K-ICT Standardization Strategy Map Ver · 보안평가 측면에서는 정보보호제품 평가를 위한 제품 기술 별 평가기준 및 평가방법론에 대한 개발이 ccra(국제상호인정협정)

K-ICT Standardization Strategy Map Ver.2016

TTA-15106-SD

정보보호 분야

종합보고서6

참여전문가

□ 공통기반 보안 ····································································································································· 3

◦ 총괄자문 : IITP 원유재 前CP

◦ 분 과 장 : ETRI 최두호 실장

◦ 분과위원 : KISA 김인섭 책임, 국가보안기술연구소 권대성 실장, 한국정보인증 김재중 이사, 포워드벤처스

김창오 팀장, 금융결제원 조혜숙 과장, TCA서비스 오경희 대표, ETRI 진승헌 부장, 유엠로직스 남기효 이사,

SKT 곽승환 수석

◦ 특허분석 : KIPSI 김병년 선임

◦ TTA PG담당자 : 오흥룡 책임

□ 네트워크/디바이스 보안 ················································································································· 73


◦ 분 과 장 : KISA 이태진 팀장

◦ 분과위원 : KISA 김미주 선임, KISA 유대훈 선임, ETRI 이주영 선임, KISA 서정준 선임, ETRI 김종현 박사,

ETRI 박정수 책임, ETRI 서동일 실장, 순천향대 임강빈 교수, 성균관대 정재훈 교수



□ 서비스/융합 보안 ··························································································································· 141


◦ 분 과 장 : ETRI 나재훈 실장

◦ 분과위원 : ETRI 이상우 박사, 금융보안원 한승우 대리, 금융보안원 신용녀 책임, 금융보안원 임형진 팀장,

고려대 이경호 교수, KISA 고웅 선임, 고려대 김상곤 교수, 서울신학대 김태경 교수, KISA 서정준 선임, ETRI

박종열 실장, KISA 박해룡 팀장, (주)카이랩 배인호 대표, ETRI 한승완 박사, KISA 김재성 수석



공통기반보안

목 차

1. 표준화 개요 ····························································································································· 5

1.1. 기술 개요 및 표준화 필요성 ···································································································· 5

1.2. 연도별 주요 현황 및 이슈 ········································································································ 8

1.3. 중점 표준화 항목 ···················································································································· 13

2. 국내외 시장/기술개발/IPR/표준화 현황분석 ·································································· 16

2.1. 시장 현황 및 전망 ···················································································································· 16

2.2. 기술개발 현황 및 전망 ············································································································ 18

2.3. IPR 현황 및 전망 ······················································································································ 23

2.4. 표준화 현황 및 전망 ················································································································ 27

3. 국내외 추진전략 및 중장기 계획 ···················································································· 41

3.1. 비전 및 기대효과 ······················································································································ 41

3.2. 표준화 SWOT 분석 및 추진방향 ·························································································· 44

3.3. 중점 표준화 항목별 국내외 추진전략 ·················································································· 45

3.4. 중기(3개년) 및 장기(10개년) 표준화 계획 ·········································································· 68

[참고문헌] ··············································································································································· 70

[약어] ······················································································································································· 71

정보보호 Ⅰ 공통기반보안 3

Ver.2016


1. 공통기반보안 표준화 개요

1.1. 기술 개요 및 표준화 필요성

¡ 기술 개요

공통기반 보안 기술은 암호기술, 인증기술, 악성코드 분석, 보안관리 등을 위한

보안기술로 네트워크 및 디바이스, 서비스 보안을 위한 기술적 기반이 되는 기술

<공통기반 보안 기술 개요도>

- 암호기술은 사이버 환경에서 정보의 안전한 저장, 송수신(비밀성, 무결성 지원)을 위한 기

술로 정보보호의 근간을 형성하고 있으며, 최근에는 클라우드/빅데이터 보안을 위한 데이

터처리(DBMS) 진화형암호(형태보존암호 등), 암호문연산이 가능한 준동형암호 등과 IoT 보

안을 위한 경량암호, 양자컴퓨터에 대비한 양자키분배 등으로 확대

- 인증기술은 사이버 환경에서 적법한 사용자나 기기를 식별하고 유통되는 정보의 무결성,

부인방지 등을 보장하는 기술임. PKI기반의 공인인증서와 같이 사용자의 신원확인 기술에

서부터 다양한 단말기의 진위성 여부를 보장하기 위한 디바이스 인증기술, 사용자의 익명

성 제공하고 추적 가능한 익명인증기술, 매번 비밀번호를 변경하는 OTP(One Time

Password) 인증 기술, 다양한 바이오정보를 통한 비밀번호 없는 FIDO(Fast IDentity On

line) 인증 기술 등을 포함하고 있음

- 보안관리는 조직 내외의 모든 활동에서 정보를 안전하게 보호하기 위한 경영체계의 수립

을 지원 및 인증하기 위한 기준 및 지침을 제공함. 또한 산업 분야별 특성을 반영하여 정

보보호의 효과성과 효율성을 제고할 수 있는 구체적인 활동 지침과 함께 이러한 업무를

수행하기 위한 전문가에 대한 인증기준을 제공함, 보안평가는 공통평가기준에 기반하여 정

보보호제품에 구현된 보안기능의 안전성과 신뢰성을 평가 및 검증하고, 암호모듈 기준에

기반하여 정보통신망에서 소통되는 중요 정보의 보호를 위해 사용되는 암호모듈의 안전성과

K-ICT� Standardization� Strategy� Map

6 K-ICT표준화전략맵 Ver.2016

구현 적합성을 검증하고, 운영환경에 따라 검증된 암호모듈을 사용할 수 있는 가이드라인

을 제공함

- 개인정보보호는 사용자 ID의 생명주기 관리를 위한 기반구조를 제공하여 사용자의 ID를

안전하게 편리하게 관리 및 이용하고 개인정보의 생명주기에 걸쳐 정보주체의 자기통제권

을 제공하여 사용자의 개인정보를 보호하는 기술로서 다양한 사용자 정보 기반의 맞춤형

서비스를 제공하기 위하여 중요성이 부각되고 있음, 또한 서비스 이용자를 식별하는 정보

가 해당 정보주체인 개인의 동의없이 유출되는 것을 방지하는 기술로, 개인정보가 저장되

는 다양한 인프라, 네트워크, 디바이스 등에서 합법적으로 수집, 저장, 이용 및 제공, 관리,

파기되도록 보장

¡ 서비스 시나리오

- (인증기술) A씨는 식사 중에 스마트폰에서 얼마 전 청약한 아파트의 2차 중도금 납부기일

미리알림을 받았다. 지갑에 있는 은행 IC 현금카드를 꺼내 스마트폰에 접촉시켜 일회용 비

밀번호를 생성하고, 이를 모바일뱅킹 화면에 입력함으로써 액수가 큰 금액도 안전하게 스

마트폰으로 송금할 수 있었다.

- (모바일 결제) 식사를 마치고 들린 마트에서는 스마트홈, 스마트드라이브의 도움으로 스마

트폰에 저장된 구매목록이 마트의 매장관리 서버와 동기화되면서 실내 위치정보 서비스를

기반으로 각 물품의 최단경로 탐색정보를 제공받고, 스마트폰으로 결제를 하였다.

- (개인정보보호, 암호기술) A씨는 이러한 서비스를 제공받으며 구매목록, 위치정보 등에 대

한 프라이버시 보호 및 보안 기술이 사용되고 있으며, 훔쳐보기, 조작을 통한 악성행위에

안전하게 보호되고 있음을 안내받았다.

- (정보보호 경영 전문가 자격) A사는 전문가 인증을 받은 보안관리자를 채용하여 보안경영

체계를 재구성한 이후 업무 진행을 가로막던 사전 보안 승인은 거의 사라졌다. 또한, 보안

경영체계 덕분에 해외 협력사가 경쟁사에 기밀을 넘기는 순간 검거하여 국제적 배상소송

을 제기할 수 있었다.

- (보안평가) A사에 근무하는 B씨는 대규모 개인정보유출 사고에 대비하기 위해 개인정보유

출 방지 제품을 구입하고, 구입한 제품이 공인된 평가인증을 통해서 보안성이 검증되었는

지를 인증제품 목록에서 확인하였다.

- (보안관리) 퇴근시에는 엑스레이 검색대에서 스마트폰과 노트북 반출 확인 과정을 통해 불

법정보 유출 방지를 위한 회사의 보안 규정에 위배되는 사항이 없는지 자동화된 프로세스

에 따라 검사 및 확인 받았다.

Ver.2016


¡ 표준화 필요성

다양한 정보보호 서비스 및 디바이스/네트워크에 활용할 수 있는 핵심 기술인 보안 기반

기술에 대한 표준화가 필요함

- (암호기술) IoT/M2M, 스마트폰, 빅데이터와 같은 신규 ICT 환경 및 개인정보보호로 인한

암호화 요구사항이 증가하고 있는 DBMS 정보보호를 위해서는 핵심기반이 되는 암호기술

분야에서 ICT 융합형 기술개발 및 ICT 서비스 적용 확대를 위한 표준화 추진과 표준화

초기단계인 양자암호분야의 세계 주도권 확보를 위한 양자암호 표준화 추진은 매우

중요함

- (인증기술) PC나 스마트폰 등에서 악성코드에 의한 해킹이 증가로 위험도 증가하고 있고

기존 ID/비밀번호 기반의 단순 인증 기술에서 다양한 인증수단을 복합적으로 사용하는

멀티팩터 인증기술이 요구가 증가되고 있다. 특히 사용자의 편의성과 보안성을 동시에

제공해야하고 PC나 모바일 등의 다양한 사용자 환경에 대한 인증기술 지원과 서비스

기관이 쉽게 적용 가능하고 통합관리하는 범용 인증체계를 확보하고자 하는 요구가

증대됨, 이를 위하여 FIDO Alliance라는 단체를 통하여 2014년 말에 FIDO 1.0 스팩이

공개되어 국내 업체에서도 적극적으로 대응하고 있으면 차기 FIDO 2.0 표준화에도 적극

참여 예정에 있음

- (보안관리/보안평가) 다양한 보안기술의 급속한 변화와 정보보호 활동의 복잡성이

증가되고 있어 효과적인 정보보호 활동이 이루어질 수 있도록 체계적인 유지 관리 및 교정

활동의 표준화가 요구되고 있음. 또한, 정보의 보호를 경영진의 책임으로 요구하는 국제

추세가 강화되면서 거버넌스 및 컴플라이언스 이슈를 해결하고 정보보안경영체계를 계획,

실행할 전문가가 요구됨에 따라 보안경영 전문가의 인증을 위한 자격 기준의 표준화가

진행되고 있음. 보안평가 측면에서는 정보보호제품 평가를 위한 제품 기술 별 평가기준 및

평가방법론에 대한 개발이 CCRA(국제상호인정협정) 회원국간 작업그룹 및

CC사용자포럼(CCUF) 등을 통해 개발되고 있으며, 우리나라도 CCRA 인증서 발행국으로

활발히 참여하고 있어, 국내 우수 기술의 표준화로의 채택을 위해 역할 및 활동이 필요함,

또한 안전하고 우수한 암호알고리즘을 하드웨어, 펌웨어, 소프트웨어 또는 하이브리드

형태로 구현된 암호모듈에 대한 검증을 위한 시험기준 및 난수발생기, 부채널 등 각

요소기술에 대한 표준화를 추진하고 있으며 활동이 필요함

- (개인정보보호) 스마트폰의 보급이 늘어나고 이를 기반으로 하는 다양한 핀테크 관련 서비

스들이 통신, 카드/은행, 유통, 제조업체에서 제공하고 있으나 다양한 보안 위협에 노출되

어 있어 보안 취약점과 위험 요소에 대한 종합적인 보안 가이드라인과 공통 대응 기술의

개발 및 표준화가 시급히 요구됨, 특히 각 국가의 개인정보보호에 관한 법규는 상이하지

만, 클라우드 서비스와 같이 글로벌하게 제공되는 ICT 서비스 환경에서 컴플라이언스를 위

해서 표준화가 요구가 증가하고 있음



1.2. 연도별 주요현황 및 이슈

Ver.2016


¡ 정책/산업 주요현황 및 이슈

- 2013년 금융분야 개인정보보호 가이드라인 발표(안전행정부, 금융위원회, 금융감독원)

- 2013년 미래부, 정보보호산업 발전 종합대책 발표 - ’17년까지 국내 정보보호시장 2배(10조

원) 확대, 최정예 정보보호 전문인력 5,000명 양성, 10대 세계일류 정보보호제품 개발 추진

- 2013년 KISA ISMS, 2.0 버전으로 변경, 개인정보보호인증 개시

- 2013년 국가ž공공기관에 도입 시 CC인증 필수 제품군에 소스코드 보안약점 분석도구, 스

마트폰 보안관리 제품 포함

- 2013년 미래부, 정보보호산업 발전 종합대책 안건으로 정보보호기술사제도를 2016년 시행

할 예정으로 발표

- 2014년 정부 3.0을 통해 공공정보 공개 및 민간 활용 활성화 추진

- 2014년 금융감독원, ‘전자금융감독규정시행세칙’ 개정(5.20)으로 지급결제에서 30만원이상

공인인증서 사용 폐지

- 2014년 한국정보보안기술원(KOIST) 정보보호제품 평가기관으로 승인

- 2014년 금융위원회·금융감독원 ,‘개인정보 유출 재발방지 종합대책’ 발표(3월)

- 2014년 2013년 방송통신위원회가 고시한 정보보호관리등급 부여에 관한 고시가 2014년 1

월부터 시행

- 2014년 미래부, 정보보호 준비도 평가 계획 발표

- 2014년 정보보호제품 평가인증 정책기관 국정원에서 미래부로 이관

- 2014년 한국기계전기전자시험연구원(KTC) 정보보호제품 평가기관으로 승인

- 2014년 금융위원회, 전자상거래 결제 간편화 및 Active-X 해결 방안 발표(9월)

- 2014년 미래부, 양자정보통신 중장기 추진전략 발표

- 2014년 한국인터넷진흥원, 정보보호감사지침 가이드 개발

- 2015년 한국 암호모듈 검증제도(KCMVP) 보호함수에 국내 개발 블록암호 LEA, HIGHT 포함

- 2015년 금융위원회, IT․금융융합 지원방안 발표

- 2015년 싱가포르 국제상호인정협정(CCRA) 회원국 탈퇴

- 2015년 금융위원회, ‘전자금융감독규정’ 개정(3.18)으로 전자금융거래시 공인인증서 의무사

용 폐지, 국가인증 정보보호제품 사용의무 폐지, 비대면 직불수단 이용한도 상향, 침해사고

대응기관 변경

- 2015년 정보보호 관리 등급제 기준 개정 검토

- 2015년 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제정 및 시행



¡ 국내외 기술개발 주요현황 및 이슈

- 2013년 NFC 기반 모바일 OTP 기술 개발 (금융보안연구원)

- 2013년 카드사(KB국민, 신한, 롯데, 농협, 삼성, 현대 6개사) 앱카드 공동 규격 개발 및 서

비스 개시

- 2013년 스마트폰으로 터치만 하면 인증되는 IC카드기반 (공인)인증 기술 ‘터치사인’개발

(ETRI)

- 2014년 형태보존암호 기술 개발 (NSRI)

- 2014년 고속 해시함수 LSH 개발 (NSRI)

- 2014년 비콘기반 오프라인 간편결제 서비스 ZEP(Zero-Effort Payment) 기술 개발(ETRI)

- 2015년 금융권 생체인증기술 도입 추진

- 2015년 금융결제원의 OTP통합인증센터를 이용한 스마트 OTP 서비스 개시

- 2015년 FIDO 1.0 상호 연동 시험 인증 획득 및 적용서비스(삼성페이) 출시

¡ 국내 표준화 주요현황 및 이슈

- 2013년 POS 단말기 사용자 인터페이스 TTA 표준 제정

- 2013년 모바일토큰 기반의 공인인증서 사용자 인터페이스 가이드라인 발표(KISA)

- 2013년 블록암호 SEED, ARIA의 TLS/SRTP 적용 규격 국가 표준 KCS 제정

- 2013년 IC칩 기반 인증모듈 보안 요구사항, 모바일기기에 적합한 IC칩 기반 인증모듈용

API, 모바일 기기를 이용한 다중 요소 인증 메커니즘 TTA표준 제정

- 2014년 경량 블록암호 LEA 운영모드 TTA 표준 제정

- 2014년 위험수준에 따른 단계별 인증서비스 프레임워크, 전자거래 인증방법의 보증수준별

요구사항, 통합인증서비스를 위한 신뢰기관의 보안 요구사항 TTA 표준 개발

- 2014년 일회용패스워드(OTP) 발생기 사용자 인터페이스 TTA 표준 개발

- 2014년 여신협회 IC카드 기반 신용카드 단말기(POS, CAT) 보안 표준 제정

- 2014년 ARIA/SEED 암호알고리즘을 이용한 키 유도함수의 TTA 표준 제정

- 2014년 부가형 전자서명 방식 표준 - 제3부: 타원곡선을 이용한 한국형 인증서 기반 전자

서명 알고리즘(EC-KCDSA)의 TTA 표준 개정

- 2014년 부가형 전자서명 방식 표준 - 제2부: 한국형 인증서 기반 전자서명 알고리즘

(KCDSA)의 TTA 표준 개정

- 2014년 국내 환경에 적합한 실체 인증 보증 프레임워크 TTA 표준 제정

- 2014년 전자거래 보증 수준별 인증방법 요구사항 TTA 표준 제정

Ver.2016


- 2014년 전자거래 단계별 위험수준에 대한 인증서비스 지침 TTA 표준 제정

- 2014년 일회용패스워드(OTP) 발생기 사용자 인터페이스 TTA 표준 제정

- 2014년 신뢰기관을 이용한 통합인증서비스 보안 요구사항 TTA 표준 제정

- 2014년 스마트 폰 보안관리 제품 보안요구사항 TTA　표준 제정

- 2014년 웹 응용프로그램 침입차단 제품 보안요구사항　TTA 표준 제정

- 2014년 호스트 컴퓨터 자료유출방지 제품 보안요구사항 TTA 표준 제정

- 2014년 DDoS 대응장비 보안요구사항 TTA 표준 제정

- 2014년 대면거래에서의 전자서명 규격 TTA 표준 제정

- 2014년 거래번호를 이용한 모바일 결제 TTA 표준 제정

- 2015년 모바일 결제를 위한 어플리케이션 보안 지침

- 2015년 모바일 지불결제 상호운용성 시험 표준 제정

- 2015년 경량 해시함수 LSH의 TTA 표준 제정 예정

- 2015년 형태보존암호 FEA의 TTA 표준 제정 예정

¡ 국제 표준화 주요현황 및 이슈

- 2013년 ITU-T, OTP 기반 부인방지 프레임워크 표준 제정(X.1156)

