 모든 국가들의 의견을 반영하였으며, SG17 국제회의 종료 후, 4주간에 서면

회람 후, 특별한 의견이 없을 경우, 최종 국제표준 X.1208로 채택(approval)하기로 승인되었다. 하지

만, 회람 기간 중에 미국, 캐나다, 일본에서 추가적인 코멘트가 개진되어, 이를 반영한 표준초안이

현재 채택 준비과정(determination) 단계로 재회람 중에 있다.

- 본 표준은 미래부에서 개발된 국가 정보보호지수를 국제표준으로 개발하는데 그 목적이 있

다. 즉, 사이버공간에서 안정성을 평가하기 위한 기준은 국가별로 상이하고, 고려 대상이 다양하여

이에 대한 정형화된 기준을 개발함으로써 사이버공간에서 안정성 평가에 객관적인 기준을 정의하기

위함이다.

◦ 한국 주도로 개발된 역추적 메커니즘(X.trm)에 대한 채택 준비과정(Determination)을 승인되었

다.

- 캐나다는 이 표준이 부속서로 개발되어야 한다고 주장했으며, 미국은 역추적 기술보다는 순


화된 troubleshooting 이라고 수정을 제안했으며, 일본은 학술적 또는 실험적 메커니즘은 부속서로

개발하고, 실용적인 메커니즘을 중심으로 개발하자고 주장하였다. 한국은 이러한 의견을 반영해 실

용적인 메커니즘과 구현을 위한 요구사항, 그리고 선택기준을 본문에 반영함으로써 최종회의 결과,

국제표준 채택을 위한 준비과정(determination)으로 승인되었다.

◦ 미국 주도로 개발된 CYBEX 관련 권고안(X.capec, X.oval)이 국제표준(X.1544, X.1526)으로 승인

되었으며, 권고안(X.cve, X.maec, X.cybex-tp)이 국제표준 채택을 위한 준비과정(determination)으로

승인되었다. 특히, 권고안 2건(X.abnot, X.sisnego)을 X.1205 권고안의 부속서(Supplement 18,

Supplement 20)로 승인하였고, X.1500(CYBEX) 권고안의 개정안(X.1500/Amd.4)도 승인되었다.

3. 국내외 동향

◦ 사이버보안 정보 교환 구현을 위한 표준화 항목으로 미국의 정보보호 관련 연구 개발 기관인

MITRE의 정보보호 관련 시스템 및 기술들과 NIST(National Institute of Standards and Technology)의

정보보호 표준들을 ITU-T 국제표준화 항목으로 채택하였다. 일명 CYBEX (Cybersecurity Information

Exchange)라 불리는 이 표준화 작업은 미국의 주도 및 일본, 영국, 캐나다, 러시아, 한국 등 주요국

의 적극적인 참여로 빠른 속도로 진행되고 있다.

◦ 한국은 사이버보안지수, 역추적 메커니즘에 대한 표준 개발을 주도하고 있다.


◦ 한국의 표준화 활동이 타 국가에 비해 왕성하게 전개되고 있으며, 서방국가는 방어적 입장으로

신규 아이템에 대한 신설을 강하게 제어하고 있다. 따라서 신규 아이템 제안 및 표준 아이템 드래프

팅에 있어서 기술격차 분석 및 필요성에 대한 준비가 필요하다.

◦ SG17 Q.4는 CYBEX 관련 표준을 중점적으로 다루고 있으나 최근 CYBEX 관련 시리즈 권고안

이 대부분 종료될 예정이여서 한국이 주도할 수 있는 새로운 기술 아이템 발굴이 필요하다.


NO. 05 연구과제번호 Q.5/17 연구위원 김미주 진행상태 계속

과 제 명(영문) Countering spam by technical means

(국문) 기술적인 방법에 의한 스팸대응

1. 배경

◦ 상업적인 메시지를 전송하는 것으로 시작된 스팸이 근래에는 바이러스, 웜과 같은 네트워크 보

안 및 안정성에 부정적인 영향을 미치는 악성코드를 전파하는데 사용되면서 심각한 문제를 일으키

고 있다.

◦ 또한, 이메일, SMS, 멀티미디어 메시징 서비스와 같은 메시징 서비스를 통해 원치 않는 정보,

피싱, 스파이웨어 및 다른 악성코드를 전달하기도 하며, 봇넷을 통해 전파되기도 한다.

◦ 스팸 문제를 해결하기 위한 대응활동의 일환으로 ITU-T SG17 Q.5에서는 기술적인 방법에 의한

스팸대응에 대한 연구 및 표준화 작업을 추진하고 있다.


◦ 음성 스팸 대응 기술(X.ticvs), 모바일 메시징 스팸 대응 기술 프레임워크(X.tfcmm)에 대한 표준

화 작업이 진행 중에 있으며, 각각 2014, 2015년 표준 개발을 완료하여 Determination 추진 예정임

◦ 2013년 9월, X.1243(스팸 대응을 위한 인터랙티브 게이트웨이 시스템) 표준 일부 용어에 대한

정정작업을 진행 함

3. 국내외 동향

◦ ITU-T SG17 Q.5에서는 스팸 대응에 대한 기술적 전략(X.1231), 이메일 스팸 대응 기술(X.1240),

이메일 스팸 대응을 위한 기술적 프레임워크(X.1241), 사용자 설정 기반 SMS 스팸 필터링 시스템

(X.1242), 스팸 대응을 위한 인터랙티브 게이트웨이 시스템(X.1243), IP 기반 멀티미디어 응용에서의

스팸 대응 개요(X.1244), IP 멀티미디어 스팸 대응 프레임워크(X.1245)에 대한 표준 및 스팸 관련 위

협 대응(X.Suppl.6), RBL 기반 VoIP 스팸 대응 프레임워크(X.Suppl.11), 모바일 메시징 스팸 대응 개요

(X.Suppl.12), 봇넷 정보를 이용한 이메일 스팸 대응 참조 모델(X.Suppl.12)에 대한 부속서를 개발하고

있다.

◦ 국내에서는 TTA PG503(사이버보안 프로젝트그룹)에서 스팸 대응 표준화를 담당하고 있으며,

독자적인 표준을 개발하거나 ITU-T, IETF와 같은 국제표준화기구에서 제정된 표준을 준용하는 작업

을 진행하고 있다.



◦ 우리나라는 IP 멀티미디어 응용에서의 스팸 대응 기술에 대한 표준화를 추진한 바 있음

◦ 스마트폰 등 다양한 매체를 통해 전파되는 스팸 메시지 대응에 있어 국내에서 시도하여 효과

를 본 우수기술을 국제표준에 반영될 수 있도록 적극적인 참여가 요구된다.

◦ 지능적으로 진화하는 스팸 문제에 신속하게 대처하기 위해 스팸 대응 기술 국제표준화를 추진

하고 있는 ITU-T, IETF와 같은 국제표준화기구의 활동에 대한 지속적인 관심 및 필요시 국내 표준

으로 준용하는 작업이 필요하다.


NO. 06 연구과제번호 Q.6/17 연구위원 백종현 진행상태 계속

과 제 명(영문) Security aspects of ubiquitous telecommunication services

(국문) 유비쿼터스 통신 서비스에서의 보안

1. 배경

◦ITU-T SG17 Q.6은 USN, IPTV, 모바일, 스마트그리드, ITS, NFC 등 유비쿼터스 환경에서의 다양

한 통신 서비스 환경에서 필요한 보안 기술에 대한 표준화 추진 및 관련 표준 유지보수를 담당하고

있는 연구과제이다.

◦ITU-T SG17 Q.6은 ITU-T 내의 유비쿼터스 통신 서비스 관련 표준을 개발하는 SG들 뿐아니라

ISO/IEC JTC1/SC 6, 25, 27 그리고 31, ETSI M2M, IETF, 3GPP 등 다양한 SDO들과 협력을 통해 표준

을 개발하고 있다.


◦ 2013년도 유비쿼터스 통신 서비스 보안 분야에서의 주요 쟁점은 모바일 보안 관련 워크아이템

인 X.msec-6 (스마트폰에서의 보안)에 대한 권고 승인 문제, 지능형 교통 시스템(ITS) 보안 분야 및

M2M 관련 보안 기술 등에 대한 신규 워크아이템 선정 관련 문제 등이 있다.

◦ 모바일 보안 관련 워크아이템(X.msec-6)의 경우 2012년 8월 회의에서 AAP를 통한 권고 승인을

요청하였으나 권고안에 Regulation 관련 내용이 포함되어 있기 때문에 승인 절차가 TAP로 변경되었

으며, 2003년 4월 회의에서 독일, 미국, 일본, 영국 등의 반대로 인해 권고안은 최종 Supplement로

제정되었다.

◦ 그리고, 2013년 회의를 통해 최근 전 세계적으로 많은 관심을 받고 있는 지능형 교통 시스템

(ITS) 및 M2M 관련 보안 기술에 대한 신규 워크아이템에 대한 논의를 추진하였으며, ITS의 경우

2013년 8월 회의에서 일본에서 제안된 내용을 검토하고, ITS 환경에서의 일반 아키텍처 및 use case에

기반한 위협 분석 및 보안 요구사항을 도출하여 차기회의에 신규 워크아이템을 제안하기로 하였다.

- 또한, M2M에 적용 가능한 부분암호화 기반 보안 통신 프로토콜이 신규 워크아이템으로 제안되었

으나, 미국, 영국 등에서 해당 암호 프로토콜은 ITU-T 권고로 추진하기에 부적절하며, 제시된 키 관리 기법

은 문제가 있다는 의견이 개진되어 신규 워크아이템으로 채택이 되지 않았다.

◦ 그 외, 스마트그리드 보안 권고안(X.sgsec-1), 유비쿼터스 네트워크 보안 권고안(X.unsec-1), 모


바일 보안 권고안(X.msec-7, X.msec-8) 등이 개발 중에 있다.

3. 국내외 동향

◦ 최근 유비쿼터스 환경에서의 보안 기술은 국내 뿐 아니라 미국, 영국, 독일, 일본, 중국 등 표

준화에 관심이 있는 대부분의 국가에서 많은 관심과 노력을 기울이고 있는 분야이다. 특히 금년에도

아시아 국가를 중심으로 모바일 보안, ITS 보안, M2M 보안 기술 관련 권고안이 제안되고 있다.

- 하지만, 최근 미국, 독일, 영국, 캐나다 등 서방국가를 중심으로 아시아 국가에서 추진하는 권고안

에 대해 많은 이견을 제시하고 있으며, 이에 따라 권고 제정이나 신규 워크아이템 선정 시 지속적으로

어려움을 겪고 있다.

◦ 국내에서도 2013년 4월 회의까지 IPTV 보안 분야에서 총 8건의 권고를 개발 완료 하였으며, 현

재에도 스마트그리드 보안 및 모바일 보안 분야에서 권고안을 개발 중에 있다. 하지만, 최근 이슈가

되고 있는 ITS 보안, M2M 보안 및 NFC 보안 등에 대한 권고안은 아직 제안되고 있지 않다.


◦ 최근 미국, 독일, 영국 등에서 모바일 보안 관련 권고안, ITS 보안 및 M2M 관련 신규 워크아이

템 등 대부분의 권고안에 대해 Regulation 문제를 들어 반대 의견을 개진하고 있다. 이에 따라, 국내

에서도 현재 개발 중인 모바일 보안 및 스마트그리드 보안 관련 분야의 권고 제정을 위해 기존에

제시된 반대의견 분석 등을 통한 사전 대응 방안 마련이 필요하다.

◦ 또한, 현재 국내에서도 산업체를 기반으로 최근 이슈가 되고 있는 ITS, M2M 그리고 NFC 등과

관련한 다양한 기술 및 어플리케이션이 개발 중에 있기 때문에, 국내 기술의 국제 경쟁력 제고를 위

해 해당 보안 기술에 대한 연구 및 신규 권고안 개발 노력이 필요할 것으로 판단된다.


NO. 07 연구과제번호 Q.7/17 연구위원 나재훈 진행상태 계속

과 제 명(영문) Secure application services

(국문) 안전한 응용서비스

1. 배경

◦ ICT 환경의 응용서비스 정보보호는 산업발전에 있어서 매우 중요한 부분이다. 본 연구과제에서

는 PKI 인증서와 응용 서비스를 대치하는 타임스탬프 서비스, 안전한 인증 서비스와 웹 정보보호 서

비스를 연구하고 표준화 한다.


◦ 웹 환경에서 사용되는 XML 기반의 인증토큰, 접근제어와 같은 표준을 기초로 웹융합 환경의

정보보호 표준개발, 전통적인 인증 프로토콜을 개선하여 모바일 환경에서 보다 안전한 인증 프로토

콜을 제공하기 위한 OTP(One-Time Password) 프레임워크, OTP를 이용한 부인방지, 사용자의 프라

이버시를 보장하는 익명 인증 프로토콜, 소셜 네트워크 서비스 환경에서의 사용자 프라이버시 보장

및 정보보호를 위한 표준화 이슈가 주요 쟁점사항들이다.

3. 국내외 동향

◦ ICT 기술의 발전으로 말미암아 응용 서비스는 다양화, 복잡화가 될 것이다. 이에 따라 사용자

들에게 안전한 서비스 환경을 제공하기 위하여 강화된 인증 프로토콜, 거래 부인방지, 프라이버시

보장하는 익명인증 및 소셜 네트워크 서비스 안전을 보장하는 정보보호 서비스 표준화에 집중되고

있다.

◦ ISO/IEC JTC1 SC27 에서 익명 인증서는 2013년 4월에, 익명인증 알고리즘 표준은 2013년 10월

에 각각 제정되었다. OTP 응용서비스는 IETF의 표준을 기반으로 모바일 장비에 OTP 응용서비스 탑

재를 위한 표준개발에 집중하고 있으며, 웹융합 서비스 보안은 급변하는 기술의 발전에 후행하는 구

도로 표준개발이 진행되고 있다.

◦ 현재, 응용서비스 보안 분야에서는 한국에서 대부분의 표준초안들을 개발하고 있으며, 유럽 및

북미에서는 간접적인 의견 개진으로만 참여하고 있다.


◦ 웹 환경에서 사용자, 인프라, 서비스를 보호하기 위한 첫 단계로서 인증 프로토콜은 매우 중요

한 위치를 차지하고 있다. 더욱이 유해 콘텐츠 및 서비스 환경에서 온라인 청소년 보호를 위해서도

실질적인 인증이 중요하므로 국가적 어젠다로 추진이 필요하다. 또한 모바일 단말의 스마트화로 인

하여 소셜 네트워크 커머스가 증대되고 있는 상황에서 국가 경쟁력 강화를 위하여 안전하면서도 프

라이버시가 보장하는 익명 인증 표준 개발에 선점을 확보하는 것이 필요하다.


NO. 08 연구과제번호 Q.8/17 연구위원 박종열 진행상태 계속

과 제 명(영문) Cloud Computing Security

(국문) 클라우드 컴퓨팅 보안

1. 배경

◦ ITU-T SG17 Q.8은 국제 전기통신서비스의 클라우드 컴퓨팅 서비스에서 보안 관련 표준을 연구

하는 연구반으로 서비스, 보안 구조, 운영 보안, 인터 클라우드 보안 관련 사항을 주로 표준화하고

있다.

◦ 클라우드 컴퓨팅 기술은 ITU-T SG13에서 요구사항 및 참조 모델을 개발하고 있으며, 보안 기

술에 관련된 사항은 Q.8/17에서 개발하고 전체 조율 차원에서 SG13과 협력하는 구조를 가지고 있다.

◦ SG13을 제외한 Q.8/17과 협력은 Q.3/17에서 클라우드 컴퓨팅을 위한 정보 보안 제어 기능을

Q.10/17과는 ID 관리 기능을 협력하고 개발하고 있으며, 개발되고 있는 과제는 다음과 같다.

- X.xxsec : Security framework for cloud computing

- X.fsspvn : Framework for a secure service platform for virtual network

- X.sfcse : Security functional requirements for SaaS application environment

- X.goscc : Guideline of operational security for cloud computing

- X.cc-control : Control code of practice for information security controls for cloud computing

services based on ISO/IEC 27002


◦ 2013년도 클라우드 컴퓨팅 보안 이슈는 ITU-T 내부에서 SG13과 SG17 사이에 주도권에 관련된

논쟁이 주요 이슈였다. 이는 클라우드 컴퓨팅 전문가와 보안 기술 전문가 사이에서 클라우드 컴퓨팅

을 바라보는 시각 차이에서 발생한 것이다. 논쟁 결론은 SG17에서 기술적 이슈를 다루고 전체적인

클라우드 이슈는 SG13에서 다루기로 합의되었다.

◦ 클라우드 컴퓨팅 보안 기술은 중국이 표준화를 주도하고 미국, 영국, 일본, 러시아 등에서 참여

하고 있으나 기술 개발에 중국이 상당 부분 참여하면서 표준화의 품질에 대한 이슈가 자주 등장하

였으나, 표준 문서의 품질보다는 주요 선진국에서 SG13에 적극 대응하고 있어 SG17에 대응할 인력

이 부족하여 야기된 것으로 추정된다.


3. 국내외 동향

◦ 클라우드 보안 기술은 사실국제표준화 기구인 DMTF, OGF, CSA, SNIA 등을 중심으로 전문 분

야별 규격 개발이 활발하게 진행되고 있다.

◦ 현재 제정 완료된 표준으로는 클라우드 가입자와 서비스 간 연동을 위한 규격인 OCCI(OGF),

CDMI(SNIA) 기술과 가상 머신의 이동성을 위한 OVF(DMTF)가 있다. OVF는 2011년 7월 ISO/IEC

JTC1에 국제표준으로 상정되어 승인되었다.

◦ NIST에서는 2011년 12월 퍼블릭 클라우드 컴퓨팅에서의 보안 및 프라이버시를 위한 가이드라

인, 전가상화 기술을 위한 보안 가이드 2건의 보안 문서를 발간하였다.

- 퍼블릭 클라우드에서 보안 및 프라이버시 보호를 위한 가이드라인(Guidelines on Security

and Privacy in Public Cloud Computing), SP 800-144 (2011.12)

- 가상화 기술의 보안 가이드 (Guide to Security for Full Virtualization Technologies), SP

800-125 (2011.01)

◦ CSA(Cloud Security Alliance)는 클라우드 보안 위협, 보안 가이드, 보안 점검 체크리스 등에 관

한 문서를 발간하였다.

- 클라우드 Top 보안 위협 (Top Threats to Cloud Computing, v1.0), 2010.03

- 클라우드의 중요 자원 보안 가이드 (Security Guidance for Critical Areas of Focus in Cloud

Computing, V3), 2011.11

- 신뢰하는 클라우드 도입을 위한 통제 기준 (Cloud Control Matrix Trusted Cloud Initiative,

v1.2), 2011.08

- 클라우드 보안 참조모델 (Trusted Cloud Initiative Reference Architecture Model, v1.1),

2011.01


◦ 우리나라는 클라우드 보안 기술 관련하여 참관하고 있는 수준으로 전략적인 담당 전문가가 없

는 상황이며, 특히 전략적으로 추진할 과제(기술내용)가 없는 상황으로 장기적인 모니터링과 기존 활

동 회원과의 협력 네트워크 구축이 필요하다.


NO. 09 연구과제번호 Q.9/17 연구위원 신용녀 진행상태 계속

과 제 명(영문) Telebiometrics

(국문) 텔레바이오인식

1. 배경

◦ ITU-T 텔리바이오인식 표준화는 사용자 신원을 확인하기 위한 표준초안들이 개발되고 있으며,

한국을 비롯하여 일본, 중국, 프랑스, 스위스, 영국 등, 많은 국제표준화 전문가들이 참여하여 바이오

인식 기술의 활용 및 관련 데이터의 보호에 대한 커다란 관심을 표명하고 있다. 현재, ITU-T SG17

에서 바이오인식 기반 사용자 인증 관련 표준들이 개발되어, 이를 기반으로 국가인프라 및 활용에

중점을 둔 표준화 작업을 추진하고 있다.


◦ 바이오인식 기술은 주로 일본과 한국에서 응용기술 및 원천기술들에 대한 표준초안을 개발하

고 있으며, 유럽 등에서는 학문 및 용어정의에 대한 표준들을 담당하고 있다. 국가별로 크게 대립되

는 상황은 없으며, 서로 협력 하에 표준초안들을 개발하고 있다.

◦ 바이오인식 관련 표준은 ITU-T SG17/Q.9(텔레바이오인식), ISO/IEC JTC1/SC37(바이오인식-원천

기술), ISO/IEC JTC1/SC27(정보보안-프라이버시: 바이오인식) 그룹에서 주로 개발되고 있으며, 표준들

간에 지속적인 협력을 통하여 유사 표준의 중복 개발을 방지하려 노력하고 있다.

3. 국내외 동향

◦ 스마트폰 기능이 모바일 쇼핑과 금융 결제 영역까지 확대되면서 스마트폰 제조업체들이 보안

기술을 강화하고 있다. 특히 공인인증서 등의 복제가 불가능한 보안 기술을 탑재하는 한편 지문인식

기능 등 바이오인식을 적용하기 시작했다. 애플은 손가락을 대면 지문이 읽히는 ‘에어리어’방식이

고, 팬택과 HTC는 손가락을 쓸어내려 스캔하는 스와이프(Swype) 방식을 채택했다. 에어리어 방식은

지문 인식이 빠르고 정확한 반면 센서 소형화가 어렵다. 가격도 스와이프 방식보다 3배 이상 비싸

다. 반면 스와이프 방식은 센서 크기가 작아 다양한 모양과 크기로 적용 가능하지만 인식률이 낮다.

추후, 특정 부위 터치가 아니라 화면 전체가 지문 인식을 할 수 있는 방식으로 발전될 전망이다.



◦ 2011년 9월, 한국 제안으로 모바일환경에서 바이오 정보보호를 위한 기술적·관리적 안전하게

보호하기 위한 가이드라인 표준이 개발 중에 있으며, 2015년 2월에 국제표준으로 제정을 목표로 적

극적으로 개발할 예정이다.

◦ 한국 주도의 바이오보안토큰에 대한 국제표준이 ITU-T SG17 및 ISO/IEC JTC1/SC27 그룹 간에

공통표준(Common Text)으로 개발되고 있으며, 각 표준화 기구 간 유기적 조화 및 협력을 지속적으

로 유도하여 최종 국제표준 개발을 추진할 예정이다.


NO. 10 연구과제번호 Q.10/17 담당위원 조상래 진행상태 계속

과 제 명(영문) Identity management architecture and mechanisms

(국문) 아이덴티티 관리 구조 및 메커니즘

1. 배경

◦ ITU-T에서는 SG17 WP3 그룹이 ID 관리 기술에 관한 표준화를 리드하는 연구그룹으로, 산하 2

개의 연구과제(Question)를 구성하여 관련 국제표준을 개발하고 있다.

◦ Q.10에서는 ID 관리 기술의 구조와 프레임워크에 대하여 정보통신 환경에서 다양하게 응용될

수 있는 국제표준들의 개발을 담당하고 있다.

◦ Q.10에서는 앞서 언급된 분야로 현재까지 총 7건의 국제표준을 제정하였으며, 총 8건의 표준초

안들이 개발 중에 있다.


◦미국에서 ITU-T와 ISO에서 공통 표준으로 추진하던 개체 인증 프레임워크인 X.1254는 한국에서

제기한 이슈를 해결하지 못하여 ITU-T에서만 승인을 받아 표준으로 제정되었다.

◦국내 한국전자통신연구원에서 추진하는 모바일 ID 관리 표준인 X.mob-id는 2012년에 국제표준

으로 제정될 예정이었으나 다른 표준과제들과의 중복성 이슈를 들어 영국 및 미국의 반대로

Supplement로 추진하려고 하였으나, 이 또한 영국 및 미국 등의 반대로 표준화 과제에서 제외하기로

결정되었다.

◦클라우드 컴퓨팅의 중요성이 나날이 높아지면서 클라우드 컴퓨팅 환경에서의 ID 관리 요구사항

을 정의하는 표준화 과제를 추진하고 있다.

3. 국내외 동향

◦ 국내 ID관리 기술 표준화는 주로 TTA TC5(정보보호 기술위원회) 개인정보보호 및 ID관리 프로

젝트 그룹(PG502)에서 담당하고 있다.

◦ 국내 주요 표준화 활동은 2010년에는 스마트 디바이스에서의 모바일 아이덴터티 관리를 위한

요구사항, 모바일 아이덴터티 관리 프레임워크, 아이덴터티 관리 기본 용어 정의, 개체 인증에 대한

보증 프레임워크, 대용량 데이터 공유 시스템의 보안요구사항, 보조기억매체의 안전한 선택 및 이용

지침, 차세대 모바일 카드 요구사항 및 시스템 구성에 대한 표준이 제정되었다.

◦ 2011년에는 스마트 디바이스에서의 모바일 아이덴터티 관리에 대한 표준 개정과 전자서명 이


용기술에 대한 표준이 제정되었고, 2012년에는 사용자 ID 정보를 이용하는 사용자 중심의 개인화 프

레임워크와 전자 영수증에 대한 표준을 추진하였다.

◦ 2013년에는 모바일 환경에서의 지불 관련된 기술과 전자 영수증에 대한 규격들이 개발되고, 프

라이버시 리스크 관리 프레임워크에서의 개인정보보호 영향평가가 개발되었다.


◦ 범국가적 ID 관리 시스템 구축을 위해서는 일단 정부 내에 전담부서를 신설하여 주도적으로

추진할 수 있는 힘을 실어주는 것이 중요하고, ID 관리 분야의 전문가를 대거 육성하는 것이 필요하

다.

◦ 그 다음으로는 필요한 요소 기술들의 표준화를 먼저 진행하여 향후 국가 ID 관리 시스템 구축

시 제품 또는 서비스들 간의 상호호한성 문제를 미리 해결하는 것이 선결되어야 한다.


NO. 11 연구과제번호 Q.11/17 연구위원 염흥열 진행상태 계속

과 제 명(영문) Generic technologies to support secure applications

(국문) 안전한 응용을 지원하기 위한 일반 기술

1. 배경

◦ITU-T SG17 Q.11은 디렉토리 서비스, PKI(공개키 기반구조), PMI(속성관리기반구조), OID(객체

식별자)와 관련 RA(등록 기관), 그리고 OSI 표준의 유지보수를 담당하고 있는 연구과제이다.

◦이 연구과제는 ISO/IEC JTC 1/SC6/WG8 와 ISO/IEC JTC 1/SC6/WG9 협력해 표준화를 추진하고

있다.

◦ITU-T SG17 Q.11은 아래와 같은 표준 항목을 포함하고 있다.

- Directory services (X.500 series);

- Public Key Infrastructures (PKI – X.509); - Privilege Management Infrastructure (PMI – X.509); - ASN.1 (X.680 and X.690 series), Object Identifiers and their Registration Authorities (X.660

and X.670 series);

- Fast Web Services and Fast Infoset (X.890 series);

- OSI and ODP maintenance.


◦ 2013년도 디렉토리 서비스 분야에서 주요 쟁점은 신규 워크아이템인 X.cmail (인증된 메일 전

송 및 인증된 전자우편 프로토콜)이 지난 4월 합의되었고, 공개키 기반구조의 기본 표준인 X.509 표

준이 공개키기반구조(PKI)과 속성관리구조(PMI) 만을 남기고 나머지 디렉토리 부문은 다른 표준으로

이동키로 합의하였다.

◦ 2013년도 OID 분야의 경우, 신규 워크아이템인 X.orf (OID 기반 이종식별자 해석 프레임워크)

를 지난 4월 회의에서 합의하였음. 이 신규 워크아이템은 Q.7/17과 공동으로 개발키로 합의함. 또한,

두 개의 신규 워크아이템인 X.oer(옥텟 부호화 룰 규격), X.cms(암호학적 메시지 신택스)를 9월 회의

에서 합의되었다.

◦ 특히, 2013년 9월 회의에서는 X.orf (OID 기반 이종식별자 해석 프레임워크)에 대한 수정안 채

택이 이루어졌다.


- 한국은 OID 기반 이종 식별자 해석 프레임워크 시나리오 및 요구사항에 대한 수정을 제안하여

채택했고, 중국은 X.orf에서 각 단말에 OID를 할당할 경우를 위한 서비스 시나리오를 제안하였으며, 한

국은 이를 수용하였다. 한국은 차기 회의에서 OID 기반의 사물인터넷 디바이스 식별자를 정의하는 신

규 권고안을 제안할 예정이며, 중국의 이번 제안은 이와 연관시킬 수 있을 것으로 판단된다.

- CNRI(Corporation for National Research Initiatives)의 요청에 따라, Handle System과 X.orf에 대

한 상호 연동성 표준 개발 관련 논의가 별도로 진행되었다.

※ X.orf은 아직 표준 개발 진행 중에 있으므로, 개발 완료 후에 다시 검토하기로 합의되었다.

※ 또한, CNRI에서는 X.orf의 부록에 Handle System 개요에 대한 내용을 추가하기 위해 차기

회의에 관련 내용을 기고할 예정이다.

◦ ITU-T X.672|ISO/IEC 29168-1(OID 해석 시스템) 개정 완료되었다.

- ITU-T X.672|ISO/IEC 29168-1 국제표준에 새로운 서비스 타입인 UINF의 추가에 대해 ISO/IEC

JTC 1/SC 6에서 승인이 완료되어 최종적으로 개정이 완료되었다. 본 개정 사항은 ITU-T 웹페이지에 게

시될 예정이다.

- 중국은 OID를 식별자로 사용하기 위한 할당 및 관리에 대한 지침을 제공하는 신규 권고안의 개발

을 제안하였으나, 기존 OID handbook과의 차별성에 대한 분석이 필요하다는 의견에 따라 차기 회의까

지 결정을 유보하기로 하였다.

3. 국내외 동향

◦ 2013년 4월, SG17 Q.11은 영국, 덴마크, 한국 그리고 미국 전문가를 중심으로 권고가 개발되고

있다.

◦ 한국은 X.orf 라는 신규 워크아이템을 제안해 지난 4월에 합의한 실적이 있다.


◦ 한국은 PKI, PMI, 그리고 객체식별자 관련 표준화 결과가 국내 공인인증 체계와 한국인터넷진

흥원 업무에 직접 연결되므로 적극적 대응 또는 주도가 필요하며, 특히, 한국인터넷진흥원이 객체

식별자 결정을 위한 등록기관 임을 고려해 X.orf 국제표준화를 주도할 필요가 있다.


NO. 12 연구과제번호 Q.12/17 연구위원 백종현 진행상태 계속

과 제 명(영문) Formal languages for telecommunication software and testing

(국문) 통신 소프트웨어 및 테스트를 위한 형식 언어

1. 배경

◦ ITU-T SG17 Q.12는 통신 시스템 설계 및 테스트에 널리 사용되는 다양한 형식 언어들을 지속

적으로 개발 지원하는 연구과제이며, 통신 시스템의 요구사항, 구조 및 행동을 규정하는 ITU 시스템

설계 언어를 개발한다.

◦ ITU-T SG17 Q.12에서 개발하는 ITU 시스템 디자인 언어는 Specification and Description

Language(SDL), Message Sequence Chart Language, User Requirements Notation, CHILL-The ITU T

Programming Language 등이 있다.


◦ 2013년도 통신 소프트웨어 및 테스트를 위한 형식 언어 연구과제의 주요 쟁점은 TTCN-3

(Testing and Test Control Notation version 3)에 대한 Core 언어 및 언어 확장(Language

Extensions) 분야에 대한 신규 권고안 및 유지보수 추진 방향에 대한 논의가 이루어졌다.

- 또한, 총 4건의 SDL-2010 형식 정의(Formal Definition) 권고안 시리즈에 대해 지속적인 검토를 추

진하였으며, 2014년 1월 정기회의에서 Consent 로 추진될 예정이다.

◦ 또한, 통신 소프트웨어 및 테스트를 위한 형식 언어 연구과제는 ITU-T Z시리즈 권고안에 대한

유지보수를 추진하고 있으며, 2013년에는 사용자 요구사항 표기법(Z.150, Z.151), UML 프로파일

및 방법론(Z.109), Methodology(Z.Sup1) 등의 권고에 대한 유지보수 작업이 추진되었다.

◦ 그리고, 지속적으로 SDL Forum Society와 연계하여 다양한 ITU-T 언어를 개발하고 있으며,

SDL Forum Society 이벤트를 통해 ITU-T 언어를 적극적으로 홍보하고 있기 때문에, 이번 연구회기

에도 SDL Forum Society와의 지속적 관계 유지가 필요하다.

3. 국내외 동향

◦ 일반적으로 통신 소프트웨어 및 테스트 관련 분야는 직접 상용서비스에 적용 가능한 분야가

아니기 때문에 다른 연구과제에 비해 국내 또는 국외 표준화 전문가들의 관심이 적다. 하지만 ITU-T


내에서 개발된 권고 기술에 대한 실 서비스 적용 시 효율성 제고를 위해 필요한 분야이다.


◦ 우리나라에서는 아직까지 통신 소프트웨어 및 테스트를 위한 형식 언어 연구과제(Q12)에 제안한

기고서나 권고안이 없기 때문에 별도의 대응이 필요하지는 않다. 다만, ITU-T 언어를 이용하는 산업

체 등에서는 Q.12에서 추진 중인 권고 유지보수 및 신규 권고안에 대한 지속적인 관심이 필요하다.


ITU-T SG17 연구반 중점과제 연구결과

제2장

AANNSSII


□ 일반과제 (우선순위 권고안 검토)


1 X.sgsm

(국문) 중소규모 통신조직을 위한 정보보호관리 가이드라인

WP1 오경희(영문) Information security management guidelines for small and medium telecommunication organizations

2 X.csmc

(국문) CYBEX 기술을 사용하는 사이버보안 운영의 반복적인 모델

WP2 김종현(영문) Continuous security monitoring using CYBEX techniques

3 X.cybex-tp

(국문) 사이버보안 정보 교환을 위한 전송 프로토콜

WP2 김종현(영문) Transport protocols supporting cybersecurity information exchange

4 X.sisnego

(국문) 보안정보 공유 협상 프레임워크

WP2 김종현(영문) Framework of security information sharing negociation

5 X.fsspvn

(국문) 가상화 네트워크를 위한 안전한 서비스 플랫폼 프레임워크

WP3 박종열(영문) Framework for a secure service platform for virtual network

6 X.goscc

(국문) 클라우드 컴퓨팅을 위한 운영적인 보안 지침

WP3 박종열(영문) Guidelines of operational security for cloud computing

7 X.sfcse

(국문) 소프트웨어 서비스 응용 환경을 위한 보안 기능 요구사항

WP3 박종열(영문) Security functional requirements for Software as a Service (SaaS) application environment

8 X.tif

(국문)바이오인식기반 원격의료 통합 프레임워크

WP2 신용녀(영문) Integrated framework for telebiometric data protection in e-health and worldwide telemedicines


ITU-T 우선순위 권고안 검토서 (1)

ITU-T X.sgsm

1. 기본정보

해당 SG SG17 해당 WP WP1 해당 Question Q.3

폐이지 수 39 현재상태 초안 작성 중 완료 예상시기 2015년

권고명 (영문)Information security management guidelines for small and medium

telecommunication organizations

권고명 (국문) 중소규모 통신조직을 위한 정보보호관리 가이드라인

2. 권고주요내용

이 권고안은 X.1051에 기반하여 중소규모 통신조직의 정보보호 관리를 수립, 구현, 유지 및 개선하기 위한 지침 및 일반

원칙을 수립하고, 통신 설비 및 서비스의 기밀성, 무결성, 가용성을 보장하기 위하여 중소규모의 통신 조직을 위한 정보보호

관리 구현 베이스라인을 제공한다.

이를 위하여 중소규모 통신기업의 특성을 상술하고 중소규모 기업의 정보보호관리 구현방안을 설명하고, X.1051의 구조에

따라 각 통제항목을 중소규모 통신 기업에 적용하기 위한 구현 방법을 설명한다.

부록으로는 각 국의 중소규모 기업의 정의 예를 보인다.

3. 참여국 및 전문가 정보

구분 성명 소속 연락처(전화) 이메일 주소

에디터 Wataru Senga KDDI Japan +81-80-5064-9008 [email protected]

국내 참여자 없음

주요 참여국 일본

주요 참여국의 입장/의견본 표준은 한국 및 KISA의 제안으로 개발이 결정된 것이나 초기 한국 및 KISA

editor의 참여가 어려워짐으로써 난항에 처해 있음


4. 주요 이력

회의명(기간) 기고서 번호 기고서 제목 제출자 반영결과SG17(2009.9) C 118 Proposed 1st draft text of

Information security

management guidelines for

small and medium

telecommunication

organizations (X.ismg-sm)

장상수, 정정윤,

장항배(한국)

가제 X.isgm-sm

개발을 제안하여 통과됨

SG17(2010.4) C 210 A Proposal of 2nd Draft text

of Information Security

Management Guidelines for

Small and Medium

Telecommunication

Organizations


장항배(한국)

통제항목 설명, 정의 및

약어 추가

SG17(2010.4) C 237 A draft proposed text for

X.sgsm based on X.1051 |

ISO/IEC 27002

Wataru Senga, Koji

Nakao(Japan)

범위 설명 수정, SMTO

현황을 부록으로 첨부

SG17(2010.

12)

C 336 Proposal for the 4th revised

text on draft X.sgsm:

(Information security


small and medium

telecommunication

organizations)


장항배(한국)

개요 수정, 일부 통제의

추가를 제안하여 통과됨

SG17(2010.

12)

C 292 A draft proposed text for

X.sgsm, Information security


small and medium

telecommunication

organizations

Wataru Senga, Koji

Nakao(Japan)

통신, 접근통제 등의

통제 텍스트 추가를

제안하여 통과됨

SG17(2011.4) C 382 Proposal of revised text for

Recommendation ITU-T



small and medium-sized

telecommunication

organizations

Wataru Senga, 정정윤,

장상수, 장항배(일본,

한국)

업무연속성, 준거성 등의

통제 텍스트 추가를



회의명(기간) 기고서 번호 기고서 제목 제출자 반영결과

SG17(2011.9) C 499 Proposal of revised text for

Recommendation ITU-T



small and medium-sized

telecommunication

organizations

Wataru Senga, Koji

Nakao(Japan)

5장의 구조 변경 및

접근통제 텍스트 변경을


SG17(2012.2) C 637 Comments on draft

Recommendation X.sgsm

Oscar Avellaneda,

Joseph Zebarth(캐나다)

구조변경과 편집

코멘트를 제안했으나

편집 코멘트만 반영함SG17(2012.8) C 720 A proposal for the revised

draft of Recommendation

ITU-T X.sgsm, Information

security management

guidelines for small and

medium-sized

telecommunication

organizations

김정덕, 이기호(한국) Abstract를 포함하는

구조 변경 및 참조 등

변경을 제안하여 통과됨

SG17(2012.8) C 662 Concerns regarding X.sgsm

and X.gpim guideline work

items

Anthony M.

Rutkowski

인터림 미팅을 통한

텍스트 변경에 우려를

표했으나 현재 방식대로

진행하기로 함SG17(2013.4) C 86 Proposed modifications to

draft X.sgsm, Information

security management

guidelines for small and

medium-sized

telecommunication

organizations

Wataru Senga, Koji

Nakao(Japan)

X.sgsm의 기반이 되는

문서인 X.1051의

개정이 결정되어 기술적

논의를 차기로 미룸

SG17(2013.8) - X.sgsm의 기반이 되는

문서인 X.1051의

개정이 진행되고 있어

기술적 논의를 이후로

미룸

AAP 처리결과 해당사항 없음

5. 향후 추진방향


관련 TTA 표준화 위원회 (TC/PG) TC5/PG504

관련 국내 표준화 추진현황 해당사항 없음

국내 표준화 추진 필요성

(관련 국내표준이 없는 경우)개발 진행 시 검토

우리나라의 대응방향 지속적으로 참가할 수 있는 에디터 참여가 필요

6. 검토자 인적사항

검토자 성명 오경희 검토자 소속 TCA서비스

연락처(E-mail) [email protected] 연락처(휴대폰) 050-2

검토일 2013년 08월 31일



ITU-T X.csmc

1. 기본정보


폐이지 수 17 현재상태 초안 작성 중 완료 예상시기 2014년 4/4분기

권고명 (영문) Continuous security monitoring using CYBEX techniques

권고명 (국문) CYBEX 기술을 사용하는 사이버보안 운영의 반복적인 모델


본 표준의 주요내용은 사이버정보 공유 프레임워크(Cybex) 기술을 사용하는 반복적인 사이버보안 운영의 개념, 구조 및 요

구사항 등을 정의한다. 특히, 반복적인 사이버보안 작업을 하기 위한 필수적인 활동 모델을 제시함으로써, 각 조직들이 그 모

델에 맞는 사이버보안 운영 도구를 개발할 수 있는 지침서가 된다. 본 표준에서는 사이버보안 운영 절차에 대한 내용은 다루

지 않는다.



에디터

Takeshi Takahashi NICT [email protected]

Youki Kadobayashi NICT +81 743 72 52 11 [email protected]

Robert Martin MITRE [email protected]

Kathleen Moriarty EMC [email protected]

Inette Furey DHS [email protected]


주요 참여국 일본, 미국

주요 참여국의 입장/의견일본이 에디터로 참여하고 있으며, CG-CYBEX를 중심으로 미국, 캐나다 및

일본 등이 논의를 주도하여 글로벌 표준 마련에 적극적으로 대응하고 있음


4. 주요 이력


SG17(2011.3) TD1732Rev2 Proposed Recommendation

ITU-T X.csmc, Continuous

security monitoring using

CYBEX techniques

Takeshi Takahashi, Youki

Kadobayashi (Japan) Bob

Martin, Kathleen Moriarty,

Inette Furey (USA)

2011년 3월 SG17 정기

회의에서 신규아이템을

제안하여 채택되었고, 이

에 따른 TD문서임

SG17(2011.9) TD2096Rev1 Initial draft Rec. ITU-T X.csmc,

Continuous security monitoring

using CYBEX




Inette Furey, Gregg Schudel

(USA)

X.csmc 초기 드래프트

문서이며, 문서의 많은 내

용을 작성 후 제안하여

채택됨

SG17(2012.2) TD2569Rev1 Revised text for the draft Rec.

ITU-T X.csmc, Continuous

security monitoring using

CYBEX




Inette Furey, Gregg Schudel

(USA)

두 번째 드래프트 문서이

며, 문서 범위 및 6절 내

용이 수정되었음

SG17(2013.3) TD0275 Revised text for the draft Rec.

ITU-T X.csmc, an iterative model

for cybersecurity operation using

CYBEX techniques




Inette Furey (USA)

세 번째 드래프트 문서이

며, Q4/17 회의를 통하

여 권고안 제목이 변경되

었으며, 이에 따른 내용

수정을 반영한 문서임AAP 처리결과 해당사항 없음.


관련 TTA 표준화 위원회 (TC/PG) TC1/PG503

관련 국내 표준화 추진현황 해당사항 없음


(관련 국내표준이 없는 경우)

국내에서도 관련 기술의 발전과 효율적인 사이버보안 시스템의 운영을 위하여 본

권고를 TTA 단체표준으로 추진할 필요가 있음

우리나라의 대응방향세계 주요 국가들이 CYBEX 기술 활용과 관련 표준안 개발에 관심이 높으므로,

우리나라도 정부차원의 적극적인 참여가 필요함


검토자 성명 김종현 검토자 소속 ETRI

연락처(E-mail) [email protected] 연락처(휴대폰) 010-9347-9259

검토일 2013년 8월 20일



ITU-T X.cybex-tp

1. 기본정보


폐이지 수 12 현재상태 Determination 준비 중 완료 예상시기 2013년 4/4분기

권고명 (영문) Transport protocols supporting cybersecurity information exchange

권고명 (국문) 사이버보안 정보 교환을 위한 전송 프로토콜


본 표준의 주요내용은 사이버정보 공유 프레임워크(Cybex) 시리즈 내에 통신 주체들 간에 정보를 교환하기 위해 사용되는

일반적인 전송 프로토콜을 소개하고, 기 개발된 표준 프로토콜의 특성과 활용을 위한 기술적, 보안적 고려사항 등을 정의한

다.



에디터Youki Kadobayashi NICT +81 743 72 52 11 [email protected]

Damir Rajnovic FIRST International [email protected]


주요 참여국 일본, 미국, 한국

주요 참여국의 입장/의견일본이 에디터로 참여하고 있으며, CG-CYBEX를 중심으로 미국, 캐나다 및 일

본 등이 논의를 주도하여 글로벌 표준 마련에 적극적으로 대응하고 있음


4. 주요 이력


SG17(2009.9) C146 Proposal for the creation of a

"Protocol" work item for use

within CYBIEF

Craig Schultz, Yuki

Kadobayashi (Japan) and

Damir Rajnovic (USA)

2009년 9월 SG17 정기

회의에서 사이버보안 정

보 교환 프로토콜에 대한

신규아이템으로 채택됨

SG17(2010.4) TD0818 Revised text for draft Rec. ITU-T

X.cybex-tp, Transport protocols

supporting cybersecurity information

exchange

Craig Schultz, Yuki

Kadobayashi (Japan) and


2010년 4월 SG17 정기

회의 내용을 반영한

X.cybex-tp 초기 드래프

트에 대한 수정 문서임

SG17(2011.9) TD2058 Draft Recommendation ITU-T



exchange

Yuki Kadobayashi (Japan),


드래프트 문서의 전반적

인 내용을 추가 작성하여

제안하였고, Q4/17회의

에서 채택됨




exchange



2012년 2월 SG17 정기

회의에 드래프트 문서

(TD2058)의 수정본을

제안하여 채택됨

SG17(2013.4) C026 Draft Recommendation ITU-T



exchange



2013년 4월 SG17 정기

회의에 드래프트 문서의

수정 내용을 제안하여 채

택됨




exchange



기고서(C026)에 대한

Q.4/17 회의 내용을 반

영한 TD문서이며, 2013

년 8월 SG17 정기회의

에서 Determination 절

차를 진행할 예정임

AAP 처리결과



관련 TTA 표준화 위원회 (TC/PG) TC1 / PG503

관련 국내 표준화 추진현황

TTAI.OT-12.0013(2010.12.23.), 침해대응 전문가 간의 침해사고 전달을 위한

메시지 전달 방식

TTAK.KO-12.0061/R1(2010.12.23.), 네트워크 공격에 대한 시그니처 교환 프

로토콜


(관련 국내표준이 없는 경우)해당사항 없음.

우리나라의 대응방향세계 주요 국가들이 사이버보안 정보 공유를 강조하고 있고, 관련 표준안 개발에

관심이 높으므로, 우리나라도 정부차원의 적극적인 참여가 필요함




검토일 2013년 8월 20일


ITU-T 우선순위 권고안 검토서(4)

ITU-T X.sisnego

1. 기본정보


폐이지 수 20 현재상태 발간완료 완료 예상시기 2013년 2/4분기

권고명 (영문) Framework of security information sharing negotiation

권고명 (국문) 보안정보 공유 협상 프레임워크


사이버정보 공유 프레임워크(Cybex) 시리즈 내에 통신 주체들 간에 정보를 교환하기 위해 초기 협상하는 기술로서, 주요

내용으로는 사이버보안 정보를 제공하거나 제공 받는 사이버보안 주체들 간에 어떻게 사이버보안정보를 공유할 지를 협의하는

사이버보안정보 공유협상 프레임워크를 정의하며, 보안정보 공유 협상을 위한 기능적 요구사항과 참조 모델, 보안정보 공유

합의서와 보안정보 공유 정책의 개념적인 데이터 모델링, 그리고 보안정보공유 합의서 협상 절차를 정의한다.



에디터

김종현 한국전자통신연구원 042-860-3843 [email protected]

안개일 한국전자통신연구원 042-860-4830 [email protected]

Kathleen Moriarty EMC Corporation [email protected]

국내 참여자 없음.

주요 참여국 한국, 미국

주요 참여국의 입장/의견한국이 에디터로 참여하고 있으며, 미국 MITRE측에서 공동 에디터로 참여하고

있으며, Q4/17에 참여하고 있는 많은 국가로부터 반대의견이 없음


4. 주요 이력


SG17(2011.3) C429 Proposal for new work item

on a framework of security

information sharing

negotiation

Gae-Il An, Jong-Hyun

Kim (Korea)

2011년 3월 SG17 정기

회의에서 보안정보 공유

협상에 대한 신규아이템

(X.sisnego) 채택됨SG17(2011.9) C465 Proposal for initial draft of

X.sisnego, framework of

security information sharing

negotiation

Gae-Il An, DaeHee

Seo, Jong-Hyun Kim

(Korea)

2011년 9월 SG17 정기

회의에 제안한 X.sisnego

에 대한 초기 드래프트

문서임SG17(2012.8) C723 Proposal for the 1st revised

text on draft Recommendation

ITU-T X.sisnego, framework of


negotiation

Jong-Hyun Kim, Gae-Il

An (Korea)

2012년 8월 SG17 정기

회의에 드래프트 문서에

서 9절(보안정조 공유합

의) 내용을 제안하여 채

택됨SG17(2012.8) TD3165 The 1st revised text on draft

Recommendation ITU-T X.sisnego,

framework of security information

sharing negotiation


An (Korea), Kathleen

Moriarty (USA)


Q.4/17 회의내용을 반영

한 TD문서임

SG17(2013.4) C043 Proposal for the 2nd revised

text on draft Recommendation

ITU-T X.sisnego, framework of


negotiation


An (Korea)

2013년 4월 SG17 정기

회의에 드래프트 문서의

10절(SSA 협상절차) 내

용을 제안하여 채택됨

SG17(2013.4) TD0268 Draft new Supplement 20 to

ITU-T X-series Recommendations

- ITU-T X.1205 – Supplement on framework of security information

sharing negotiation (for agreement)



Moriarty (USA)


Q.4/17 회의 내용을 반

영하여 ITU-T X.1205에

대한 X.Sup20 (X.sisnego)

를 제안한 문서임SG17(2013.4) X.Sup 20

(X.sisnego)

ITU-T X.1205 – Supplement on

framework of security information

sharing negotiation



Moriarty (USA)

2013년 4월 X.sisnego

에 대한 내용을 기반으로

제정된 표준문서임AAP 처리결과 2013년 04월 승인됨



관련 TTA 표준화 위원회 (TC/PG) TC1 / PG503

관련 국내 표준화 추진현황 TTAK.KO-12.0172(2011.12.21.), 사이버보안 정보 공유 협상 절차


(관련 국내표준이 없는 경우)해당사항 없음.

우리나라의 대응방향

세계 주요 국가들이 사이버보안 정보 공유를 강조하고 있고, 본 권고안의 개발에

따른 파급효과가 클 것으로 예상되므로, 우리나라도 정부차원의 적극적인 참여가

필요함




검토일 2013년 8월 20일



ITU-T X.fsspvn

1. 기본정보



권고명 (영문) Framework for a secure service platform for virtual network

권고명 (국문) 가상화 네트워크를 위한 안전한 서비스 플랫폼 프레임워크


가상 네트워크 환경에서 네트워크를 가상으로 설정하고 해지하는 등의 관리 기능을 제공하기 위한 보안 서비스 플랫폼에

대한 기능으로 IPSec, TLS/SSL 과 같은 IP 기반의 보안 네트워크 설정을 위한 내용을 제공하는 것을 목적으로 하고 있으

며 네트워크 연결성, 보안 서비스, 네트워크 관리의 기능을 표준화하는 것을 목적으로 한다.


구분 성명 소속 연락처(전화) 이메일 주소에디터 Jun Shen China Telecom +86 20 38639553 [email protected]


주요 참여국 중국

주요 참여국의 입장/의견중국: 권고안 개발에 주도권을 가지려고 적극적으로 참여하고 있으나 2011년

이후로 업데이트를 제공하고 있지 않음


4. 주요 이력


SG17(2010.12) C0315 Proposal for a new work

item on Requirements and

Framework of Secure Service

Platform in Complex NAT

Environments

Jun Shen 신규 권고안으로 채택

SG17(2011.04) C0394 X.fsspvn: Framework of the

Secure Service Platform for

Virtual Network

Jun Shen 신규 권고안의 내용과

구조를 제안하여 승인

반영



관련 TTA 표준화 위원회 (TC/PG) 정보보호 기술위원회

관련 국내 표준화 추진현황 본 권고와 관련하여 국내에서 추진되고 있는 표준화 현황은 없음


(관련 국내표준이 없는 경우)표준화 추진 필요 없음

우리나라의 대응방향 특별한 대응 필요 없음


검토자 성명 박종열 검토자 소속 ETRI


검토일 2013년 8월 30일



ITU-T X.goscc

1. 기본정보



권고명 (영문) Guideline of operational security for cloud computing

권고명 (국문) 클라우드 컴퓨팅을 위한 운영적인 보안 지침


본 권고안은 매일 운행되는 클라우드 컴퓨팅 사업자가 운영에서 전반적인 보안성을 향상시키기 위해서 사용자, 시스템 등

의 운영상에 발생할 수 있는 위험요소를 분석하여 보안 위험을 제거하기 위한 운영 보안에 관련된 요구사항과 전반적인 운

영 프레임워크를 제공한다.



에디터

Laifu Wang China Telecom +86 20 38639682 [email protected]

Jun Shen China Telecom +86 20 38639553 [email protected]

Huirong Tian CATR, MIIT P.R.China +86 10 62300266 [email protected]

Zhaoji Lin ZTE Corporation +86-25-88014636 [email protected]

Ming He China Telecom +86 10 58501428 [email protected]


주요 참여국 중국, 미국, 캐나다

주요 참여국의 입장/의견중국: 권고안 개발에 주도권을 가지려고 적극적으로 참여

미국: 빠른 진행보다는 SG13 협력을 강조


4. 주요 이력


2012.02 C564 Proposed new work item on

Requirements and framework

of operational security for

Cloud Computing

Laifu Wang 클라우드 컴퓨팅 기반의

운영 보안에 대한

요구사항과 구조를 처음

제안하여 승인2012.08 C703 Proposed text for chapter 8

of X.goscc

Laifu Wang 일단위 운영에 따른

보안 가이드라인을

제안하여 승인SG17(2013.04) C063 Proposed edits to X.goscc:

Guidelines of operational

security for cloud computing

Lanfang Ren 문서의 오타를 수정하여

제안 승인

SG17(2013.04) C061 Comments on the latest draft

of X.goscc

Min Zuo X.goscc, X.ccsec의

역할을 구분할 것을

제안하는 것으로

권고안의 범위를 수정SG17(2013.04) C028 Proposed text for security

audit of X.goscc

Laifu Wang 보안 감사에 대한 주요

텍스트를 제안하여 승인SG17(2013.04) C027 Proposed revised text for

security

SLArequirementsofX.goscc

Laifu Wang SLA 보안 요구사항을

수정 제안한 것으로

승인











검토일 2013년 8월 30일



ITU-T X.sfcse

1. 기본정보



권고명 (영문)Security functional requirements for Software as a Service (SaaS) application

environment

권고명 (국문) 소프트웨어 서비스 응용 환경을 위한 보안 기능 요구사항


본 권고안은 SaaS 환경에서 보안 요구사항을 정의하는 것으로 SaaS 응용 환경을 지원하기 위한 요구사항을 정리하고 각

각의 요구사항에 따른 보안요구사항을 제공하는 것으로 목적으로 하고 있다. 특히 통신사 중심의 클라우드 컴퓨팅 환경에서

의 요구사항을 정리하여 응용 개발자와 같은 클라우드 서비스 기반의 응용 프로그램 개발자와 호환성 확보를 목적으로 한다.