- 2013년 ISO/IEC JTC1 SC27/WG2, 그룹서명 기반의 익명 기술 표준 제정

- 2013년 ISO/IEC JTC1, 동형암호, 동형비밀분산방법 표준화 추진

- 2013년 W3C, Web Cryptography W/G에 Web Cert API 표준화 추진

- 2013년 ITU-T SG17 Q.3 및 ISO/IEC SC27 WG1에서 Information security management

guidelines for telecommunications organizations (X.1051/27011) 개정 추진

- 2013년 ISO/IEC SC27 WG1, ISO/IEC 27009 : Use of ISO/IEC 27001 for Sector-Service

Specific Third Party Accredited Certifications 표준 제정

- 2013년 ISO/IEC 27014 Governance of Information security (ITU-T X.1054) 출판

- 2013년 미국의 주도로 ISO SC27 및 SC2, SC6, 그리고 ITU-T, ETSI, ISACA,

VISA/MASTERCARD가 참여하는 “PKI Policy/ Practices/Audit”에 관한 Study period를 개시

- 2013년 ISO/IEC JTC1, 익명 인증 및 익명 전자서명 표준 제정(ISO/IEC 20008, 20009)

- 2013년 ITU-T SG17, ISO/IEC JTC 1/SC 27 조인트 회의를 통해 개인정보보호 관리제계 지

침 표준을 두 표준화 기구가 2016년까지 독자적으로 개발하되, 표준채택과정에서 공통 텍

스트 추진 여부 결정키로 합의

- 2013년 NIST, DB 저장 데이터 암호화를 위한 블록암호 운영모드 방식의 형태보존 암호 규



격 (NIST SP 800-38G) 초안 발표

- 2014년 ISO/IEC SC27 WG1, 정보보호 전문가 자격 관련 ISO/IEC 27021 : Specification of

Competencies for Information Security Management Professionals 표준 개발 개시

- 2014년 FIDO 얼라이언스 FIDO UAF(Universal Authentication Framework)와 U2F(Universal

Second Factor) 1.0 산업 표준 제정

- 2014년 ITU-T X.1158, 모바일기기를 사용한 다중요소 인증 메커니즘 (Multi-factor

authentication mechanisms using a mobile device) 표준 제정

- 2014년 ITU-T X.1159, 위임 부인방지 아키텍쳐 (Delegated non-repudiation architecture

based on X.813) 표준 제정

- 2015년 ITU-T X.Sgsm, 중소기업정보보호 관리체계 표준화 추진

Ver.2016


중점 표준화 항목 표준화 내용Target SDOs

전략목표

암호기술

차세대 암호 및 적용

- IoT/M2M, 클라우드, 스마트폰, DBMS 보안등 신규 ICT 정보보호에 적합한 차세대 암호 알고리즘 규격 제시

- 응용서비스에서의 암호 알고리즘 활용 방법 제시- 양자암호 키분배기술 규격 제시

ISO/IEC JTC1, ITU-T,IETF,ETSI

차세대 공략

인증기술

PKI 기반 인증 및 응용기술

- 기기나 사람에 대한 식별 인증하는 기기인증, 공인인증, 서버인증 등의 다양한 인증서 기반의 인증기술

- 인증서의 안전성강화를 위한 USIM, 보안 MicroSD, TrustZone 등의 다양한 모바일 환경에서의 신뢰된 인증 서비스 제공을 위한 기반 및 응용

ISO/IEC JTC1, ITU-T,ONVIF, FIDO

다각화 협력

차세대 다중요소 인증기술

- 안전한 전자거래를 위해 스마트기기를 활용한 상황기반 인증기술 제시, 바이오 인증 등 다양한 인증기술 적용 방법 제시, 스마트폰 기반 바이오인증 보안 요구사항

- IC카드 기반 다양한 인증기술 적용 방법 제시 및 보안 요구사항 제시

ISO/IEC

JTC1, ITU-T,IETF, OATH

차세대공략

범용 인증체계- 다양한 사용자 환경에 적합한 인증기술을 지원하고

신뢰된 기관을 통해 통합관리 및 서비스하기 위한 기반 및 응용기술 표준화

ISO/IEC JTC1, ITU-T,FIDO

적극공략

보안관리/보안평가

유형별 보안성 시험평가기준

- IT 제품의 보안성 평가를 위한 기술 별 평가 기준 및 방법론의 표준화

- 암호모듈 기준 및 요소 기술의 표준화

ISO/IEC JTC1, CCRA

방어적 수용

정보보호 경영전문가 자격 기준

- 안전한 정보보호관리체계를 수립 및 운영할 수 있는 전문가를 인증하기 위한 자격 기준 제시

ISO/IEC JTC1

적극공략

정보보호 감사관리 지침

- 정보보호 활동에 대한 체계적인 유지 관리 및 교정 활동에 대한 기준 제시

ISO/IEC

JTC1

다각화 협력

분야별 정보보호 관리체계 및 인증

- 클라우드 보안인증기준- 중소기업 정보보호 관리체계

ITU-T다각화 협력

개인 정보 보호

Identity 관리 기반 기술

- Identity의 생명주기 관리 및 프레임워크 등을 정의ISO/IEC JTC1, ITU-T

다각화 협력

모바일 결제 기술

- 모바일 단말기를 기반으로 하는 온/오프라인 결제 기술- 스마트폰 기반의 SW(결제앱), 임베디드 SE 및

HW(USIM)을 이용하는 대면/비대면 모바일 결제 서비스 보안요구사항 및 결제규격 개발

ITU-T, ISO

TC68, JTC1, NFC

Forum

다각화 협력

개인정보보호 정책 및 운영관리 기술

- 개인정보보호 정책 관리, 개인정보 DB 보안, 온라인 서비스 사용자/실제 사용자 본인 확인 기술

ITU-T, ISO/IEC JTC1, W3C

다각화 협력

1.3. 중점 표준화 항목



Ver.2014 Ver.2015 Ver.2016

차세대 암호 알고리즘차세대 암호 알고리즘 및 적용 차세대 암호 및 적용

암호 알고리즘 적용

인증 프로파일/프로토콜PKI 기반 인증 및 응용기술 PKI 기반 인증 및 응용기술

인증 응용기술

통합인증 서비스 프레임워크통합형 인증체계 범용 인증체계

통합인증 응용 및 보안 관리

- 차세대 다중요소 인증기술 차세대 다중요소 인증기술

익명인증 암호기술 -

-익명인증서 프로파일/관리프로토콜/

검증기술-

OTP 시스템OTP 기반 인증 -

OTP 응용 프로토콜

[참고] 공통기반보안 표준화전략맵 추진경과

- Ver.2014에서는 정보보호기반 및 이용자보호 중점기술에서 경량 암호 알고리즘에 초점을 맞

추었던 부분을 차세대 암호 알고리즘으로 암호 알고리즘의 범위를 확대하였으며, 디바이스

인증 분야는 다중 인증을 포함하고 표준화 방향에 적합하도록 인증서 기반인증으로 수정하

고, 유해정보 대응은 유해정보 차단 정책까지 포함하여 표준화 범위를 확대하였음. 또한, 네

트워크 및 시스템 보안 중점기술에서는 스마트폰 앱, 클라우드, M2M 관련 표준화항목을 세

분화 하고, 소프트웨어 정의 네트워킹(SDN) 항목을 새롭게 추가함. 플랫폼 보안 및 평가인증

중점기술에서는 차량통신보안을 추가함. 중점기술로 새로 추가된 콘텐츠 보호 및 관리 기술

에서는 핑거프린팅, 콘텐츠서비스, 전자책 DRM, 콘텐츠 관리의 4개 분야로 구분하고, 관련

산업 활성화가 예상됨에 따라 객체기반 핑거프린팅, 콘텐츠포렌식 항목을 신규 선정함

- Ver.2015에서는 ‘ICT 통합기술분류체계’의 정보보호 분류에 맞추어 표준화항목을 재배치함.

헬스케어 보안, 차세대 다중요소 인증기술, 스마트폰 보안 등 이슈가 되고 있는 표준화 항목

을 추가하고, SDN 보안 등 표준화 활동이 활발할 것으로 예상되는 분야의 항목을 세분화함

- Ver.2016에서는 암호기술 분야의 “차세대 암호 및 적용” 표준화 항목에 차세대 암호 후보

로 주목받고 있는 양자암호 키분배 기술을 포함하였으며, 인증기술 분야에서는 Ver.2015의

“통합형 인증체계”를 “범용 인증체계”으로 명칭 변경하여 다양한 인증기술을 수용하여 통합

관리 가능한 개념을 포함하여 기술하였음. 보안관리/보안평가 분야에서 “공통평가기준/공통

평가방법론”을 보다 명확한 표준화 항목 기술을 위해 “유형별 보안성 시험평가기준”으로

명칭 변경하여 암호모듈 검증 표준화에 대한 이슈들을 포함하여 기술하였음. 또한, 클라우

드 보안인증 및 중소기업 정보보호 관리체계 표준화 항목을 수용하기 위해 “분야별 정보보

호 관리체계 및 인증” 항목을 추가하였음. Ver.2015 “공통기반보안”으로 분류되었던 “악성

코드분석”은 “네트워크보안” 분류로 이관되었음. 또한 Ver.2015에서 “서비스보안”으로 분류

되었던, “개인정보보호”는 “공통기반보안”의 표준화 항목으로 포함되어 기술되었음

<버전별 표준화 항목 비교표>

Ver.2016


공통평가기준 공통평가기준/공통평가방법론

유형별 보안성 시험평가기준공통평가방법론

정보보안 사고관리 지침 - -

정보보호관리 전문가 인증기준 정보보호 경영전문가 자격 기준 정보보호 경영전문가 자격 기준

- 정보보호 감사관리 지침 정보보호 감사관리 지침

- -분야별 정보보호 관리체계 및 인

증

Identity 관리 기반 기술 Identity 관리 기반 기술 Identity 관리 기반 기술

모바일 결제 기술 모바일 결제 기술 모바일 결제 기술




Ver.2016 중점 추진방향

§ (암호기술) IoT/M2M, 스마트폰 정보보호체계 구축 필요성이 증가함에 따라, 이의 근간이 되는 경량, 고속 암호알고리즘 및 응용기술 표준화에 중점을 둠

§ (인증기술) 비밀번호의 자리수(10자리)도 증가하고 스마트폰 환경에서 입력하는 것도 어렵고 최근 스마트폰에서 제공하는 지문인식 기반의 FIDO 표준과 공인인증서와 결합하여 편리성과 안전성을 제공하기 위한 기술 개발 및 국내 표준화를 중점 진행 예정, 또한 전자거래의 해킹사고가 점차 정교해짐에 따라 금융권역 등에서 사용자의 보안성 및 편의성 향상에 중점한 다중요소 인증기술과 다양한 인증기술을 통합 관리하는 기능을 제공하여 인증체계 간 상호운용성과 보안성을 강화하는 범용인증체계 표준화에 중점을 둠

§ (보안관리/보안평가) 보안 관리 활동의 사각지대에 있는 중소기업을 포함하여 정보보호 관리 체계의 효과적인 운영을 위한 표준화를 통하여 보안 사고의 발생 가능성을 최소화 하는 것에 중점을 둠. 통신조직을 위한 정보보안통제 실무지침의 국제 표준화와 동시에 국내 표준화를 진행하고 클라우드 서비스 제공자의 보안 인증기준을 국내 표준화함. 정보보호 경영 전문가 인증기준의 국제 표준화 작업이 진행되는 단계에 따라 국내 전문가 자격 요건을 꾸준히 반영. 보안평가 관련해서는 정보보호제품 평가 기준은 Collaborative Protection Profile(cPP) 개발을 위한 제품 기술별 기술커뮤니티를 구성하여 필수보안요구사항 등의 개발이 활발하게 진행되고 있어, 제품 기술별 보안요구사항 및 평가 기술 표준화에 중점을 둠, 암호모듈에 대한 표준화가 활발히 진행되고 있으므로 국내전문가 회의를 통한 암호모듈 국제표준 모니터링과 기술적인 대응에 중점을 둠, 더불어 국내에서 제안한 운영환경에 따른 암호모듈 적용 가이드라인의 국제표준 다음 단계 진입을 추진함

§ (개인정보보호) 기존 상용 모바일 결제 기술의 취약점을 보완하고, 사용자의 바이오 정보와 연계된 결제서비스 및 비컨(Beacon), HCE(Host-based Card Emulation), NFC Card 등 새로운 환경과 보안 위협에 대비한 모바일 결제 및 개인정보보호 기술의 표준화를 중점 추진함, 또한 개인정보가 다양한 환경에서 이용됨에 따라 각 응용별 개인정보보호를 위한 가이드라인 제작 및 개인정보보호의 성숙도 평가 방법 표준화 중점 추진 중



2. 국내외 시장/기술개발/IPR/표준화 현황분석

2.1. 시장 현황 및 전망

¡ 국내 시장 현황 및 전망

- 암호/인증 제품의 연평균성장률은 4.8%로 2017년 1,426억 원의 매출을 기록할 것으로 예

상되며, 보안관리 제품의 경우 4.8%의 연평균성장률로 2017년 1,483억 원의 매출을 기록

할 것으로 전망됨. 특히, 신규 개시된 개인정보보호 인증제도 영향으로 2013년 개인정보보

호 컨설팅 서비스 매출은 2012년에 비해 7.2% 증가함. 한편 교육훈련 서비스 매출은

53.4%로 크게 증가하였는데, 이는 보안인력의 전문성에 대한 요구를 간접적으로 보여주는

것으로 볼 수 있음

- 경량고속 암호기술의 필요성 증가와 함께 개인정보보호 유출로 인한 폐해를 막기 위한 DB

암호화 시장은 지속적으로 확대될 전망임. 또한, 2007년도 OTP통합인증센터 설립 이후

2015년 6월 OTP 기기의 발급자 수는 약 1,300만 명이며, 소비자피해에 대한 금융회사 책

임강화로 보다 안전한 인증매체인 OTP의 이용은 전자금융 분야를 중심으로 계속적으로 증

가될 전망임

- ‘개인정보보호법’에 따른 제도 시행에 따라 정보보호 관리체계에 대한 요구는 계속 증가할

전망이며, 아울러, 한국인터넷진흥원(KISA) 등 7개 기관에서 수행하고 있는 정보보호제품

보안성 평가는 2014년도에 89개 제품이 CC인증을 받았으며, 2015년 8월 말 기준 71개 제

품이 인증을 받았으며, 암호모듈 검증 관련하여, 2014년도에 13개 암호모듈이 검증을 완료

하였으며, 2015년도 9월 기준 5개 모듈이 검증을 완료하였음

¡ 국외 시장현황 및 전망

- 전체 정보보호 제품 시장에서 Endpoint Security, Network Security 제품이 높은 비중을 차

지하고 있으며, 연평균 성장률은 각각 6.4%, 6.1%로 예상됨. 2017년 Endpoint Security 제

품 시장 규모는 11,007억 달러, Network Security 제품 시장은 10,671억 달러로 전망됨 (표

3 참조)

- 다중요소 인증 기술 시장의 주요업체는 RSA Security(미국), 바스코(미국), 젬알토(네델란드),

사프란 SA(프랑스), 후지쯔(일본), CA테크놀로지(미국), NEC(일본) 등이 있으며,

이중(Two-factor)인증기술은 은행과 정부 등에서, 삼중(Three-factor)인증기술은 은행의

금고와 비밀데이터 액세스 등에서, 사중 및 오중인증기술은 국방과 정부 기반

응용프로그램에서 주로 사용됨. 다중요소 인증 기술 시장가치는 2015년에서 2020년까지

연평균(CAGR) 17.7%, 96억 달러로 성장할 것으로 예상됨(출처: MarketsandMarkets, 2015)

- SVM(Security & Vulnerability Management) 분야는 2016년까지 연평균 성장률(CAGR)

10.2%로 62억불까지 지속적으로 성장할 것으로 예상되며, SIEM(System Information and

Event Management) 제품군 단독 시장은 CAGR 11.3%로 23억불까지 성장할 것으로 예측

됨 (출처: IDC, 2013)