에디터 Peng Zhao China Telecom +86 10 58552225 [email protected]


주요 참여국 중국, 미국, 캐나다

주요 참여국의 입장/의견중국: 권고안 개발에 주도권을 가지려고 적극적으로 참여

미국: 빠른 진행보다는 SG13 협력을 강조


4. 주요 이력


SG17(2011.04) C0383 Proposed new work item on

secure SOA based service

provision platform for cloud

computing

Peng Zhao 클라우드 컴퓨팅을 위한

안전한 SOA 기반의

서비스 프로비저닝 과제

제안하여 최초 승인SG17(2011.04) C0552 Proposed revised baseline

text for X.sfcse

Peng Zhao 권고안 개발 승인에

따라 문서의 구조를

정리하여 제안하여 승인SG17(2011.04) C0553 Proposed a chapter on SaaS

levels for X.sfcse

Peng Zhao SaaS 수준을 4단계로

구분하여 제안하여 승인SG17(2013.04) C025 Proposed Edits to clause

8.10, 8.11&8.12 in X.sfcse

Xie Zhigang 장애 시에 데이터의

복구와 복제를 위한

기능을 제안하여 승인SG17(2013.04) C023 Proposed derivation method

of SaaS security architecture

for X.sfcse

Peng Zhao SaaS를 위한 보안

아키텍처를 제안하여

승인SG17(2013.04) C022 Proposed revised SaaS

security requirements for

X.sfcse

Peng Zhao 보안 모델에 대한

내용을 제안하여 승인

AAP 처리결과 관련 없음










검토일 2013년 8월 30일



ITU-T X.tif

1. 기본정보


폐이지 수 30 현재상태 발간완료(In force) 완료 예상시기 2013년 2/4분기

권고명 (영문)Integrated framework for telebiometric data protection in e-health and worldwide

telemedicines

권고명 (국문) 바이오인식기반 원격의료 통합 프레임워크


본 권고안은 원격의료 바이오정보 전송에 있어서의 위협으로부터 안전한 원격의료 서비스를 위한 사용자 인증과, 통신상에

서의 정보 획득, 변조, 불법접근과 같은 다양한 위협으로부터 바이오정보를 보호하기 위한 프레임워크를 제시한다.

원격의료에서 사용자 인증은 환자, 의사, 연구원 등 사용자의 정보 및 사생활 침해를 막고 정확한 의료정보의 전달을 위하여

바이오인증을 사용한다.

통합 프레임워크를 적용하는데 있어서 기존 표준의 활용성을 입증하고, 원격의료 환경에서만 발생할 수 있는 바이오정보 전

송에 있어서의 보안문제에 대한 대처방안을 제시한다.



에디터 김재성 한국인터넷진흥원 02-405-5367 [email protected]

국내 참여자 신용녀 한양사이버대학교 02-2290-0303 [email protected]

주요 참여국 한국, 일본, 프랑스

주요 참여국의 입장/의견

일본: 의료 환경, 어플리케이션 모델에 대한 동작 선행요건(operational

prerequisites)에 대하여 명확히 할 것

프랑스: 모델 내 각 컴포넌트의 기능요구사항에 대하여 명시하는 내용을 기고서에

반영하여 작성하라는 요청


4. 주요 이력


SG17(2008.4) COM17-C312 Proposal for new work item

on guideline for biometric

data protection procedures in

Telemedicine

신용녀(KISA) X.tif(바이오인식 기반 원격의료

통합 프레임워크) 신규 표준을

제안하고 에디터로 선출됨

SG17(2008.9) C428/TD4193 Draft Text of X.tif :

Integrated Framework for

Telebiometric data protection

in TeleHealth and WorldWide

Telemedicines

신용녀(KISA) Telemedicine(TeleHealth)

환경의 구성요소를 정의하고,

2단계의 인증 절차를 정의하였음

SG17(2009.2) C68/TD177 Proposal for Revised Draft

Text of X.tif: Integrated

Framework for biometric

data and private information

protection in TeleHealth and

WorldWide Telemedicines

신용녀(KISA) X.tai, X.tsm 등 다른

권고안과 비교하여 X.tif의

차별성을 명확히 하고, 기존

표준이 원격의료 환경에서

커버할 수 없는 부분을 표를

통하여 명확히 제시SG17(2010.4) C235/TD0998 Revised draft text of X.tif:

Integrated framework for

telebiometric data protection

in telehealth and worldwide

telemedicines

신용녀(한국은행) 1.각각의 위협에 대해

보안요구사항을 명시 2. 긴급

의료상황에 대한 환자 인증 절차에

대하여 명시 3. 프레임워크 동작에

대한 사용 예(Use Case)

다이어그램을 추가SG17(2010.12) C362/TD1300 Proposal for clause 9 of

draft Recommendation of

ITU-T X.tif: Integrated

framework for telebiometric

data protection in telehealth

and worldwide telemedicines

한병진(KISA) 사용케이스 및 긴급 상황에 관한

처리방법을 명시하는 9절을

추가하였음

SG17(2010.12) C369/TD1286 Proposal for Revised Draft

Text of X.tif: Integrated

Framework for Telebiometric

data protection in TeleHealth

and WorldWide Telemedicines

신용녀(한국은행) 1.의료 환경, 어플리케이션 모델에

대한 동작 선행 요건에 대하여

명확히 함 2. 모델 내 각

컴포넌트의 기능요구사항에

대하여 명시하는 내용을 기고서에 반영 SG17(2011.4) C445/TD1818 ITU-T Draft Recommendation

X.tif: Integrated framework

for telebiometric data

protection in telehealth and

worldwide telemedicines

정홍순(KISA) 1. e-Health center 정의

2. 유즈케이스 추가

3. 특정한 명칭들을 일반화해서 명기


SG17(2011.8) C479/TD2261 X.tif: Integrated framework


protection in e-Health and

worldwide telemedicine

정홍순(KISA) Medical staff 정의, 보안모델

추가 승인

editorial comments 수정

SG17(2012.9) C741/TD3173 The 4threvised text for Draft

Recommendation of X.tif:

Integrated framework for

telebiometric data protection

in e-Health and worldwide

telemedicine

이승재(KISA) 1.표준범위 세분화:world-wide 삭제,

홈닥터, 병원대상으로 원격진료 국한

2.실제 적용사례 : 한국의 원격진

료서비스에 적용된 응급상황 및

상시질병환자에 대한 원격진료서비

스 적용사례를 appendix로 반영SG17(2013.4) C49/TD30 The 5th revised text for

Draft Recommendation of

X.tif: Integrated framework


protection in e-Health and

telemedicine

이승재(KISA) 미 정의된 약어 표시 등을 보완하여

표준 수정본 제출 후 Consent

AAP 처리결과 2013년 6월 AAP 승인 완료.


관련 TTA 표준화 위원회 (TC/PG) TC5/PG505 (바이오인식)

관련 국내 표준화 추진현황

영문 표준 제정 완료(2011.12.21) : TTAI.IT-X.tif(바이오인식 기반 원격 의료 통합

프레임워크)

준용 표준 제정 추진(2013.3.37) : 바이오인식 기반 원격 의료 통합 프레임워크(과

제번호 :2013-092)


(관련 국내표준이 없는 경우)해당사항 없음

우리나라의 대응방향 해당사항 없음


검토자 성명 신용녀 검토자 소속 한양사이버대학교


검토일 2013년 8 월 20 일



1 X.1528(국문) 공통 플랫폼 목록

WP2 김미주(영문) Common platform enumeration

2 X.1570


WP2 김미주(영문) Discovery mechanisms in the exchange of cybersecurity information

□ 일반 과제 2 (국내 규정과 비교검토)


1. 권고 주요내용

o 권고번호 ITU-T X.1528

o 권 고 명(영문) Common platform enumeration

(국문) 공통 플랫폼 목록

o 해당분과 ITU-T SG17 연구반

o 작 성 자 김미주

o 주요내용o 기업 내 컴퓨팅 자원에 대한 어플리케이션 클래스, 운영체계, 하드웨어 장비를 기

술하고 식별하는 구조화된 명명 체계 정의

2. 국내 관련규정

o 구 분 □ 기술기준 □ 표준 □ 법/제도 □ 기타( ) ■ 관련규정 없음

o 관련규정 해당사항 없음.

o 규정내용 해당사항 없음.

o 권고와의 비 교

해당사항 없음.

3. 향후 처리 방향

o 국내반영 필요분야

□ 기술기준 (제/개) ■ 표준(제/개) □ 법/제도(제/개) □ 정책수립 □ 해당사항 없음

o 필 요 성

o 시스템 하드웨어 및 소프트웨어에 대한 구조화된 명명 체계의 표준화는 사이버보안 정보의 교환 시 관련 정보에 대한 표준화된 표현 방식을 제공함으로써 정보교환 당사자 간의 혼란을 방지하고 업무 효율성 및 취약점 관리 자동화 등에 기여할 수 있음

o 추진계획 o 2014년 TTA PG503(사이버보안 프로젝트그룹)을 통해 표준화 추진

o 기 타 해당사항 없음.

ITU-T 권고와 국내규정과의 비교검토서 (1)


1. 권고 주요내용

o 권고번호 ITU-T X.1570

o 권 고 명(영문) Discovery mechanisms in the exchange of cybersecurity information


o 해당분과 ITU-T SG17 연구반

o 작 성 자 김미주

o 주요내용o 사이버보안 정보의 제공자를 찾고, 데이터 유형을 식별하기 위한 방법 및

프레임워크 정의o 사이버 보안 정보의 유형, 수준 및 접근 방법에 따른 보안 정보의 식별자 정의

2. 국내 관련규정

o 구 분 □ 기술기준 ■ 표준 □ 법/제도 □ 기타( ) □ 관련규정 없음

o 관련규정 정보통신단체표준(TTAS) TTAE.IT-X.1570

o 규정내용

o 본 표준은 사이버 보안 정보의 제공자를 찾고, 데이터 유형을 식별하기 위한 방법 및 프레임워크를 설명하고 있으며, 사이버 보안 정보의 유형, 수준 및 접근 방법 별로 보안 정보의 식별자를 정의하고 있다. 또한, 탐색 메커니즘으로써 객체 식별자(OID) 기반의 메커니즘과 자원 표시 프레임워크(RDF) 기반의 메커니즘을 소개하고 있으며, RDF기반의 메커니즘에 대한 구조 및 구현 예제를 부록에서 설명한다.

o 권고와의 비 교

o ITU-T X.1570에 대한 준용 표준임

3. 향후 처리 방향

o 국내반영 필요분야

□ 기술기준 (제/개) □ 표준(제/개) □ 법/제도(제/개) □ 정책수립 ■ 해당사항 없음

o 필 요 성 o ITU-T X.1570에 대한 준용 표준이 존재하므로, 추가적인 대응 불필요

o 추진계획 해당사항 없음.

o 기 타 해당사항 없음.

ITU-T 권고와 국내규정과의 비교검토서 (2)



1 A등급 이슈(국문) 클라우드 컴퓨팅 보안

WP3 박종열(영문) Cloud Computing Security

□ 기타 연구 과제 (A등급 이슈 표준화 정책연구)


[ A등급 이슈 표준화 정책연구 ]

클라우드 컴퓨팅 보안 (11)

SG17, 박종열, ETRI 분석소프트웨어연구실

1. 기술 개요

□ 클라우드 컴퓨팅은 미래 ICT 서비스의 새로운 인프라 기술 확장

○ 클라우드 컴퓨팅은 고속 네트워크 기술을 활용하여 IT 자원을 필요한 만큼 빌려서 사

용하는 시스템으로, 사용한 만큼의 비용을 지불하는 인프라 기술

○ 클라우드 컴퓨팅은 투자비 감소, 운영비용 절감, 신속 서비스 제공 등의 장점으로 기

존 서비스 인프라를 대체하고 있음

○ 세계 IT 시장은 ‘11년부터 ’17년 까지 평균 4.1% 성장이 예상되나 클라우드 컴퓨팅

분야는 23.0% 성장 기대

[표] 클라우드 컴퓨팅 세계 시장 규모(IDC 2011)

(단위: 억$)

2011 2012 2013 2014 2015 2016 2017 CAGR

클라우드 서비스 제공자 888 1,142 1,501 1,899 2,402 2,905 3,689 26.8%

　

클라우드 응용 서비스 526 690 893 1,118 1,410 1,714 2,186 26.8%

클라우드 플랫폼 72 94 132 172 220 273 356 30.6%

클라우드 인프라 291 358 477 610 772 917 1147 25.6%

클라우드 네트워크 78 85 89 92 94 96 99 6%

클라우드 클라이언트 357 413 477 547 603 693 797 14.3%

클라우드 서비스 브로커 76 99 128 158 199 223 250 21.90%

합계 1,399 1,739 2,195 2,696 3,298 3,917 4,835 23.0%


[표] 클라우드 컴퓨팅 국내 시장 규모(IDC 2011)

(단위: 억원)

2011 2012 2013 2014 2015 2016 2017 CAGR클라우드 서비스

제공자11,006 13,342 15,456 18,292 21,886 23,100 26,870 16.0%

　

클라우드

응용 서비스6,645 8,056 9,394 11,217 13,597 14,415 16,845 16.8%

클라우드

플랫폼 908 1,101 1,284 1,506 1,774 1,867 2,165 15.6%

클라우드 인프라 3,453 4,185 4,778 5,570 6,515 6,817 7,860 14.9%

클라우드 네트워크 2,825 3,049 3,223 3,327 3,391 3,482 3,567 4.0%

클라우드 클라이언트 1783 2067 2383 2733 3017 3467 3650 12.7%

클라우드 서비스 브로커 879 1,071 1,306 1,592 1,940 2,366 2,884 21.90%

합계 16,493 19,529 22,368 25,944 30,234 32,415 36,971 14.4%


2. 국외 동향

2-1. ITU에서의 표준화 동향 및 향후 일정

○ ITU-T에서는 FG Cloud (클라우드 컴퓨팅 포커스 그룹) 활동을 통해 클라우드 보안을

포함한 7가지 분야의 결과문서를 도출하고 클라우드 컴퓨팅은 SG13에서 보안 관련 이

슈는 SG17에서 표준화 진행

- ITU-T SG17 (정보보호)에서는 클라우드 보안을 위한 보안 요구사항 및 구조, 운영보

안가이드 등에 관한 표준화를 진행 중에 있음

- 클라우드 보안 구조 및 요구사항 권고안 X.ccsec, Security requirement and

architecture for cloud computing

- 안전한 가상 네트워크를 위한 서비스 구조 X.fsspvn, Framework for a secure

service platform for virtual network

- SaaS 응용서비스 환경의 보안 기능 요구사항 X.sfcse, Security functional

requirements for SaaS application environment

- 클라우드 보안 운영 가이드 X.goscc, Guideline of operational security for cloud

computing

2-2. 기타 표준화 기구에서의 표준화 추진현황

□ 『사실상국제표준화기구』 중심의 초기단계 표준개발 활발

○ DMTF, OGF, CSA, SNIA 등 사실상국제표준화기구를 중심으로 전문분야별 독자적 규격

개발이 활발하며 국제표준으로 연계하는 노력 중

- 현재 클라우드 가입자와 서비스간 연동을 위한 규격인 OCCI(OGF), CDMI(SNIA), 가상

머신의 이동성을 위한 OVF(DMTF)가 사실상 표준으로 제정완료

※ OCCI(OGF): Open Cloud Computing Interface (Open Grid Forum)


CDMI(SNIA): Cloud Data Management Interface(Storage Networking Industry

Association)

OVF(DMTF): Open Virtualization Format (Distributed Management Task Force)

○ DMTF가 개발한 클라우드 표준인 OVF(Open Virtual Format)규격은 2011.7월 ISO/IEC

JTC1에 표준규격으로 상정되어 승인이 됨

○ NIST 에서는 2011년 12월 퍼블릭 클라우드 컴퓨팅에서의 보안 및 프라이버시를 위한

가이드라인, 전가상화 기술을 위한 보안 가이드 2건의 보안 문서를 발간

- 퍼블릭 클라우드에서 보안 및 프라이버시 보호를 위한 가이드라인(Guidelines on

Security and Privacy in Public Cloud Computing), SP 800-144 (2011.12)

- 가상화 기술의 보안 가이드 (Guide to Security for Full Virtualization Technologies),

SP 800-125 (2011.01)

○ CSA(Cloud Security Alliance)는 클라우드 보안 위협, 보안 가이드, 보안점검체크리스트

등에 관한 문서 발간

- 클라우드 Top 보안 위협 (Top Threats to Cloud Computing, v1.0), 2010.03


- 클라우드의 중요 자원 보안 가이드 (Security Guidance for Critical Areas of Focus

in Cloud Computing, V3), 2011.11

- 신뢰하는 클라우드 도입을 위한 통제 기준 (Cloud Control Matrix Trusted Cloud

Initiative, v1.2), 2011.08

- 클라우드 보안 참조모델 (Trusted Cloud Initiative Reference Architecture Model,

v1.1), 2011.01

□ 『공적국제표준화기구』 는 SG/FG 에서 정식 WG으로 전환추진

○ ISO/IEC 합동기술위원회(JTC1)에서는 2009년 10월 클라우드컴퓨팅 분야를 포함하는 전략

그룹(SC38)을 신설하고, 2010년 4월부터 국제표준화 본격적 논의 시작

- 클라우드를 전담하는 SGCC(Study Group for Cloud Computing)를 통해 표준화 방향에

대한 종합보고서 작성(2011. 9월 완료)

※ 2011년 11월 ISO/IEC JTC1 총회에서 한국이 주도하는 WG3 (Working Group) 신설

의결

○ ISO/IEC JTC1 SC27에서는 클라우드 컴퓨팅 보안 및 프라이버시 관련 표준을 개발 중

에 있으며, SC38과 클라우드 구조에 대한 협의 진행


2-3. 국가별 동향 및 입장, 국외 업계 현황

□ 국외 정부 정책

미국의 'Cloud First', 영국, 싱가폴의 ‘G-클라우드’, 일본의 ‘가스미가세키

프로젝트’가 있으며, 공공분야 선도적 적용 통한 정부지출 절감, 민간산업

육성을 추진

　

○ (미국) 정부와 공공부문의 클라우드 선제 도입을 통한 예산절감, 정부와 민간협력 통한

클라우드 산업의 지속적 글로벌 절대우위 확보 전략

- `Proposed Security Assessment and Authorization for Cloud Computing` 발표 및 공개

의견 수렴 (CIO 협의회, 2010.11)을 통해 클라우드 컴퓨팅 보안 요구기준, 지속적인 모

니터링 방법 및 평가· 인증 절차를 발표함

- `Cloud First Policy` 발표 (백악관 CIO, 2010.12)에서 2012년 6월까지 각 정부기관이

최소 3개의 공공서비스를 민간의 클라우드 기반으로 전환하도록 강제

① 연간 연방정부 IT 예산(U$800억) 중 25%를 클라우드 환경으로 전환

② 2012년 6월까지 각 부처별로 3개의 서비스를 클라우드로 전환, 재무부는

주요 인터넷서비스를 아마존 EC2로 이관

③ ‘클라우드 퍼스트’를 우선적으로 CIO의 IT 도입과 활용 프로세스에 접목

- `Federal Cloud Computing Strategy` 발표 (CIO 협의회, 2011.02) 에서는 기존의 발표한

`Cloud First Policy`를 보다 구체화하고 美연방정부에 클라우드 컴퓨팅을 도입하여 효

율성, 신속성 및 혁신성을 높이기 위한 전략을 수립함

- `Memorandum for CIO : Security Authroization of Information System in Cloud

Computing Environments` 발표 (OMB(미국연방예산관리국), 2011.12) 에서는 FedRAMP

(Federal Risk and Authorization Management Program)의 주요 요소, 정부기관별 책임,

기관별의 요구사항 등을 기술함

- 연방 예산관리처(OMB)는 1년내 클라우드로 전환할 78개 대상시스템 및 부처 리스트

를 발표 (2010.12), 연방 정보기술 개혁을 위한 25개 중점계획에 따라 연방정부부처


는 2012. 5월까지 정보시스템을 전환

o 일반정보를 담고 있은 웹사이트나 위험도가 낮은 서비스들은 기관이 보유

하고 있는 프라이빗 클라우드를 활용, 현재 운용되고 있는 클라우드는

정부 내 이메일 서비스

- 연방정부가 제공하는 애플리케이션 공급 사이트인 ‘Apps.gov’에 접속

하여 이메일용 소프트웨어를 다운받은 뒤 사용 가능

- 현재 조달청, 재향군인부, 육군, 농무부 등 4개 부처는 이메일 클라우드

사용

o 연방정부는 2011년 전체 IT 예산 800억 달러 중 200억 달러를 클라우드

예산으로 배정, 클라우드 컴퓨팅으로의 전환은 해마다 최소한 50억 달러를

절감할 것으로 예측

o 표준화가 비교적 용이하고 보안 위협이 낮은 시스템 위주로 78개 시스템

및 부처를 선정

- 이메일, 웹호스팅, 문서관리 시스템, 협업시스템, 정보포털, 데이터 센터,

지리정보서비스, 응용개발 및 테스트 환경

- 고용기록관리, 예산계획 SW, 클레임관리, 원격접속, 스토리지, 허가관리 등

(출처URL : http://www.govexec.com/pdfs/052611jm1.pdf)

(출처: 글로벌 IT 트렌드 - 미국, 연방기관 클라우드 전환대상 78개 시스템 및 부처 선정)


- 주요사례

▪(NIST) 상무부 소속 표준연구소인 NIST를 중심으로 연방정부에 적용 가능한 표준개

발을 촉진하고 조기도입 추진 : 집중 분야는 기술영역의 표준 그리고 가이드

(Guidance), 로드맵개발, Interoperability, portability and security requirements 등

▪(GSA) 총무청에서는 전 공공기관을 대상으로 "StoreFront”라는 단계별 클라우드 컴퓨

팅 도입계획을 발표, 민간의 클라우드 서비스를 연계 활용하는 "Hybrid Cloud”도입

예정('09.8)

▪(apps.gov) 공공기관이 클라우드 컴퓨팅 응용프로그램을 구매할 수 있는 포털

(apps.gov) 개설 ('09.9)

※ 클라우드 기반의 원격근무 추진 “데이터센터를 통합하고 클라우드 컴퓨팅을 기반

으로 IT자원을 공유해 이를 기반으로 원격 근무를 확산한다면 정부 기관들이 환경

보호 책임을 보다 잘 실천하게 될 것”

○ (영국)‘Digital Britain’전략의 하나로 2012년까지 정부 전산자원을 클라우드 기반으로 전환

하는 "G-Cloud" 계획 발표(2009.6)

- 공통 데스크톱 운영시스템, 정부용 IT 서비스들의 공유시스템인 정부 앱 스토어(G-AS,

Apple App Store 참조)등을 구축

- 총리실에 디지털 통합국(Director of Digital Engagement)을 신설하여 클라우드 기반의

정부 ICT 총괄

※ 공통 업무 클라우드 서비스화(SaaS), 인프라 통합 구매, 공공데이터센터 정보자원 통

합, 정부 대상 클라우드서비스 판매시장 구축을 통한 비용절감에 중점

- 130여개의 정부 데이터센터를 10~12개의 클라우드 데이터센터로 통합계획 발표

('10.10, 4천억원 투자)

○ (일본)“스마트 유비쿼터스 네트워크 실현전략”에서 ′15년까지 정부 클라우드컴퓨팅

도입 ('09.6)


- 총무성은 2015년을 목표로 중앙부처 대상의“가스미가세키 프로젝트”,지자체 대상의

“지자체 클라우드”계획

※ 가스미가세키 클라우드 추진을 통해 ‘정부공통플랫폼’ 구축(2013년)

- 우정국에서는 사용자 불만처리 및 고객 관리 업무에 미국 Salesforce.com의 CRM 솔루션

도입

- 총무성과 경제산업성은 기존산업과의 융복합과 전방위적인 클라우드 확산과 도입을 위

해 JCC(Japan Cloud Consortium) 설립 (2010.12월)

‧ 총무성은 스마트그리드, 교통정보시스템(ITS)과 클라우드 컴퓨팅의 융합을 추진

※ JCC의 6개 WG : ① 클라우드 마이그레이션 검토 WG, ② 업무제휴 클라우드 검토

WG, ③ 교육 클라우드 WG, ④ 차세대 클라우드 서비스 검토 WG, ⑤ 농업 클라우드

WG, ⑥ 의료 클라우드 WG

- 중소기업들이 클라우드 컴퓨팅을 이용해 경쟁력을 높일 수 있는 방법 연구

※ 가이드라인 마련, 표준화 추진, 스마트 클라우드 컨소시엄 구성 등

○ (중국) 중앙정부보다는 각 성별 지역특성을 고려한 지원이 주를 이룸

- 소프트웨어 산업경쟁력 강화를 위해 클라우드 기술을 활용하여 컴퓨팅 자원을 제공하

는 우시(Wuxi) SW 개발단지 추진 ('08.5)

‧ 우시(Wuxi) SW 개발단지 내 클라우드 컴퓨팅 센터는 글로벌 기업 참여하며 현지SW

개발기업에게 클라우드 개발환경 제공

- 포산(佛山) 난하이현(南海縣)의 기술국(Technology Agency of Nanhai District of

Foshan)에서 광저우 금융/하이테크 서비스 단지의 도시 기술 산업 벨트 내 클라우드컴

퓨팅 센터 구축

- 청두市 정부와 쑤광(曙光)정보산업은 전자정부(e-government) 및 과학 연구 지원을 위

해 30TF(서버 1,500대 규모)급의 테스트베드 구축(2009.12)


- 둥잉(Dongying) 지방 정부는 소프트웨어 산업 경쟁력 강화 및 헬스케어 서비스 보급을

위해 ‘황하 델타 클라우드 컴퓨팅 센터’ 구축


3. 국내 동향

3-1. 국내 표준화 동향 및 향후일정

□ 국내표준은 『정보통신표준기술협회(TTA)』를 중심으로 표준화 착수

○ 산업통상자원부 기술표준원을 중심으로 2010년부터 클라우드 국내표준 개발과 국제표

준화 주도 위한『클라우드 컴퓨팅 표준 개발 사업』 추진

- 표준화 협력 조정을 위해 클라우드컴퓨팅 표준기술연구회를 설치운영(2010.7월)하고 표

준화 전략로드맵 수립(2010.12월)

- 한국정보통신기술협회(TTA)는 클라우드 전담 조직인 PG420을 구성하고 사이버보안 프

로젝트 그룹 (PG503) 및 응용보안 및 평가인증 프로젝트 그룹(PG504)와 함께 TTA 단

체표준 개발 중

※ SLA품질요소, 데스크톱(DaaS)요구사항, Personal Cloud 보안, 클라우드 플랫폼 인터페

이스 등을 제정

※ 협업 클라우드 환경에서의 침입탐지 프레임워크 표준은 클라우드 환경에서의 침입 탐

지를 위한 시스템 구조 및 기능을 정의하고 있음

- 클라우드컴퓨팅 포럼(CCF)는 2009년 시장요구기반의 표준 개발을 위해 설립, 요소기술

및 융복합 서비스 표준개발 추진 중

- 2010년부터 표준화 과제로 클라우드컴퓨팅 상호운영성 및 인터페이스 기술을 선정하여

표준개발 진행 중(ETRI, NIA, KCSA)