Ver.2016


- 보안관리 관련하여, ISO 27001 국제 시장은 지속적으로 증가하고 있으며 27009 표준화 진

행이 완료될 경우 이에 따른 섹터별 서비스 별 시장 증가가 예상됨. 현재 섹터 별 인증기

준으로는 통신, 에너지, 클라우드, 개인정보보호 등의 표준이 개발되고 있음. 보안평가 관련

해서는 ‘15년 6월 싱가포르가 CCRA(국제 공통기준 상호인정협정) 회원국을 탈퇴하여 현

재 CCRA는 25개 국가(인증서 발행국 17개국, 인증서 수용국 8개국)가 회원국으로 활동 중

이며, ‘14년도에 257개 제품이 인증되었음



2.2. 기술개발 현황 및 전망

기술개발수준

국내 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화 국내외격차

-0.5년국외 □기술기획↦□설계↦□구현↦□프로토타입/시제품↦■상용화

¡ 차세대 암호 알고리즘 및 적용

- 국내 기술개발 현황 및 전망 : IoT/M2M, 스마트폰 등에 적합한 세계 최고 수준의 경량고

속 블록암호 LEA, 해쉬함수 LEA와, 주민번호 등의 개인정보보호에 적합한 세계 최고 수준

의 형태보존 FEA를 개발하였으며, SKT, KIST 등에서 양자키분배장치를, 국가보안기술연구

소에서 양자키분배 안전성실증 기술을 개발 중

- 국외 기술개발 현황 및 전망 : 미국 NIST의 SHA-3 공모사업을 통해 해쉬함수 기술 수준

이 급격하게 발전하였으며, 최근에는 암호화와 인증을 동시에 수행할 수 있는 인증암호화

운영모드에 대한 연구가 활발하며, 양자암호 분야에서는 시험망 운영을 목적으로 하는 기

술 개발이 활발함

¡ PKI 기반 인증 및 응용기술

- 국내 기술개발 현황 및 전망 : 통신사(SKT, KT, LGU+) 중심으로 USIM에 공인인증서를 보

관하는 스마트인증 서비스가 제공 중이고, 은행권을 중심으로 하여 금융Micro SD를 이용

하여 결제, 인증서 저장 등을 제공하는 서비스가 시범사업 진행 중이고, 스마트폰의

Trustzone 영역에 안전하게 인증서를 저장하는 서비스도 준비 중이고, ETRI는 NFC 기반의

체크카드에 공인인증서를 저장하여 온/오프라인에서 전자서명을 제공할 수 있는 스마트사

인(SmartSign)기술을 개발함, 공인인증에 대한 안전성 강화 및 고객의 편리성 제공을 위하

여 KISA 중심으로 운영체계, 웹브라우저, 단말기에 종속되지 않도록 웹표준(HTML5 등) 기

반의 전자인증서비스 환경 조성이 진행 중이고, H/W보안토큰 협의체를 중심으로 H/W 보

안토큰에 대한 통합드라이버 개발하였고, 공인인증기관 중심으로 안전디스크 개발이 진행

하여 하드디스크(NPKI 폴더)의 보다 안전한 이용환경 제공을 하고자 함

- 국외 기술개발 현황 및 전망 : 전자문서형식인 PDF에 대한 전자서명 기술로 어도비사의

echoSign, 구글의 DocuSign, 헬로사인의 HelloSign 등이 서비스 중이고 유럽 지역에서는

별도의 ActiveX없이도 USIM내의 SIM 툴킷을 이용한 사용자 인증 및 서명이 가능한 기술

이 서비스 중이고 Entrust와 같은 해외 솔루션업체의 경우 인증서비스를 Cloud환경에서 제

공하여 쉽게 적용 및 유지보수가 가능하고 구축 비용절감효과를 제공하고, FIDO(Fast

Identity Online)라는 사용자 인증을 강화하기 위한 표준 프레임웩을 제공하기 위한 표준단

체를 통하여 서버환경의 변경 없이 다양한 인증수단(Bio 정보, 보안토큰 등)할 수 있는 표

준 규격FIDO1.0이 제정되었고 FIDO 2.0이 제정 중임

Ver.2016


¡ 범용 인증체계

- 국내 기술개발 현황 및 전망 : 범용인증기술로 금융권역의 OTP 통합인증센터,

미래창조과학부의 공인인증체계 등 OTP와 PKI가 일부 특정 인증기술에 국한되어 통합

사용되고 있으나, 이 뿐만 아니라 다양한 인증기술이 통합하여 이용할 수 있는 범용

인증서비스 체계로 확대될 전망임. 특히 스마트폰, ATM 등에 기반 한 지문, 얼굴인증,

홍채인증 등 바이오 인증기술이 개발되고 있어 이를 수용 가능한 범용 인증체계로 확대될

전망임

- 국외 기술개발 현황 및 전망 : 싱가포르는 국가인증체계(NAF, National Authentication

Framework)를 통해 전 국민을 대상으로 공공·금융·민간을 통합하는 인증서비스를 제공하고

있으며, 노르웨이는 BankID를 통해 금융권역의 범용 인증서비스를 제공하고 있음. 특히,

VeriSign, Entrust, Gemalto 등 다양한 보안업체의 연합인 OATH(Open AuTHentication)와

ARM社, Bank of America, Google, PayPal, RSA社, 삼성SDS 등의 연합인 FIDO(Fast

IDentity Online) Alliance에서 범용 인증서비스 프레임워크 기술을 발표하고 있어, 범용

인증체계 기술의 수요는 전 세계적으로 점차 증가할 것으로 전망됨

¡ 차세대 다중요소 인증 기술

- 국내 기술개발 현황 및 전망 : 스마트기기의 발달과 함께 모바일기기를 활용하여 보안성을

강화할 수 있는 다중채널, 다중요소를 포함한 차세대 다중 인증기술의 중요성이 점차

부각됨. 이에 따라, IC카드와 모바일기기 등을 이용하여 위변조 및 복제에 대응하고 동시에

공인인증서를 관리하거나, OTP 생성, 2채널인증, 바이오 인증 등의 인증기술이 개발되어,

일부 기술은 이미 시범서비스가 추진되고 있음. 특히, 핀테크(FinTech, Financial과

Technology의 합성어) 활성화 정책과 더불어 기존 전자거래 과정의 최소화 및 간편화

요구 증대와 기술적용에 따라 상대적으로 취약할 수 있는 전자거래 전반의 안정적

서비스를 위해 다중요소 인증기술의 수요는 점차 증가할 것으로 전망됨

- 국외 기술개발 현황 및 전망 : 미국, 싱가포르 등에서는 고위험거래 시 멀티팩터 인증의

사용을 적극 권고하고 있으며, 영국을 중심으로 유럽 전반에서는 EMV의 CAP을 지원하는

IC카드 단말기를 통해 일회용 비밀번호를 생성하는 등 다중요소 인증기술이 널리 이용되고

있음. 또한, 독일의 일부 은행에서는 IC카드가 내장된 전용 단말기로 PKI 방식의 전자서명을

생성하는 기술이 사용되고 있음. 특히, 스마트기기의 바이오센서 기술 향상 및 보급

활성화로 전자결제 분야에서 다중요소 인증기술의 이용 요구가 더욱 증가할 것으로 전망됨

¡ 유형별 보안성 시험평가기준

- 국내 기술개발 현황 및 전망 : 평가기관, 학계 및 제품 개발자 간 연계하여 정보보호제품

유형 별 보안규격 개발 및 보안규격 기반 국내용 평가 제도를 운영하고 있으며, 평가기관

간 기술 공유를 통해 평가 일관성 제고 및 보안성 검증 강화하고 있음

- 국외 기술개발 현황 및 전망 : 국제적인 기술 커뮤니티(Working Group)를 구성하여 협업에 의

한 공통 보호프로파일(cPPs) 및 관련 보조 문서를 개발하고 있음



¡ 정보보호 경영전문가 자격 기준

- 국내 기술개발 현황 및 전망 : 2013년 정보보안 분야 국가기술자격 종목이 신설됨에 따라

기존 정보보호전문가(SIS) 자격검정이 ‘13년부터 정보보안기사/정보보안산업기사 자격검정으

로 전환. 다수의 합격자 배출됨

- 국외 기술개발 현황 및 전망 : 스웨덴은 2013년 정보보안경영전문가 자격을 국가자격으로

인정하여 50명 정도의 인력을 배출하고 있으며 일본은 정보보안기술사 자격을 관리하고 있

음. 또한 ISACA의 CISM, ISC2의 CISSP 등이 정보보안관련 자격으로 ISO 17024에 따라 인정

받은 상태임. 또한 유럽연합에서는 ICT 관련 자격 요건을 체계화한 e-Competence

Framework(e-CF) 3.0을 개발하여 이 내부에 정보보안 전문가의 자격 요소를 졍의하고 있음

¡ 정보보호 감사관리 지침

- 국내 기술개발 현황 및 전망 : 정보보호 관리체계(ISMS), 개인정보보호관리체계(PIMS), 개

인정보보호인증제(PIPL) 등 정부 규제를 중심으로 정보보호 관리체계가 수립 운영되고 있

으나 제도의 중복성과 자발적인 참여에 의한 성숙이 필요함. 유사 인증의 통합 등 통제 항

목에 대한 중복성 및 효과적인 점검기준을 마련하기 위한 검토와 논의가 지속되고 있음.

- 국외 기술개발 현황 및 전망 : ISO27001을 기반으로 개발되어 오던 정보보호 관리체계에

대한 표준이 2013년 ISO/IEC 29151의 개인정보보호 관리체계까지 확장 개발되고 있어 정

보보호 관리체계에 대한 국제 표준화도 더욱 활발해지고 있음

¡ 분야별 정보보호 관리체계 및 인증

- 분야별 정보보안경영체계 인증 요구사항

Ÿ 국내 기술개발 현황 및 전망 : 국내에서는 개인정보보호 외에는 별도의 분야별 경영체

계 지침이 활성화되지 않음

Ÿ 국외 기술개발 현황 및 전망 : ISO/IEC JTC 1 SC 27에서는 ISO 27002외에 27011(통신),

27017(클라우드), 27018(클라우드 개인정보보호), 27019(에너지), 29151(개인정보보호)등

27002에 기반하여 추가적인 통제를 제시하는 지침을 개발하고 있으며, 지난 2012년부

터는 27002 대신 이들을 이용하여 ISO 27001 인증을 제공하는 방법에 대한 지침인

ISO 27009를 개발하고 있음

- 중소기업 정보보호 관리체계

Ÿ 국내 기술개발 현황 및 전망 : 정보보호 활동의 사각지대에 놓이고 있는 중소 규모의

조직에 대해 최소한의 정보보호 활동 기준을 제시하고 객관적인 수준 측정과 함께 자율

경재를 유도하기 위하여 정보보호 준비도 평가 제도가 도입 되어 운영되고 있음

Ÿ 국외 기술개발 현황 및 전망 : 기존의 정보보호 관리체계인 ISO27001과 ISMS의 요구사항 및

통제 항목이 규모에 의존적이 않는 구성되어 있음에도 불구하고 정보보호 관리체계는 투자와

관심의 여력이 있는 조직에 한해 운영되어지고 있음. 이에 ITU-T에서는 중소조직의 통신기업의

환경 특성을 고려하여 이를 반영한 표준(X.Sgsm)를 일본과 한국에서 주도하여 개발하고 있음

Ver.2016


- 클라우드 보안인증 기준

Ÿ 국내 기술개발 현황 및 전망 : 국내 클라우드 서비스 시장은 규모는 작지만 지속적인

성장세를 유지하고 있으며, 클라우드 관련 서비스나 SW, HW 등을 개발하고 공급하는

기업들의 수는 계속해서 증가하고 있음. 2015년 클라우드컴퓨팅 발전 및 이용자 보호에

관한 법률이 통과, 시행되면서 클라우드컴퓨팅 이용을 촉진하기 위하여 보안에 대한 우

려를 해소하고자 클라우드 보안 인증제도의 도입이 계획되고 있음

Ÿ 국외 기술개발 현황 및 전망 : ISO/IEC 및 ITU-T에서 공동 개발중인 클라우드 서비스를

위한 정보보안 지침(X.1631|27017)이 2016년 제정될 예정이며 클라우드 서비스를 위한

개인정보보안 지침은 2018년 제정 예정으로 진행되고 있음. 이러한 국제 상황에 따라

국제 요건을 반영하면서 국내 시장을 보호하기 위한 국내 인증기준의 개발 및 표준화가

요구됨

- 통신조직을 위한 정보보안지침

Ÿ 국내 기술개발 현황 및 전망 : 이미 KT, SKT, LG등 중요 통신사가 정보보안경영체계 인

증을 유지하고 있는 상태에서 국내 최신 보안 실무를 국제 표준화 작업에 반영하고 있

는 상황임

Ÿ 국외 기술개발 현황 및 전망 : ISO/IEC 및 ITU-T에서 공동 개발중인 통신조직을 위한

정보보안 지침(X.1051|27011)이 2016년 개정될 예정이며 에디터쉽 확보로 국내 실무를

충분히 반영한 상황이므로 동시에 국내 표준화할 예정임

¡ Identity 관리 기반 기술

- 국내 기술개발 현황 및 전망 : ETRI는 스마트 환경에서의 안전한 개인정보 유통을 위해, ID정

보, 인증정보를 보호하고 이용하기 위한 ‘터치사인’ 기술을 ‘13년 말 개발 완료하였음. 현재

O2O 환경에서 운영가능한 ID 관리 기술이 연구 진행 중임

- 국외 기술개발 현황 및 전망 : 2012년부터 시작된 미국의 NSTIC 프로젝트는 온라인 거래의

안전성을 높이기 위해 소비자가 인터넷 거래를 할 때 사용할 수 있는 인증 ID(인터넷 신분증)

를 제공하기 위하여 매년 700만 달러 규모의 파일럿 프로젝트를 수행함

¡ 모바일 결제 기술

- 국내 기술개발 현황 및 전망 : 국내 모바일 결제 서비스는 국내 통신사를 주도로 금융사,

제조사, 유통사 마다 특화된 전자지갑(페이) 서비스를 서로 경쟁적으로 출시하며 극심한 경

쟁을 하고 있음

- 국외 기술개발 현황 및 전망 : 애플은 작년에 NFC와 지문인식 기술에 보안칩을 이용하여

사용자의 지문정보와 카드정보를 관리하는 스마트카드 기반의 결제시스템인 애플페이를

출시하여 미국에서는 빠르게 사용자를 확보하고 있는 상황이며 섬성, 구글 등의 글로벌 벤

더들은 의 FIDO를 기반으로 하는 인증서비스 구축에 많은 관심을 기술이고 있음



¡ 개인정보보호 정책 및 운영관리 기술

- 국내 기술개발 현황 및 전망 : ETRI가 SNS의 비정형 개인정보 추출 및 분석 기술을 개발

하는 등 기존의 정형 개인정보 대상의 개인정보보호기술이 발전하여 비정형 개인정보에

대한 개인정보보호기술의 개발이 수행되고 있음. 또한 사물인터넷 보안 기술 개발이 활성

화됨에 따라 신뢰컴퓨팅 기반(TCB: Trusted Computing Base)이 확대되어 사물인터넷 환경

에서 개인정보보호 정책의 준용이 보장되는 기술로 발전할 것으로 전망됨.

- 국외 기술개발 현황 및 전망 : 국외는 우리나라의 주민등록번호와 같이 민감한 개인정보가

없는 상황으로 개인정보의 유출방지 기술은 중점적으로 개발되고 있지 않으며, 이보다는

개인정보 관리 및 프라이버시 보호기술이 중점적으로 개발되고 있음. 특히 Facebook 등

SNS 나 구글 등 인터넷 업체들이 빅데이터 분석기술을 바탕으로 프라이버시를 침해하는

문제가 발생함에 따라 이를 해결하기 위한 프라이버시 보호기술 개발이 활성화되고 있음

Ver.2016


2.3. IPR 현황 및 전망

¡ 공통기반보안 중점 표준화 항목별 특허출원 동향 (국내)

기술차세대 암호

PKI 기반 인증

범용인증 체계

차세대 다중인증

개인정보보호

Identity 관리

보안 관리/평가

총계

출원건수 161 275 905 28 167 468 77 2081

v.2015 114 221 781 23 145 406 67 1757

* 한국 특허 분석구간(1996년~2015년) : 출원일 기준으로 분석하며, 일반적으로 특허출원 후 18개월이 경과된 때에 출원관련정보를 대중에게 공개하고 있음. 따라서 아직 미공개 상태의 데이터가 존재하는 2014년이후 자료의 경우 미공개분이 존재함을 고려해야함

* ‘범용 인층 체계’ 기술의 경우, v.2015에서는 ‘통합 인증’과 ‘OTP기반 인증’으로 구분하여 특허를 분석하였으나, v.2016에서는 통합하여 특허분석을 수행함

- 중점 표준화 항목 중 ‘범용 인증 체계’ 기술과 관련된 IPR이 가장 많았으며, ‘Identity 관리’,

‘PKI 기반 인증’, ‘개인정보 보호’, ‘차세대 암호’, ‘보안 관리/평가’, ‘차세대 다중 요소 인증’

기술의 순임

- 연도별 출원 동향을 살펴보면, 전체 항목별로 1990년대 후반부터 출원양이 증가하기 시작

하여 현재까지 꾸준한 출원이 이어지고 있음

- ‘범용 인증 체계(OTP기반 인증)’ 기술의 경우 2009년 출원양이 급격히 증가하였다가 감소

추세로 돌아선 이후, 최근 들어 다시 증가하는 추세를 나타내고 있음

- ‘Identity 관리’ 및 ‘PKI기반 인증’ 기술은 2000년대 후반 들어 점차 증가하는 모습을 나타

내는 것으로 보아, 향후 출원양이 더욱 증가할 것으로 예상됨



- v.2015 분석 결과와 비교했을 경우, 전체 표준화 대상 항목별로 특허 건수가 증가하였으며,

특히 ‘PKI 기반 인증’ 및 ‘범용 인증 체계’ 기술은 가장 최근인 2013년도에 출원양이 증가

한 것으로 보아 해당 기술에 대한 관심도가 높은 것으로 판단되고, 앞으로 특허 출원양이

증가할 것으로 예상됨

- 향후 개인정보보호에 대한 중요성이 더욱 커지고, Identity 관리 및 인증서(OTP 포함) 기반

인증 서비스가 확대되면서, 공통기반 보안 분야의 기술에 대한 지속적인 연구개발과 함께

특허 출원이 증가할 것으로 예상됨

¡ 공통기반보안 중점 표준화 항목별 출원인 동향 (국내)

기술

출원인

차세대암호

PKI 기반 인증

범용 인증체계


개인정보 보호

Identity 관리

보안 관리평가

총계

1 비즈모델라인 0 6 143 2 0 10 0 161

2 ETRI 37 19 52 1 2 26 10 147

3 KT 1 19 36 2 4 33 3 98

4 삼성전자 9 17 12 1 5 32 0 76

5 SK텔레콤 7 7 10 0 7 8 5 44

6 SK플래닛 0 6 16 0 2 6 1 31

7 에이티솔루션즈 0 1 29 0 0 0 0 30

8 LG전자 0 10 1 0 7 4 0 22

9 Qualcomm 3 9 2 2 0 6 0 22

10 고려대학교 5 3 6 0 1 4 0 19

<국내 상위 10개 출원인의 각 표준화 항목별 출원 현황>

- 공통기반 보안 기술에 관련된 다수 출원인은 ‘비즈모델라인’, ‘ETRI’, ‘KT’, ‘삼성전자’, ‘SK텔

레콤’, ‘SK플래닛’ 등의 순임

- ‘비즈모델라인’ 및 ‘에이티솔루션즈’ 등은 범용인증체계(OTP기반 인증) 기술에 집중하고 있는

것으로 나타났으며, ‘ETRI’, ‘KT’ 등은 모든 기술 항목에서 특허 출원을 하는 것으로 나타남

- 상위 10개 출원인 뒤를 이어 ‘Interdigital’, ‘미래테크놀로지’, ‘신한은행’, ‘삼성SDS’, ‘한남대

학교’, ‘인포바인’, ‘LG유플러스’, ‘성균관대학교’, ‘Intel’, ‘씽크풀’, ‘우리은행’, ‘티모넷’,

‘Microsoft’, ‘Sony’ 등이 공통기반 보안 관련 기술에 대한 특허출원을 하고 있음

- 'Qualcomm', ‘Interdigital’, 'Intel', ‘Microsoft’, ‘Sony’, ‘Mitsubishi Electric’, ‘Tomson

Licensing’, ‘Matsushita Electric’, ‘Philips', 등과 같은 외국기업이 공통기반 보안 관련 기술

에 대해서 국내에 특허출원을 하고 있음

Ver.2016


¡ 공통기반보안 중점 표준화 항목별 특허출원 동향 (국외)

기술차세대 암호

PKI 기반 인증

범용인증 체계

차세대다중 인증

개인 정보보호

Identity 관리

보안 관리/평가

총계

출원건수 743 1230 1003 86 633 532 116 4343

v.2015 398 1006 735 59 525 375 77 3175

* 미국, 일본, 유럽 특허 분석구간(1995년~2015년) : 출원일 기준으로 분석하며, 일반적으로 특허출원 후 18개월이 경과된 때에 출원관련정보를 대중에게 공개하고 있음. 따라서 아직 미공개 상태의 데이터가 존재하는 2014년 이후 자료의 경우 미공개분이 존재함을 고려해야함

* ‘범용 인층 체계’ 기술의 경우, v.2015에서는 ‘통합 인증’과 ‘OTP기반 인증’으로 구분하여 특허를 분석하였으나, v.2016에서는 통합하여 특허분석을 수행함

* ‘차세대 암호’ 기술의 경우, “quantum key distribution(양자키 분배)”, “quantum cryptography(양자 암호)” 키워드를 추가하여 검색한 결과, v.2015에 비해 특허 건수가 크게 증가하였음

- 중점 표준화 항목 중 ‘PKI 기반 인증’ 기술과 관련된 IPR이 가장 많았으며, '범용 인증 체계

‘, ‘차세대 암호’, ‘개인정보 보호’, ‘Identity 관리’, ‘보안 관리/평가’, ‘차세대 다중 요소 인

증’ 기술의 순임

- 연도별 출원 동향을 살펴보면, 전체 항목별로 1990년대 중반부터 출원양이 증가하기 시작

하였으며, ‘개인정보 보호’ 기술의 경우 2000년 초반 출원양이 크게 증가한 이후 감소 추세

를 보이다가 최근 다시 증가하는 추세를 나타내고 있음

- ‘PKI 기반 인증’ 및 ‘범용 인증 체계(OTP기반 인증)’ 기술의 경우 1990년대 후반부터 큰 폭

으로 출원양이 증가되고 있음

- ‘Identity 관리’ 및 ‘차세대 암호’ 기술은 지속적으로 출원양이 증가하는 추세를 보여주고 있

으며, ‘차세대 다중 요소 인증’ 및 ‘보안 관리/평가’ 기술은 꾸준한 출원양을 유지하고 있음




특히 ‘범용 인증 체계(OTP기반 인증)’ 및 'PKI 기반 인증‘ 기술은 큰 폭으로 출원양이 증가

하는 것으로 보아 해당 기술에 대한 관심도가 높은 것으로 판단되고, 앞으로 특허 출원양

이 더욱 증가할 것으로 예상됨

- 향후 개인정보보호에 대한 중요성이 더욱 커지고, Identity 관리 및 인증서(OTP 포함) 기반

인증 서비스가 확대되면서, 공통기반 보안 분야의 기술에 대한 지속적인 연구개발과 함께

특허 출원이 증가할 것으로 예상됨

¡ 공통기반보안 중점 표준화 항목별 출원인 동향 (국외)

기술

출원인

차세대암호

PKI 기반 인증

범용 인증체계


개인정보 보호

Identity 관리

보안 관리평가

총계

1 NEC 104 56 8 0 35 0 2 205

2 NTT 52 68 8 0 15 2 1 146

3 IBM 21 16 29 1 25 34 1 127

4 SONY 25 81 4 0 8 0 0 118

5 FUJITSU 26 46 6 0 26 0 2 106

6 TOSHIBA 32 41 6 0 16 0 2 97

7 Microsoft 15 17 32 3 7 17 2 93

8Matsushita

electric7 62 3 0 11 1 0 84

9 HITACHI 16 27 8 0 22 4 5 82

10Mitsubishi

electric41 28 2 0 5 1 1 78

<국외 상위 10개 출원인의 각 표준화 항목별 출원 현황>

- 공통기반 보안 기술에 관련된 다수 출원인은 ‘NEC’, ‘NTT’, 'IBM', ‘SONY’, 'FUJITSU',

'TOSHIBA', ‘Microsoft’ 등의 순임

- 상위 10개 출원인 뒤를 이어 ‘Canon’, 'BlackBerry', 'Samsung Electronics‘, ’RICOH',

'Qualcomm', ‘FUJI XEROX’, 'Intel', 'SHARP', 'Kyoraku Sangyo', 'EMC', 'Apple', 'Alcatel

Lucent', ‘Symantec’, ‘MOTOROLA’, 'Panasonic', 'AT&T', 'ETRI' 등이 공통기반 보안 관련 기

술에 대한 특허출원을 하고 있음

- ‘NEC', 'NTT' 등 일본 기업에서는 주로 ’차세대 암호‘ 및 ’PKI 기반 인증‘ 기술 분야에 집중

하고 있으며, ’IBM', 'Microsoft' 등은 ‘범용 인증 체계(OTP기반 인증)’, ‘Identity 관리’ 기술

분야에 집중하고 있는 것으로 나타남

- '삼성전자', ‘ETRI’, 'SK PLANET', 'LG전자‘, 'SK C&C', 'SK텔레콤‘, ’KT', ‘KISA’ 등과 같은 국내

기업이 공통기반 보안 관련 기술에 대해서 국외에 특허출원을 하고 있음

Ver.2016


구분 표준(안)명개발연도

대응 TTA PG

대응 국내 포럼

국가표준대상여부

국내

TTA TTAK.KO-12.0040/R1 64비트 블록암호 HIGHT 2008

정보보호 기반

(PG501)- ○

TTATTAK.KO-12.0166 64 비트 블록 암호 알고리즘 HIGHT 운영 모드

2011

TTA TTAK.KO-12.0223 128 비트 블록 암호 LEA 2013TTA 2014-015 128비트 블록 암호 LEA 운영 모드 (개발중)

TTA TTAS.IF-RFC4196 IPsec을 위한 SEED 암호알고리즘 2006

TTA TTAS.IF-RFC4162 TLS를 위한 SEED 암호알고리즘 2006

TTA TTAS.IF-RFC4010 CMS를 위한 추가암호 알고리즘 : Part1 SEED 2006

TTA TTAS.IF-RFC3565 CMS를 위한 추가암호 알고리즘 : Part2 AES 2006

KCS KCS.KO-12.0131 기밀성과 메시지 인증을 제공하는 128 비트 블록 암호 운영 모드 2013

KCS KCS.KO-12.0166 64 비트 블록 암호 HIGHT 운영 모드 2013

TTA TTAK.KO-12.0223 128 비트 블록 암호 LEA 2013

TTA TTAK.KO-12.0246 128 비트 블록 암호 LEA 운영 모드 2014

TTA TTAK.KO-12.0241 ARIA/SEED 암호알고리즘을 이용한 키 유도함수 2014

TTATTAK.KO-12.0015/R2 부가형 전자서명 방식 표준 - 제3부: 타원곡선을 이용한 한국형 인증서 기반 전자서명 알고리즘(EC-KCDSA)

2014

TTATTAK.KO-12.0001/R3 부가형 전자서명 방식 표준 - 제2부: 한국형 인증서 기반 전자서명 알고리즘(KCDSA)

2014

TTA TTAK.KO-12.0123 IPTV 서비스 보호를 위한 SEED/ARIA 스크램블링 알고리즘 2009

사이버보안

(PG503)- ○TTA TTAI.OT-12.0012 MIKEY에서 SEED알고리즘

사용을 위한 파라미터 2009

TTA TTAI.OT-12.0011 SRTP에서 SEED알고리즘 2009

2.4. 표준화 현황 및 전망

표준화수준

국내 □기획↦□항목승인↦■개발/검토↦□최종검토↦□제/개정표준화

격차/특성

-1년

국제 □기획↦□항목승인↦□개발/검토↦■최종검토↦□제/개정 병행

¡ 차세대 암호 및 적용

- 국내 표준화 현황 및 전망 : ARIA, SEED등 국내에서 자체 개발한 블록암호 알고리즘을 다

양한 보안 프로토콜에서 활용할 수 있도록 NIST에서 정의한 운영모드 기반으로 표준화하

고 있으며, 경량 ICT, 빅데이터 환경에 적합한 암호 알고리즘 표준화가 이루어질 예정이며,

양자암호에 대한 표준화가 준비기간을 거쳐 추진될 예정

- 국외 표준화 현황 및 전망 : IETF를 통해 AES를 기반 블록암호로 사용하는 NIST 승인 운

영모드를 IETF에서 표준으로 제정된 다양한 보안 프로토콜에서 활용하는 방안에 대한 표준

화가 진행 중에 있으며, NIST가 2012년 선정한 SHA-3는 SHA-2에 부가적인 해시함수로 여

러 기구에서 표준화 될 것으로 전망되며, 양자암호분야는 ETSI가 주로 표준화를 추진하고

있어, 국제 표준화는 3년 이후에 활발히 추진될 것으로 예상됨



운영방법

TTA TTAE.IF-RFC5748 MIKEY에서 SEED 알고리즘 사용을 위한 파라미터 정의 2011

TTA TTAE.IF-RFC5669 SRTP에서 SEED알고리즘 운영 방법 2011

TTA TTAK.KO-12.0174 IPsec에서의 ARIA 암호 알고리즘 운영 방법 2011

TTA TTAK.KO-12.0115/R1 SRTP에서의 ARIA 암호 알고리즘 운영 방법 2011

TTA TTAK.KO-12.0114/R1 TLS에서의 ARIA 암호 알고리즘 운영 방법 2011

TTA TTAK.KO-12.0201 MIKEY에서 ARIA 알고리즘 사용을 위한 파라미터 정의 2012

TTA TTAK.KO-12.0202 DTLS-SRTP에서 ARIA 알고리즘 사용을 위한 파라미터 정의 2012

TTA TTAE.IF-RFC6188 SRTP에서의 AES-192/256 운영 방법 2012

TTA TTAK.KO-12.0228 CMS를 위한 추가암호 알고리즘 : Part3 ARIA 2013

KCS KCS.KO-12.2000 TLS∙SRTP∙MIKEY에서 블록 암호 SEED 활용 방법 2013

KCS KCS.KO-12.2001 TLS∙SRTP∙MIKEY에서 블록 암호 ARIA 활용 방법 2013

TTA TTAE.IF-RFC5763 SRTP에서 DTLS 활용을 위한 프레임워크 2013

TTA TTAE.IF-RFC5996 인터넷 키 교환(IKEv2) 프로토콜 2014

국제

NIST FIPS 197 Advanced Encryption Standard 2001

정보보호 기반

(PG501)

사이버보안

(PG503)

-X

NIST FIPS 180 Secure Hash Standard (SHS) 2012

NISTFIPS 202 SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions

2014

NISTSP 800-38B Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication

2005

NISTSP 800-38E Recommendation for Block Cipher Modes of Operation: The XTS-AES Mode for Confidentiality on Storage Devices

2010

NISTSP 800-135 Rev. 1 Recommendation for Existing Application-Specific Key Derivation Functions

2011

NISTSP 800-131 A Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths

2011

NISTSP 800-38F Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping

2012

NISTSP 800-130 A Framework for Designing Cryptographic Key Management Systems

2013

NISTSP 800-56 A Rev. 2 Recommendation for Pair-Wise Key-Establishment Schemes Using Discrete Logarithm Cryptography

2013

NISTSP 800-56 B Rev. 1 Recommendation for Pair-Wise Key-Establishment Schemes Using Integer Factorization Cryptography

2014

NISTSP 800-52 Rev. 1 Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS)

2014

ISO/IEC JTC1

ISO/IEC 18033-3 Encryption algorithms - Part 3 : Block Ciphers

2010

ISO/IEC JTC1

ISO/IEC 18033-4 Encryption algorithms - Part 4 : Stream Ciphers

2011

ISO/IEC JTC1

ISO/IEC 29192-2 Lightweight cryptography – Part : 2 Block ciphers

2012

Ver.2016



대응 TTA PG



국내

TTA TTAK.KO-12.0054/R1 i-PIN 서비스 프레임워크 2011

정보보호 기반

(PG501)- ○

TTATTAK.KO-12.0001/R3 부가형 전자서명 방식 표준 - 제2부: 한국형 인증서 기반 전자서명 알고리즘(KCDSA)

2014

TTATTAK.KO-12.0015/R2 부가형 전자서명 방식 표준 - 제3부: 타원곡선을 이용한 한국형 인증서 기반 전자서명 알고리즘(EC-KCDSA)

2014

TTATTAK.KO-12.0250 대면거래에서의 전자서명 규격

2014

TTATTAK.KO-12.0259 HTML5 로컬 스토리지에 저장되는 데이터의 암복호화 프레임워크

2014

KISAKCAC.TS.UI 공인인증기관간 상호연동을 위한 사용자 인터페이스 기술규격

2015

- XKISAKCAC.TS.HSMS 보안토큰 기반 공인인증서 저장형식 기술규격

2009

KISAKCAC.TS.HSMU 보안토큰 기반 공인인증서 이용기술 규격

2014

ISO/IEC JTC1

ISO/IEC 29192-3 Lightweight cryptography – Part : 3 Stream ciphers 2012

ISO/IEC JTC1

ISO/IEC 29192-4 Lightweight cryptography – Part 4: Mechanisms using asymmetric techniques

2013

IETFRFC 5669 - The SEED Cipher Algorithm and Its Use with the Secure Real-Time Transport Protocol (SRTP)

2010

IETF

RFC 5930 - Using Advanced Encryption Standard Counter Mode (AES-CTR) with the Internet Key Exchange version 02 (IKEv2) Protocol

2010

IETF RFC 6209 - Addition of the ARIA Cipher Suites to Transport Layer Security 2011

IETF RFC 6367 - Addition of the Camellia Cipher Suites to Transport Layer Security 2011

IETF RFC 6188 - The Use of AES-192 and AES-256 in Secure RTP 2011

IETF RFC 6655 - AES-CCM Cipher Suites for Transport Layer Security 2012

IETF RFC 6803 Camellia Encryption for Kerberos 5 2012

IETF RFC 7251 AES-CCM Elliptic Curve Cryptography (ECC) Cipher Suites for TLS 2014

¡ PKI 기반 인증 및 응용 기술

- 국내 표준화 현황 및 전망 : PKI 기반의 인증의 경우 보안토큰 기반 공인인증서 이용기술

규격(2014.4), 무선단말기에서의 공인인증서 저장 및 이용 기술규격(2015.4), 스마트 인증을

위해 공인인증기관간 상호연동을 위한 사용자 인터페이스 기술규격 개정(2015.4) 되었고,

HTML5 등의 웹표준 기반의 규격의 경우 국제표준화 활동과 병행하여 진행 중이고 하드디

스크(NPKI 폴더) 제거를 위한 안전디스크 적용하기 위한 국내기술 규격 개정 작업도 진행

예정임

- 국외 표준화 현황 및 전망 : PKI 관련 국제표준의 경우 IETF의 표준화(pkix) 부분은 종료되

었고 W3C의 HTML5 국제 표준화에 적극 참여 중임

- 국내외 관련표준 대응 리스트



KISA KCAC.TS.KP 전자서명키 보호기술 규격 2009

KISAKCAC.TS.ACUG 전자서명인증체계 공인인증서 갱신 규격

2009

KISAKCAC.TS.CM 무선단말기에서의 공인인증서 저장 및 이용 기술규격

2015

KISAKCAC.TS.CT 무선단말기와 PC간 공인인증서 전송을 위한 기술규격

2012

국제

IETFRFC 3820 Internet X.509 Public Key Infrastructure Proxy Certificate Profile

2004

정보보호 기반

(PG501)- ○

IETFRFC 3779 X.509 Extensions for IP Addresses and AS Identifiers

2004

IETFRFC 3770 Certificate Extensions and Attributes Supporting Authentication in PPP and Wireless LAN

2004

IETFRFC 3739 Internet X.509 Public Key Infrastructure: Qualified Certificates Profile

2004

IETFRFC 3709 Internet X.509 Public Key Infrastructure: Logotypes in X.509 certificates

2004

ISO/IEC JTC1/SC27/

WG1

ISO/IEC 18014-1 Time stamping services and protocols- Part 1 : Framework

2002

ISO/IEC JTC1/SC27/

WG2

ISO/IEC 18014-2 Time stamping services and protocols - Part 2 : Mechanisms producing independent tokens

2002

ISO/IEC JTC1/SC27/

WG2

ISO/IEC 18014-3 Time stamping services and protocols - Part 3 : Mechnisms producing linked tokens

2000

ISO/IEC JTC1/SC27/

WG1

ISO/IEC 15945 Specification of TTP services to support the application of digital signatures

2002

ISO/IEC JTC1/SC27/

WG1

ISO/IEC9979 Information technology-Security techniques-Procedures for the registration of cryptographic algorithms(Revision of ISO/IEC 9979:1991)

1999

ISO/IEC JTC1/SC6

ISO/IEC 9594-8 Information technology-OSI-The Directory-Public-key and Attribute Certificate framework

2000

ITU SG7X.509 Information Technology - OSI - The Directory: Public-key and Attribute Certificate framework

2000

IETF RFC 5916: Device Owner Attribute 2010

¡ 범용 인증체계

- 국내 표준화 현황 및 전망 : 2009년부터 TTA를 통해 OTP에 한정된 통합기술로부터 표준

화가 시작되었으나, 2012년부터는 OTP기술 이외에도 다양한 인증기술을 개방적으로 수용

하여 범용인증 서비스를 제공하기 위한 보안관리 요구사항 등이 개발되고 있으며, 향후에

도 지속적으로 표준화가 진행될 전망임

- 국외 표준화 현황 및 전망 : VerSign 등이 참여하고 있는 OATH(Open AuTHentication)와

Google 등이 참여하는 FIDO연합에서 OTP를 포함한 PKI, 바이오 인증 등을 특정

서비스제공자가 통합 제공하는 상업용 아키텍처는 개발 완료된 상태이나 국제기구에서의

표준화는 미비한 상황임. 이에 따라 한국 주도로 2012년에 통합인증 서비스 프레임워크를

제안하여 X.1159가 2014년 표준화가 완료되었으며, 향후에도 ISO/IEC JTC1, IETF 등의

Ver.2016



대응 TTA PG



국내

TTATTAK.KO-12.0128. 일회용 패스워드(OTP) 통합인증 서비스 프레임워크

2009

정보보호기반

(PG501)