○ 국내외 표준화 활동은 대부분 공공기관, 연구소, 학계 중심으로 운영되고 있으며, 원천기

술의 부족 및 산업기반 취약으로 민간중심의 표준화 활동은 미미한 상태

※ 미국, 캐나다, 중국, 일본의 경우 분야별 사전 역할 분담, 대응방향공유, 발표자료작성

등을 하게 함으로써, 효율성과 일관성을 동시에 확보

○ 방통위, 안행부 등 IT관련 다수의 기관이 상호 역할 분담하여 국내에 적용할 클라우드

표준화를 추진하고 있음


- 공공기관 클라우드서비스 SLA표준안 및 서비스관리지침 마련(안행부, 2010.12)

- 전자정부 표준 SW개발 플랫폼 구축 및 표준모델화 추진 중 (안행부, 2011.12)

- 클라우드서비스 품질측정 및 미터링기준 마련 중(안행부, 2011)

- 클라우드서비스의 서비스구조, 성능 및 보안성 등 평가 인증실시(방통위, 2011.10),

클라우드서비스 SLA가이드라인 마련(2011.10)

[표] 표준화 참여기관 현황

표준구분 주관기관 협력기관 국내회의체

국가표준

(KS)기술표준원

ETRI, KSA,

NIA, TTA

- 표준기술연구회

- TTA PG 420

- CCF 표준화 분과

위원회

- DAPS 위원회

국가표준

(KCS)방통위(전파연구소)

K I S A ,

KISTI, TTA

단체표준 한국정보통신기술협회(TTA)공공기관 ,

민간기업

사실상

표준

클라우드컴퓨팅 포럼(CCF)

클라우드서비스 협회

SaaS 포럼

민간회원사

정부표준 행정안전부(NCIS) NIA, NIPA

○ 범부처 차원의 클라우드 컴퓨팅 보안 정책 마련

- ((구)지경부) 클라우드 보안, 가상화, 모바일 클라우드 등 클라우드 컴퓨팅 핵심 R&D 및

표준화를 추진함 (2012년 272억원)

- 행안부는 정부통합전산센터 `G-클라우드`를 운영 (2012)하여 공공부문에서 선도적으

로 수용을 창출하고, 2015년ㄲ자ㅣ 부처 업무의 50%를 클라우드로 전환할 계획 (연

간 IT 운영예산 30% 절감 목표)

- 국정원에서 중요자료의 외부유출, 좀비 PC 양산에 악용 등을 우려하여 정부부처 클라


우드 서비스 차단 권고 (2012.02)로, 클라우드 보안을 강화시키는 계기가 됨

- 클라우드 서비스 도입을 어렵게하는 전산설비 구비 의무를 완화하고, 서비스 장애,

정보유출 등으로부터 이용자를 보호하기 위한 `(가칭)클라우드 이용 촉진법` 준비

중

- `클라우드 서비스 협회(인증위원회)`에서 클라우드 서비스의 품질·보호·기반 제공 분야

(가용성·확장성·보안 등 7개 항목)을 심사하여, 우수 서비스에 대해 인증제를 도입

함 (민간 인증/`Pass·Fail` 방식)

3-2. 국내 업계 및 지적재산권 현황

□ 국내 산업 동향

○ 삼성SDS, LG-CNS, KT, SKT, NHN, 다음, 클루넷 등이 클라우드서비스를 자사에 시범

적용하여 왔으며, 최근 상용화 출시 ('11.6)

- 주로 Mobile Office 등 내부 효율화 업무에 중점을 두고 있으며, 개인과 기업용

Public Cloud는 테스트 마케팅을 시작

※ 기업에서의 클라우드 적용은 공급자와 소비자의 신뢰기반 부족으로 채택여부 관망

상태

- KT, SKT, LG U+ 등 대기업은 IaaS 및 SaaS 위주의 개인용 및 기업용 클라우드 컴퓨

팅 서비스를 제공 중이며 이와 관련한 인프라 구축 중

※ KT-클라우드 데이터센터(천안, 2011.4), SKT-클라우드 데이터센터(일산 IDC, 2011.1),

SK C&C-클라우드 센터(판교, 2013 예정)

- 해외 파트너와 전략적 제휴를 통한 국내 시장진입도 활발

※ 삼성SDS-테라데이터, LG CNS-Microsoft, SK C&C-레드햇 등과 제휴

○ 공개 SW 솔루션을 도입하여 시스템 구축사업을 지원하는 기업이 다수 출현


- DB, 분산파일관리시스템, 가상화(VM) 분야를 중심으로 상용화 본격화

※ 대표적 기업: 큐브리드(DB,CMS), 유엔진(BPM), 넥스알(분산파일관리), 수퍼유저코리

아(SU Linux)

○ 사용량 측정(measure), 데이터 수집(aggregation) 및 처리(mediation), 요금 산정

(accounting), 빌링(billing) 기술은 통신사업자 중심의 개발

- 실제로 과금은 하지 않아도 제공한 서비스의 금액적 가치를 사용자에게 알려주기 위

해 미터링 및 과금 기능을 구현

※ 기존의 요금 및 빌링 모듈을 활용하여 자체 개발(KT)하거나, IBM 등 외산솔루션 활

용하여 미터링 및 과금 기능을 추가 구현(SDS), 사용량 측정이 아닌 신청 또는 할당

한 자원의 사용 시간에 기반한 과금을 구현(LG CNS)

○ 표준화에 대한 업계의 니즈는 표면화되지는 않은 상태이나 관련 산업체 및 표준화 단

체에서 조기 표준화의 필요성 인식

- 비교적 국내 보급이 빠른 Desk Top 가상화 분야의 표준화요구 발생

□ 민간 기술개발

○ 중소 벤처기업, 대형 SI기업, 통신사업자를 중심으로 주로 오픈소스를 활용한 국산

Cloud Solution이 다수 출시

- 서비스사업자나 SI기업은 과금, 측정, 보안 등을 중점 개발, 차별화

○ 국내에 기반을 둔 오픈소스 SW 프로젝트들의 성과가 가시화

- 과거 오픈소스 SW들은 대부분 외국에 기반을 두고 개발되었으나, 최근 2~3년 전부터

국내의 자생력 생성되기 시작하고 있음

※ 해외 소프트웨어 기업의 특징은 오픈소스 소프트웨어로 출발해 빠르게 사용자층을 확


대하고 해외 시장의 고객을 흡수

3-3. 국내 전문가 현황

□ 국내 클라우드 컴퓨팅 기술 개발은 장비 위주의 기술 개발로 인해 보안 기술에 대한 투

자는 미비함

- 클라우드 컴퓨팅 기술에 대한 핵심 기술을 확보하고 있지 않아, 하이퍼바이저 및 프로

세스 제어 등의 산업적 경쟁력을 갖춘 인력이 없음

- 국내 클라우드 컴퓨팅 보안 기술은 서비스 보안이나 인증, 접근 제어, 침입 탐지와

같은 전통적인 산업에 집중되어 있으며, 멀티테넌트 지원 기술, 프로세스·메모리 간

섭 제거, 악성 코드 패턴 감지와 같은 분야는 대응할 수 있는 인력이 없음

3-4. 국내 정책담당자 및 정책현황

□ 정부는 세계최고의 클라우드강국 달성 위한 관계부처 공동 계획을 수립

○ 범정부 클라우드 컴퓨팅 활성화 대책’을 발표하고, ‘2014년 세계 최고의 클라우드

컴퓨팅 강국’목표를 설정 (2009.12월)

- 공공부문 선제 도입, 민간 클라우드 컴퓨팅 서비스 기반 마련, 핵심 클라우드 기술

R&D, 여건 조성 등 4대 분야 10대 세부 과제 추진

※ ’14년 클라우드 컴퓨팅 세계시장 점유율 10% 목표로 5년간 6,226억 원 투입 예정, 클

라우드 컴퓨팅 테스트베드 구축․운영, SaaS 플랫폼 개발 과제 포함

○ 산업통상자원부, 방송통신위원회, 안전행정부에서 공동으로『클라우드컴퓨팅 확산 및

경쟁력 강화 전략』을 발표 (2011. 5월)

- 특정 기술․사업자에의 종속을 줄이기 위해 표준(상호운용성, Data 호환성 등)을 개발

하고 국제 표준 활동 강화


※ 국가표준코디네이터를 활용하여, 표준화 요구사항 수용, 보급 및 확산, 모바일 클라우

드의 상호운용성 확보, 공공데이터센터 기술․보안 등 표준화

- 업계․학계․연구소․커뮤니티 등이 참여하는 『클라우드 공개 S/W 네트워크』를 구성하

여 공개 S/W 확산 지원사업 추진

※ 우리나라가 취약한 "클라우드 소프트웨어 분야 (가상화 및 분산처리 S/W)를 중심으

로, 누구나 값싸게 사용할 수 있는 공개 소프트웨어의 적극 이용 유도

○ 부처별 자체적으로 추진계획을 수립하여 시행하되, 부처간 현안사항의 조정은『범정부

클라우드컴퓨팅 정책협의회』를 통하여 해결

□ 정부지원 공공 기술개발

○ ((구)지경부) 산업원천기술개발사업, 미래선도기술개발사업 등 의 일환으로 클라우드

요소기술 개발 중

- SW, 차세대컴퓨팅과제의 일환으로 9개 R&D과제 추진 중 (163억원)

- 클라우드 인프라, 플랫폼, 응용서비스 분야의 기술병목 해결위한 신규 R&D추진

‧ 모바일 클라우드 기술개발(2011-2014, 18억원), 상용SW를 웹으로 제공 위한 SaaS과제

공모(21억원), 클라우드용 그린서버 및 스토리지 개발(2011, 17억원) 등

○ ((구)방통위) 직접적인 기술개발 보다는 클라우드서비스 테스트베드 고도화, 전문인력양성,

법령정비, 국제협력 등 환경조성에 투자집중

- 클라우드 테스트베드 고도화(서버 200대->300대)로 중소 IT기업의 기술개발 시험, 검

증을 지원 (15개 기업, 8개 서비스 이용 중)

- 오픈소스 활용 클라우드 구축 전문 인력양성, IT 분야 인력 재교육 등 추진

- ‘The Clouds 2011', ‘Asia Cloud포럼’등 통한 글로벌 교류 활성화 추진(2011.9월)


○ (안행부) 중앙부처, 정부통합전산센터 대상의 클라우드 환경 시범적용 및 기술지원체계

를 중심으로 추진 중

- PC 기반 스마트오피스 업무환경 구축, 단계적 클라우드 전환위한 중점 과제 발굴 등

- 정부 클라우드 컴퓨팅센터 구현 위한 ISP추진 (2011.11월), 클라우드관리 자동화시스

템 구축(2011.12월)

- x86서버 및 공개SW 활용한 클라우드 긴급자원 풀 구축(2011.11월)

○ (공통) 연구개발 결과물 시험, 검증을 위한 테스트베드, 시범사업 등은 부처별 특성에

따라 각각 추진

테스트베드 이름 (주관기관) 주요내용

“클라우드컴퓨팅 테스트베드”,

(2009. 7월), 산업부 (KAIST)

- 독립형 컴포넌트기반 서비스지향형 페타급

컴퓨팅 플랫폼 기술개발의 일환으로 설치

- 중소벤처기업과 대학의 기술개발 결과 검증에

활용

“클라우드서비스 테스트베드”

(2010. 11월), 방통위 (KISTI)

- 클라우드 테스트베드 고도화(서버 200대->

300대)로 중소 IT기업의 기술개발 시험,검증

지원(15개기업이 8개 서비스 이용)

“클라우드개발 가상 플랫폼”,

(2011. 1월), 안행부 (NIPA)

- 전자정부 사업에 참여하는 정보화사업 기업을

위한 클라우드서비스 기반환경


4. 표준 추진을 통한 파급(기대) 효과

□ 기술 중심의 클라우드 서비스에서 산업 중심의 표준 강화

- 클라우드 컴퓨팅 구축의 최대 걸림돌로 보안이 거론되고 있으나 표준화를 통한 보안 위협

을 분석하고 대처하여 서비스 활성화에 크게 기여할 것임

- 국내 보안 시장이 형성되지 않은 상황에서 해외 글로벌 제품의 국내 시장 잠식이 우려되나

표준 기술의 도입으로 수입 대체 및 국내 산업 보호 기대

□ 국내 기술이 열약한 클라우드 컴퓨팅 분야에서 보안 분야 특화 가능

- 국낸 기술개발 수준은 초기단계로 핵심기술에 대한 외국 의존도가 심화될 우려가 높아 정

부 차원의 원천기술 개발 지원이 필요함

- 가상머신 내부 상태 분석과 가상 네트워크 패킷 분석, 가상화 환경 취약성 탐지 등의 핵심

기술의 산업 경쟁력 확보를 위해 전략적 표준화 추진 필요

- 다수의 사용자가 참여하는 클라우드 컴퓨팅 환경에서 데이터 관리의 안전성 확보를 위

해 멀티테넌시 지원 기술의 선점이 필요 (표준화 연계)

□ 시장 경쟁력 확보를 위한 클라우드 컴퓨팅 보안 관련 산업화 여건 조성 및 지원

- 정부의 범부처 클라우드 컴퓨팅 확산 및 경쟁력 강화 전략 발표로, 클라우드 보안, 가상화,

모바일 클라우드 등 클라우드 컴퓨팅 핵심 연구개발 및 표준화 추진 필요

- 클라우드 서비스의 품질·보호·기반 제공 분야를 심사하여 우수 서비스에 대한 인증제

시행, 서비스 장애, 정보 유츨 등의 문제를 차단하기 위한 규제 정비

- 중요 자료의 외부유출, 좀비PC 양산에 악용 등을 우려한 정부부처 클라우드 서비스 차단 권

고 등으로 클라우드 컴퓨팅 보안 강화 필요


5. 향후 대응방안

5-1. 국가 기본입장 제안

‘17년 시장 진입을 목표로 새로운 아이디어와 신기술,

타산업 융합 기술 개발로 미래 시장 선도

□ 새로운 아이디어나 게임 체인저 역할을 할 신기술 장기 R&D(5년 이상)

○ 다양한 데이터를 융합하는 데이터 클라우드와 데이터 분석 처리 기술의 개발을 통해

클라우드 & 빅데이터 시대를 준비 필요 (표준화 연계)

- 활용 가능한 분야 및 데이터 : 보건, 복지, 기상, 교통, 물류, 항만, 센서 데이터, 소셜 데

이터 등의 상호 융합

- 차세대 분석 기술과 결합을 통한 산업적 가치 상승 필요: 클라우드 컴퓨팅과 분석 기

술의 결합을 통한 새로운 가치 창조 기대

○ 개별 서비스로 묶여 있는 클라우드 컴퓨팅 환경을 활용과 공유 차원에서 호환성을 확보

할 수 있는 인터 클라우드 서비스 연동 기술

※ 다양한 분산/이종 클라우드간 연계 통합 운영 기술, 장애 극복형 클라우드 연동 기술, 다양

한 분산/이종 클라우드 간 연동을 위한 서비스 브로커 기술

□ 클라우드를 기반으로 한 비IT 산업의 융합 발굴을 위해 클라우드 지원센터의 역할 확대 및


R&D 과제 발굴 (표준화 연계)

○ 각 산업군 별 모바일 융합의 산업 공통 서비스 및 산업 특화 서비스 구축을 위한 클라

우드 기반의 모바일 플랫폼 서비스 개발

○ 클라우드 기반 타산업 견인 기술 확보

※ 클라우드 기반 스마트 자동차 제어 플랫폼, 클라우드 로보틱스, 클라우드 기반 스마트

교육 플랫폼, 스마트 의료, 스마트 방송 등

○ 클라우드 기반 사회 인프라 고도화 기술 개발

□ 기술적 문제 해결과 국내 산업을 보호하기 위해 기술 중심의 R&D 발굴 및 표준화 연

계 방안 마련

○ 상용화 단계에 있는 국내 기술을 국제 표준화하기 위한 정책적 지원이 필요하며, 국내

경쟁력 있는 기술에 대한 연계 표준화를 강화

○ 미래 전략 기술에 대한 표준화는 기술적 배경을 바탕으로 새로운 시장을 개척하는 방

향으로 추진하고, 기존의 R&D 과제 연계를 강화 필요


5-2. 실질적 대응방안 제안

< 내용 >

□ 산업체 주도의 국제표준화 조기참여와 강점분야 차별화 병행 필요

✓ 미국의 글로벌IT기업이 공적국제표준화기구, 사실상국제표준화기구 장악 ✓ 클라우드 공통표준 개발 및 한국의 강점분야에 대한 표준경쟁력 강화 필요

□ 한국은 민간기업 중심의 국제표준화 대응체계로의 전환이 시급히 요구

✓ 산업체 중심의 표준화는 민간기술의 표준연계, 세계시장 진출의 필수 요소 ※ 우리나라는 공공연구소 및 학계가 표준화를 주도함에 따라, 산업기술의 국제표준 연계 미흡

□ 오픈소스를 활용한 기술 개발과 이를 통한 표준경쟁력 강화가 요구됨 ✓ 패키지화된 상용 서버, OS, DB, Storage, 응용SW 기업의 글로벌 시장 장악

✓ 오픈소스 기반의 OS, DB, Storage, 응용SW가 이들을 위협하는 수준에 도달 ✓ 연구개발의 방향은 개방형 PaaS를 중점추진하고 성공사례를 만들 필요

□ 시장확산 위한 공공분야 선도 적용 및 이를 위한 표준화 병행 필요

✓ 미국 연방정부의 Cloud 우선적용, NIST 중심의 가이드, 표준규격 제정 ※ 특히 클라우드 컴퓨팅의 플랫폼 종속 문제(Lock-in), 보안문제 해결 위한 표준화에 중점

✓ 한국은 세계최고수준의 전자정부, u-city에 클라우드 접목시 글로벌 선도 가능

□ 외부클라우드 서비스 활용확산에는 이용자의 신뢰확보가 필수로 요구됨

✓ 품질, 신뢰도 확보 위한 표준적합성 시험․인증 체계 조기구축이 요구됨 ※ 시험․인증 체계가 국내에서 구축되지 않을 경우, 해외에서의 인증 획득에 따른 기술 종속 가능

□ 자생적 클라우드 커뮤니티 활성화를 위한 정부의 역할모색 및 지원 필요

✓ 민간 표준화단체, 오픈소스 커뮤니티가 표준개발을 사실상 주도하며, 이는 클라우드 생태계를 형성 및 전문가 Pooling 역할

※ Open Stack, DMTF, SNIA, OGF, CSA(보안) 등 분야별 사실상표준화 단체가 표준개발을 주도하고, 국제표준화 기구는 이를 그대로 수용하는 수순으로 진행

5-3. 원활한 추진을 위한 건의사항(요구사항)


□ 핵심 기술에 대한 전략적 지원

○ 산업의 기반이 되는 하이퍼바이저, 스토리지, 분산 처리 등의 핵심기술은 정부 주도의

수요를 창출하여 미래 기술에 전략적 대응 필요

- 단기간의 산업적 가치보다는 장기간의 산업 보호를 위한 전략적 수요 발굴이 필요하

며, 이를 바탕으로 하는 신규 과제의 발굴이 필요

- 패스트 팔로워(Fast Follower)가 아닌 퍼스트 무버(First Mover)가 되기 위해서는 단기

적 시장이 아닌 산업적 관점에서 과제 도출이 필요

※ 기존의 과제 발굴은 단기적 시장을 중시하고 있어 대기업 중심의 기술이 주도되고 있어

핵심기술의 국산화가 늦음 (Technical Follow)

□ 표준화를 위한 산업 연계 방안 마련

○ 기술 개발은 현재 산업의 문제점을 해결하는 현행 기술과 미래의 새로운 비즈니스를 창

출하는 신산업 기술이 있으나 표준화에서는 이를 구분하여 대응하지 못함

- 현행 산업의 문제점을 해결하고 국내 기업이 경쟁력을 가지고 있는 기술에 대한 전략적

표준화를 지원하기 위한 표준화 과제를 인정 필요

- 산업적 경쟁력을 확보하기 위한 전략 표준화와 달리 산업 연계는 다양한 의견을 수렴하

고 반영하며, 국내 기술에 대한 빠른 이해가 선행 되어야 함

- 이미 기술 분야별로 설립된 학회, 포럼, 협의회, 조합 등을 효과적으로 활용할 수 있는

방안의 마련이 필요


참고1. 국내 오픈소스 개발적용 사례

o (NHN) 오픈소스 DBMS인 큐브리드, 콘텐츠 매니지먼트 솔루션인 XE, 소프트

웨어 협업 개발 플랫폼인 엔포지, 자바스크립트 웹기반의 위지윅 에디터인

'스마트에디터' 등 20여 가지의 오픈소스 소프트웨어 프로젝트를 진행

o (UENGINE) 오픈소스 소프트웨어 활용 비즈니스프로세스관리(BPM) 개발,

국내 다양한 오픈소스 업체들과 협력해 하나의 통합 플랫폼 제공

o (삼성 SDS) 오픈소스프레임워크인 애니프레임 5.0 버전을 발표, 빈번하게

사용하는 날짜처리, 차트, 파일조작 등 기능을 컴포넌트로 추가 제공( 3년간

15만건 다운로드)

o (SK C&C) 공개SW를 기반으로 클라우드 컴퓨팅의 효율성을 극대화하는데

초점을 맞추고 공개SW기반 가상화․분산컴퓨팅 기술로 클라우드 인프라

환경을 구축

- 오픈소스를 활용해 자체 개발한 Mi-Cloud는 SK 텔레콤의 IaaS 서비스의

기반 기술로 적용

o (KT) Citrix, Microsoft와 제휴하고 대용량 분산저장 및 처리기술 확보를

위해 넥스알(NexR)을 인수하는 등 클라우드 솔루션 및 SW 부문을 강화

※ Citrix는 가상화 솔루션분야 대표적 회사로 오픈 소스 기반의 데스크톱 가상화 솔

루션을 기반으로 국내 시장 진출

※ 넥스알의 오픈소스 파일시스템인 “하둡”을 활용하여 IaaS 서비스 개발

o (삼성전자) 자사 클라우드 서비스를 오픈소스 기반의 ‘오픈스택’으로

추진, 아마존 닷컴과도 협력

※ ‘오픈스택’은 미국 항공우주국(NASA)와 랙스페이스 등의 주도로 만들어진 오픈

소스 기반 클라우드 컴퓨팅 솔루션 개발 프로젝트


ITU-T SG17 국제회의 참가 및 기고서 제출 결과

제3장

AANNSSII


□ ITU-T 국제회의 참가 및 기고서 제출 결과

NO. 회 의 명 기 간 장 소 참가자기고서

제출/반영(건)

1SG17


2SG17


□ ITU-T 국제회의 참가 결과

가. ITU-T SG17 4월 회의 결과

(결과요약) 새로운 연구회기를 맞이하여, 처음으로 개최되는 ITU-T SG 17 회의는 향후 4년간 작업반(WP)

및 연구과제(Question)를 이끌어 나갈 신규 의장단을 임명하였고, 한국은 염흥열 교수(순천향대)가 WP3(ID

관리 및 클라우드 컴퓨팅 보안) 의장 등 총 7명이 선출됨. 또한, 한국은 총 21건의 기고서(국가: 16건, 섹터:

5건)를 제출하여, 4건의 국제표준 채택 준비과정(Consent/Determination) 승인과 1건의 부석서(Supplement)

로 승인됨

□ 회의 개요

o 회의명 : ITU-T SG17(보안 분야) 국제회의

o 기 간 : 2013년 4월 17일(수) ~ 4월 26일(금) (8일간)

o 장 소 : 스위스 제네바

o 참가자 : 31여개 회원국 및 국제기구 대표 등 약 170여명

※ 우리나라는 총 19명 참가 :

- 국가: 염흥열(순천향대, 수석대표), 나재훈(교체수석대표), 박종열, 김종현(이상 ETRI), 신용녀(한양사이버

대학교), 김재성, 백종현, 이승재, 김미주(이상 KISA), 김근옥, 송성현, 임형진(이상 FSA), 오경희

(TCA서비스), 김영화, 오흥룡(이상 TTA)

- 섹터: 임정일, 최영환, 이준섭, 이석준(이상 ETRI)

o 논의 범위

- 정보통신 보안전략 수립, 보안구조 및 프레임워크, 정보통신 보안관리, 사이버보안, 기술적인 방법에 의한 스

팸대응, 아이덴티티 관리 구조 및 메커니즘, 클라우드 컴퓨팅 보안, 안전한 응용서비스 지원 기술(디렉토리,

PKI 등), 통신서비스 보안기술, 응용서비스 보안, 텔레바이오인식, 안전한 응용서비스 지원 언어(ASN.1, OID,

ODP, OSI 등), 정보통신 소프트웨어 및 시험을 위한 형식 언어 등


□ 주요 활동 결과

(주요이슈) 2013~2016년, 신규 의장단(WP, Question) 선출

WP Title Chairman

WP1 Fundamental security Koji NAKAO (Japan)

WP2 Network and information security Sacid SARIKAYA (Turkey)

WP3 Identity management and cloud computing security Heung Youl YOUM (Korea)

WP4 Application security Antonio GUIMARAES (Brazil)

WP5 Formal languages George LIN (P.R. China)

Question Rapporteur Associate Rapporteurs

Q1/17 Mohamed Elhaj (National Telecom, Sudan)Jiang HUA (P.R. China)

Isaac Kobina KWARKO (Ghana)

Q2/17 Patrick Mwesigwa (Uganda)Heung Ryong Oh (Korea)

Dmitry Kostrov (MTS, Russia)

Q3/17 Miho Naganuma (Lac, Japan) Kyenon Hee Oh (Korea)

Q4/17 Youki Kadobayashi (NICT, Japan)

Ibrahim Hamza Al Mallouhi

(Emirates Integrated Telecommunications Company, United Arab Emirates)Jong Hyun Kim (ETRI, Korea)

Q5/17 Hongwei Luo (CATR, China) -

Q6/17 Jong Hyun BAEK (KISA, Korea) Yutaka MIYAKE (KDDI, Japan)

Q7/17 Jae Hoon NAH (ETRI, Korea) Huirong TIAN (P.R. China)

Q8/17 Liang WEI (P.R. China)Mark JEFFREY (Microsoft, Switzerland)

Victor KUTUKOV (Russian Federation)

Q9/17 John CARAS (United States) Yong Nyuo SHIN (Korea, Republic of)

Q10/17 Abbie BARBIR (MBNA, Canada)

Richard BRACKNEY (Microsoft, United States)

Hiroshi TAKECHI (LAC Co, Japan)

Jing WU (P.R. China)

Q11/17 Erik ANDERSEN (Denmark) Jean-Paul LEMAIRE (ISO/IEC)

Q12/17 Dieter HOGREFE (Germany)Gunter MUSSBACHER (Canada)

Rick REED (TSE, United Kingdom)

(주요이슈) 클라우드 컴퓨팅 보안 업무조정 논의 결과

- 2012년 11월 WTSA-12 회의에서, SG17 과 SG13 에게 클라우드 컴퓨팅 보안 표준화를 위해 두 SG에서 수행

할 태스크를 서로 협력 및 식별하여, 2013년 6월 TSAG 회의에 보고하도록 요청됨


- 2013년 2월 SG13 회의에서는 태스크 기반으로 조정하기로 하고, 14개의 태스크를 식별하였으며, 그 중 2개

태스크는 SG13에 전용 할당하고, 4개 태스크는 SG17에 전용 할당, 4개 태스크는 SG13/SG17에 공동 프로젝

트(Common Project)로 할당, 4개 태스크 할당은 미정으로 합의됨

․ SG13: 활용사례, 기능블럭 (2가지)

․ SG17: 보안 구조 기본 개념, 기존 보안 메커니즘, 신규 메커니즘, 보안 관리 (4가지)

․ 공통 프로젝트(SG13/SG17): 위협 식별, 보안 요구사항, 보안 요구사항 보안 기능 할당, 신뢰모델 (4가지)

․ 미할당: 보안 영역, 상세 보안 기능, 모범사례, 운영보안 (4가지)

- 이번 SG17 회의에 제출된 기고서는 러시아, 중국, 미국, 캐나다, 영국 등에서 5건이며, SG17에서 클라우드

컴퓨팅 보안을 책임지고 있는 WP3/SG17 의장(한국, 염흥열 교수)에 의해 5번의 섹션으로 진행됨

- 러시아는 SG17이 ITU-T에서 보안 리드 SG 이므로 4개의 공통 프로젝트를 SG17에 할당해야 한다고 주장하

였고, 영국은 SG13이 클라우드 컴퓨팅을 책임지는 리드 SG 이므로 SG13에 할당하자고 제안함. 미국은 특

별한 SG를 할당하지 않고 전문가의 토론 결과를 지켜보겠다는 입장을 견지.