- X

TTATTAK.KO-12.0168, 일회용 패스워드(OTP) 기반 통합인증 서비스 관리 프로토콜

2011

TTATTAK.KO-12.0194, 통합인증 기반 부인방지 서비스 프레임워크

2012

TTATTAK.KO-12.0192, IC칩 기반 보안 매체를 활용한 통합형 사용자 인증 서비스 프레임워크

2012

TTATTAK.KO-12.0218/R1, 일회용 패스워드(OTP) 통합인증 서비스 프레임워크(개정)

2013

TTATTAK.KO-12.0245, 신뢰기관을 이용한 통합인증서비스 보안 요구사항

2014

TTATTAK.KO-12.0247, 전자거래 보증 수준별 인증방법 요구사항

2014

TTATTAK.KO-12.0244, 전자거래 단계별 위험수준에 대한 인증서비스 지침

2014

국제

ITU-TX.813: Information technology – Open Systems Interconnection – Security frameworks for open systems: Non-repudiation framework

1996

정보보호기반

(PG501)

ITU-TX.1254, Entity authentication assurance framework

2012

ITU-TITU-T X.1159, Delegated non-repudiation architecture based on X.813

2014

ISO/IEC

ISO/IEC 10181-4:1997, Information technology - Open Systems Interconnection - Security frameworks for open systems: Non-repudiation framework

1997

ISO/IECISO/IEC 13888-1:2009, Information technology - Security techniques - Non-repudiation - Part 1: General

2009

ISO/IECISO/IEC 13888-3:2009, Information technology - Security techniques - Non-repudiation - Part 3: Mechanisms using asymmetric techniques

2009

ISO/IEC

ISO/IEC 13888-2:2010, Information technology - Security techniques - Non-repudiation - Part 2: Mechanisms using symmetric techniques

2010

ISO/IEC:29115, Information technology - Security techniques - Entity authentication assurance framework

2013

OATH OATH Reference Architecture, Release 2.0 2007 -

FIDO FIDO Universal Authentication Framework 2014 -

국제표준기구와 FIDO, OATH등의 산업계 연합을 중심으로 관련 표준안의 개발이 확대될

전망임


¡ 차세대 다중요소 인증 기술

- 국내 표준화 현황 및 전망 : 이용자가 소지한 스마트기기와 IC카드 기반 기술을 연계한 멀

티팩터 인증기술의 표준화는 스마트폰이 대중화된 시점인 2012년부터 TTA의 PG501을 중

심으로 본격적으로 추진되기 시작하여 IC칩 기반 보안 요구사항 등 총 5건이 제정됨. 또한

바이오인식 기능이 탑재된 스마트기기의 보급이 증가하면서 편의성과 보안성을 제공하는

멀티팩터 인증기술 개발에 대한 산업계의 관심이 점차 증가하고 있음. 이에 따라 스마트기



구분 차세대 다중요소 인증 기술 관련 표준 목록개발연도

대응 TTA PG



국내

TTA

TTAK.KO-12.0192, IC칩 기반 보안 매체를 활용한 통합형 사용자 인증 서비스 프레임워크 2012

정보보호기반

(PG501)

- X

TTAK.KO-12.0218, 모바일기기에 적합한 IC 칩 기반 인증 모듈용 API 2013

TTAK.KO-12.0219, IC칩 기반 인증 모듈 보안 요구 사항 2013

TTAK.KO-12.0221, 모바일 기기를 이용한 다중 요소 인증 메커니즘 2013

TTAK.KO-12.0248, 국내 환경에 적합한 실체 인증 보증 프레임워크 2014

TTAK.KO-12.0198, IC 칩 기반 모바일 결제 보안 요구 사항 2012

개인정보보호 및 ID관리(PG502)

은행소위원회 금융IC카드 표준 2010

-전파연구원

KCS.KO-05.0048 모바일 터치 서비스 동글 인터페이스 규격 2012

KCS.KO-05.0048 모바일 터치 서비스 애플릿 규격 2012

국제 ISO/IEC JTC1

ISO/IEC 7816-4 Identification cards - Integrated circuit cards - Part 4: Organization, security and commands for interchange

2013


ISO/IEC 7816-3 Identification cards - Integrated circuit cards - Part 3: Cards with contacts - Electrical interface and transmission protocols

2006

ISO/IEC 7816-1 Identification cards - Integrated circuit cards - Part 1: Cards with contacts - Physical characteristics

2011

ISO/IEC 7816-2 Identification cards - Integrated circuit cards - Part 2: Cards with contacts - Dimensions and location of the contacts

2007

ISO/IEC 7816-5 Identification cards - Integrated circuit cards - Part 5: Registration of application providers

2004

ISO/IEC 14443-1 Identification cards - Contactless integrated circuit cards - Proximity cards - Part 1: Physical characteristics

2008정보보호

기반(PG501)ISO/IEC 14443-2 Identification cards -

Contactless integrated circuit(s) cards - Proximity cards - Part 2: Radio frequency

2010

기의 논리적/물리적 취약점을 보완하고, 보안성을 향상시키기 위한 관련기술들이 지속적으

로 개발될 전망이며 2018년까지 장기적으로 다양한 국내 표준기구에서 관련 표준화가 추

진될 전망

- 국외 표준화 현황 및 전망 : 전통적인 IC카드 표준은 ISO/IEC가 주도한 ISO7816, 14443을

기반으로 하며, 유럽을 중심으로 EMV가 지불결제의 보안 분야의 표준화를 주도하는 상황

임. 국내에서도 금융분야를 중심으로 스마트기기와 IC카드를 이용하는 멀티팩터 인증기

술이 개발되어, 2012년 한국 주도로 스마트 환경의 보안성 향상을 위한 국제표준안을 제

안하여 2014년 X.1158이 완료됨. 향후 해당 기술의 표준화는 다수의 글로벌기업이 참여할

전망이며, ISO/IEC, ITU-T, IETF 등에서 관련 응용기술의 표준화가 활발히 이루어질 전망


Ver.2016


power and signal interfaceISO/IEC 14443-3 Identification cards - Contactless integrated circuit(s) cards - Proximity cards - Part 3: Initialization and anticollision

2011

ISO/IEC 14443-4 Identification cards - Contactless integrated circuit(s) cards - Proximity cards - Part 4: Transmission protoco

2008

ISO/IEC 18092 Information technology - Telecommunications and information exchange between systems - Near Field Communication - Interface and Protocol (NFCIP-1)

2013

ISO/IEC 21481 Information technology - Telecommunications and information exchange between systems - Near Field Communication Interface and Protocol -2 (NFCIP-2)

2005

ISO/IEC 29115 Information technology — Security techniques — Entity authentication assurance framework

2013

ISO/IEC 13157-1 Information technology - Telecommunications and information exchange between systems — NFC Security -- Part 1: NFC-SEC NFCIP-1 security services and protocol(Revisions)

2014

ISO/IEC 13157-2 Information technology - telecommunications and information exchange between systems — NFC Security - Part 2: NFC-SEC cryptography standardusing ECDH and AES

2010

ITU-T

ITU-T X.1254, Entity authentication assurance framework 2012 정보보호

기반(PG501)ITU-T X1158, Multi-factor authentication

mechanisms using a mobile device 2014

EMV

EMV 4.2 Book1-Application Independent ICC to Terminal Interface Requirements

2008

정보보호기반

(PG501)

EMV 4.2 Book2-Security and Key Management

2008

EMV 4.2 Book3-Application Specification 2008EMV 4.2 Book4-Cardholder, Attendant, and Acquirer Interface Requirements

2008

PayPass - ISO/IEC 14443 Implementation Specification

2006

EMV Contactless Communication Protocol Specification

2009

¡ 유형별 보안성 시험평가기준

- 국내 표준화 현황 및 전망 : 2009년 12월 공통평가기준 국제표준과 일치하는 국내 표준

KS X ISO/IEC 15408-1, 15408-2, 15408-3을 개정하였으며, 2010년 12월 공통평가방법론

국제표준과 일치하는 국내 표준 KS X ISO/IEC 18045를 개정하였음, 한국암호검증제도의

암호모듈 보안 요구사항과 시험 요구사항은 2007년 각각 KS X ISO/IEC 19790과 KS X

ISO/IEC 24759로 제정되었으며, 2015년 개정

- 국외 표준화 현황 및 전망 : 고등급 평가 관련 High-assurance evaluation under ISO/IEC

15408/18045에 대한 SP(Study Period) 진행 중이며, 공통평가기준 및 공통평가방법론에 기

반한 소프트웨어 취약성 분석 방법에 대한 표준 ISO/IEC TR 20004는 Part 1: Using




대응 TTA PG 명



국내

국가표준기술원

KS X ISO/IEC 15408-1 정보기술보안 평가기준 - 제1부 : 개요와 일반모델 2009

- - O

KS X ISO/IEC 15408-2 정보기술보안 평가기준－제2부：보안기능 컴포넌트 2009

KS X ISO/IEC 15408-3 정보기술보안 평가기준－제3부：보안보증 컴포넌트 2009

KS X ISO/IEC 18045 정보 기술 보안 평가 방법론 2010

KS X ISO/IEC 19790 정보 기술 - 보안 기술 - 암호모듈 보안 요구사항 2015

KS X ISO/IEC 24759 정보 기술 - 보안 기술 - 암호모듈 시험 요구사항 2015

TTA

TTAK.KO-12.1265 스마트 폰 보안관리 제품 보안요구사항 2014

응용보안 및

평가인증(PG504)

- X

TTAK.KO-12.1263 웹 응용프로그램 침입차단 제품 보안요구사항 2014

TTAK.KO-12.1261 호스트 컴퓨터 자료유출방지 제품 보안요구사항 2014

TTAK.KO-12.1262 DDoS 대응장비 보안요구사항 2014

국제

ISO/IEC JTC1

ISO/IEC 15408-1 Evaluation criteria for IT security Part1: Introduction and general model 2009

응용보안 및

평가인증(PG504)

ISO/IEC JTC1

ISO/IEC 15408-2 Evaluation criteria for IT security Part2: Security functional components 2008

ISO/IEC JTC1

ISO/IEC 15408-3 Evaluation criteria for IT security Part3: Security assurance components 2008

ISO/IEC JTC1

ISO/IEC 18045 Methodology for IT security evaluation 2008

ISO/IEC JTC1

ISO/IEC TR 20004 Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045

2012

ISO/IEC JTC1

Refining Software Vulnerability Analysis Under ISO/IEC 15408 and ISO/IEC 18045

2015 발간 예정

NISTFIPS 140-2 Security Requirements for Cryptographic Modules

2001

-

ISO/IEC JTC1

ISO/IEC 19790 Information technology - Security techniques - Security requirements for cryptographic modules

2012

ISO/IEC JTC1

ISO/IEC 24759 Information technology - Security techniques - Test requirements for cryptographic modules

2014

ISO/IEC JTC1

Guidelines for testing cryptographic modules in their operational environment

진행중

ISO/IEC JTC1

Test and analysis methods for random bit generators within ISO/IEC 19790 and ISO/IEC

진행중

publicly available information security resources(20004-1)과 Part 2: CWE and CAPEC

based software penetration testing(20004-2)로 분리해서 표준화 진행 중임, ISO/IEC

15408-1, ISO/IEC 18045에 대한 업데이트 추진 중임, 암호모듈 검증기준은 1994년에 NIST

에서 발표한 FIPS 140-1에 뿌리고 두고 있으며, 현재는 2001년에 발표된 FIPS 140-2가 널

리 활용되고 있다. 국제표준화는 모안 요구사항이 2006년 ISO/IEC 19790으로 재정되었으

며, 2012년 개정되었다. 암호모듈 시험 요구사항은 2008년 ISO/IEC 24759로 제정되었으며,

2014년 개정


Ver.2016


15408

¡ 정보보호 경영전문가 자격 기준

- 국내 표준화 현황 및 전망 : KISA에서 운영하고 있던 정보보안전문가 자격인 SIS가 2013년

정보보안기사 및 정보보안산업기사 국가 자격으로 전환되었으나 표준화는 이루어지지 않음.

한편 미래창조부의 정보보호산업발전 종합대책에서 2016년 정보보안기술사제도 시행을 목표

로 직무능력 표준에 기초한 타당성 연구가 진행됨.

- 국외 표준화 현황 및 전망 : 2년간의 연구기간을 거쳐 ISO/IEC에서 27000 시리즈의 일환으

로 27021 Competence requirements for information security management systems

professionals 표준의 개발이 개시되어 WD 상태임. IEC/CAB은 6월 운영회의에서 신속한 적

합성 수요 대응을 위한 CAB 체계를 전면 개편하고, 사이버 보안 분야 적합성 평가 대응을

위한 작업그룹(WG 17)을 신설하였음. 특히 이 ISO/IEC 27021 표준 관련 적합성 평가 수요에

대해서도 WG 17에서 병행 검토하기로 결의함



대응 TTA PG 명



국내 관련 표준 없음 - - - -

국제ISO/IEC JTC1

ISO 27021 Competence requirements for information security management systems professionals

2016(예정)

- - OISO 17024 Conformity assessment -- General requirements for bodies operating certification of persons

2012

¡ 정보보호 감사관리 지침

- 국내 표준화 현황 및 전망 : 국가 중심의 규제를 중심으로 정보보호 관리 체계가 발전하고

있으나 규제와 제도의 중복으로 표준화를 통한 효율적인 관리가 필요하며 특히 관리체계

의 유지를 위함 감사체계에 대한 표준화가 필요함

- 국외 표준화 현황 및 전망 : 법률에 의한 규제와 함께 ISO/IEC를 중심으로 하는 민간의 표

준화 활동이 활발히 이루어지고 있으며 정보보호 관리체계에 대한 중립성 및 효과성을 유

지하기 위한 감사관리 체계에 대한 표준화 활동이 이루어지고 있음





대응 TTA PG 명



국내

방송통신위원회

개인정보보호관리체계 2012

-

개인정보보호관리체계

국제표준대응연구반

O방송통신위

원회정보보호관리체계 2013 정보보호포럼

안정행정부 개인정보보호인증제 2013



금융위원회 전자금융거래감독규정 2010

-

X

국제

ISACACOBIT(Control Objectives for Information and related Technology)

1996

NSASSE-CMM(System Security Engineering capability maturity Model)

1996

KPMG VAF(Vulnerability Assessment Framework) 1998

카네기멜론OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)

1999

ISO ISO17799 2000 ONIST Security Self assurance Guide for IT system 2001 X

ISOISO13335 Information technology -- Guidelines for the management of IT Security

2008

O

ISO ISO27001 Information security management 2013 정보보호포럼

ISOISO27002 Information technology - Security techniques - Code of practice for information security management

2013

-ISOISO27007 - Guidelines for information security management systems auditing (focused on the management system)

진행중

ISOISO27008 - Guidance for auditors on ISMS controls (focused on the information security controls)

진행중

¡ 분야별 정보보호 관리체계 및 인증

- 국내 표준화 현황 및 전망 : 정보보호 활동에 대한 사각지대를 최소화하고 기업비지니스

활동을 지원하기 위하여 효과적인 정보보호 활동에 대한 기준 제시와 유효성을 지원할 수

있는 제도가 개발 되었으나 실제 업무 환경에 적용되기 위해서는 더욱 명확한 활동의 표

준 가이드의 제시가 필요함

- 국외 표준화 현황 및 전망 : 적용 범위에 제약을 두지 않고 하나의 정보보호 관리체계의

표준에 대해 다양한 비즈니스 환경을 고려한 영역별로 특수한 환경 등 고려한 표준을 개

발하고자 하는 움직임이 생기고 있으며 특히 ITU-T에서 중소 통신 조직의 환경을 고려한

정보보호 관리체계의 표준을 만들고자 하는 활동이 일본과 한국의 주도로 이루어지고 있음

Ver.2016



대응 TTA PG



국내 TTA

TTAK.KO-12.0038/R2, i-PIN 서비스 중복 가입 확인 정보

2011


- O

TTAK.KO-12.0054/R1, i-PIN 서비스 프레임워크 2011

- X

TTAK.KO-12.0196, 모바일 환경의 사용자 중심 개인화 서비스를 위한 사용자 데이터 처리 구조

2012

TTAE.IT-Y.2722, 차세대 네트워크를 위한 아이덴터티 관리 메커니즘

2012

TTAE.IT-Y.2721, 차세대 네트워크를 위한 아이덴터티 관리 요구 사항 및 사용 시나리오

2012



대응 TTA PG 명



국내


개인정보보호관리체계 2012

-



O


정보보호관리체계 2013 정보보호포럼

안정행정부 개인정보보호인증제 2013



미래창조과학부

정보보호 준비도평가 제도 2014

-미래창조과

학부정보보호 관리 등급제 2013

국제

NIST Security Self assurance Guide for IT system 2001 X

ISOISO13335 Information technology - Guidelines for the management of IT Security

2008

O

ISO ISO27001 Information security management 2013 정보보호포럼

ISOISO27002 Information technology - Security techniques - Code of practice for information security management

2013

-

ISO, ITU

ITU-T X.1051|ISO/IEC 27011 - Code of

practice for Information security controls

based on ISO/IEC 27002 for

telecommunications organization

개정중

ISO, ITU

ITU-T X.1051|ISO/IEC 27017 - Code of

practice for Information security controls

based on ISO/IEC 27002 for clooud services

진행중

ITU-TX.Sgsm - Information security management guidelines for small and medium-sized telecommunication organizations

진행중

¡ Identity 관리 기반 기술

- 국내 표준화 현황 및 전망 : 국내 ID 관리 기술은 개인정보 유출 확산 방지, O2O 환경에

서 주민번호 대체 등 현안 문제 해결을 위한 기술 개발 및 표준화 활동이 전망됨

- 국외 표준화 현황 및 전망 : 서로 다른 도메인 (민간-공공) 간 인증 및 정보공유를 위한 클

라우드 ID 관리 시스템 등 기술 개발 및 표준화 활동이 전망됨




TTAE.IT-Y.2720, 차세대 네트워크를 위한 아이덴터티 관리 프레임워크

2012

TTAK.KO-12.0200, 개인 정보 관리를 위한 프라이버시 보호 원칙

2012

TTAE.IT-X.1250, 상호 호환성 및 신뢰를 위한 글로벌 ID 관리 시스템 요구 사항

2012

TTAK.KO-12.0250, 대면거래에서의 전자서명 규격

2014

국제

IETFRFC 1738, Uniform Resource Locators (URL) 1994


RFC 3987, Internationalized Resource Identifiers (IRIs) 2005

OASIS XRI TC Extensible Resource Identifier(XRI) Syntax V2.0 2005

ITU-T

X.1141, 'Security Assertion Markup Language (SAML 2.0) 2006

X.1250, Baseline capabilities for enhanced global identity management and interoperability

2009

X.1251, A framework for user control of digital identity 2009

X.1252, Baseline identity management terms and definitions 2010

X.1253, Security guidelines for identity management systems 2011

X.1254, Entity authentication assurance framework 2012


대응 TTA PG



국내

국가기술표준원

KS X 6928-1 모바일 카드 2012 개인정보보호 및 ID관리(PG502)

- 0KS X 6928-2 대면 거래 2012

KS X 6928-3 비대면 거래 2012

TTA

TTAK.KO-12.0144, 차세대 모바일 카드 요구 사항 및 시스템 구성 2010


-

-

XTTAK.KO-12.0198, IC 칩 기반 모바일 결제 보안 요구 사항 2012

TTAK.KO-12.0197, 모바일 전자 영수증 규격 2012 0

TTAK.KO-12.0199, 비IC 칩 기반 모바일 결제 보안 요구 사항 2012

X

TTAK.KO-12.0217, POS 단말기 사용자 인터페이스 2013

TTAK.KO-12.0224, NFC P2P 기반 모바일 전자 영수증 관리 규격 2013

TTAK.KO-12.0227, POS 단말기 결제 모듈 인터페이스 2013

¡ 모바일 결제기술

- 국내 표준화 현황 및 전망 : 일회용코드 기반 결제 등 서비스 확산을 위한 추가 표준이 예

상되며, 모바일 교통카드 시험 표준 및 보안성이 강화된 새로운 결제 방식의 기술 개발과

표준화가 전망됨

- 국외 표준화 현황 및 전망 : 구글, 삼성, 비자, 페이팔 등이 참여하는 FIDO (Fast IDentity

Online) Alliance의 규격(v1.0, ‘14년 제정)을 활용한 모바일 결제 서비스가 제공되고, 관련

규격의 확산이 예상됨


Ver.2016



대응 TTA PG



국내 TTA

TTAR-06.0013, RFID 프라이버시 보호 가이드라인 2006


- X

TTAS.KO-12.0053, 개인정보 생명주기별 보안 관리 모델 2007

TTAS.KO-12.0051, 개인정보보호정책 설정 및 협상 규격 2007

TTAK.KO-12.0055/R2, i-PIN 서비스 전달 메시지 형식 2011

TTAK.KO-12.0054/R1, i-PIN 서비스 프레임워크 2011

TTAK.KO-12.0072, 개인정보 DB 관리 기술의 보안요구사항 2008

TTAK.KO-12.0073, 프라이버시 강화형 역할기반 접근제어 생성언어 2008

TTAK.KO-12.0240, 모바일 후불 교통카드 2014 - 0TTAK.KO-12.0251, 거래번호를 이용한 모바일 결제 2014

- X

TTAK.KO-12.0252, 모바일 결제를 위한 어플리케이션 보안 지침 2015

TTAK.KO-12.0269-part1, 모바일 지불결제 상호운용성 시험표준(파트1.아날로그) 2015

TTAK.KO-12.0269-part2, 모바일 지불결제 상호운용성 시험표준(파트2.디지털) 2015

TTAK.KO-12.0269-part3, 모바일 지불결제 상호운용성 시험표준(파트3.상호운용성) 2015

국제 ISO/IEC

ISO/IEC 7816-4 교환을 위한 산업간 호환명령 1995


- 0

ISO/IEC 7816-3 전자신호 및 전송프로토콜 1997

ISO/IEC 7816-1 접촉식IC카드 물리적 특성 1998

ISO/IEC 7816-2 접점의 치수 및 위치 1998

ISO/IEC 7816-5 응용식별자의 번호체계 및 등록절차

2004

¡ 개인정보보호 정책 및 운영관리 기술

- 국내 표준화 현황 및 전망 : 개인정보관리를 위한 프라이버시 보호 원칙에 대한 표준이 수

립되었으며, 정부에서는 국내외 표준과 국내 개인정보보호 관련 법률을 고려하여 “개인정

보보호 관리체계 인증제도”를 운영하고 있음. 현재 국내 표준화 전문가의 주도로 국내의

개인정보보호 관리체계지침을 기반으로 한 국제 표준화가 수행되고 있으므로, 향후 국제

표준 수립 후 이를 반영하여 국내 표준으로 재정립될 것으로 전망됨

- 국외 표준화 현황 및 전망 : ITU-T SG17은 국내 표준전문가를 중심으로 통신조직을 위한

개인정보보호 관리체계 표준을 개발하고 있으며, ISO/IEC JTC 1/SC27도 2015년에 개인정

보 관리의 성숙도를 평가하기 위한 상위수준의 지침인 “프라이버시 성숙도 평가 모델

(ISO/IEC 29190)”을 개발함. 뿐만 아니라 국내 표준전문가가 주도하여 개인정보보호 관리체

계 표준인 “섹터기반 제3자 인증을 위한 27001의 이용 및 적용(ISO/IEC 27009)”와 “개인정

보보호 지침(ISO/IEC 29151)” 등을 개발하여 2016년에 표준개발을 완료할 계획임. 또한 각

기관에서 개발되는 표준들은 두 기관의 조인트 회의를 통해 기관별로 각자 독자적으로 표

준을 개발하되, 표준 채택과정에서 공통 텍스트 추진 여부를 결정하기로 합의함




TTAK.KO-10.0302, 라이프로그 데이터 운영상의 프라이버시 보존 2008

TTAK.KO-06.0185, 모바일 RFID 사용자 프라이버시 보호 서비스-시스템 요구사항 2008

TTAK.KO-12.0038/R2, i-PIN 서비스 중복가입 확인정보 2011

TTAK.KO-12.0103, 개인정보보호 수준 정의를 위한 공통 항목 2009

TTAK.KO-12.0103, 개인정보보호 수준 정의를 위한 공통 항목 2009

TTAK.KO-12.0105, 개인정보보호를 위한 DB 보안감사 로그 2009

TTAK.KO-12.0142, 보조기억매체의 안전한 이용 방안 2010

TTAK.KO-12.0159, 얼굴 영역 검출을 이용한 CCTV 영상 정보 프라이버시 보호를 위한 보안 요구 사항

2010

TTAK.KO-06.0146/R1, 모바일 RFID 사용자 프라이버시 보호 프레임워크 2010

TTAE.OT-12.0015, 공공 클라우드 컴퓨팅의 보안 및 프라이버시 보호 지침 2011

TTAE.IT-X.1275, RFID 응용에서의 개인 정보 보호 지침 2011

TTAK.OT-10.0336, 모바일 웹 애플리케이션을 위한 단말 API 정책 및 개인 정보 보호 요구 사항

2012

TTAK.KO-12.0200, 개인 정보 관리를 위한 프라이버시 보호 원칙 2012

TTAK.KO-10.0616, 퍼스널 클라우드 개인정보보호 참조모델 2012

국제

W3C P3P(Platform for Privacy Preferences) 1.0 2002

개인정보보호및ID

관리(PG502)

- X

OASIS XACML(eXtensible Access Control Markup Language) 2.0 2005

W3C P3P(Platform for Privacy Preferences) 1.1 2006

Liberty Alliance ID-WSF Interaction Service 2.0 2007

ISO/IEC JTC1

Code of practice for the protection of personally identifiable information 2013

ISO/IEC JTC1 Privacy Impact Assessment-Methodology 2013

ISO/IEC JTC1 Privacy Capability Assessment Model 2015

Ver.2016


3. 국내외 추진전략 및 중장기 계획

3.1. 비전 및 기대효과



¡ 표준화 목표

2018년까지 핵심기술 및 선도가능 분야를 중심으로 생활형 및 수요밀착형 국내외 표준화

추진을 통해, 국내 보안 제품의 세계시장 점유율과 보안표준 활용도를 제고하고, 보안

표준분야 기술 강국 진입을 위한 기반을 구축

- (암호기술) 2018년까지 M2M/IoT, 스마트폰, 빅데이터와 같은 신규 ICT 환경 및

개인정보보호로 인한 암호화 요구사항이 증가하고 있는 DBMS에 적용이 용이한 경량·고속

암호기술 규격 및 서비스 활용방법에 대한 국제/국내 표준화 동시 추진, 미래 암호기술인

양자암호는 관련 사업성과물 확보를 통하여, 2016년까지 표준화 기반을 마련하고 2017년

이후 본격적인 국제/국내 표준화 추진

- (인증기술) FIDO와 공인인증서와 결합하여 안전한 전자서명 이용환경을 제공하기 위한 국

내 기술규격 제정하고 향후 FIDO 2.0 과의 결합을 위한 FIDO Alliance의 표준화 작업도 동

시에 진행하고자 함, 또한 범용 인증체계는 스마트 환경에 적합한 다양한 실용표준을 중심

으로 국내 금융권역 및 관련 산업분야에 적용할 수 있도록 활용방안 마련. 2018년까지 차

세대 다중요소 인증기술 중 IC카드 및 바이오인식 기술 기반 멀티팩터 인증기술을 중점 연

구하여 스마트기기에서 안전하게 동작시키기 위한 실용기술을 개발하고, ITU-T, TTA 등의

국제/국내 표준화를 동시 추진

- (보안관리/보안평가) 정보보호 활동에 대한 감사 관리를 위한 국제/국내 표준화를 동시

추진하고, 국제적으로 진행되고 있는 분야별 인증기준 표준에 국내 요건을 최대한

반영하고 또한 국제 요건을 국내 기준에서 만족하기 위한 방안을 마련함으로써

정보보호의 사각지대를 최소화 할 수 있는 효율적이고 체계적인 정보보호 관리체계를

지원. 또한 이러한 기준을 실행할 수 있는 전문가 인증을 목표로 개발 중인

정보보안경영시스템 전문가 자격 기준(요구사항)에 국내 요건을 최대한 반영. 한편 국내

환경 및 요구에 적합한 국내 민간 클라우드 서비스 사업자를 인증하기 위한 클라우드

서비스 인증 기준 개발. 정보보호제품 평가 기준 개발 정책이 실질적인 기술 기반의 평가

기술 개발로 전환됨에 따라 IT 제품 보안성 평가를 위한 기술 별 보호프로파일(PP :

Protection Profile) 및 지원문서(SD: Supporting Document) 등을 개발하여 표준화 추진,

기존의 국제표준인 암호모듈 보안 및 시험 요구사항 뿐만아니라 기반요소인 암호알고리즘

구현 적합성, 물리적 보안 기준, 부채널공격에 대한 요구사항 및 측정방법, 난수발생기

시험방법론 등 요소기술에 대한 표준이 활발히 진행되고, 또한 운영환경에 따른 암호모듈

선택 가이드라인 및 암호모듈 시험자 자격조건 등 암호모듈의 보안평가 및 보안관리에

대한 참여 및 개발

- (개인정보보호) 산업체의 요구를 반영하여, 스마트 환경에서의 개인정보 유통에 필요한 모

바일 결제/인증, 개인정보보호 기술에 대한 표준화를 2017년까지 추진과 연계하여 2018년

까지 국제단체를 통한 표준(안) 개발 및 추진

Ver.2016


¡ 표준화 비전 및 기대효과

국내 핵심 보안기술의 국제표준 제정을 통해, 국내 기술을 활용한 국내 보안 제품의 국제적

경쟁력을 강화하여 세계 시장 점유율을 확대하고, 생활형, 수요 밀착형 표준 개발로 국내 보

안표준의 활용도를 제고하는데 기여. 또한, 스마트폰, 클라우드컴퓨팅, 스마트그리드 등 신규

ICT 서비스의 인프라 조성을 위한 보안 표준을 마련하여 안전하고 신뢰성 있는 신규 서비스

의 조기 정착을 유도

- (암호기술) IoT/M2M, 클라우드, 스마트폰 등 신규 ICT와 개인정보보호를 위한 암호화

요구사항이 증가하는 DBMS 등 기존 암호기술 적용에 한계가 있는 ICT 정보보호에, 국제

표준 대비 안전성과 효율성이 우수한 암호 알고리즘 적용을 통해 ICT 정보보호체계의

안전성 강화 및 시장 경쟁력 확보, 양자암호 분야는 안전한 양자암호제품 개발을 유도하여

시장초기단계인 양자암호 글로벌 시장 선점에 기여

- (인증기술) 공인인증서 저장매체의 안전성 강화와 지문 등의 바이오정보를 통한 비밀번호

대체를 통하여 공인인증체계 안전성과 편리성을 동시에 제공하고 향후 FIDO 국제 표준과

연계되어 국제 경쟁력 강화 및 FIDO 기반 인증 시장 확보, 국내 매체분리 원칙의 자율화

를 통해 스마트기기를 이용한 인증기술의 재조명으로 비대면 전자거래 전반에 다양한 인

증기술의 활용범위가 크게 확대되고 있어 다중요소 인증기술의 표준화를 통해 관련 산업

의 발전 및 전자거래 전반의 활성화에 기여

- (보안관리/보안평가) 국내 환경에 적합한 정보보호 활동의 체계를 수립할 수 있는 교정

활동의 표준을 마련하여 글로벌 환경에서의 비즈니스 역량 강화에 기여하고 중소기업의

환경을 고려한 체계화된 정보보호 활동의 기준을 마련함으로써 정보보호 활동의

사각지대를 최소화하고 균형있는 성장을 기반을 마련. 국내 정보보안경영 전문가들이 국제

시장에서 인정받을 수 있는 표준을 마련함으로써 보안경영전문가의 국제 진출 기반 마련.

보안평가 관련해서는 정보보호제품의 기술 별 보안요구사항, 지원 문서 개발 및 표준화를

통해 기술 중심의 정보보호제품 평가 및 평가 일관성 제고하고, 암호모듈 기준 및 요소

기술의 표준화를 통해서 암호모듈 시험 및 검증 시 객관성 확보와 암호모듈 검증을

수행하고 있는 美 CMVP와 日 JCMVP와의 기술적인 일관성을 확보함으로써, 국내

암호모듈 업체의 국제경쟁력 확보 마련

- (개인정보보호) ID 관리 및 개인정보보호 분야의 핵심기술을 개발하고, 이를 국내 및 국제

표준으로 제정하여, 국제 표준화된 우수기술을 탑재한 국내 보안제품을 출시하여 신규 시

장 창출 및 해외수출 및 수입대체 효과를 달성하고, 다수의 IPR 확보에 기여



국내역량요인

국외환경요인

강 점 요 인 (S) 약 점 요 인 (W)

시장

- 각종 보안 이슈로 인한 기업 및 기관의 침해사고 대응장비 구매 증가

- 보안 필요성에 대한 높은 범사회적 인식

시장

- 세계 시장 대비 상대적으로 협소한 개인정보보호 시장 규모, 기반기술의 경우 시장과 직접적 연관성이 적음

기술

- 성능 및 신규 ICT 적합성에서 국제 경쟁력 있는 암호기술 확보

- 암호, 인증방식 등 다양한 기반 및 응용기술 보유, 침해사고 발생시 대응체계 및 풍부한 경험 보유

기술

- 암호기술, ID관리, 개인정보보호 등 관련 고급 개발인력 부족

- 기술 전반을 포괄하는 플랫폼 기술력이 미흡하며, 응용 위주의 제품 생산

표준

- 보안 분야에서 국내 전문가의 국제표준화 기여도가 높음

- 국내 의장단 및 국제표준화 경험을 바탕으로 신규 표준화 활동 용이

표준

- KISA, ETRI 등 정부기관 중심이며 업체의 참여가 부족

- 표준화 전문인력 부족으로 다양한 표준화 기구를 이용한 표준화 추진이 어려움

기회요인(O)

시장

- 모바일결제, 바이오센서 기능 등을 탑재한 서비스 시장 증가

SO전략

- ITU-T SG13 의장, SG17 부의장 등 기확보된 국제 표준 전문가를 활용한 국제표준화 추진

- 모바일결제 등 시장 확대가 예상되는 분야에 대한 표준 선점

- 국내 개발 경량암호를 사물인터넷 보안과 결합하여 활용성 강화를 통한 표준화 주도

- 양자암호 암호안전성 기준 조기 수립 및 국내 표준화를 통한 관련 국제 표준화 주도

WO전략

- 공공 분야의 ID 인프라 구축 및 개인정보보호 제품 확대를 통한 국내 정보보호 시장 확대

- 지속적인 기반 기술 개발과 우수 제품 개발을 통해 국내 정보보호 수준 제고 및 제품 경쟁력 향상

- 국내 산업계의 요구사항을 수렴하고 TTA 위원회를 통해 국내 표준화를 수행

기술

- 웹2.0, 클라우드 컴퓨팅 등 환경변화에 따른 개인 정보보호에 대한 지속적 수요

- 해킹기술의 고도화 등으로 안전한 정보보호 요구 증가

- 신규 ICT 도입에 환경변화 및 취약요소 증가로 이에 적합한 새로운 암호 기술 필요성 증가

표준

- ISO/IEC JTC1, ITU-T 등 국제표준화 기구에서 논의 초기단계인 양자암호 표준화 선도 가능

위협요인(T)

시장

- 인증/ID관리 등 다양한 보안 분야에서 글로벌 기업의 독점 우려

- 상호운용성 확보 및 개발 규모를 이유로 국내개발 암호기술의 제품 적용 기피

ST전략

- IoT/M2M 등 신규 서비스를 중심으로 정보보호 기반 기술 표준 개발을 통한 국제 경쟁력 확보

- 국내 인터넷 환경에 선적용하여 제품의 인지도와 완성도를 제고하여 해외 시장 경쟁력 확보

- 관련 국외 연구기관과 전문가 초청 워크숍을 통한 기술 교류

- TTA 위원회를 통해 국내 표준화를 수행하고 표준 전문가를 적극 활용하여 국제 표준화 추진

WT전략

- 국책 연구개발 과제를 통한 IPR 획득 및 이를 통한 기술 및 서비스 제공

- 산․학․연 연계 연구/개발을 통해 지속적인 정보보호 고급 인력을 양성하고 이를 통해 기반 기술 확보

기술

- 미국, 유럽, 일본의 보안 기술 확보에 대한 경쟁 심화

- 일부 선진 국가와 회사에서 핵심 원천 보안기술에 대한 기술적 우위 선점

표준

- 북미, 유럽 표준화 단체 중심의 국제 표준화 추진

3.2. 표준화 SWOT 분석 및 추진방향

Ver.2016


3.3. 중점 표준화 항목별 국내외 추진전략

○ 선행(선표준화 후기술개발), ◑ 병행(표준화&기술개발 동시추진), ● 후행(선기술개발 후표준화)