- 논의 결과, 두 SG가 공통으로 작업할 부문의 경우 공통 프로젝트로 선정해 진행하나, 권고 개발의 책임성

을 부여하기 위해 각 태스크마다 책임 SG(Principal)를 결정하기로 하고, 책임 SG은 권고 신설, 권고 채택

을 책임지며, 대외적으로 연락 대표 기관으로 하는데 합의됨

- 회의 결과, 총 14개의 태스크 중 요구사항을 2개로 분할해 총 15개의 태스크로 나눴으며, 다음과 같은 태스

크 할당에 합의됨

․ SG13: 활용사례, 기능블럭 (2가지)

․ SG17: 보안 영역 식별, 상세 보안 기능, 보안 구조 기본 개념, 기존 보안 메커니즘, 신규 메커니즘, 보안 관리,

모범사례, 운영보안 (8가지)

․ SG13 주도 공통 프로젝트: 위협분석 및 활용사례 기반 일반적인 보안 요구사항, 클라우드 컴퓨팅 기능 구조 및

기능 블록에 대한 보안기능 할당 (2가지)

․ SG17 주도 공통 프로젝트: 보안위협 식별, 일반적인 보안 요구사항을 고려한 위협분석/활용사례 기반 클라

우드 컴퓨팅 보안 솔루션 및 메커니즘에 대한 보안 요구사항, 신뢰모델 정의 (3가지)

- 현재 SG17 Q.8(클라우드 컴퓨팅 보안)에서 진행되고 있는 4건의 권고는 SG17에서 그대로 진행하기로 합의

됨

- 이번 회의에서 합의된 결과는 연락 문서를 통해 6월 TSAG 회의에 전달될 계획이며, 최종적으로 6월 TSAG

회의에서 SG17과 SG13에서 보내온 각자의 업무 할당 방안을 근거로 최종 결론에 도달 할 것으로 예상됨

(주요이슈) SG17 내 국제표준 채택 절차 논의 결과

- ITU-T SG17 내 국제표준 승인 절차로 각 Question 별 Default 처리 방법(AAP or TAP)에 대한 선정 논의


- 특히, Q.6/17(통신서비스 보안) 그룹 승인 절차에 대한 논의가 중점적으로 다루어졌으며, SG17 Closing

Plenary를 통해 국가별 의견 대립

․ 기술적인 관점에서 AAP 추진: 한국, 중국, 러시아, 우간다, 브라질

․ 정책(모바일보안 등)적인 관점에서 TAP 추진: 영국, 독일, 캐나다, 미국

- 한국은 Q.6/17에서 다수의 국제표준을 제정한 바 있으며, 대부분의 국제표준이 기술적인 관점에서 작성된

사항이라 계속해서 AAP 추진을 주장함

․ 국내 산업체 기술을 국제표준으로 추진하기 위해 가능한 유리한 표준 처리 방법을 선호함

- 최종적으로, 한국의 주장대로 AAP 로 확정함

․ 다만, 차기 TSAG 회의(2013.6월)에 이 이슈에 대한 기고서 제출이 가능하므로 면밀한 관찰이 필요함

(OTP 부인방지 관련 권고 승인) OTP를 이용한 대칭키 방식의 부인방지 프레임워크에 대한 권고 승인

- 해당 권고안은 지난 2012년 8월 회의에서 승인(consent)할 예정이었으나, 일본에서 절차상 문제를 제기하여, 이

번(2013년 4월) 회의에서 승인하기로 합의함.

※ 2012년 4월 회의에서 Q.7 미팅 리포트의 승인 리스트에 해당 표준안이 누락되어, 해당 권고안에 대해 충

분히 검토하지 못함

- 이번 Q.7 회의에서 일본을 포함한 관련국에서 에디토리얼한 코멘트를 제외한 주요한 코멘트가 없어 권고안

이 그대로 합의됨

- 이번 회의에서 X.sap-6(ITU-T X.1156)을 승인(consent)하기로 합의함

(위임 부인방지 관련 권고 검토) 사용자의 서명권한을 위임한 위임 부인방지 아키텍처 관련 표준안에 대한 첫

번째 표준안 검토

- 사용자의 서명권한을 신뢰기관에 위임하여 사용자 편의성을 높이고, 서명키의 관리를 용이하게 할 수 있는

위임 부인방지 아키텍처 권고안

- 해당 권고안은 지난 2012년 8월 회의에서 신규 아이템으로 채택되고, 이번 회의에서 첫 번째 표준안 검토

- Q.7 회의에서 권고안의 이해를 돕기위해 위임 부인방지 개념도에 대한 설명을 추가하기로 합의함

(보안정보 공유 관련 권고 수정안 채택) X.sisnego (보안정보 공유 협상 프레임워크) 2차 수정 권고안 채택


- 2011년 4월, 한국의 제안으로 사이버정보 공유 프레임워크(Cybex) 시리즈 내에 통신 주체들 간에 정보를

교환하기 위해 초기 협상하는 기술을 국제표준으로 제안하여 개발에 착수

- 본 부속서는 미국이 공동 에디터로 참여하였으며, 당초 독립적인 표준으로 개발하려고 하였으나, 하나의 유

즈케이스 성격이 강해 사이버보안 개요(X.1205) 국제표준의 부속서로 승인됨

(원격의료와 바이오인식 정보 보호 관련 권고 채택) 원격의료와 텔레바이오메트릭에서 바이오인식 정보 보호를

위한 단일 프레임워크 관련 권고 채택

- 2009년 2월, 한국의 제안으로 처음 시작된 국제표준으로 바이오인식 기술이 원격의료에 확대 응용됨에 따

라 민감한 프라이버시 정보를 안전하게 보호하기 위한 가이드라인 개발이 요구됨

- 이번회의에서 캐나다는 Q.9/17(텔레바이오인식)에서 추진되는 바이오인식 관련 표준 및 본 국제표준이

SG16(F.EHMMF, F.IDGPHS, F.MEDX) 및 SG13(Y.EHM-reqts, HSTP.EHMSI)에서 추진되고 있는 프로젝트

간에 중복성 문제를 언급하여, 이에 대한 차별성을 정의함.

․ 검토 결과, SG16과 SG13에서 현재 진행되고 있는 프로젝트들은 아직 초기 단계이며, 대부분의 프로젝트는

내용이 거의 비어있어 특별히 중복성 정의는 불필요한 상태임

- 본 국제표준은 2009년부터 시작하여, 총 5회 이상 국제회의를 통해 다른 국가들의 검토를 받아 충분한 의

견이 완료된 문서임을 강조하여, 이번 회의에서 최종 국제표준 채택을 위한 준비과정(Consent)으로 승인됨

(스마트폰 앱 보안 관련 기고 채택) 안전한 스마트폰 앱 보안 프레임워크 수정 권고안에 대한 기고 채택

- 우리나라는 앱 생명주기에 따른 보안 고려사항, 용어 정의, 권고안 구조 변경 등의 수정사항을 포함한 안전

한 스마트폰 앱 보안 프레임워크에 대한 수정 권고안을 제안

- 독일은 악성앱 원격 삭제 이슈와 관련하여 일부 국가에서는 앱 배포 이후 앱스토어가 앱을 삭제할 수 있는

권한이 없다는 의견을 제시함

․ 악성앱 원격 삭제에 대해서는 사용자의 동의 혹은 자국의 정책에 따른다는 문구를 추가함

- 영국은 사용자 단말 이슈는 ITU-T 범위를 벗어난다는 의견을 제시함

․ 본 권고안은 사용자 단말에서 보안을 설정하는 측면이 아니라, 앱이 사용자에게 배포되기 이전에 앱스토어

에서 앱 기능에 대한 보안성을 검증하여 사용자에게 안전한 앱을 배포하기 위함임을 설명함

- 일본은 앱 보안 검증 시 악성코드 확인만을 해야 한다는 의견을 제시함

․ 안전하지 않은 앱은 악성코드 뿐만 아니라 개인정보 및 위치정보의 수집, 네트워크 및 단말 자원 고갈, 권한

오남용 등 다양한 형태로 나타날 수 있어 악성코드 확인만으로는 충분하지 않다고 답변함


․ 일본과의 의견 차가 좁혀지지 않아 수정 권고안에 앱 보안 검증에 대한 상세 요구사항에 대해서는 검토가

필요하다는 에디터 노트를 작성하여 차기회의에서 논의를 계속하기로 함

- 한국에서 제안한 권고안 구조를 기반으로 일본의 기고 내용 및 회의 논의결과를 반영하여 작성한 문서가 수

정 권고안으로 채택됨

(스마트 그리드 보안 관련 기고 채택) 스마트 그리드 서비스 보안 기능 구조 수정 권고안에 대한 기고 채택

- 우리나라는 스마트 그리드 보안 위협에 대한 개념 모델 및 구간별 보안 위협 등 수정사항을 포함한 스마트

그리드 서비스 보안 기능 구조에 대한 수정 권고안을 제안

- 독일은 ETSI M2M에서도 스마트 그리드 관련 연구 활동을 진행 중에 있어 관련 문서를 참고할 필요가 있다는

의견을 제시함

․ ETSI M2M의 스마트 그리드 관련 문서를 검토하여 필요시 참고문헌으로 넣는 것을 고려하겠다고 답변함

- 우리나라에서 기고한 스마트 그리드 보안 위협 등에 대한 제안사항과 회의 논의결과를 반영하여 작성한 문

서가 수정 권고안으로 채택됨

(고수준 보안성을 요구하는 서비스의 부정사용방지시스템 기능, X.sap-7)의 3번째 표준초안 제안 및 반영

- Q7회의에서 3차 수정초안에 주요 내용인 8절의 Technical Capabilities의 텍스트 검토

․ 2번째 수정 초안에 포함되었던 7절을 3차 초안의 7절 및 8절로 재배치

․ 본 과제의 핵심절인 8절의 주요 내용(3가지 주요기능)의 정의

․ 초안의 내용을 명확히 하기 위한 에디토리얼 수준의 수정사항 반영

- 2014년 4/4분기에 X.sap-7에 대한 표준을 마무리하기 위하여, 2013년도에 대부분의 표준 본문을 작성 완료

예정

※ 부정방지시스템의 국내 사용현황(금융 등)을 파악하여 본 표준에 반영여부를 검토할 필요 있음

(X.websec-5: 웹 매쉬업 정보보호 구조 및 API, 2번째 표준수정초안 제안)

- 웹 정보보호에 대한 중요성을 인정하지만 사실표준기구에서 표준을 만드는 것을 지향함. 특히, 미국은 자국

내 기업(구글, 아마존, 페이스북등)의 이익을 저해하는 표준 개발을 계속적으로 제어하고 있음

- 웹 정보보호는 한국 또한 중요한 부분을 차지하고 있는 상황이며 인터넷의 순조로운 진화를 위하여 체계적

이며 상호운영성이 보장되는 표준개발이 필요하며 향후 5년 후의 웹 서비스의 변화에 대응하는 정보보호

기술 및 표준개발에 집중이 필요


- 급진적 보급되고 있는 웹 매쉬업 정보보호에 대한 필수 요구사항에 대한 분석 및 이를 제공하기 위한 보안

구조와 실질적인 기능에 대한 토의와 향후 표준개발을 위하여 연결그룹(Correspondence Group)을 설립을

통하여 다음 회기까지 계속적으로 표준개발을 협의

(강화된 이용자 인증을 위한 애트리뷰트 바인딩 표준초안 제안)

- 일본에서는 모바일 서비스 영역에서 연령정보를 부모의 동의하에 관리하는 서비스가 운영중에 있으나, Q10

에서는 개인정보의 ID에 대한 결합이 프라이버시의 침해를 우려하는 주요 서방국가의 의견으로 제안된 과

제가 거부된 사례가 있음

- 인터넷 상에서 청소년들이 유해정보와 성인 서비스에 노출되어 인터넷 상의 폭력 및 실생활에서의 폭력이

증대되고 있으므로 이에 대한 기술적 지원이 요구되며, 국제 서비스의 접근에 있어서도 국경을 넘어서는

경우 상호 협력이 필요한 것으로 사료됨

- 목표로 하는 기술을 더욱 구체화 하며 여타 기술의 동향과 지난 과거에 ITU-T 에서의 IdM 표준과제들에

대한 충분한 분석을 통하여 차기 회의에 재 제안을 요청됨

(사이버보안 지수 표준화)

- 2009년 11월, 한국의 제안으로 Q.4/17(사이버보안) 그룹에서 표준화 작업을 착수하였으며, 미래부에서 개발

된 국가 정보보호지수를 국제표준으로 개발하는데 그 목적이 있음

- 즉, 사이버공간에서 안정성을 평가하기 위한 기준은 국가별로 상이하고, 고려 대상이 다양하여 이에 대한

정형화된 기준을 개발함으로써 사이버공간에서 안정성 평가에 객관적인 기준을 정의하기 위함

- 본 기준을 개발하기 위해 ITU에서 개발된 “개발지수(Development Index)", 세계경제포럼에서 개발된 ”네트

워크 준비 지수(Network Readiness Index)", 인터넷보안 센터에서 개발된 “보안지수(Security Metrics)", 미

국 NIST 및 유럽 ENISA에서 개발된 가이드라인과 한국에서 개발된 국가 정보보호지수가 함께 고려됨

- 본 국제표준은 총 32가지의 사이버보안 지수 정의와 이를 객관적인 방법에 따라서 안정성을 수치로 계산하

는 방법을 정의하고 있어, 각 국가별 사이버보안 환경에 따른 지수 개발에 중요한 가이드라인으로 활용이

예상됨

- 이번 회의에서는 총 32가지의 사이버보안 지수 정의와 이를 객관적인 방법에 따라서 안정성을 수치로 계산

하는 방법에 대해 최종적인 텍스트를 검토하여, 국제표준 채택을 위한 준비과정(determination)으로 승인됨

(IPTV 서비스 및 콘텐츠 보호를 위한 가상머신 기반 보안 플랫폼 표준화)


- 2010년 8월, 한국은 국내에서 개발되어 상용화된 TTA 단체표준을 근거로 ITU-T SG17 국제표준 개발 작업

을 착수함

․ 2010.3월, TTAK.KO-08.0023: IPTV 용 교환 가능한 CAS (iCAS)

- 본 국제표준은 가상의 보안모듈을 기반으로 소프트웨어 방식의 콘텐츠 전달 및 OS 업그레이드이가 가능한

보안 플랫폼을 정의하여, 사용자 단말의 보안성 강화와 편리성 제공이 가능함

- 본 국제표준은 개발하는 과정에서 일본, 프랑스 및 독일에서 세부적인 기술 내용에 많은 관심을 가지고 검

토에 참여함

- 이번 회의에서는 SG17 TSB(사무국)에서 제공된 에디토리얼한 코멘트 문서와 한국에서 제안한 최종 기고서

를 중심으로 검토가 이루어졌으며, 회의 결과 최종 국제표준 채택을 위한 준비과정(Consent)으로 승인됨

(X.1051 및 X.sgsm 개정 결정) X.1051 및 X.sgsm을 ISO/IEC 27002의 개정에 따라 개정하기로 결정함

- 일본 KDDI에서 X.1051이 참조하고 있는 ISO/IEC 27002의 개정에 따라 X.1051 및 X.sgsm의 개정 필요성

및 X.sgsm의 저작권 문제를 건의

- 한국은 이의 필요성에 찬성하고 X.1051 에디터로 오경희 추천

- 기존 X.1051 및 X.sgsm 한국 측 에디터였던 KISA 및 김정덕 교수 불참으로 인한 대응 방안을 논의하였으

나, 뚜렷한 방안이 없는 관계로 일단 ISO에서 27002 발행이 확정되는 차기 회의까지는 실 개정 활동을 지

연하고, 차기 회의에서 해결 방안을 논의하기로 함

- X.1051은 일본 와타루 셍가, 한국 오경희 2인이 에디터로, X.sgsm은 일본 와타루 셍가가 에디터를 맡아 개

정하는 것으로 결정

※ X.sgsm에 대한 KISA 지원 등 한국 대응방안 마련 필요

(X.cc-control|ISO/IEC27017에 대한 기고계획 수립) 차기 회의에서 27017에 대한 코멘트 작성, ISO/IEC

SC27 송부

- Q.3가 27017 검토를 지원하기 위한 방안을 논의하였으나, 현재는 많은 내용이 없으므로 이번 SC27 회의 결

과에서 나온 버전에 대한 의견을 제시하기로 함

- Q.3와 Q.8이 interim meeting에서 각각 27017를 검토하여 코멘트를 작성하고, 차기 SG17에서 공동회의를

통해 SC27 송부키로 결정


※ 27017 검토 및 comment 준비 필요

(ISO/IEC 27009에 협업 요청) ISO/IEC 27009와의 긴밀한 협조를 위하여 한국 염흥열 교수가 contact point로

지정

- 27009와의 공동 작업을 제안했으나, 일본에서 인증은 ITU-T의 업무범위가 아니라고 반대.

- 27009가 X.1051 및 X.gpim 등에 영향을 미칠 수 있으므로, 공동 표준을 개발하지 않더라도 긴밀한 협조가

필요하다고 주장하여 이러한 내용으로 liaison을 보내기로 하고 한국의 염흥열 교수를 contact로 지정

(신규 표준 과제 제안, 채택)

- 이번 회의에 ETRI에서 1건의 신규 권고 개발 과제를 제안하여 승인되었으며, 각 권고 개발 에디터쉽을 수

임함

․ X.orf: OID-based resolution framework for heterogeneous identifiers/ locators

․ 권고 개발 에디터로 ETRI 최영환 선임연구원이 선임됨

나. ITU-T SG17 8월 회의 결과

(결과요약) 새로운 연구회기를 맞이하여, 두 번째 개최되는 ITU-T SG 17 회의로 한국은 염흥열 교수(순천향

대) 등 총 15명(국가: 11명, 섹터: 2명, 협력: 2명)이 참석하여, 총 23건의 기고서(국가: 16건, 섹터 5건, 협력

2건)를 제출하여, 1건의 국제표준 승인(Approval) 준비와 1건의 국제표준 채택 준비과정(Determination)으로

승인됨. 단, 신규 제안과제 신설 제안 2건과 모바일 ID관리 부속서 제안은 미채택됨

□ 회의 개요

o 회의명 : ITU-T SG17(보안 분야) 국제회의

o 기 간 : 2013년 8월 26일(월) ~ 9월 4일(수) (8일간)

o 장 소 : 스위스 제네바

o 참가자 : 23여개 회원국 및 국제기구 대표 등 약 130여명

※ 우리나라는 총 15명 참가 :

- 국가: 염흥열(순천향대, 수석대표), 나재훈(교체수석대표), 김종현(이상 ETRI), 신용녀(한양사이버대학교),

김재성, 백종현(이상 KISA), 송성현, 임형진(이상 FSA), 오경희(TCA서비스), 김태경(서울신학대학

교) 오흥룡(이상 TTA)


- 섹터: 최영환, 이준섭(이상 ETRI)

- 협력: 강연정, 서정준(이상 KISA)

o 논의 범위

- 정보통신 보안전략 수립, 보안구조 및 프레임워크, 정보통신 보안관리, 사이버보안, 기술적인 방법에 의한 스

팸대응, 아이덴티티 관리 구조 및 메커니즘, 클라우드 컴퓨팅 보안, 안전한 응용서비스 지원 기술(디렉토리,

PKI 등), 통신서비스 보안기술, 응용서비스 보안, 텔레바이오인식, 안전한 응용서비스 지원 언어(ASN.1, OID,

ODP, OSI 등), 정보통신 소프트웨어 및 시험을 위한 형식 언어 등

□ 주요 활동 결과

(주요이슈) 한국 제안 관련 핵심요지

- 이번 회의는 새로운 연구회기를 맞아 두 번째 개최되는 SG 17 국제회의로 한국은 총 23건(부분회원: 5건,

협력회원: 2건 포함)의 기고서를 제출함

․ 사이버보안지수(X.csi) 국제표준(X.1208) 승인 제안

․ 사이버보안(역추적메커니즘) 국제표준 채택 준비단계(determination) 승인 제안

․ 신규 표준화 아이템 발굴(악성코드 정보 교환 포맷, 연령 검증 기술)

․ Q.6(유비쿼터스 서비스 보안) 연구범위 확대(ITS 보안, 스마트그리드 보안)

․ 모바일 ID관리 기술에 대한 부속서(Supplement) 승인 제안

․ 그 외 한국 주도로 개발되고 있는 개인정보보호 관리체계 가이드라인, 웹서비스 보안, 보안관리, 텔레바이

오인식 및 스마트 그리드 보안, OID 기반 기술 등의 표준초안 업데이트 제안

(주요이슈) 한국 총 23건의 기고서 제안 결과

- 지난 회의에서 determination 되었던, 사이버보안지수 이슈는 SG17 국제회의 종료 후, 미국 등 요청에 따라

4주간에 추가적인 의견 수렴 후, X.1208 국제표준으로 채택(Approval)될 예정

- 사이버보안 분야에 역추적 메커니즘은 determination으로 승인

- 단, 신규 표준화 아이템 발굴을 위한 기고서 2건과 모바일 ID 관리 부속서 승인 기고서 1건은 다른 국가들

의 반대로 미채택됨

- 그 외 기고서들은 현재 개발되고 있는 표준초안들에 모두 반영됨

- 최종 결과: 총 20건 기고서는 채택, 총 3건은 미채택


(주요이슈) SG17 내 국제표준 개발에 대한 향후 전망

- 현재 SG17 그룹에서 개발되고 있는 대부분의 표준초안들은 한중일 삼국이 주도하고 있으나, 미국, 영국, 캐

나다, 독일 등에서 지속적으로 반대하고 있음

․ 이번 SG17 회의에서 한국, 일본, 러시아에서 신규 표준화 아이템을 제안하였으나, 상기 국가들의 반대로

모두 실패함

․ 또한, 반대 사유도 기술적인 문제 보다는 현재 개발되고 있는 표준초안들과의 중복성이나 다른 표준화기구

들 간에 Gap Analysis 추가해야 된다는 주장

․ 향후, 한국은 신규 표준화 아이템 발굴을 위한 전략 수립과 표준화 아이템 주제에 근거해 JTC1/SC27을 포

함한 다양한 그룹으로 제안하는 전략이 필요

(사이버보안 지수 관련 권고 검토) TAP 결과에 따라 국제표준 승인 논의

- 2009년 11월, 한국의 제안으로 Q.4/17(사이버보안) 그룹에서 표준화 작업을 착수하였으며, 한국 에디터(순천

향대 염흥열) 주도로 한국 정보보호지수를 국제표준으로 개발하는데 그 목적이 있음

- 즉, 사이버공간에서 안정성을 평가하기 위한 기준은 국가별로 상이하고, 고려 대상이 다양하여 이에 대한

정형화된 기준 개발이 요구됨

- 본 기준을 개발하기 위해 ITU에서 개발된 "개발지수(Development Index)", 세계경제포럼에서 개발된 "네트

워크 준비 지수(Network Readiness Index)", 인터넷보안 센터에서 개발된 "보안지수(Security Metrics)", 미

국 NIST 및 유럽 ENISA에서 개발된 가이드라인과 한국에서 개발된 정보보호지수가 함께 고려됨

- 지난 4월 회의에서는 총 32가지의 사이버보안 지수 정의와 이를 객관적인 방법에 따라서 안정성을 수치로

계산하는 방법에 대해 최종적인 텍스트를 검토하여, 국제표준 채택을 위한 준비단계(determination)로 승인

됨

- 이번 회의에서 미국은 지난 4월에 제기된 코멘트를 반영해야 한다고 주장했고, 캐나다는 기업이나 특정 조

직을 위한 사이버보안 지수를 개발해야 한다고 주장했으며, 러시아는 2가지 감사 로그 성능 관련 지표 추

가를 요구했으며, 일본은 국가 차원보다는 조직이나 커뮤니티 단위의 지수를 요구함.