High

전

략

적

중

요

도(IPR

확보

가능성,

시장/

기술적

파급

효과,

정책

부합성

등)

Low

S2(Question): 차세대공략 항목(신규제안)

● 차세대 암호 및 적용◑ 차세대 다중요소 인증기술

S1(Star): 적극공략 항목(선도경쟁)

◑ 범용 인증체계◑ 정보보호 경영전문가 자격 기준

S3(Dog): 방어적수용 항목(수용/적용)

● 유형별 보안성 시험평가기준

S4(Cash Cow): 다각화협력 항목(부분협력)

● PKI 기반 인증 및 응용기술◑ 정보보호 감사관리 지침◑ 분야별 정보보호 관리체계 및 인증◑ Identity 관리 기반 기술 ◑ 모바일 결제 기술◑ 개인정보보호 정책 및 운영관리 기술

Low 국외대비 국내 표준화 역량 (표준화/기술개발 수준, 국제 표준화에 국내 기여도 등) High

ㅇ 영역별 특징 및 대응전략 - 적극공략 항목(Star, 선도경쟁) : 국외대비 국내 표준화 역량과 전략적 중요도가 모두 높은 기술 분야 : 아직 국제 표준화 완성도가 낮아 국제 표준화 선도경쟁이 치열한 분야로 국제 표준화 활동에 주도적인 참여

가 필요 : 국제표준 개발 및 시장을 주도하는 국가의 기술현황과 국내외 현황을 세부적으로 분석 : 기술자, 마케팅, 표준화전문가가 참여하여 기술자 중심의 기고서 활동 - 차세대공략 항목(Question Mark, 신규제안) : 국외대비 국내 표준화 역량은 높지 않으나 전략적 중요도가 높은 기술 분야 : 국제 표준화 초기 단계로 국제표준을 선도할 수 있는 가능성이 매우 높은 분야 : 국제표준개발 가능성과 국가별 기술현황을 세부적으로 사전 분석 : 회의에 참석하여 주요논의 사항 및 추세, 주요 멤버 파악 등으로 기초 대응하여 표준개발신규제안의 채택

가능성과 향후 추진 가능성을 검토한 후에 추진 - 방어적수용 항목(Dog, 수용/적용) : 국외대비 국내 표준화 역량과 전략적 중요도가 모두 높지 않은 기술 분야로서 국내표준 개발이 시급하면서

국제표준을 그대로 수용하는 분야 : 상용서비스, 국민공공서비스 등에 대한 후속 표준화가 필요한 경우 : 국제표준 수용시 국제표준 전문가의 의견을 반영하여 국내실정에 맞게 적용 - 다각화협력 항목(Cash Cow, 부분협력) : 전략적 중요도는 높지 않지만, 국내 표준화 역량이 높은 기술 분야 : 추가적인(틈새) 표준개발 작업으로 표준경쟁의 진입장벽에 어느 정도 도전할 수 있는 분야 : 시장파급효과가 큰 분야의 국제표준을 분석하고, 틈새분야에 국내기술을 어느 정도 반영하는 전략



(차세대공략 | 후행) 차세대 암호 및 적용

전략적중요도/국내역량

표준화기구/단체

국내TTA,

퀀텀포럼, 사물인터넷포럼

국외IETF, ISO/IEC JTC1, ITU-T,

ETSI

국내참여업체

/기관

KISA, ETRI, NSRI

국내표준개발 주체

표준개발

☑ 포럼 ☑ TTA □ 국가기술표준원

기술개발

☑ 산업체 ☑ 학계 ☑ 연구소

기술

개발

단계

국내 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화기술격차

1년 뒤짐선도국대비 90% 수준

국제 □기술기획↦□설계↦□구현↦□프로토타입/시제품↦■상용화

선도국가

/기업한국/NSRI, 일본/Sony, 벨기에/COSIC, 미국/NSA, 스위스/IDQ

표준

화단

계

국내 □기획↦□항목승인↦■개발/검토↦□최종검토↦□제/개정

국제 □기획↦□항목승인↦□개발/검토↦■최종검토↦□제/개정

선도국가

/기업미국/NIST

Trace Tracking : 차세대공략(Ver.2015) → 차세대공략(Ver.2016)

차세대 암호 및 적용 분야는 국내 개발 암호기술이 ISO/IEC, IETF에 다수 표준화가 진행되었으나, 미국 등의 자국 암호기술 위주의 표준화 추세에 대응하고, 양자암호분야 표준화 리더쉽 확보를 위하여, 우수한 성능의 암호기술 지속 확보 방안, 암호기술 활용성 강화 방안, 국제 협력 방안 도출이 우선 필요하다고 판단되어, Ver.2016에서도 "차세대공략" 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 암호기술의 높은 활용도가 요구되는 국제표준 추세에 대응하기 위하여, 대표적 국산 블록암호 ARIA, SEED를 이용하여 다양한 ICT 응용 및 융합서비스에 대한 안전성 강화를 위해 적용, 활용방안을 적극 모색. IoT 등 신규 ICT 서비스용 표준화에는 현 국제표준보다 우수한 성능의 국산 암호기술로 관련 표준화 선도 도모. 양자암호는 암호안전성 기준 정립 및 활용 사례 확보 등을 통하여 정보보호분야 국제표준 선도 도모

* 사실 표준화 활동 전략 : 경량암호 표준화는 국내 사물인터넷 협력을 주도하고 있는 사물인터넷 포럼과 연계하고, 양자암호 표준화는 양자정보통신 관련 산학연 협력을 도모하고 있는 퀀텀포럼과 연계하여 국제 사실 표준화 활동 추진

- 국내 표준화 추진계획 : 차세대 암호 및 적용 관련 표준화 활동이 TTA, 국가기술표준원 등을 중심으로 지속적으로 추진되고 있는 등 국내 표준화 인프라는 좋은 편이므로, 이를 중심으로 하는 표준화를 추진하되, 양자암호관련 퀀텀포럼, 사물인터넷 관련 사물인터넷포럼과의 연계성을 강화하여 표준의 실효성 및 글로벌 경쟁력을 강화

- IPR 확보가능분야 및 확보방안 : 다양한 응용서비스에서의 암호 알고리즘 설계 및 구현기술에서 IPR 확보가 가능하며, 다양한 응용서비스에 최적화된 암호 알고리즘 구현기술 확보를 위하여 산업체/연구소의 기술개발 협력 추진

- 기술개발·표준화·표준특허 연계방안 : (기술개발 후 표준화) 표준화되지 않은 신규 응용서비스 선도를 위한 우수 성능의 암호기술 개발하고 이를 기반으로 응용서비스에 최적화된 암호 알고리즘 구현기술에 대한 특허 확보, 신규 서비스에서의 시장선도 및 다양한 응용서비스에서의 상호운용성 확보를 위한 암호기술 표준화 추진



(다각화협력 | 후행) PKI 기반 인증 및 응용기술



국내 TTA

국외ISO/IEC JTC1,

ITU-T, FIDO Alliance

국내참여업체

/기관

KISA, 공인인증기관,기기인증기관,

PKI 포럼


표준개발

☑ 포럼 ☑ TTA □ 국가기술표준원

기술개발


기술개발단계

국내 □기술기획↦□설계↦□구현↦□프로토타입/시제품↦■상용화기술격차

비슷선도국대비 100% 수준

국외 □기술기획↦□설계↦□구현↦□프로토타입/시제품↦■상용화

선도국가

/기업한국/ ETRI, KISA(공인인증기관 포함), PKI보안업체, 기기인증업체, 바이오인증 업체

미국 / Symantec, Qualcomm, RSA

표준화단계


국외 □기획↦□항목승인↦■개발/검토↦□최종검토↦□제/개정

선도국가

/기업

한국/ ETRI, KISA, TTA미국 / Symantec, Qualcomm, RSA, Google, Microsoft

FIDO Alliance

Trace Tracking : 다각화협력(Ver.2015) → 다각화협력(Ver.2016)

Ver.2015에서와 마찬가지로 "다각화협력" 항목으로 분류되었으며, 다양한 사용자 인증 방식과 다양한 기기에 대하여 우리나라가 주도 가능하며 부가가치가 높은 항목으로 판단되나, 미국을 중심으로 표준개발을 주도하고 있기 때문에, 좀 더 적극적인 "다각화협력"이 요구됨

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : IPTV, CCTV, Smart Grid 등에 다양한 디바이스에 대하여 ITU-T, ISO/IEC JTC1 등에서 국제표준이 활발히 논의가 진행 중이므로 적극 참여를 추진과 사용자 인증강화를 위한 표준프레임웍을 제정하기 위한 산업계 표준단체인 FIDO Alliance에 적극 참여를 추진하고 다양한 IoT 기술개발 업체 및 기관들의 표준 참여 전략 모색 필요

* 사실 표준화 활동 전략 : 국내 공인인증서의 비밀번호를 FIDO와 결합한 기술개발을 통해 FIDO산업표준에 포함하는 방안 추진

- 국내 표준화 추진계획 : 하드디스크에 저장된 공인인증서의 취약점은 개선한 안전디스크에 대한 국내 표준화를 진행하고 공인인증서와 FIDO와 결합하여 편리성과 안전성이 강화된 공인인증서 기술규격에 대한 국내 표준화 활동을 수행함, 또한 KISA, TTA 등을 중심으로 지속적으로 추진되고 있는 등 국내 표준화 인프라는 좋은 편이므로, 이를 활용하여 다양한 인증기술에 대한 표준 주도를 통해 국내 주도권 확보 전략이 요구됨

- IPR 확보가능분야 및 확보방안 : 사용자 인증의 강화로 멀티팩터 인증의 증가하매 따라 바이오인증 방법의 증가하고 있고 다양한 기기에서 출현 및 사용 증가에 따른 기기인증 분야의 중요성이 높아짐에 따라서 인증관련 IPR 확보 추진

- 기술개발·표준화·표준특허 연계방안 : (기술개발 후 표준화) 다양한 바이오인증방법관련 PKI와 연계방안관련 기술개발 및 인터넷전화, 셋탑박스, IPTV, CCTV, Smart Grid, 전기차 등의 다양한 기기에 대한 국내 인증서기반 기기인증체계와 연계된 기술 개발 추진



(적극공략 | 병행) 범용 인증체계



국내 TTA

국외ITU-T, ISO/IEC

JTC1, IETF, FIDO

국내참여업체

/기관

공인인증기관, TTA

표준개발 주체

표준개발

□ 포럼 ☑ TTA □ 국가기술표준원

기술개발

☑ 산업체 □ 학계 ☑ 연구소

기술개발단계


1년 앞섬 선도국대비

110% 수준국외 □기술기획↦□설계↦□구현↦□프로토타입/시제품↦■상용화

선도국가

/기업한국 / 공인인증기관미국 / VeriSign 등

표준화단계

국내 □기획↦□항목승인↦□개발/검토↦□최종검토↦■제/개정


선도국가

/기업한국 / 공인인증기관

Trace Tracking : 적극공략(Ver.2015) → 적극공략(Ver.2016)

범용 인증체계 분야는 한국에서 세계 최초로 금융 분야에서부터 통합인증서비스를 시작하였으며, 해당 기술을 기반으로 2011년 ITU-T에서 OTP기술을 기반으로 한 통합인증 표준인 X.1153과 X.1156 OTP기반 부인방지 프레임워크의 표준화가 2013년 완료됨에 따라 다양한 인증기술을 수용할 수 있는 기술적 기반을 마련하게 됨. 이처럼, 한국 주도로 개발되는 통합인증 표준은 향후 타 국가에서 활용될 가능성이 높으며, 관련 산업의 부가가치가 높은 항목으로 판단되며 최근 글로벌 기업이 참여하는 FIDO Alliance 등의 활발한 표준화가 진행될 것으로 예상되어 Ver.2015와 마찬가지로 더욱 적극적인 "적극공략" 이 요구됨

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : PKI, 바이오, OTP 등의 다양한 인증기술을 통합하여 제공 가능한 범용 인증체계를 개발하고 ISO, ITUT, FIDO Alliance 등을 통해 국제 표준화 추진

* 사실 표준화 활동 전략 : 인증기관, 인증서비스 기관, 인증기술 개발업체 간의 협의를 통하여 시장 변화에 따른 범용 인증체계 관련 표준 아이템 개발 및 국내 표준화(TTA 등) 추진

- 국내 표준화 추진계획 : 해당 분야의 표준화는 TTA를 통해 제정된 ‘통합인증 기반 서비스 프레임워크’, ‘IC칩 기반 보안매체를 활용한 통합형 사용자 인증 프레임워크’, ‘신뢰기관을 이용한 통합인증 서비스보안 요구사항’ 등을 참조하여 범용 인증체계에 대한 국내 표준 추진예정. 또한 FIDO와 공인인증서를 결합하여 안전한 전자서명 이용환경을 제공하기 위한 기술규격을 제정할 예정

- IPR 확보가능분야 및 확보방안 : 범용 인증체계를 활용한 통합인증 서비스 프레임워크 등의 실용기술에 대한 IPR이 확보 가능하며, 범용 인증서비스에 대한 중요성이 높아짐에 따라 범용 인증체계 관련 IPR 확보 추진

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 이미 개발이 완료된 범용 관리기술은 국내 금융권에서 사용되고 있으며, 관련 표준기술을 기반으로 국내외 표준화 및 국내특허 출원을 병행하고, 향후 특허정보원 등에서 시행하고 있는 ‘표준특허 창출지원 사업‘ 등과 연계하여 표준과의 부합성 등을 면밀히 검토할 예정



(차세대공략 | 병행) 차세대 다중요소 인증기술



국내 TTA

국외ITU-T, ISO/IEC

JTC1, IETF, FIDO

국내참여업체

/기관

ETRI, TTA,금융결제원


표준개발

□ 포럼 ☑ TTA ☑ 국가기술표준원

기술개발


기술개발단계


1년 뒤짐 선도국대비 95% 수

준국외 □기술기획↦□설계↦□구현↦□프로토타입/시제품↦■상용화

선도국가

/기업유럽 / EMV 연합 (EuroCard, VISA Card, Master Card)

미국 / IBM

표준화단계

국내 □기획↦□항목승인↦□개발/검토↦■최종검토↦□제/개정

국제 □기획↦□항목승인↦□개발/검토↦□최종검토↦■제/개정

선도국가

/기업유럽 / EMV

한국 / 금융결제원, ETRI


차세대 다중요소 인증기술은 USIM, NFC, 바이오인식 센서 등을 탑재한 스마트기기의 보급의 활성화로 IC카드 기반 기술, OTP, 바이오 인증기술 등을 연계하여 활용하기 위한 시도가 본격화 되고 있어 추후 기술적 파급효과가 큰 분야로 판단됨. 이에 따라, Ver.2015와 마찬가지로 “차세대공략” 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : IC카드 기반기술, OTP, 바이오인식 기술 등을 스마트기기와 활용하여 멀티팩터 인증기술의 표준아이템 개발과 병행하여, 국내 주도의 적극적인 표준화를 추진하고 ITU-T, ISO/IEC SC27, FIDO 등 표준화기구를 다각화하는 전략을 활용

* 사실 표준화 활동 전략 : 2018년까지 장기적으로 진행되는 국내표준화에 진행상황에 따라 ITU-T, ISO/IEC, FIDO 등의 국제표준화 성격에 맞게 단계적으로 추진 예정

- 국내 표준화 추진계획 : 해당 분야는 IC카드 기반기술, 스마트기기, 인증기술 등이 융합된 분야로 다수의 표준화 기구 및 워킹그룹이 표준화에 참여하고, 관련 표준화 영역도 혼재되어 있는 것이 특징. 다만, 최근 금융권역을 중심으로 IC카드와 바이오인식 기술 등 지식기반 인증기술과 소지기반 인증기술이 스마트기기와 융합되어 멀티팩터 인증기술이 개발됨에 따라 TTA PG501등에서 인증기술 영역으로 표준화가 진행되고 있음. 특히, 스마트기기와 다양한 인증기술을 연동한 멀티팩터 인증기술에 특화된 표준화는 금융권역을 중심으로 산업계까지 해당 기술의 이용증가가 예상됨에 따라 2018년까지 장기적으로 관련 기술개발 및 표준화가 이어질 전망

- IPR 확보가능분야 및 확보방안 : IC카드 내장형 인증모듈 구현기술, NFC 연동을 위한 모바일 연동기술 등에 대한 IPR이 출원되었으며, 관련 보안업계에서도 다수의 다중요소 인증기술과 관련된 IPR을 출원하고 있음. 특히, IC카드는 공인인증서, OTP, 바이오인식 기술 등의 다수의 인증기술과 쉽게 연계할 수 있으므로 관련 학계, 기업, 연구기관 등의 공동 협력하여 IPR 확보 및 표준화가 추진되는 것이 바람직. 또한 지문, 홍채, 음성, 행동 등의 바이오인식 기술을 스마트기기와 연계한 다중요소 인증기술에 대해서도 정부출연기관, 연구소, 학계의 긴밀한 연계를 통해 IPR 확보함

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) IC카드 및 바이오인식 기술에 기반을 둔 다중요소 인증기술은 국내에서 시범 서비스가 가능한 수준으로 기술 개발이 진행되었으며, 연구기관과 관련업체 등이 독자적인 IPR을 확보하고 있음. ITU-T 국제표준화 과정에서 국내 주도로 등록된 IPR이 반영되도록 활발하게 참여하고 있으며, 타국 기술에 대한 대응 및 전략적 상호 협력을 추진하여야 함



(방어적 수용 | 후행) 유형별 보안성 시험평가기준



국내TTA, 국가기술

표준원

국외ISO/IEC JTC1 SC27, CCRA,

CCUF

국내참여업체

/기관

NSRI, KISA, TTA


표준개발

☑ TTA ☑ 국가기술표준원

기술개발

☑ 평가기관 ☑ 산업체 ☑ 학계

기술개발단계


0.5년 뒤짐 선도국대비 95% 수준


선도국가

/기업미국, 유럽

표준화단계

국내 ■기획↦□항목승인↦□개발/검토↦□최종검토↦□제/개정


선도국가

/기업미국, 유럽

Trace Tracking : 방어적수용(Ver.2015) → 방어적수용(Ver.2016)