- 또한, 러시아와 캐나다가 독립적인 국제표준이 아닌 부속서(Supplement)로 채택해야 한다는 코멘트가 있었

음

- 이번 SG17 회의 기간 동안, 총 5회의 회의를 통해 모든 국가들의 의견을 반영하였으며, SG17 국제회의 종료

후, 4주간에 서면 회람 후, 특별한 의견이 없을 경우, 최종 국제표준 X.1208로 채택(approval)하기로 함

※ 단, 의견이 있을 경우 다음 SG17 회의에서 재검토 후, 최종 승인키로 함


(연구과제 6 연구범위 수정 제안) 보안 범위 확대 논의

- 한국은 지난 WTSA-12 국제회의에서 확정된 Question Text(연구범위)에 신규 보안 주제에 대한 국제표준

개발을 위해 연구범위를 확대해야 된다고 제안함

- 중국과 일본은 당초 이 제안을 3국 공통으로 제한키로 합의(2013.4월, 한중일 국제회의)했으며, 이번 회의에

서도 적극 지지함. 미국도 지능형 교통 시스템(ITS) 보안의 중요성을 인정하여 수동적 지지 입장이었으며,

독일은 이 두 가지 주제가 글로벌 솔루션이 필요한지와 이 주제가 ITU-T 임무 범위 내에 있는지에 대해 질

의하였으나 반대하지는 않음

- 대부분의 회원국들이 찬성했고, 적극적으로 반대하는 회원국이 없어 일부 문구 수정을 거쳐 한국 제안에

따라 연구과제 6에 ITS 보안과 스마트그리드 보안을 추가함

(주요이슈) SG17 내 국제표준 채택 절차 논의 결과

- 지난 ITU-T SG17 국제회의에서 연구과제 6(Question 6) 내 국제표준 승인 절차를 AAP로 결정함

- 하지만, 이번 회의에서 미국, 영국, 독일, 캐나다, 러시아 등이 ITS 보안 등이 규제적 함의가 있음을 주장하

고, convention 관련 조항에 규제적 함의가 있는 권고나 연구과제는 TAP로 해야 한다고 주장해, 이 주장이

반영되어 TAP 로 결정됨

․ 단, 현재 개발되고 있는 표준초안들은 AAP로 추진 예정

(역추적 메커니즘 관련 권고 채택) 사이버보안 기술 중에 IP 역추적 관련 권고 채택

- 2009년 9월, 한국의 제안으로 Q.4/17(사이버보안) 그룹에서 표준화 작업을 착수하였으며, 한국 에디터(순천

향대 염흥열) 주도로 디도스 공격 등 위조 IP 주소를 사용하는 공격 근원지를 추적하는 역추적 기술을 국

제표준으로 개발 추진

- 본 표준은 중앙 집중 방식의 역추적 메커니즘과 분산형 메커니즘의 모든 동작을 정의하고, 이들 역추적 메

커니즘이 가져야 할 기본 요구사항과 메커니즘 선정 기준을 정의함

- 캐나다는 4월 회의에서 이 표준이 부속서로 개발되어야 한다고 주장했으나, 이번 회의에서는 별다른 언급

이 없었으며, 미국은 역추적 기술보다는 순화된 troubleshooting 이라고 수정을 제안했으며, 일본은 학술적

또는 실험적 메커니즘은 부속서로 개발하고, 실용적인 메커니즘을 중심으로 개발하자고 주장함. 한국은 이

러한 의견을 반영해 실용적인 메커니즘과 구현을 위한 요구사항, 그리고 선택기준을 본문에 넣자고 제안해

반영함

- 최종회의 결과, 국제표준 채택을 위한 준비과정(determination)으로 승인됨


(개인정보관리체계 가이드라인 관련 기고 채택) 개인정보보호체계 수정 권고안에 대한 기고 채택

- 2011년 8월, 한국의 제안으로 Q.3/17(보안관리) 그룹에서 표준화 작업을 착수하였으며, 한국 에디터(순천향

대 염흥열) 주도로 개인정보관리체계의 보안 통제 및 프라이버시 통제를 국제표준으로 개발 추진

- 현재 본 표준은 ISO/IEC JTC1/SC27 그룹과 협력을 통해 개발 중에 있으며, SC27 그룹에서는 일반조직 부

분을 다루고, ITU-T SG17에서는 통신조직에 집중해서 국제표준을 개발하고 있음

- 이번 회의 동안 3차 수정 텍스트가 개발되었고, 관련 문서를 JTC1/SC27에 송부하여 검토 의뢰키로 함

(모바일 디바이스 바이오인식 정보 보호 관련 기고 채택) 모바일 바이오인식 기술 관련 수정 권고안에 대한 기

고 채택

- 모바일 디바이스 기반 텔레바이오인식을 응용하기 위한 기술적, 관리적 대응책 가이드라인(에디터: 신용녀,

김재성) 개발을 추진

- 본 국제표준은 모바일 기반 바이오인식 기술을 사용한 서비스에서 발생할 수 있는 모델 및 보안 위협을 정

의하고, 이를 해결하기 위한 바이오 정보보호를 위한 기술적, 관리적 가이드라인을 개발하고 있음

- 현재 ISO/IEC JTC1 SC37(바이오인식) WG4, 프로젝트 30125 "Mobile Biometrics for Personalization and

Authentication" 와 유기적 협조 및 인증 모델 등 차별화를 통해 표준화를 진행하고 있음

- 우리나라에서 기고한 스마트 그리드 보안 위협 등에 대한 제안사항과 회의 논의결과를 반영하여 작성한 문

서가 수정 권고안으로 채택됨

(스마트 그리드 보안) 관련 표준초안 제안 및 반영

- 이번 회의에서는 스마트 그리드 보안 기능구조에 대해 주로 논의됨

- 일본은 스마트 그리드 표준 참조모델 선정 시, ITU-T 스마트그리드 FG 의 참조모델을 참고하도록 제안함

- 한국은 스마트 그리드 표준 참조모델로 NIST 참조모델을 참고로 하여 보안 기능구조를 제안함

- 회의결과, 두 가지 참조모델이 조화가 될 수 있는 방향으로 수정하였으며, 수정된 모델을 ITU-T SG13,

SG15에 검토 의뢰하기로 합의함


(스마트폰 앱 배포 보안 관련 표준초안 수정 제안 및 반영)

- 이번 회의에서는 스마트 폰 앱 보안 검증 요구사항 기술 방식에 대해 주로 논의됨

- 일본은 스마트폰 앱 보안 검증 요구사항에 대해, 본문에는 간략히 기재하고 부록(Appendix)에 상세히 기술

하자고 제안함

- 한국은 세부 앱 보안 검증 요구사항이 핵심이므로, 본문에 기술하자고 주장함

- 회의결과, 국제표준 사용자 관점에서 본문은 쉽고 간결하게 일본의 방법으로 개발하기로 하였으며, 한국에

서 제안한 상세 설명은 표준초안 부록에 반영됨

(고수준 보안성을 요구하는 서비스의 부정사용방지시스템 기능 표준초안 제안)

- Q.7(응용서비스 보안) 회의에서 부정사용방지시스템에 요구되는 기술적 능력에 대해 논의가 이루어짐

- 한국은 시스템 구성요소 간의 상관성 기술, 부정관리 방법 및 데이터 수집방법에 대해 제안하여 모두 반영

시킴

- 2014년 1월, 국제회의에서 국제표준 채택 준비단계(Concent)로 추진하기로 합의함

※ 2013년 7월, 금융위/금감원 금융보안 대책에 부정사용방지시스템을 카드권역 뿐 아니라 은행, 증권 권

역으로 확대 구축하는 안이 대책에 포함됨. 향후, 본 국제표준이 국내 금융권 부정사용방지시스템 구축

시 활용 가능할 것으로 예상됨

(객체식별자(OID) 관련 표준화)

- X.orf(OID 기반 이종식별자 해석 프레임워크) 수정안 채택

․ 2013년 4월, 한국 제안으로 OID 기반 이종식별자 해석 프레임워크 기술에 대한 신규 권고안 개발 제안이

채택되어 X.orf 권고안(에디터: 최영환 선임(ETRI)) 개발에 착수

․ 이번 회의는 OID 기반 이종 식별자 해석 프레임워크 시나리오 및 요구사항에 대한 수정을 제안하여 채택

됨

※ 중국은 X.orf에서 각 단말에 OID를 할당할 경우를 위한 서비스 시나리오를 제안하였으며, 한국은 이

를 수용함. 한국은 차기 회의에서 OID 기반의 사물인터넷 디바이스 식별자를 정의하는 신규 권고안

을 제안할 예정이며, 중국의 이번 제안은 이와 연관시킬 수 있을 것으로 판단됨

․ CNRI(Corporation for National Research Initiatives)의 요청에 따라, Handle System과 X.orf에 대한 상호

연동성 표준 개발 관련 논의가 별도로 진행되었음

※ X.orf은 아직 표준 개발 진행 중에 있으므로, 개발 완료 후에 다시 검토하기로 함


※ 또한, CNRI에서는 X.orf의 부록에 Handle System 개요에 대한 내용을 추가하기 위해 차기 회의에 관

련 내용을 기고할 예정임

- ITU-T X.672|ISO/IEC 29168-1(OID 해석 시스템) 개정 완료

․ ITU-T X.672|ISO/IEC 29168-1 국제표준에 새로운 서비스 타입인 UINF의 추가에 대해 ISO/IEC JTC 1/SC

6에서 승인이 완료되어 최종적으로 개정이 완료됨. 본 개정 사항은 ITU-T 웹페이지에 게시됨

․ 중국은 OID를 식별자로 사용하기 위한 할당 및 관리에 대한 지침을 제공하는 신규 권고안의 개발을 제안

하였으나, 기존 OID handbook과의 차별성에 대한 분석이 필요하다는 의견에 따라 차기 회의까지 결정을

유보하기로 함

(정보보호관리체계(X.1051) 국제표준 개정 논의)

- 한국과 일본에서 제안한 기고서를 기반으로 ISO/IEC 27002 FDIS 목차와 유사한 X.1051 개정 문서를 개발

함

- 본 국제표준은 ISO/IEC 27011 국제표준과 공통 표준으로 개발하고 있음

- 특히, 한국은 개요에 ISO/IEC 27001 개정에 따른 철학의 변화를 설명하기 위한 수정 목차를 제안

- 일본은 ISO/IEC 27001 국제표준은 정보보호관리체계(ISMS)를 참조하지만 ITU-T에서는 ISMS 수립 자체 보

다는 통신조직의 ISMS에 사용되는 통제 항목을 대상으로 하고 있어, 목차는 그대로 두고 대신 내용 설명을

수정할 것을 제안

- 한국과 일본 제안에 따라, 기존 X.1051:2008과 신규 ISO/IEC 27002 간에 비교표를 개발하였으며, 이를

JTC1/SC27에 송부함

(X.cc-control(클라우드 컴퓨팅 보안 통제) 관련 수정안 채택)

- 본 표준초안은 ISO/IEC 27017 프로젝트와 공동표준으로 개발하고 있음

- 이번 회의에서는 ISO에서 개발된 5th WD 문서에 대해 한국과 일본에서 표준초안 전체적인 구조에 대한

코멘트를 작성함

(모바일 ID 관리 표준화) 부속서 제안에 대한 논의

- 한국 주도로 개발되었던 모바일 ID관리 기술은 지난 연구회기에서 determination으로 추진하였으나, 일부

국가들의 반대로 보류됨.


- 따라서 이번회의에서 독립적인 표준이 아닌 부속서(Supplement)로 추진하였으나, 이전에 제기되었던 문제

(Gap Analysis 등) 해결 없이, 부속서 채택도 불가능하다고 논의됨

- 한국은 본 이슈에 대해 더 이상 추진할 의사가 없음을 표명하였으며, SG17 작업 목록에서 삭제하기로 최종

합의함

(신규 표준화 아이템 제안 결과) 강화된 이용자 인증을 위한 속성 바인딩(연령 검증 기술) 표준화 제안

- 각 연령에 적정한 콘텐츠나 서비스를 제공하기 위해서는 속성 바인딩을 통한 강화된 인증방식이 필요하나,

일부 국가에서는 이용자와 관련된 속성 사용이 개인정보와 연관될 수 있다는 우려가 있어, 추가적인 분석

을 요청함

- 또한, ID에 대한 속성 바인딩이 프라이버시 침해와 관련 있는지 여부와 ID 관리 표준화와 중복성이 없는지

차기 회의에서 다시금 논의하기로 함

- 현재 인터넷 상에서 유해정보 차단 및 안전한 이용자 환경을 제공하기 위해 강화된 인증 기술에 대한 계속

적인 연구와 국제적인 협력이 요구되는 것은 모두 공감함

- 향후, Q.7과 Q.10(ID관리) 합동회의를 통해 지속적으로 본 이슈를 다루기로 함

※ 러시아에서 어린이의 안전을 보장하는 안전한 웹사이트 구축 및 방법에 대한 가이드라인을 제안하였으

나, 이것 또한 추가적인 분석을 통해 재 제안하기로 함

(신규 표준화 아이템 제안 결과) 악성코드 상세설명 교환 포맷 관련 표준화 제안

- X.1500 권고안에서 정의된 정보 공유 주체들 간의 악성코드에 대한 상세정보를 교환하기 위한 데이터 포맷

과 XML 스키마 등에 대한 신규 표준과제를 제안함

- 이번 Q.4 회의에서 해당 신규 표준과제를 심도 깊게 검토하였으며, 미국에서 추진하고 있는 표준초안

X.maec에서 악성코드 분석 정보 교환 스키마를 다루고 있으며, IEEE 표준화 기구에서 이미 진행하고 있는

ICSG MMDEF와도 중복성이 제기됨

- 향후, 대상 기술을 좀 더 구체화하고, ICSG MMDEF와 X.maec의 기술 내용과의 차별성을 면밀히 분석하여

차기 회의에서 다시 논의하기로 함

(신규 표준화 아이템 제안 결과) M2M 통신을 위한 보안 프로토콜 신규 과제 제안

- 일본에서 제안한 M2M 통신을 위한 부분 암호화 기반 보안 프로토콜 신규 과제 미채택


- 미국(MS, CISCO 등)에서 신규 표준화 아이템에 포함된 암호 프로토콜이 ITU-T 표준화로 추진되기에 부적

절하며, IETF 에서 추진하는 것이 적합하다는 의견 제시

- 영국은 IPsec 기술은 키 관리에 문제가 많기 때문에, M2M과 같이 수많은 디바이스간의 보안 통신을 위해

서는 적합하지 않다고 의견 제시

- 일본은 부분 암호화 및 IPsec 기술을 이용한 보안 통신 프로토콜을 제안하였지만, IPsec 기술의 경우 사용

가능한 하나의 프로토콜이며, 다른 프로토콜로 대체 가능하다고 주장

- 한국은 미국 및 영국에서 제안한 기술적 문제에 동의하였으며, 차기 회의에서 현재 ITU-T SG 들에서 개발

중인 서비스 모델(IoT, Smart grid, ITS 등)에 적용 가능한 보안 프로토콜 제안을 요청함

- 회의 결과, 신규 아이템으로 미채택되고, 차기 회의에서 상기 문제들을 해결하는 것으로 합의됨

※ ITU-R SG17 회의 제출 기고서 (기고서 : 「부록 SG17 국제회의 제출 기고서」 참조)


ITU-T SG17 회람문서 검토 결과

제4장

AANNSSII

NO.

문서

번호

회람시작일/

마감일

회람

성격

권고 및

연구과제

번호

제목

주 요

내 용

국 내

의 견

검토

결과

반영

결과

1C

ircu

lar-

311

201

2.0

9.27

.~

201

3.0

4.05

제정

X.1

126

(X.m

sec-

6)

(국문

)스마트폰 보

안(영

문)S

ecu

rity

asp

ects

of

smar

tph

on

es

o본 표

준안은 스

마트폰에서

의 정보 보안 및 이용자

개인 정보 보호를 위한

방안들을 기술하고 있다

.

주요 내용으로는 스마트

폰에서의 보안 위협을 식

별하고

,해당 보안 위협에

대응하기 위한 계층적 보

안 프레임 워크정의

,보안

프레임워크 기반의 보안

요구 사항 정의 및 스마

트폰을 위한 보안 솔루션

등을 명

시하고 있

다.

o‘1

2년

9월

SG

17회의를

통해 타 국가에서 제기한

문제들을 반영하였기 때

문에 본 권고안 제정에

대해 찬

성

승인 및

회신

X.1

126

2C

ircu

lar-

311

201

2.0

9.27

.~

201

3.0

4.05

제정

X.1

154

(X.s

ap-4

)

(국문

)다중 아이덴티티 서비스

제공자 환경에서 결합 인증을

위한 일

반 프

레임워크

(영문

)G

ener

alfr

amew

ork

of

com

bin

eda

uth

enti

cati

on

on

mu

ltip

leid

enti

tyse

rvic

ep

rov

ider

env

iro

nm

ents

o본 표준안은 다중 아이덴

티티 서비스 제공자 환경

에서 효과적인 인증 방식

사용을 위한 결합 인증의

프레임워크를

기술하고

있다

.

o주요 내용으로는 결합 인

증

방식의

타입

,다중

IdS

P환경에서 인

증 모

델,

운영

,일반 프레임워크를

기술 하

고있음

.

o기본적으로 본 권고안의

제정에 이

견 없

음승인 및

회신

X.1

154

□회람문서 검

토 결

과

NO.

문서

번호

회람시작일/

마감일

회람

성격

권고 및

연구과제

번호

제목

주 요

내 용

국 내

의 견

검토

결과

반영

결과

3C

ircu

lar-

311

201

2.0

9.27

.~

201

3.0

4.05

제정

X.1

526

(X.o

val

)

(국문

)오픈 취약점 및 평가 언

어 (영문

)O

pen

vu

lner

abil

ity

and

asse

ssm

ent

lan

gu

age

o본 표

준안은 정

보 보

안 콘

텐츠와 정보 공유를 위한

오픈 취약점 및 평가 언

어 사용에 대하여 기술

하고 있

다.

o주요 내용으로는

3단계의

평가 프로세스

(테스팅 구

성 정보 표현

,특정 시스

템의 취약점 상태를 점검

하기 위한 분석

,평가 결

과의 보고

),X

ML로 구현

된 스키마

,O

VA

L언어를

저장하는 O

VA

L레퍼지토

리 등

을 명

시하고 있

다.


제정에 대

해 찬

성승인 및

미회신

X.1

526

4C

ircu

lar-

311

201

2.0

9.27

.~

201

3.0

4.05

제정

X.1

544

(X.cap

ec)

(국문

)공통 공

격 패

턴 목

록 및

분류 (영

문)

Com

mon

atta

ck

pat

tern

enu

mer

atio

nan

dcl

assi

fica

ti

on

o본 표준안은 공격 패턴의

목록

,정의

,설명을 위한

XM

L/

XS

D기반의

기술

규격을 정

의 하

고 있

다.

※

XS

D(X

ML

Sch

emaD

efin

itio

n):

XM

L스키마정의

o주요 내

용으로는 일

반적인

공격 패턴의 목록

,공격

패턴을 표현하는 스키마

와 분류 기법을 명시 하

고있다

.


제정에 대

해 찬

성승인 및

미회신

X.1

544

NO.

문서

번호

회람시작일/

마감일

회람

성격

권고 및

연구과제

번호

제목

주 요

내 용

국 내

의 견

검토

결과

반영

결과

5C

ircu

lar-

024

201

3.0

5.03

.~

08.0

7

표준

승인을

총회에

위임

결정

/제정

X.c

si

(국문

)사이버 보

안 지

수 가

이드라

인

(영문

)Gu

idel

ine

for

cybe

rsec

uri

ty

ind

ex

o사이버 보

안 지

수 개

발 필

요성

o사이버 보

안 지

수 생

성 과

정o

우리나라 국

가 정

보보호지

수 지표를 모두 반영한

35가지 사이버 보안 지표

제시

o한국 정

보보호지수를 반

영한 국제 사이버보안 지수

국제 표준 개발 필요하다

는 입

장임

.

o지난

4월

회의에서

det

erm

inat

ion

된 이 문서

를 국제 표준을 최종 채

택 추

진 중

.

승인 및

회신

SG

17

총회에

상정

(‘13

.09월

회의

))

6C

ircu

lar-

024

201

3.0

5.03

.~

08.0

7

표준

승인을

총회에

위임

결정

/제정

X.d

isco

v

ery

(국문

)신상관리 정보를 조회하는

프레임워크

(영문

)Fra

mew

ork

for

dis

cove

ry

ofid

enti

tym

anag

emen

t

info

rmat

ion

o서로 연동되는

Reg

istr

y에

대한 사용자의 신상관리

정보를 공유하고 조회하

는 아

키텍쳐를 정

의함

.

o국내 환경에서 문제되는

부분이 없어 국제표준 채

택에 찬

성함

.

승인 및

미회신

ITU

-T

X.1

255

(‘13

.09)

7A

AP

-11

201

3.0

5.16

.~

06.1

2

표준

승인

/제정

X.i

pv

6-s

ecg

uid

e

(국문

)IP

v6를 구

축하기 위

한 기

술적보안 가

이드라인

(영문

)Tec

hn

ical

secu

rity

guid

elin

eon

dep

loyi

ng

IPv6

oIP

v6를

구축함에 있어서

필요한 기술적 보안대책

을 세 종류의 컴포넌트

,

즉 네트워크 장치

(라우터

,

스위치 등

),서버

/클라이

언트

장치

(단말

,H

DC

P

서버 등

),보안 장비

(ID

S,

FW

등)를

중심으로 정

의

o우리나라는 본 권고안의

제정에 대해 이견 없이

원안대로 찬

성

승인 및

미회신

ITU

-T

X.1

037

(‘13

.10)

8A

AP

-11

201

3.0

5.16

.~

06.1

2

표준

승인

/제정

X.t

if

(국문

)바이오 인

식 기

반 원

격의료

보안 프

레임워크

(영문

)In

tegr

ated

fram

ewor

kfo

r

tele

biom

etri

cd

ata

pro

tect

ion

in

o원격의료에서 발생 할 수

있는 보안 위협을 정의하

고,

통합 프레임워크에서

바이오 정보의 안전한 전

o한국 주도로 개발된 권고

로 적

극 찬

성승인 및

미회신

ITU

-T

X.1

092

(‘13

.06)

NO

.문서

번호

회람시작일

/

마감일

회람

성격

권고 및

연구과제

번호

제목

주 요

내 용

국 내

의 견

검토

결과

반영

결과

e-h

ealt

han

dte

lem

edic

ines

송 대

처 방

안 정

의

9A

AP

-11

201

3.0

5.16

.~

06.1

2

표준

승인

/제정

X.s

ap-6

(국문

)OT

P기반의 부

인방지 프

레임워크

(영

문)

No

n-

re

pu

di

at

io

n

fram

ewor

kba

sed

ona

one

tim

e

pas

swor

d

o거래 객체간의 신뢰성을

제공하기 위한 일회용비

밀번호 기반의 부인방지

프레임워크를 제

공함

o한국에서 개

발한 표

준안으

로 승인에 대해 추가적인

의견은 없

음.

승인 및

미회신

ITU

-T

X.1

156

(‘13

.06)

10A

AP

-11

201

3.0

5.16

.~

06.1

2

표준

승인

/제정

X.i

ptv

sec

-8

(국문

)갱신형

IPT

V서비스 및 콘

텐츠 보호를 가상 머신 기반의

보안 플

랫폼

(영문

)Vir

tual

mac

hin

e-ba

sed

secu

rity

pla

tfor

mfo

rre

new

able

IPT

Vse

rvic

ean

dco

nte

nt

pro

tect

ion

oIP

TV

서비스에서 콘텐츠

보호를 위한 방법으로 가

상 머신 기반의 갱신형

보안 플랫폼의 표준을 제

안하는 것으로

,세부적인

코드 다운로드

,실행

,제

어 및 소멸의 전주기를

다루고 있

음

o한국에서 개

발한 표

준안으

로 승인에 대해 추가적인

의견은 없

음.

승인 및

미회신

ITU

-T

X.1

198

(‘13

.06)

11A

AP

-13

201

3.0

6.16

.~

07.1

3

표준

승인

/개정

Z.1

61

(국문

)TT

CN

-3:기본 언

어(영

문)T

esti

ng

and

Tes

tC

ontr

ol

Not

atio

nve

rsio

n3:

TT

CN

-3co

re

lan

guag

e

o플랫폼

,시험방법

,프로토

콜 계층 그리고 프로토콜

에 독립적인 시험스위트

의 명세를 위한 언어인

TT

CN

-3(시

험 및 시험제

어 언

어 3

)을 정

의함

.

o우리나라는 본 권고의 개

정에 대한 특별한 이견

없음

승인 및

미회신

ITU

-T

Z.1

61

(‘13

.07)

12A

AP

-13

201

3.0

6.16

.~

07.1

3

표준

승인

/개정

Z.1

61.2

(국문

)TT

CN

-3:

TT

CN

-3언어의

확장

:구성과 배

치의 지

원(영

문)T

esti

ng

and

Tes

tC

ontr

ol

Not

atio

nve

rsio

n3:

TT

CN

-3

lan

guag

eex

ten

sion

s:

Con

figu

rati

onan

dd

eplo

ymen

t

oT

TC

N-3의 구성과 배치를

지원하는 패키지를 정의

함.



없음

승인 및

미회신

ITU

-T

Z.1

61.2

(‘13

.07)

NO

.문서

번호

회람시작일

/

마감일

회람

성격

권고 및

연구과제

번호

제목

주 요

내 용

국 내

의 견

검토

결과

반영

결과

sup

por

t

13A

AP

-13

201

3.0

6.16

.~

07.1

3

표준

승인

/개정

Z.1

61.3

(국문

)TT

CN

-3:

TT

CN

-3언어의

확장

:고급 파

라미터 사

용(영

문)T

esti

ng

and

Tes

tC

ontr

ol

Not

atio

nv

ersi

on3:

TT

CN

-3

Lan

guag

eE

xten

sion

s:A

dva

nce

d

par

amet

eriz

atio

n

o고급 파라미터 사용 패키

지를 정

의함

.



없음

승인 및

미회신

ITU

-T

Z.1

61.3

(‘13

.07)

14A

AP

-13

201

3.0

6.16

.~

07.1

3

표준

승인

/개정

Z.1

61.4

(국문

)TT

CN

-3:

TT

CN

-3언어의

확장

:행위유형

(영문

)Tes

tin

gan

dT

est

Con

trol

Not

atio

nv

ersi

on3:

TT

CN

-3

Lan

guag

eE

xten

sion

s:B

ehav

iou

r

typ

es

oT

TC

N‑

3의 행위 유형 패

키지를 정의함

.T

TC

N‑

3

은 다양한 통신포트 위로

동작하는 모든 유형의 반

응적

시스템

(rea

ctiv

e

syst

ems)의 시

험에 사

용될

수 있

음.



없음

승인 및

미회신

ITU

-T

Z.1

61.4

(‘13

.07)

15A

AP

-13

201

3.0

6.16

.~

07.1

3

표준

승인

/개정

Z.1

65

(국문

)TT

CN

-3:

TT

CN

-3실행인터

페이스

(영문

)Tes

tin

gan

dT

est

Con

trol

Not

atio

nv

ersi

on3:

TT

CN

-3

run

tim

ein

terf

ace

(TR

I)

oT

TC

N-3

실시간 인터페이

스의 명

세를 제

공함

.



없음

승인 및

미회신

ITU

-T

Z.1

65

(‘13

.07)

16A

AP

-13

201

3.0

6.16

.~

07.1

3

표준

승인

/개정

Z.1

65.1

(국문

)TT

CN

-3:

TT

CN

-3언어의

확장

:E

XT

end

edT

RI

(영문

)Th

eT

esti

ng

and

Tes

t

Con

trol

Not

atio

nve

rsio

n3:

Ext

ensi

onP

acka

ge:

Ext

end

ed

TR

I

oT

TC

N‑

3의 확장

TR

I패

키지를 정의함

.T

TC

N‑

3

패키지는

TT

CN

-3기본언

어에 필수적이지 않거나

TR

Ian

dT

CI의

인터페이

스에

있는

추가적인

TT

CN

-3개념들을 정

의함

.



없음

승인 및

미회신

ITU

-T

Z.1

65.1

(‘13

.07)

NO

.문서

번호

회람시작일

/

마감일

회람

성격

권고 및

연구과제

번호

제목

주 요

내 용

국 내

의 견

검토

결과

반영

결과

17A

AP

-13

201

3.0

6.16

.~

07.1

3

표준

승인

/개정

Z.1

66

(국문

)TT

CN

-3:

TT

CN

-3제어 인

터페이스

(영문

)Tes

tin

gan

dT

est

Con

trol

Not

atio

nv

ersi

on3:

TT

CN

-3

con

trol

inte

rfac

e(T

CI)

oT

TC

N-3

시험시스템 구현

을 위한 제어 인터페이스

를 정

의함

.



없음

승인 및

미회신

ITU

-T

Z.1

66

(‘13

.07)

18A

AP

-13

201

3.0

6.16

.~

07.1

3

표준

승인

/개정

Z.1

67

(국문

)TT

CN

-3:

TT

CN

-3에서

ASN

.1의 사

용방법

(영문

)Tes

tin

gan

dT

est

Con

trol

Not

atio

nve

rsio

n3:

Usi

ng

ASN

.1

wit

hT

TC

N-3

oA

SN

.1as

def

ined

in권

고안

ITU

-TX

.680

,IT

U-T

X.6

81,

ITU

-TX

.682

와

ITU

-TX

.683에서 정의된

AS

N.1을

TT

CN

-3와 함께

사용하는 공식적인 방법

을 정의함

.다른 언어들의

TT

CN

-3와의

조화는

이

권고안어세

다루어지지

않음

.



없음

승인 및

미회신

ITU

-T

Z.1

67

(‘13

.07)

19A

AP

-13

201

3.0

6.16

.~

07.1

3

표준

승인

/개정

Z.1

68

(국문

)TT

CN

-3:

CO

RB

AID

L로부

터 T

TC

N-3로의 매

핑(영

문)T

esti

ng

and

Tes

tC

ontr

ol

Not

atio

nv

ersi

on3:

TT

CN

-3

map

pin

gfr

omC

OR

BA

IDL

oC

OR

BA

기반의 시스템의

시험을 가능하게 하기위

하여

CO

RB

AID

L로부터

TT

CN

-3로의 매핑 규칙을

정의함

.



없음

승인 및

미회신

ITU

-T

Z.1

68

(‘13

.07)

20A

AP

-13

201

3.0

6.16

.~

07.1

3

표준

승인

/개정

Z.1

69

(국문

)TT

CN

3:X

ML

데이터 정의

로부터 T

TC

N-3로의 매

핑(영

문)T

esti

ng

and

Tes

tC

ontr

ol

Not

atio

nv

ersi

on3:

TT

CN

-3

map

pin

gfr

omX

ML

dat

a

def

init

ion

oX

ML

기반의 시

스템

,인터

페이스 및 프로토콜의 시

험이 가능하도록

W3C

스키마의

TT

CN

-3로의 매핑

규칙을 정의함

.본 수정권

고안은 현행

ITU

-TZ

.169



없음

승인 및

미회신

ITU

-T

Z.1

69

(‘13

.07)

NO

.문서

번호

회람시작일

/

마감일

회람

성격

권고 및

연구과제

번호

제목

주 요

내 용

국 내

의 견

검토

결과

반영

결과

에 대한 수정

,설명

,정정

을 포

함함

.

21A

AP

-13

201

3.0

6.16

.~

07.1

3

표준

승인

/개정

Z.1

70

(국문

)TT

CN

-3:

TT

CN

-3문서화

코멘트 명

세(영

문)T

esti

ng

and

Tes

tC

ontr

ol

Not

atio

nv

ersi

on3:

TT

CN

-3

doc

um

enta

tion

com

men

t

spec

ific

atio

n

o특수한 문서화 코멘트를

사용하는

TT

CN

-3소스코

드의 문서화 방법을 정의

함.본 수정 권고안은 현

행

ITU

-TZ

.170에 대한

수정

,설명 및 정정을 포

함함

.



없음

승인 및

미회신

ITU

-T

Z.1

70

(‘13

.07)

22A

AP

-19

201

3.0

9.16

.~

10.0

6

표준

승인

/제정

/A

R

X.i

pv

6-s

ecg

uid

e

(국문

)IP

v6를 구

축하기 위

한 기

술적 보

안 가

이드라인

(영문

)Tec

hn

ical

secu

rity

guid

elin

eon

dep

loyi

ng

IPv6

oIP

v6를

구축함에 있어서

필요한 기술적 보안대책

을 세 종류의 컴포넌트

,

즉 네트워크 장치

(라우터

,

스위치 등

),서버

/클라이

언트

장치

(단말

,H

DC

P

서버 등

),보안 장비

(ID

S,

FW

등)를

중심으로 제

공

o우리나라는 본 권고안의

제정에 대해 이견 없이

원안대로 찬

성

승인 및

미회신

ITU

-T

X.1

037

(‘13

.10)

23A

AP

-19

201

3.0

9.16

.~

10.1

3

표준

승인

/제정

X.x

acm

l3

(국문

)확장성 접근제어 확장언어

3.0

(영문

)eX

ten

sibl

eA

cces

sC

ontr

ol

Mar

kup

Lan

guag

e(X

AC

ML

)3.

0

oX

AC

ML은 개발자들이 웹

을 통해 사용자들이 어떤

리소스에 접근할 수 있는

지를 결정하는 정책들을

기술할 수 있도록 접근제

어언어와 요구

/응답 언어

를 정의하며

,X

AC

ML

3.0

은

XA

CM

L2.

0의 기능개

선 및

신규기능 추

가

oX

AC

ML

3.0

표준이 인

터넷

기술의 발전과 더불어 편

리성을 위하여 기능개선

및 추가한 것이므로 표준

제정을 찬

성

승인 및

미회신

ITU

-T

X.1

144

(‘13

.10)

NO

.문서

번호

회람시작일

/

마감일

회람

성격

권고 및

연구과제

번호

제목

주 요

내 용

국 내

의 견

검토

결과

반영

결과

24A

AP

-19

201

3.0

9.16

.~

10.1

3

표준

승인

/개정

Z.1

09

(국문

)명세기술언어

(SD

L)

-

SDL

-201

0을 위

한 통

합 모

델링 언

어(U

ML

)프로화일

(영문

)Sp

ecif

icat

ion

and

Des

crip

tion

Lan

guag

e-

Un

ifie

d

mod

elli

ng

lan

guag

ep

rofi

lefo

r

SDL

-201

0

oIT

U에서 개발된

SD

L언

어와 통합 모델링 언어

(UM

L)을

함께 사용 가능

하도록 하

기 위

해 U

ML과

SD

L-2

010

언어간 상호 맵

핑에 대한 프로화일을 기

술하고 있

음.

o기존에 전

기통신 시

스템의

구조와 세부 동작을 명확

하게 기술하기 위한 명세

언어로 사용되어 왔고

,국

내에서도

SD

L을 이용한

교환기 시스템 등을 개발

한 바

있음

.

o권고 개

정 작

업에 대

해 국

가 차원의 이해 관계 이

슈는 없

는 것

으로 여

겨짐

.

승인 및

미회신

ITU

-T

Z.1

09

(‘13

.10)


ITU-T SG17 연구반 회의 및 워크숍 개최 결과

제5장

AANNSSII


NO. ITU 권고/ 보고서번호 권 고 명 담당그룹

(WP) 연구위원

1 X.sgsm중소기업 정보통신 조직을 위한 정보보호 관리 지침Information security management guidelines for small and medium telecommunication organizations

WP1 오경희

2 X.csmc CYBEX 기술 사용을 위한 연속적인 보안 감시 WP2 김종현

□ 회의 개최 내역

NO. 회의차수 일 시 장 소 참가자수 주요 회의안건

1 2013-1차 2013.03.22(금)TTA

중회의실17명

◦ 2013년도 SG17 연구반 활동계획서◦ SG17 국제회의(4월) 참가준비

2 2013-2차 2013.07.23(화)TTA

제3회의실14명

◦ Circular letter 24 검토 결과 보고◦ ITU 표준화 성과보고서 원고 작성◦ SG17 국제회의(8월) 참가준비

3 2013-3차2013.12.11.(수) -

12.12.(목)

용인 한화콘도

14명◦ Circular letter 52, 57 검토 보고◦ 2013년도 SG17 연구반 활동보고서◦ SG17 국제회의(2014.1월) 참가준비

□ 회의 결과

가. ITU-T SG17 제2013-1차 회의 결과

1) 전차 회의록 검토 및 승인

o 원안대로 접수함

2) 2013년도 한국ITU연구위원회 관련 문서 포맷 설명 (by 김효진 선임)

o 국제회의 참가계획서 및 기고서 제출 양식 등 향후 변경된 양식을 준수하기로 함

3) Circular letter 311 검토결과 보고

o No.3(X.1126), No.4(X.1154) 안건은 찬성으로 회신하기로 함

- 단순한 찬성은 회신이 불필요할 것으로 사료되나, 향후 한국에서 에디터 쉽을 가지고 있거나 국내 주

도 표준초안과 연계된 것은 회신하기로 함

- 회신 사유는 No.3(by 김미주 주임), No.4(by 임형진 책임) 준비하기로 함

4) 2013년도 SG17 연구반 활동계획서 보고

o 우선순위 권고안 검토 담당자 선정(※ X.sgsm 담당자 변경: 김정덕 교수 → 오경희 대표)


소 속 직 위 성 명 담당업무 비 고

순천향대 교수 염흥열 SG17 수석대표 업무 수행 사이버보안 등 기고 발표 및 대응 수석대표

ETRI 전문위원 나재훈 Q.7(응용보안) 라포처 수임 차세대 웹 보안, 인증기술 기고 발표 교체수석

ETRI 팀장 박종열 클라우드 컴퓨팅 보안 기고 발표 및 대응

Continuos security monitoring using CYBEX techniques

3 X.cybex-tp사이버보안 정보 교환을 위한 전송 프로토콜Transport protocols supporting cybersecurity information exchange

WP2 김종현

4 X.sisnego 보안정보 공유 협약 프레임워크Framework of security information sharing negotiation WP2 김종현

5 X.fsspvn가상화 네트워크를 위한 안전한 서비스 플랫폼 프레임워크Framework for a secure service platform for virtual network

WP3 박종열

6 X.goscc 클라우드 컴퓨팅을 위한 운영적인 보안 지침Guidelines of operational security for cloud computing WP3 박종열

7 X.sfcse소프트웨어 서비스 응용 환경을 위한 보안 기능 요구사항Security functional requirements for Software as a Service (SaaS) application environment

WP3 박종열

8 X.tif

e-헬스와 텔레메디슨에서 바이오인식 정보 보호를 위한 단일 프레임워크Integrated framework for telebiometric data protection in e-health and worldwide telemedicines

WP4 신용녀

NO. ITU 권고/ 보고서번호 권 고 명 담당그룹

(WP) 연구위원

1 X.1528 공통 플랫폼 목록Common platform enumeration WP2 김미주

2 X.1570사이버보안 정보 교환을 위한 검색 메커니즘Discovery mechanisms in the exchange of cybersecurity information

WP2 김미주

o 권고 및 국내표준 비교 검토 담당자 선정

o A등급 이슈 표준화 정책보고서 담당자 선정

- 분야 : 클라우드 컴퓨팅 보안

- 담당자 : 박종열 팀장(※ 향후, 클라우드 컴퓨팅 보안 분야 전문가를 추가하기로 함)

o 향후 일정 : 사무국에서 양식 및 안내 예정

5) SG17 국제회의(4/17~26, 제네바) 참가 계획 논의

o 국제회의 일정

회의명 일시 장소

SG17 2013.04.17~04.26 스위스 제네바

o 국가대표단 구성(안) : 15명



ETRI 선임 김종현 Q.4(사이버보안) 부라포처 수입 사이버보안 기고 발표 및 대응

한양사이버대 교수 신용녀 Q.9(텔레바이오인식) 부라포처 수임 모바일바이오 기고 발표 및 대응

KISA 선임 김미주 스마트 그리드 보안, 모바일 앱 보안 기고 발표 및 대응

KISA 팀장 백종현 Q.6(통신서비스보안) 라포처 수임KISA 수석 김재성 e-헬스 보안 기고 발표 및 대응KISA 책임 이승재 e-헬스 보안 기고 발표 및 대응FSA 선임 김근옥 부인방지 보안 기고 발표 및 대응FSA 주임 송성현 원타임패스워드 기고 발표 및 대응FSA 책임 임형진 금융 침해 보안 기고 발표 및 대응

TCA서비스 이사 오경희 Q.3(보안관리) 부라포처 수임

TTA 부장 김영화 국가대표단 사무국 총괄 책임 국가대표단 및 섹터멤버 간 의견조율

TTA 선임 오흥룡 Q.2(보안관리) 부라포처 수임 차세대 웹 보안 기고 및 발표 국가대표단 사무국 실무 담당

No Q 작성자 기고서명 검토결과

1 1 염흥열 Assignment of default approval procedures to Questions of SG 17 - 워크아이템 Q.8 → Q.9 수정

2 3 변순정, 염흥열

A proposal for the 2nd revised text for Recommendation ITU-T X.gpim,

Guideline for management of personally identifiable information

for telecommunication organizations

- 특이사항 없음

3 4 염흥열A proposal for the 7th revised text

of Recommendation ITU-T X.csi: Guidelines for cybersecurity index

- Appendix 번호 수정- determination 추진 예정

4 4 염흥열

A proposal for the 7th revised text on draft Recommendation ITU-T X.eipwa: Guideline on techniques for preventing web-based attacks

- 기고서 제출 연도 수정

5 4 염흥열

A proposal for the 7th revised text on draft Recommendation ITU-T

X.trm: Overview of traceback mechanisms

- 특이사항 없음- determination 추진 예정

6 4 김종현, 안개일

Proposal for the 2nd revised text on draft Recommendation ITU-T X.sisnego, framework of security information sharing negotiation


7 6 김미주, 윤미연, 손경호

Proposed revised text on draft Recommendation ITU-T X.sgsec-1: Security functional architecture for

smart grid services using telecommunication network

- 7.4절 제목을 풀네임으로 수정

8 6 김미주, 윤미연, 손경호

Proposed revised text on draft Recommendation ITU-T X.msec-8 :

Secure application distribution framework for communication

devices

- 3.2.1 용어 정의 부분 : mobile application, communication

device → Scope 정의 고려 : online application store, app

store → 용어 선정 고려

9 6 박종열, 김정태 The 6th revised text of - 기고서 양식에 TD 번호 삭제

o 국가기고서(총 16건, No.1~16) 및 섹터기고서(총 2건, No.17~18) 심의


No Q 작성자 기고서명 검토결과Recommendation ITU-T X.iptvsec-8:

Virtual machine based security platform for renewable IPTV SCP

10 7 김근옥, 심희원, 송성현

6th draft text for Recommendation ITU-T X.sap-6: Non-repudiation

framework based on a one time password

- 기고서 기본 양식(저자, 날짜) 준수- consent 추진 예정

11 7 김근옥, 심희원, 송성현

Proposal of the 1st draft text for Recommendation ITU-T X.sap-9:

Delegated non-repudiation architecture based on X.813

- 한글, 노란색 마킹 등 모두 수정

12 7 김근옥, 염흥열

A proposal for the baseline text for Recommendation ITU-T X.sap-8:

Efficient multi-factor authentication mechanisms using mobile devices

and its baseline document

- Summary, "use" 오타 수정- 타이틀 부분 약어, X.sap-8 오타 수정

13 7 김태경, 임형진

Technical capabilities of fraud detection and response for services

with high assurance level requirements

- 기고서 내에 trace 기능 추가해서 수정된 텍스트 표기할 것

- 각 part 별 제목을 추가할 것

14 9 신용녀, 전명근

Proposal for revised draft text of X.bhsm: Telebiometric

authentication framework using biometric hardware security

module.

- 넘버링 수정

15 9 신용녀, 김재성

Second draft of a guideline to technical and operational

countermeasure for telebiometric applications using mobile devices.

- 기고서 내에 trace 기능 추가해서 수정된 텍트스 표기할 것

16 9 이승재

The 5th revised text for Draft Recommendation of X.tif: Integrated framework for

telebiometric data protection in e-Health and telemedicine

- e-Health 용어 정의 Reference 검색 : 적합한 용어가 없을 경우, WHO

정의를 사용할 것- consent 추진 예정

17 7 나재훈, 김태경 Attribute binding for user authentication

- 특이사항 없음- 섹터기고서로 제출

18 7 나재훈, 오흥룡

Proposal for the 1st revised text of Draft Recommendation ITU-T

X.websec-5: Security architecture and operations for web mashup

services

- 특이사항 없음- 섹터기고서로 제출

o 국외기고서 검토 담당자 선정

- All : 염흥열 교수

- Q.1, Q.2 : 오흥룡

- Q.3 : 오경희 대표

- Q.4 : 김종현 선임, 김미주 선임

- Q.5 : 김미주 선임

- Q.6 : 백종현 팀장

- Q.7 : 나재훈 전문위원

- Q.8 : 박종열 팀장

- Q.9 : 신용녀 교수

- Q.10 : 조상래 선임(※ 오흥룡, 염흥열 추가 검토)


o 향후 일정

o 국가기고서 제출 일정

- 3월 25일(월), 오전 : 국가기고서 최종본 제출 (한국ITU연구위원회(http://www.koreaitu.or.kr))

- 3월 27일(수) : TTA ⇒ 국립전파연구원(RRA) 송부

- 4월 4일(목) : 국립전파연구원(RRA) ⇒ ITU-T 제출 예정

o 섹터기고서 제출 일정

- 4월 4일(목) : ITU-T 직접 제출([email protected])

o 국제회의 참가 등록 : 추후 재공지 예정

- 국립전파연구원에서 국가대표단 승인 공문 배포 후, 개별적으로 ITU-T 홈페이지에 등록

- 등록페이지 : http://www.itu.int/online/regsys/ITU-T/misc/edrs.registration.form?_eventid=3000495

6) SG17 연구반 - 반원 재구성 논의

o 해촉대상 : 김정덕 교수, 이진태 선임, 이형우 교수(확인요청)

o 신규위촉 : 전명근 교수, 오경희 대표, 송성현 주임, 김영화 부장

※ 해촉 위원의 경우, 추후 다시 위원으로 위촉 가능함.

나. ITU-T SG17 제2013-2차 회의 결과



2) Circular letter 24 검토결과 보고

o No.1(X.1208) 안건은 찬성으로 회신, No.2(X.1255) 회신 안하기로 함

- 향후 한국에서 에디터 쉽을 가지고 있거나 국내 주도 표준초안과 연계된 것은 반드시 찬성으로 회신

하기로 함

- 회신 사유에 대한 문건은 염흥열 반장이 준비하기로 함

3) ITU 표준화 성과보고서 원고 작성

o SG17 국제표준 총 34건에 대한 담당자를 선정함.

- 단, 권고를 개발한 에디터에게 1순위로 연락을 취하고, 원고 작성 의사가 없을 경우, 백업 위원을 임명

해서 대응하기로 함


No 제정일 분야 권고명 에디터 대체위원

2 2004.04 보안 X.1121(모바일보안 프레임워크) 염흥열(순천향대)

3 2004.04 보안 X.1122(인증서를 이용한 모바일보안 구현방법) 정교일(ETRI) 염흥열

11 2007.02 보안 X.1111(홈네트워크 보안 프레임워크) 염흥열(순천향대)

13 2007.11 보안 X.1112(홈네트워크 디바이스 인증서 프로파일) 백종현(KISA)

14 2007.11 보안 X.1113(홈네트워크 서비스 가이드라인) 이형규(ETRI) 백종현

15 2007.11 보안 X.1036(보안정책 생성 및 실행을 위한 가이드라인) 김종현(ETRI)

16 2007.11 보안 X.1143(모바일 웹 서비스 보안구조) 이재승(ETRI) 나재훈

17 2007.11 보안 X.1151(패스워드 기반의 키 관리 가이드라인) 염흥열(순천향대)

29 2008.04 보안 X.1240(이메일 스팸 대응을 위한 기술적 방법론) 강신각(ETRI)

34 2008.05 보안 X.1034(EAP 기반의 인증 및 키 관리 가이드라인) 염흥열(순천향대)

35 2008.05 보안 X.1162(P2P 보안구조 및 운용방법) 나재훈(ETRI)

36 2008.05 보안X.1084(바이오정보 인증프로토콜및시스템모델프로파일) 신용녀(KISA)

37 2008.05 보안 X.1088(바이오정보 기반 디지털 키 생성 및 보호 방법) 이형우(한신대) 신용녀

38 2008.05 보안 X.668(OSI 등록허가를 위한 절차) 이준섭(ETRI)

48 2008.09 보안 X.1244(IP 멀티미디어 응용 스팸을 위한 개요) 강신각(ETRI)

54 2009.02 보안X.1171 (Threats and Requirements for Protection ofPersonally Identifiable Information in Applicationsusing Tag-based Identification)

최두호(ETRI)

74 2010.05 보안 X.1101(Security requirements and framework formulticast communication)

윤미연(KISA)

79 2010.12 보안X.1245(Framework for countering IP-basedmultimedia spam)

박소영(ETRI) 강신각

80 2010.12 보안X.Supp.8, X.1205 – Supplement on best practicesagainst botnet threats

염흥열(순천향대)

81 2010.12 보안 X.1209, Capabilities and the in context scenarios forcybersecurity information sharing and exchange

정일안(ETRI)

82 2010.12 보안 X.1275, Guideline on protection for personallyidentifiable information in RFID applications

이향진(KISA)

86 2011.02 보안X.1311, Security framework for ubiquitous sensornetwork 염흥열(순천향대)

87 2011.02 보안X.1034, Guidelines on extensible authenticationprotocol based authentication and key managementin a data communication network


88 2011.02 보안 X.1312, USN middleware security guidelines 김미주(KISA)

89 2011.02 보안X.1153, A management framework of an one timepassword-based authentication service

심희원(금융보안연구원)

90 2011.02 보안 X.1195, Service and content protection (SCP)interoperability scheme

윤기송(ETRI)

94 2011.05 보안 X.1057, Asset management guidelines intelecommunication organizations

이진태(KISA) 오경희

95 2011.05 보안X.1090, Authentication framework with one-timetelebiometric template 이용진(ETRI) 신용녀

96 2011.05 보안X.1192, Functional requirements and mechanismsfor the secure transcodable scheme of IPTV 나재훈(ETRI)

101 2011.09 보안X.1205/X.Suppl.9, Guideline on preventing maliciouscode spreading in ICT networks

김미주(KISA),염흥열(순천향대)

102 2011.09 보안 X.1205/X.Suppl.10, Usability of network traceback 염흥열(순천향대)

103 2011.09 보안X.1245/X.suppl.11, Real-time blocking list(RBL)-based framework for countering VoIP spam:VoIP

윤석웅(KISA)

104 2011.09 보안 X.1253, Security guidelines for identity managementsystems

조상래(ETRI)

105 2011.10 보안 X.1193, Key management framework for secureIPTV services




순천향대 교수 염흥열 SG17 수석대표 업무 수행 사이버보안 등 기고 발표 및 대응

수석대표

ETRI 전문위원 나재훈 Q.7(응용보안) 라포처 수행 차세대 웹 보안, 인증기술 기고 발표

교체수석

ETRI 선임 김종현 Q.4(사이버보안) 부라포처 수행 사이버보안 기고 발표 및 대응

한양사이버대 교수 신용녀 Q.9(텔레바이오인식) 부라포처 수행 모바일바이오 기고 발표 및 대응

KISA 팀장 백종현 Q.6(통신서비스보안) 라포처 수행KISA 수석 김재성 e-헬스 보안 기고 발표 및 대응FSA 주임 송성현 원타임패스워드 기고 발표 및 대응FSA 책임 임형진 금융 침해 보안 기고 발표 및 대응

TCA서비스 이사 오경희 Q.3(보안관리) 부라포처 수행서울신학대학교 교수 김태경 차세대 인증 기술 신규 아이템 제안

TTA 선임 오흥룡 Q.2(보안관리) 부라포처 수행 차세대 웹 보안 기고 및 발표 국가대표단 사무국 실무 담당


1 3 염흥열, 변순정

A proposal for the 3rd revised text for Recommendation ITU-T X.gpim,



- Appendix A -> Appendix Ⅰ

2 4 염흥열A proposal for the revised text of

Recommendation ITU-T X.csi: Guidelines for cybersecurity index


3 4 염흥열


- Supplement 추진 계획 없음

4 4 염흥열

A proposal for the 8th revised text on draft Recommendation ITU-T

X.trm: Overview of traceback mechanisms

- 상황에 따라 Supplement 로 추진

5 4 김종현, 김익균 Common malware naming scheme and classification

- 신규 아이템 채택 가능성에 대해 면밀히 대응할 것

4) SG17 국제회의(8/26~9/4, 제네바) 참가 계획 논의



SG17 2013.08.26~09.04 스위스 제네바





- 목차, New work item 템플릿 추가

6 6 염흥열 A proposal for the revised Q.6/17 text

- “e-Health" 키워드 삭제- 한중일 확인 후, 공동기고서 제안

7 7 송성현, 김근옥

Proposal of the 2nd draft text for Recommendation ITU-T X.sap-8:

Efficient multi-factor authentication mechanisms using mobile devices

- Scope 부분에 배경 설명은 6절, 개요 부분으로 이동할 것

- 6절 넘버링, 7절 제목 확인 후 수정할 것

- No.8 기고서를 base로 하고, 본 기고서는 각 절 단위로 제안

8 7 염흥열, 김근옥

A proposal for the 2nd revised text for Recommendation ITU-T X.sap-8: Efficient multi-factor authentication mechanisms using mobile devices


- 3.1.4 “confidence" 오타 수정- Appendix A, B -> Appendix Ⅰ, Ⅱ- 영문 제목은 향후 표준초안 내용이

확정되면 변경을 고려할 것

9 7 김근옥, 송성현심희원

Proposal of the 2nd draft text for Recommendation ITU-T X.sap-9:

Delegated non-repudiation architecture based on X.813

- R3, R4: 영어 내용 점검- Convention 정의 확인

10 7 김태경, 임형진



- No.11 기고서를 base로 하고, 본 기고서는 Annex A 제안으로 제목 수정

- parts, architecture 적절한 용어로 대체할 것

11 7 임형진, 김태경



- 3.2.2, 3.2.3 정의 수정(길제 정의될 경우 note 처리할 것)

- 6.3 제목과 내용이 상이함 (Prevention → Management 변경)- 6.4 Use cases 부분은 Appendix

로 이동- Scope 내용 보완


Proposal for revised draft text of X.bhsm: Telebiomtric authentication

framework using biometric hardware security module

- 변경된 부분에 추적 기능 추가 필요- 6절 제목에 "bio" 가 중복되는데,

문제가 없는 검토 요망

13 9 신용녀, 김재성

Third draft of a guideline to technical and operational

countermeasure for telebiometric applications using mobile devices

- 모델-13 추가- 3.1.15절, Smartphone 정의 활용- 그림에 KISA 로고 삭제

14 10 조상래, 나재훈진승헌

Proposal for ITU-T X.1251 – Supplemnt on baseline capabilities and mechanisms of IdM for mobile

applications and environment

- 기고서 발표는 나재훈 팀장이 추진- Supplement 추진 실패 시, 에디터

공모를 통해 대응하기로 함

15 3 오경희 A proposal for revised structure of ITU-T Recommendation X.1051

- X.1051 개정 목차에 대해, 필요 시 본문 내용도 추가

16 3 오경희 A comment on X.cc-control | ISO/IEC 27017 text - 특이사항 없음

17 7 나재훈, 오흥룡A proposal for of X.xacml3’s

Appendix V: Enhancements and new features in XACML 3.0

- 제목 수정

18 7 나재훈, 서대희김병두

Additional text of X.websec-5: Security architecture and operation

for web mashup service- 내용 보완 후, e-mail 회람

19 7 김태경, 나재훈 Attribute binding for enhanced user authentication

- New work item 템플릿 추가- 내용을 축소해서 Age verification

관점으로 추진- 2013.4월, 회의 결과 언급




- Q.1, Q.2 : 오흥룡


- Q.4 : 김종현 선임, 김미주 선임

- Q.5 : 김미주 선임



- Q.8 : 박종열 팀장


- Q.10 : 조상래 선임

o 향후 일정


- 7월 28일(일) : 국가기고서 최종본 제출 (한국ITU연구위원회(http://www.koreaitu.or.kr))

- 7월 30일(화) : TTA ⇒ 국립전파연구원(RRA) 송부

- 8월 14일(수) : 국립전파연구원(RRA) ⇒ ITU-T 제출 예정


- 8월 14일(수) : ITU-T 직접 제출([email protected])





o 해촉대상 : 길연희 선임, 김학일 교수, 변순정 선임, 안개일 선임

o 미래부 담당자 변경 : 국립전파연구원에 요청해서 현행화하기 함

※ 해촉 위원의 경우, 추후 다시 위원으로 위촉 가능함.

다. ITU-T SG17 제2013-3차 회의 결과



2) 2013년도 SG17 연구반 활동보고서 보고




순천향대 교수 염흥열 SG17 수석대표 업무 수행 사이버보안 등 기고 발표 및 대응

수석대표

순천향대 연구원 고재남 ITS 보안 및 PIMS 관련 기고서 발표

순천향대 연구원 김태삼 ITS 보안 기고서 발표

ETRI 전문위원 나재훈 Q.7(응용보안) 라포처 수행 차세대 웹 보안, 인증기술 기고 발표

교체수석

ETRI 선임 이상우 ITS 보안 관련 신규 표준 제안

한양사이버대 교수 신용녀 Q.9(텔레바이오인식) 부라포처 수행 모바일바이오 기고 발표 및 대응

KISA 선임 서정준 스마트 그리드 보안 및 모바일 앱 보안 관련 기고서 발표 및 대응

KISA 수석 김재성 모바일 바이오 보안 기고 발표 및 대응

FSA 주임 송성현 원타임패스워드 기고 발표 및 대응

FSA 선임 김근옥 부인방지 프레임워크 기고 발표 및 대응

FSA 본부장 강우진 금융보안 및 OTP 보안 기고서 대응

TCA서비스 이사 오경희 Q.3(보안관리) 부라포처 수행 X.1051 개정 표준 기고 발표

서울신학대학교 교수 김태경 차세대 인증 기술 신규 아이템 제안

충북대학교 교수 전명근 보안 바이오 토큰 기고 발표 및 대응

TTA 선임 오흥룡 Q.2(보안관리) 부라포처 수행 차세대 웹 보안 기고 및 발표 국가대표단 사무국 실무 담당

TTA 부장 김영화 국가대표단 업무 총괄 지원 ITU-T 국제표준과 TTA 국내표준 간에 격차 분석 및 대응

3) Circular letter 52, 57 검토결과 보고

o 한국 주도로 개발된 No.1(X.1210), No.8(X.1208) 안건은 찬성으로 회신하기로 하며, 그 외 4건의 표준초

안은 찬성을 하되, 회신은 안하기로 함

- No.1 : 회신 사유 문구를 작성(by 염흥열)하여, 사무국에 제출하기로 함

- No.8 : 회신 사유 없이 찬성으로 회신하기로 함

4) SG17 국제회의(1/15~1/24, 제네바) 참가 계획 논의



SG17 2013.01.15~01.24 스위스 제네바




1 3 염흥열, 고재남

A proposal for the 4th revised text for Recommendation ITU-T X.gpim,



- 최종본 제출 기간까지 에디토리얼 수정 예정

2 3 오경희A proposal for the 2nd draft text

for Recommendation ITU-T X.1051-rev

- 제안하는 Clause 넘버링 수정- 제안하는 Clause 분리해서 제안- 오타 수정

3 4 염흥열

A proposal for the final revised text on draft Recommendation

ITU-T X.trm (X.1210): Overview of source-based security

troubleshooting mechanisms for Internet protocol-based networks


4 4 염흥열


- Guideline을 Guidance 변경에 따라 본분 제목 등 수정

- Javascript 수정- 부록 4 – 확인 후 수정 필요

5 6 염흥열, 고재남, 김태삼

Basic principles to study new security issues (e.g. security for ITS

and SDN)- 해당 Question에 Q.2 추가

6 6 서정준, 김미주박해룡

Security functional architecture for smart grid services using the telecommunication network

- FG Reference Architecture와 NIST Service domains 비교는 부록으로 수정

- Consent 시기를 2014.9월 연기- 모든 에디터 노트 해결이 필요

7 6 서정준 김미주박해룡 염흥열

Secure application distribution framework for communication

devices

- 일본과 합의된 결과를 기반으로 명확하게 역할 정리가 필요

- 9절을 보강해서 기고서 제출

8 6 이상우Proposal for studying the security

guidelines for the V2X communication system

- Source : Korea(Republic of.) 수정- 신규 아이템 발굴이 요청될 경우,

현지에서 대응할 것

9 7 강우진, 김근옥송성현

A proposal for clause 7 and 8 in X.sap-8:Efficient multi-factor

authentication mechanisms using mobile devices

- No.10 기고서와 조율할 것- 7, 8절 부분만을 기입해서 제안할

것

10 7 염흥열, 김근옥

A proposal for the 3rd revised text for Recommendation ITU-T X.sap-8: Efficient multi-factor authentication mechanisms using mobile devices


- 제목 수정을 고려- No.9 기고서와 조율할 것

11 7 김근옥, 송성현심희원

Proposal of the 3rd draft text for Recommendation ITU-T X.sap-9:

Delegated non-repudiation architecture based on ITU-T X.813

- 회의장에서 제목(Framework) 변경을 고려할 것

- Scope 마지막 추가된 문장 수정

12 7 나재훈Proposal for supplement to X.1144 – Enhancements and new features

in XACML 3.0- 특이사항 없음

13 9 김재성, 신용녀

Firth draft of a guideline to technical and operational

countermeasure for telebiometric applications using mobile devices

- 위조 지문 관련 반영 고려


Proposal for revised draft text of X.bhsm: Telebiomtric authentication

framework using biometric hardware security module

- 목차 내에 약어는 풀 네임으로 표기할 것

15 7 박종열 A proposal of new work item : A - 국가기고서로 제출할 경우, 서면으로 검토 예정




reference monitoring mechanism for anonymous analytic applications

16 7 나재훈, 오흥룡

Final text of draft Recommendation ITU-T X.websec-5: Security

architecture and operations for web mashup services for agreement

- Supplement 추진으로 고려- 개요 부분에 TSB 코멘트를

반영했다는 문구 추가

17 7 김태경, 나재훈 Child online protection - 심의 받은 섹터로 제출할 경우, 서면으로 검토 예정



- Q.1, Q.2 : 오흥룡


- Q.4 : 김종현 선임(cybex), 서정준 선임(general)

- Q.5 : 서정준 선임



- Q.8 : 박종열 팀장 (with 염흥열 교수)


- Q.10 : 김태경 교수

o 향후 일정


- 12월 18일(수) : 국가기고서 최종본 제출 (한국ITU연구위원회(http://www.koreaitu.or.kr))

- 12월 19일(목) : TTA ⇒ 국립전파연구원(RRA) 송부

- 01월 02일(목) : 국립전파연구원(RRA) ⇒ ITU-T 제출 예정


- 01월 02일(목) : ITU-T 직접 제출([email protected])




5) 2014년도 SG17 연구반 활동계획서 보고




o 업무변경에 따른 변경 : 김미주 선임(→ 서정준 선임)

o 미래부 담당자 변경 : 엄지현 사무관(→ 변상준 사무관)

o 본인 확인 후, 해촉 추진 : 송중석 선임(KISTI), 조상래 선임(ETRI)

o 신규 위원 위촉 : 이상우 선임(ETRI)

※ 해촉 및 변경 위원의 경우, 추후 다시 위원으로 위촉 가능함.


□ 워크숍 개최 내역

NO. 행 사 명 일 시 장 소 참가자수 주요 행사내용

1SG17 연구반

워크숍2013.12.11.(수) -

12.12.(목)

용인 한화콘도

14명◦SG17 국제회의(2014.1월) 기고서 발표 ◦SG17 주요이슈 및 대응전략 논의

□ 워크숍 개최 결과

가. ITU-T SG17 연구반 워크숍 프로그램

일정안건 항목

제 목 문서번호 비고

2013.12.11(수)

14:00~18:00

1. 개 회

2. 위원 간 인사 002/R2

3. 안건 소개 및 채택 011

4. 전차 회의록 검토 및 승인

5.

보고안건

5.1 SG17 제16차 정기회의 회의록 보고 010

5.2 2013년도 SG17 연구반 활동보고서 보고 012

6. 토의안건

6.1 Circular letter 52, 57 검토 결과 보고

- ITU-T X.1210, X.1243, X.1520, X.1526, X1546, X.1582,

X.1600, X.1208

013

6.2 SG17 국제회의(1/15~1/24, 제네바) 참가준비 - 제1부

- 국가대표단 구성 및 국가기고서(총 14건) 심의 등014

저녁식사(18:00~20:00)

아침식사(08:00~09:30) 및 회의 준비

2013.12.12(목)

09:30~13:00

6.3 SG17 국제회의(1/15~1/24, 제네바) 참가준비 - 제2부

- 국가기고서(총 14건) 및 섹터기고서(총 1건) 심의 등014

6.4 2014년도 SG17 연구반 활동계획서 보고 015

6.5 SG17 연구반 - 반원 재구성 논의 (필요시)

7. 기타사항 논의

8. 차기회의 일정 논의

9. 폐 회

점심식사(12:00~13:00)


ITU-T SG17 회람문서 검토의견서

부록1

AANNSSII










ITU-T AAP(Alternative Approval Process) 국내 검토의견서

검토자 이름 김재성 소속 : 한국인터넷진흥원

검토일 2013-05-20

Recommendation

번호 X.1092 (X.tif)

Recommendation

제목(영문) Integrated framework for telebiometric data protection in e-health and telemedicines

Recommendation

제목(국문) 바이오 인식 기반 원격의료 보안 프레임워크

AAP 단계 LC AR

주요경과

< 제 정>

o '09 년 10 월 New work Item 채택(한국 KISA 제안)

o '13 년 04 월 권고안 승인(에디터 김재성, 한국 KISA, SG17 WP4)

o 현재 AAP 진행 중('2013 년 09 월 마감 예정)

Recommendation

내용요약

본 권고안은 다음과 같은 내용을 포함함.

o 원격의료에서 바이오 정보를 보호하기 위한 프레임 워크 표준화

o 원격의료에서 발생 할 수 있는 보안 위협을 정의하고, 통합 프레임워크에서 바이오 정

보의 안전한 전송을 위한 대처 방안 제시

주요국입장 본 권고의 제정에 대하여 캐나다 측에선 SG16 의 의료정보분과와 중복문제를 제기함.

검토의견

우리나라입장

본 권고는 SG17 WP4/Q9 ToR 표준화 활동범위 내에서 텔레 바이오 인식

기술을 활용한 의료보안에 대한 표준화로 본 권고의 제정에 대하여 찬성

임.

향후 국내규격

제정 필요성 상

국내표준 제정이

필요한 이유 및

향후 대응방안

최근 스마트 폰에 모바일 원격의료서비스가 활기를 띄움에 따라, 본 권고

를통해 유무선 텔레 바이오 정보통신 환경에서의 보안 프레임워크를 제시

함으로서 자국의 서비스에 대한 안전신뢰성 보장에 기여할 수 있음.

본 권고는 모바일 원격의료서비스에 대한 기본적인 보안대책을 제시하고

있으므로, 향후 스마트 폰을 이용한 환자/의료진 등 개인정보 보호 및 서

비스 가입자 인증기술로 활용되는 응용서비스에 대하여 연구개발 및 표준

화 추진예정임.

검토결과 의견 없이 원안대로 찬성

회신여부 Yes No

검토의견

파일첨부 Yes No



검토자 이름 김근옥 소속 : 금융보안연구원

검토일 2013-05-31

Recommendation

번호 X.1156 (X.sap-6)

Recommendation

제목(영문) Non-repudiation framework based on a one time password

Recommendation

제목(국문) OTP 기반의 부인방지 프레임워크

AAP 단계 LC AR

주요경과

< 제 정>

o 2011 년 4 월 New work Item 채택(한국 제안)

o 2013 년 4 월 권고안 승인(에디터 김근옥, 심희원, 송성현, 한국)

o 현재 AAP 진행 중(2013 년 6 월 마감 예정)

Recommendation

내용요약

본 권고안은 거래 객체간의 신뢰성을 제공하기 위한 일회용비밀번호 기반의 부인방지 프

레임워크를 제공함. 또한 본 권고안은 일회용비밀번호기반의 부인방지 서비스에 대한 보

안 요구사항뿐만 아니라, 부인방지 토큰을 생성하기 위한 메커니즘도 설명하고 있음. 해당

권고안에서는 TTP 가 송신사실을 부인하는 것을 방지하기 위한 송신부인방지토큰과 수신

사실을 부인하는 것을 방지하기 위한 수신부인방지 토큰을 생성 및 검증을 수행함. 해당

프레임워크에서는 부인방지 서비스를 제공하기 위한 4 가지 서비스 모델을 제시하고 있어

서, 전자거래환경에 맞는 서비스 모델의 선택적 적용이 가능하게 함.

주요국입장

해당 표준안은 지난 2012 년 9 월 회의에서 승인을 추진하였으나, 이전 회의에서 승인을

선언하지 않은 이유로 일본측이 이의를 제기하여, 이번 2013 년 4 월 회의에서 승인하기로

합의했음. 그렇기 때문에 이번 4 월 회의에서는 해당 표준안을 승인하는 것에 대한 이견은

없음.

검토의견

우리나라입장 한국에서 개발한 표준안으로 승인에 대해 추가적인 의견은 없음.

향후 국내규격




향후 대응방안

해당 권고안은 국내 전자금융거래 환경에 적용 가능한 서비스 모델

도 포함하고 있기 때문에 국내표준으로 제정할 계획임.


회신여부 Yes No

검토의견

파일첨부 Yes No



검토자 이름 박종열 소속 : 한국전자통신연구원

검토일 2013-06-03

Recommendation

번호 X.1198 (X.iptvsec-8)

Recommendation

제목(영문)

Virtual machine-based security platform for renewable IPTV service and content

protection

Recommendation

제목(국문) 갱신형 IPTV 서비스 및 콘텐츠 보호를 가상 머신 기반의 보안 플랫폼

AAP 단계 LC AR

주요경과

< 제 정>

o 2011 년 3 월 New work Item 채택(박종열 제안)

o '13 년 04 월 권고안 승인(에디터 황용호(한국, 삼성전자), 박종열(한국, ETRI), SG 17/TD

0231)


Recommendation

내용요약

본 표준안은 IPTV 서비스에서 콘텐츠 보호를 위한 방법으로 가상 머신 기반의 갱신형 보

안 플랫폼의 표준을 제안하는 것으로, 세부적인 코드 다운로드, 실행, 제어 및 소멸의 전

주기를 다루고 있음. 특히 OTID 를 포함한 일회성 인증 기술을 포함하여 클론 단말을 감

지하고, 불법적인 사용에 대한 사후 조치를 취할 수 있는 기술을 포함함.

주요국입장

IPTV 보안 이슈는 체계적으로 이슈를 만들어 진행하였기에 큰 문제점이 없으며, 일본은

국가적 산업에 적용 하는 입장에서 신중하고, 유럽은 관련 표준에 대해 반대 입장이나, 본

권고 X.iptvsec-8 문서는 기술적 표준 이슈를 명확히 하고 있어 특별한 반대 의견이 없음

검토의견

우리나라입장 이번 회의를 마지막으로 최종 승인 절차를 밟는 것으로 확정되어,

우리나라는 이에 대해 별도 대응할 계획 없음.

향후 국내규격

제정 필요성 하



향후 대응방안

해당 사항 없음 (이미 국내 표준 존재)


회신여부 Yes No

검토의견

파일첨부 Yes No



검토자 이름 강성원 소속 : 카이스트

검토일 2013-06-21

권고

번호 Z.161

권고

제목(영문) Testing and Test Control Notation version 3: TTCN-3 core language

권고

제목(국문) TTCN-3: 기본언어

주요경과

< 개 정 >

o '13 년 02 월 개정 작성 채택((ETSI ES 제안)

o '13 년 04 월 개정안 승인(Q12/17(WP5/17) 라포쳐 Dieter HOGREFE, ETSI MTS)


권고

내용요약

본 권고안은 플랫폼, 시험방법, 프로토콜 계층 그리고 프로토콜에 독립적인 시험스위트의

명세를 위한 언어인 TTCN-3 (시험 및 시험제어 언어 3)을 정의함.

주요국입장 각 국에서는 본 권고의 개정에 대한 특별한 이견 없음.

검토의견

우리나라입장 우리나라는 본 권고의 개정에 대한 특별한 이견 없음.

국내규격(표준)




향후 대응방안

국내표준 제정이 특별히 시급하지 않음.


회신여부 Yes No

검토의견

파일첨부 Yes No




검토일 2013-06-21

권고

번호 Z.161.2

권고

제목(영문)

Testing and Test Control Notation version 3: TTCN-3 language extensions:

Configuration and deployment support

권고

제목(국문) TTCN-3: TTCN-3 언어의 확장: 구성과 배치의 지원

주요경과

< 개 정 >




권고

내용요약 본 권고안은 TTCN-3 의 구성과 배치를 지원하는 패키지를 정의함.


검토의견






향후 대응방안



회신여부 Yes No

검토의견

파일첨부 Yes No




검토일 2013-06-21

권고

번호 Z.161.3

권고

제목(영문)

Testing and Test Control Notation version 3: TTCN-3 Language Extensions: Advanced

parameterization

권고

제목(국문) TTCN-3: TTCN-3 언어의 확장: 고급 파라미터 사용

주요경과

< 개 정 >




권고

내용요약 본 권고안은 고급 파라미터 사용 패키지를 정의함.


검토의견






향후 대응방안



회신여부 Yes No

검토의견 파일첨부 Yes No




검토일 2013-06-21

권고

번호 Z.161.4

권고

제목(영문)

Testing and Test Control Notation version 3: TTCN-3 Language Extensions: Behaviour

types

권고

제목(국문) TTCN-3: TTCN-3 언어의 확장: 행위유형

주요경과

< 개 정 >




권고

내용요약

본 권고안은 TTCN-3 의 행위 유형 패키지를 정의함. TTCN-3 은 다양한 통신포트 위로 동

작하는 모든 유형의 반응적 시스템(reactive systems)의 시험에 사용될 수 있음.


검토의견






향후 대응방안



회신여부 Yes No

검토의견

파일첨부 Yes No




검토일 2013-06-21

권고

번호 Z.165

권고

제목(영문) Testing and Test Control Notation version 3: TTCN-3 runtime interface (TRI)

권고

제목(국문) TTCN-3: TTCN-3 실행인터페이스

주요경과

< 개 정 >




권고

내용요약 본 권고안은 TTCN-3 실시간 인터페이스의 명세를 제공함.


검토의견






향후 대응방안



회신여부 Yes No





검토일 2013-06-21

권고

번호 Z.165.1

권고

제목(영문)

The Testing and Test Control Notation version 3: TTCN-3 language extensions

: Extended TRI

권고

제목(국문) TTCN-3: TTCN-3 언어의 확장: EXTendedTRI

주요경과

< 개 정 >




권고

내용요약

본 권고안은 TTCN-3 의 확장 TRI 패키지를 정의함. TTCN-3 패키지는 TTCN-3 기본언어에

필수적이지 않거나 TRI and TCI 의 인터페이스에 있는 추가적인 TTCN-3 개념들을 정의함.


검토의견






향후 대응방안



회신여부 Yes No

검토의견

파일첨부 Yes No




검토일 2013-06-20

권고

번호 Z.166

권고

제목(영문) Testing and Test Control Notation version 3: TTCN-3 control interface (TCI)

권고

제목(국문) TTCN-3: TTCN-3 제어 인터페이스

주요경과

< 개 정 >




권고

내용요약 본 권고안은 TTCN-3 시험시스템 구현을 위한 제어 인터페이스를 정의함.


검토의견






향후 대응방안



회신여부 Yes No





검토일 2013-06-21

권고

번호 Z.167

권고

제목(영문) Testing and Test Control Notation version 3: Using ASN.1 with TTCN-3

권고

제목(국문) TTCN-3: TTCN-3 에서 ASN.1 의 사용방법

주요경과

< 개 정 >




권고

내용요약

본 권고안은 ASN.1 as defined in 권고안 ITU-T X.680, ITU-T X.681, ITU-T X.682 와 ITU-T

X.683 에서 정의된 ASN.1 을 TTCN-3 와 함께 사용하는 공식적인 방법을 정의함. 다른 언어

들의 TTCN-3 와의 조화는 이 권고안어세 다루어지지 않음.


검토의견






향후 대응방안



회신여부 Yes No

검토의견

파일첨부 Yes No




검토일 2013-06-21

권고

번호 Z.168

권고

제목(영문) Testing and Test Control Notation version 3: TTCN-3 mapping from CORBA IDL

권고

제목(국문) TTCN-3: CORBA IDL 로부터 TTCN-3 로의 매핑

주요경과

< 개 정 >




권고

내용요약

본 권고안은 CORBA 기반의 시스템의 시험을 가능하게 하기위하여 CORBA IDL 로부터

TTCN-3 로의 매핑 규칙을 정의함.


검토의견






향후 대응방안



회신여부 Yes No

검토의견

파일첨부 Yes No




검토일 2013-06-21

권고

번호 Z.169

권고

제목(영문) Testing and Test Control Notation version 3: TTCN-3 mapping from XML data definition

권고

제목(국문) TTCN3: XML 데이터 정의로부터 TTCN-3 로의 매핑

주요경과

< 개 정 >




권고

내용요약

ITU-T Z.169 는 XML-기반의 시스템, 인터페이스 및 프로토콜의 시험이 가능하도록 W3C 스

키마의 TTCN-3 로의 매핑규칙을 정의함. 본 수정권고안은 현행 ITU-T Z.169 에 대한 수정,

설명, 정정을 포함함.


검토의견






향후 대응방안



회신여부 Yes No

검토의견

파일첨부 Yes No




검토일 2013-06-21

권고

번호 Z.170

권고

제목(영문)

Testing and Test Control Notation version 3: TTCN-3 documentation comment

specification

권고

제목(국문) TTCN-3: TTCN-3 문서화 코멘트 명세

주요경과

< 개 정 >




권고

내용요약

ITU-T Z.170 는 특수한 문서화 코멘트를 사용하는 TTCN-3 소스코드의 문서화 방법을 정의

함. 본 수정 권고안은 현행 ITU-T Z.170 에 대한 수정, 설명 및 정정을 포함함.


검토의견






향후 대응방안



회신여부 Yes No

검토의견

파일첨부 Yes No



검토자 이름 송중석 소속: 한국과학기술정보연구원

검토일 2013-09-25

Recommendation

번호 X.1037 (X.ipv6-secguide)

Recommendation

제목(영문) Technical security guideline on deploying IPv6

Recommendation

제목(국문) IPv6 를 구축하기 위한 기술적 보안 가이드라인

AAP 단계 LC AR

주요경과

< 제 정>

o '11 년 4 월 New work Item 채택(일본 NICT/KDDI 제안)

o '13 년 04 월 권고안 승인(에디터 Masashi Eto(일본, NICT), Koji Nakao(일본,

KDDI/NICT), SG 17 / TD 0256 Rev.3)


Recommendation

내용요약

본 권고안은 IPv6 를 구축함에 있어서 필요한 기술적 보안대책을 세 종류의 컴포넌트, 즉

네트워크 장치(라우터, 스위치 등), 서버/클라이언트 장치(단말, HDCP 서버 등), 보안 장

비(IDS, FW 등)를 중심으로 제공함. 본 권고안의 목적은 IPv6 도입을 계획하고 있는 기업

네트워크 관리자에게 기술적인 보안 가이드라인을 제공하고, 이를 통해 기업의 IPv6 네트

워크상에 존재하는 보안상 위험요소를 경감하는 것임.

주요국입장 대부분 국가들은 본 권고안의 제정에 대해 별다른 이견 없이 원안대로 찬성.

검토의견

우리나라입장 우리나라는 본 권고안의 제정에 대해 이견 없이 원안대로 찬성

향후 국내규격




향후 대응방안

국내 표준화를 당장 추진할 필요는 없으나, 국내의 IPv6 에 대한 수

요가 커졌을 시에는 재 고려하여 추진할 필요가 있음


회신여부 Yes No

검토의견

파일첨부 Yes No



검토자 이름 나재훈 소속: ETRI

검토일 2013-10-01

권고

번호 X.1144 (X.xacml3)

권고

제목(영문) eXtensible Access Control Markup Language (XACML) 3.0

권고

제목(국문) 확장성 접근제어 확장언어 3.0

주요경과

< 제 정>

o '11 년 4 월 New work Item 채택(OASIS 제안: 연락문서)

o '13 년 9 월 권고안 승인(에디터 Abbie Barbir, Jaehoon Nah, 카나다/Bank of America, 한국

/ETRI 국가, SG 17)

o 현재 AAP 진행중('13 년 10 월 마감 예정)

권고

내용요약

XACML(eXtensible Access Control Markup Language)은 SAML(Security Assertion Markup

Language)과 함께 주로 사용되며 XML 기반으로 되어있어 다양한 시스템들 사이에서 리소스

접근제어정책(Access Control Policy)를 기술하는 표준이다. XACML 은 개발자들이 웹을 통해

사용자들이 어떤 리소스에 접근할 수 있는 지를 결정하는 정책들을 기술할 수 있도록 접근제

어언어와 요구/응답 언어를 정의하며, XACML3.0 은 XACML2.0 의 기능개선 및 신규기능 추가

함.

주요국입장 주요국가들은 제안 표준이 인터넷 기술들의 발전으로 XACML2.0 의 후속으로 제정에 대한 필

요성 인식

검토의견

우리나라입장 XACML3.0 표준이 인터넷 기술의 발전과 더불어 편리성을 위하여 기

능개선 및 추가한 것이므로 표준 제정을 찬성





향후 대응방안

기 표준된 XACML 3.0(TTAI.OT-10.0040_R2) 단체표준 개정필요.


회신여부 Yes No

검토의견

파일첨부 Yes No



검토자 이름 강신각 소속 : 한국전자통신연구원

검토일 2013-10-02

권고

번호 Z.109

권고

제목(영문) Specification and Description Language - Unified modelling language profile for SDL-2010 (Summary)

권고

제목(국문) 명세기술언어(SDL) - SDL-2010 을 위한 통합 모델링 언어(UML) 프로화일

주요경과

< 개 정 >

o '99 년 11 월 Z.109 제정

o '07 년 06 월 Z.109 개정

o '12 년 04 월 Z.109 개정

o '13 년 08 월 개정 작성 채택((Alexander Kraas(SDL Forum Society) 제안)

o '13 년 09 월 개정안 승인(에디터 Thomas Weigert, SG 17 WP5)

o 현재 AAP 진행중('13 년 10 월 마감 예정)

권고

내용요약

ITU-T Z.109 권고는 ITU 에서 개발된 SDL 언어와 통합 모델링 언어(UML)를 함께 사용 가능하도록 하기 위해

UML 과 SDL-2010 언어간 상호 맵핑에 대한 프로파일을 기술하고 있음. 본 권고는 UML 과 SDL-2010 언어

간 맵핑 방법에 대해 기술하고 있는 참조 메뉴얼 문서로 적용되고 있으며, 이전 SDL, UML 버전의 사용을 대

체하는 권고임. 본 권고는 전기통신 시스템의 구조 및 동작과 사용되는 데이터를 명세하고자 할 때 사용됨

주요국입장 SDL 언어는 전통적으로 전기통신 시스템의 구조와 세부 동작을 명확하게 기술하기 위해 사용되어 온 명세언

어로 본 권고 개정에 특별한 입장을 표명하지는 않음.

검토의견

우리나라입장

기존에 전기통신 시스템의 구조와 세부 동작을 명확하게 기술하기 위한 명세언어로 사용되어

왔고, 국내에서도 SDL 을 이용한 교환기 시스템 등을 개발한 바 있음. 최근 마켓에서 사용되

고 있는 UML 과 SDL 최신 버전을 적용하기 위해 기존 권고를 개정하는 작업이므로 특별한 이

슈는 없는 것으로 보이며, 권고 개정 작업에 대해 국가적 차원의 이해 관계 이슈는 없는 것으

로 여겨짐.


제정 필요성 중

국내표준

제정이


향후 대응방안

최근에 통신 시스템 개발에 있어 SDL, UML 도구를 사용하는 경우가 크게 보고되지 않고 있는

상황이나 UML 과 SDL 을 통신 시스템 설계 시 유용하게 사용될 수 있는 도구로 향후 여러 분

야에서 UML-SDL 을 함께 사용하여 통신 시스템의 구조 및 동작에 관련된 시스템이나 프로토

콜 개발 시에 유용하게 사용될 수 있는 기술이므로 국내 표준으로 제정하여 산업체에 제공하

는 방안을 고려할 필요가 있음.


회신여부 Yes No

검토의견

파일첨부 Yes No


ITU-T SG17 국제회의 제출 기고서

부록2

AANNSSII







































ITU-T SG17(정보보호 분야)

발행번호 : TTA-14006-SA

발행년월 : 2014. 2

발 행 인 : 임차식

발행처 : 경기도성남시분당구분당로 47

한국정보통신기술협회 (TTA)

TEL : 031-724-0114

FAX : 031-724-0109

인 쇄처 : [ | 애드월드 ] Tel. 02-2271-0369

1. 본 보고서는 방송통신발전기금으로 수행한 국제공식표준화기구(ITU등)

협력 및 대응연구 사업의 일환으로 발행되었습니다.

2. 본 보고서의 무단복제를 금하며 내용을 인용할 시에는 반드시 방송통신

발전기금으로 수행한“국제공식표준화기구(ITU등) 협력 및 대응연구”

사업의 결과임을 밝혀야 합니다.

Documents

ITU-T SG17 편집tta.or.kr/include/Download.jsp?filename=newStdInfo/... · 을 보장하기 위해 반드시 암호 프로토콜 적용이 필요하다. 하지만, iso/iec jtc1/sc27