보안성 평가는 국제상호인정협정에 의한 회원국간 공통평가기준 및 방법론, 보조문서(Supporting Document) 등의 공동 개발 및 국내 평가ž인증 제도에 적용하며, 국제 표준을 국내 표준으로 동일하게 수용하므로 Ver.2015에서 방어적수용 항목(수용/적용)단계를 Ver.2016에도 동일하게 적용, 암호모듈 시험은 국제 시험 기준 및 방법론의 표준화에 기반하여 국내 기준을 적용하므로 방어적수용 항목을 적용

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 국제 표준화 활동에 있어 기술별 평가 기준 및 방법론 개발 커뮤니티 활동에 국내 유관기관과 협력하여 적극 참여하고 기술별 지원문서 개발 및 표준화에 기여, 암호모듈 시험 기준 개발 참여 강화

* 사실 표준화 활동 전략 : 평가 참여 주체인 정책기관, 인증기관, 평가기관, 정보보호제품 개발업체 간의 협업(사용자 포럼 등)을 통한 기술별 평가 기준 개발 및 국내 표준화(TTA 등) 추진

- 국내 표준화 추진계획 : 보안성 평가 기준 관련 국제 표준 개정에 따른 국내 표준에 반영, 정보보호제품 유형별 평가 기준, 평가 방법론 개발 및 표준화 추진, 암호모듈 시험 기준 국내 표준화 반영

- IPR 확보가능분야 및 확보방안 : 정보보호제품 유형별 보안기능 분석, 시험 기준 및 시험 절차 개발, 암호모듈 시험 방법 및 도구 개발

- 기술개발·표준화·표준특허 연계방안 : (기술개발 후 표준화) 정책기관, 인증기관, 평가/시험기관 등 협력을 통한 평가 기술 개발 및 국제회의 및 기술 커뮤니티(Technical Community) 참여를 통해 기술 개발 및 표준화에 기여할 수 있으며, 기술 개발 참여 확대를 통해 표준화에 대한 기여도 제고



(적극공략 | 병행) 정보보호 경영 전문가 자격 기준



국내 TTA

국외ISO/IEC JTC1

SC27

국내참여업체

/기관

TCA서비스


표준개발


기술개발


기술개발단계


비슷선도국대비 90% 수준


선도국가

/기업미국, 유럽, 일본

표준화단계


국제 □기획↦■항목승인↦□개발/검토↦□최종검토↦□제/개정

선도국가

/기업한국, 일본, 스웨덴

Trace Tracking : 적극공략 (Ver.2015) → 적극공략 (Ver.2016)

Ver.2014 신규항목으로 다각화협력 항목으로 판단하였음. 그러나 미래부의 정보보호산업 발전

종합대책으로서 2016년 국내 정보보안기술사 자격제도 실행이 발표되고, 2014년 4월 자격 인증을

관할하는 ISO CASCO와 IEC CAB의 검토를 거친 NWIP의 투표가 결의되고 양 기관이 모두 해당

인증 스킴의 소유권에 관심을 보이고 있어 정보보안 전문가의 자격 인증이 국내외 동시 현안으로

떠오르게 되어 Ver.2015부터 적극공략 항목으로 분류하여 진행하고 있음

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 정보보호관리 전문가 인증기준은 ISO에서 3년 예정으로 개발 중에 있으며 국제 표준 제개정 작업에 활발히 참여하여 프로세스 및 요건을 표준화하고 국제 표준에 국내 자격제도를 반영 및 해외 선진 사례를 도입

- 국내 표준화 추진계획 : 신규 정보보안기술사 자격 제도를 준비 중에 있으며, 국제 인증을 얻기 위해서는 ISO 17024에서 규정하는 전문가 집단의 지원이 필요하므로 표준화 과정이 필요함

- IPR 확보가능분야 및 확보방안 : 전문가 자격인증분야로서 IPR 확보가능성은 낮음

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 기존 국내 자격제도 중 가장 국제 표준 요건에 적합한 제도를 선정하여 해당 자격 제도가 국제 인증을 받을 수 있도록 국제 표준화 추진 및 필요시 국내 자격제도 수정 보완



(다각화 협력 | 병행) 정보보호 감사관리 지침




표준원

국외 ISO/IEC JTC1

국내참여업체

/기관

KISA, TTA


표준개발


기술개발


기술개발단계


1.5년 뒤짐 선도국대비 85%

수준국외 □기술기획↦□설계↦□구현↦□프로토타입/시제품↦■상용화

선도국가

/기업미국 / KPMG

한국 / TTA, KISA

표준화단계



선도국가

/기업미국, 유럽, 일본, 한국


국내의 개인정보 유출 사고 등 사회적 이슈와 맞물려 사회적 관심이 높은 분야로서 국제적으로는 관리체계에 대한 수립 및 표준화에 대한 성장이 많이 이루어져 있으나 국내의 경우 짧은 경험에 의한 체계 수립이 불완정한 상태로써 학계와 산업계의 지속적인 연구 개발을 통해 차별적 선택과 통합을 통해 국내 환경에 적합한 표준화를 개발하고 나아가 국제 표준화와의 동기화를 통해 정보보호 활동 수준에 대한 신뢰성을 확보하기 위해 다각화 협력이 필요한 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 정보보호 감사관리 지침은 ISO에서 표준화된 부분도 있으나 일부 개발이 진행되고 있는 부분도 있어 국제 표준 제개정 작업에 활발히 참여하여 프로세스 및 요건을 표준화하고 국내 지침을 국제 표준에 반영할 수 있도록 함

- 국내 표준화 추진계획 : 해당 분야의 표준화 활동은 여러 가지 인증제도에서 부분적으로 구현하고 있으나 TTA를 중심으로 국내 표준화를 수행하여 2015년부터 국제 표준회의의 동향 분석을 통해 적극적인 표준추진에 참여할 예정임

- IPR 확보가능분야 및 확보방안 : 정보보호 감사 관리 지침은 국내외 인증 제도와 규제 등에 반영되었었고 오랜 시간 논의 되어 오던 부분이 많아 별도의 IPR를 확보할 가능성은 높지 않을 것으로 판단됨

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 정보보호 감사 협회, 정책 및 인증기관, 산업계 등과의 협력을 통한 정보보호 감사 관리 지침의 개발 및 국제회의 등의 커뮤니티(Technical Community) 참여를 통해 표준화에 기여할 수 있음



(다각화 협력 | 병행) 분야별 정보보호 관리체계 및 인증




표준원

국외 ISO/IEC JTC1

국내참여업체

/기관

KISA, TTA


표준개발


기술개발


기술개발단계

국내 □기술기획↦■설계↦□구현↦□프로토타입/시제품↦□상용화기술격차

1.5년 뒤짐 선도국대비 80%

수준국외 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화

선도국가

/기업미국, 영국, 일본, 한국

/ Amazon, Google, IBM, KDDI, KT 등

표준화단계



선도국가

/기업영국, 독일, 일본, 한국

Trace Tracking : 다각화협력(Ver.2016 신규 항목)에너지, 항공교통 등 중요 인프라에 대한 공격, 클라우드 서비스 이용 활성화 등 비즈니스 환경의 다각화 및 개인정보보호 이슈로 인해 산업 분야별 특성을 반영한 제3자 인증의 필요성이 높아지고 있으며 이를 지원하기 위한 표준화 작업이 빠르게 진행되고 있음. 이러한 분야별 인증제도가 개시되면 국내 시장에도 영향을 미칠 수 있음. 국내에서도 2015년 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률’이 통과되면서 이용 지원을 위한 안전성 인증의 필요가 높아진 상태임. 국제 표준에 국내의 특수 요구를 반영하기에는 어려움이 있으나 협력 다각화를 통해 이러한 갭을 처리하고 국내 시장을 보호하는 한편 국가 경쟁력을 확보하기 위한 전략이 필요함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : TTA를 중심으로 중소통신기업의 정보보호 관리체계의 표준이 진행되고 있으며 미래창조과학부의 후원과 함께 중소기업의 정보보호 관리수준을 측정할 수 있는 준비도 평가가 시장에 정착하기 위해서는 중소기업의 정보보호 수준을 객관적으로 보장할 수 있는 표준화 가이드라인이 필요함. 통신조직을 위한 정보보안 실무지침은 2016년 완료예정에 있으며 에디터쉽 확보로 국내 실무를 반영하고 있음. 한편 2016년을 목표로 민간 클라우드 이용 활성화를 위한 보안 인증 기준을 개발 중에 있으므로 국내 요건을 반영한 인증 기준과 현재 거의 완료되어가고 있는 국제 표준의 갭을 처리할 수 있는 방안이 필요함

- 국내 표준화 추진계획 : 2010년부터 KISA를 중심으로 중소기업정보보호 수준을 향상하고 지원하기 위한 연구가 진행되어 왔으나 최근 주춤한 상태이며 2015년 TTA를 중심으로 기업에서 적절한 정보보호 수준에 대한 필요성이 제기 되어 새롭게 정보보호 표준이 추진되고 있음. 제한적인 자원을 가지 중소기업이 정보보호 활동의 사각지대에 놓이지 않고 균형 있는 정보보호 수준의 향상을 도모하기 위해서는 중소 조직의 환경을 고려한 표준의 제시와 수립이 필요함. 이를 위해 중소기업의

실태 조사 연구 및 역량에 대한 연구를 기반으로 표준화의 수립이 필요함. 국내는 분야별 인증을 통합적으로 제공하기 위한 제도가 없으므로 각각 대응이 필요함. 통신조직을 위한 정보보안 실무지침은 국제표준화 완료와 동시에 국내 표준화를 추진해야 함. 클라우드 보안 인증기준의 개발 완료 후 국내 표준화가 필요함

- IPR 확보가능분야 및 확보방안 : 기존의 정보보호 관리체계를 응용하고 활용하는 만큼 신규 IPR에 대한 확보 기회가 많지 않을 수 있지만 새로운 영역에 대한 체계를 수립하는 만큼 신규 IPR확보의 기회도 있을 것으로 판단됨

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 정보보호 준비도 평가 기관 및 협회, 정부 및 산업계 등과의 협력을 통해 중소기업에 적합한 정보보호 관리표준을 마련하고 이를 통해 객관화와 효율화를 바탕으로 하는 정보보호 관리 체계를 표준화함으로써 산업 환경이 균형 잡힌 정보보호관리 수준이 확보되는 것에 기여할 수 있음. 통신분야 표준 등 국내 요건이 기 반영된 국제 표준의 조속한 국내 표준화, 그렇지 않은 경우 국제 표준과 국내 표준과의 매핑을 통해 국내 표준으로 인증된 기업의 해외 사업 활동을 지원할 수 있음.



(다각화 협력 | 병행) Identity 관리 기반 기술




표준원

국외 ITU-T, ISO/IEC

국내참여업체

/기관

ETRI, KISA


표준개발


기술개발


기술개발단계


1년 뒤짐,선도국대비 90% 수준

국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가

/기업미국/IBM, VISA

표준화단계



선도국가

/기업미국/IBM, Microsoft, VISA

Trace Tracking : 다각화 협력(Ver.2015) → 다각화 협력(Ver.2016)

Ver.2015에서도 표준 개발/검토 단계로서 "다각화협력"항목으로 분류되었음. ‘12년에 모바일 ID

관련 규격이 다수 제정되었으며, ’15년 최근 스마트폰을 기반으로 하는 모바일 ID 관리에 대한

요구사항이 온라인에서 오프라인까지 확산되고 있어 이를 대비한 ID관리 규격에 대한 표준화가

요구되고 있음. 국내외 다양한 사례를 참조하고 홍보하여, 우리의 특장점을 강화하는 전략이

요구되어 Ver.2016에도 "다각화협력" 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 스마트폰을 기반으로 하는 모바일 ID 관련해서는 아직 국외에서도 상용화된 기술이 많지 않아 국제 표준 개발과 함께 제품을 개발한다면 국제적인 경쟁력 확보가 가능할 것으로 예상됨

* 사실 표준화 활동 전략 : 코리아 NFC표준화 포럼 등의 국내 사실 표준화 조직에 참여기업들이 추진하고 있는 사업들 중에서 TTA 표준으로 추진할 아이템을 선정하여 추진하는 것이 유효할 것으로 보임

- 국내 표준화 추진계획 : 국내에서는 개별적인 서비스 개발 및 적용이 이루어져 표준화 추진은 다소 미흡한 편이나, 서비스 환경이 점차 복잡해지고 서비스 간 연결이 진행됨에 따라 차후에는 국내에서도 ID 관리 기술 적용이 필요할 것으로 예상되며 지속적인 관심이 요구됨

- IPR 확보가능분야 및 확보방안 : 모바일 ID 관리 기술에 대한 국내 IPR은 다수 보유하고 있지만 향후 표준 및 제품 개발이 신속하게 이루질것으로 예상됨에 따라 좀 더 많은 IPR을 확보하는 것이 필요함

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 국내에서 진행하고 있는 연구개발과 국내외 표준 개발 과정에서 서비스와 연관된 핵심 기술에 대한 IPR을 우선적으로 확보함. 또한 국내뿐만이 아니라 국제에서도 적용 가능한 서비스 제공을 고려하여 IPR을 출원하는 전략이 필요함



(다각화 협력 | 병행) 모바일 결제 기술




표준원

국외ITU-T, ISO TC68, JTC1

SC27

국내참여업체

/기관

ETRI, KISA


표준개발

☑ 포럼 ☑ TTA ☑ 국가기술표준원

기술개발


기술개발단계


1년 뒤짐,선도국대비 90% 수준


선도국가

/기업미국/Google, VISA

표준화단계



선도국가

/기업미국/Google, VISA, Master

Trace Tracking : 다각화 협력(Ver.2015)→ 다각화 협력(Ver.2016)

Ver.2015에서도 표준 개발/검토 단계로서 "다각화협력"항목으로 분류되었음. ‘12년 3월에 모바일카드 규격이 국가표준(KS)으로 제정되고, 이를 기반으로 ’13년에는 모바일결제 서비스 확산을 위한 표준 POS 및 모바일 영수증 관리 규격이 제정되었으며, ‘14년에는 모바일 결제를 위한 어플리케이션 보안 지침이 제정되었고, ’15년에는 모바일 지불결제를 위한 상호운용성 규격이 제정되었음. 제정된 표준의 활용도를 높이기 위하여 국내외 다양한 사례를 참조하고 홍보하여, 우리의 특장점을 강화하는 전략이 요구되어 Ver.2016에도 "다각화협력" 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 모바일결제의 도입기에는 사업자마다 다양한 방법과 기술을 시도하는 현상을 보이기도 하며 이는 산업발전에 큰 저해요소가 될 수 있음. 특히, 국내의 주요 사례를 기반으로 공통이 될 수 있는 부분에 대한 기술개발과 표준화를 추진한다면 국제 표준화 추진 시에 큰 힘이 될 것으로 보임

* 사실 표준화 활동 전략 : 핀테크가 이슈가 되면서 다영한 모바일 금융 관련 포럼이나 컨소시엄이 만들어 질 것으로 예상되어, 이와 연계한 추진 전략이 유효할 것으로 보임

- 국내 표준화 추진계획 : 기존에 개발된 모바일결제 규격의 활성화를 위한 추가적인 규격 개발이 지속될 것으로 예상되며, 전자지갑 보안 취약점에 대비한 보안 가이드라인 및 보안성이 강화된 새로운 결제 방식 등 산업계 요구사항을 수용한 표준화가 추진될 전망임

- IPR 확보가능분야 및 확보방안 : 모바일결제 관련 IPR은 국내사업자가 많이 확보하고 있으나 서비스 또는 비즈니스 모델에 국한되는 양상을 보이고 있음. 향후 결제규격 자체와 응용서비스 적용 측면에 대한 IPR을 확보하는 것이 중요 전략임

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 국내에서 진행하고 있는 연구개발과 국내외 표준 개발 과정에서 서비스와 연관된 핵심 기술에 대한 IPR을 우선적으로 확보함. 또한 국내뿐만이 아니라 국제에서도 적용 가능한 결제방법을 고려하여 IPR을 출원하는 전략이 필요함. 모바일 결제산업은 급속히 글로벌화하는 경향을 보이고 있어 국내 로컬규격의 표준화 및 해외 규격과의 상호호환규격 개발 관점에서 추진하고 국내뿐만 아니라 외국에도 출원하여 권리를 확보하고, 표준화를 추진하는 것이 필요함



(다각화 협력 | 병행) 개인정보보호 정책 및 운영관리 기술



국내 TTA

국외ISO/IEC JTC1,

ITU-TW3C

국내참여업체

/기관

KISA, ETRI, 순천향대학교


표준개발


기술개발


기술개발단계


1년 앞섬선도국대비 110% 수준


선도국가

/기업한국, 일본, 미국, EU

표준화단계


국제 □기획↦□항목승인↦■개발/검토↦□최종검토↦□제/개정

선도국가

/기업한국, 일본, 미국, EU


Ver.2015에서도 표준 개발/검토 단계로서 "다각화협력"항목으로 분류되었음. 개인정보보호분야는

각 국가별 표준화 및 기술개발 기반 하에 각국의 법규를 수용하기 위한 인터페이스로 국제

표준화가 진행되고 있으며, 국내 표준화 전문가가 국제 표준화에서 주도적으로 활동을 수행하고

있는 만큼 다각적인 협력이 필요하다고 판단되어 Ver.2016에서도 "다각화협력" 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 개인정보보호기술에 대해서는 ITU-T와 ISO/IEC JTC1의 국제표준화에 모두 우리나라 표준전문가들이 주도적으로 참여하고 있으며, 국내 표준기술의 국제표준 선도를 위해서 지속적으로 표준화 활동에 참여할 필요가 있음

* 사실 표준화 활동 전략 : IoT, 스마트그리드의 표준에 개인정보보호기술에 대한 표준화가 포함되는 초기 단계로, 국내의 개인정보보호 전문가가 적극적으로 활동할 수 있는 동기 부여가 요구됨.

- 국내 표준화 추진계획 : 개인정보보호법 제정에 따라 개인정보보호기술에 대한 컴플라이언스 요구가 활발하여 다양한 기술개발이 추진되고 있으나, 표준화 추진은 다소 미흡한 실정임

- IPR 확보가능분야 및 확보방안 : 스마트폰 등 다양한 기기와 클라우드 서비스의 출현 및 사용 증가에 따라 개인정보보호 중요성이 증가하고 있으며, 이러한 새로운 패러다임 및 기술에 접목되는 핵심기술로써 서비스 성능을 보장하면서 서비스 운영환경의 제약을 해결하는 기술로써 개인정보보호 IPR 확보가 가능함

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 클라우드 서비스 등 글로벌 정보통신 서비스의 증가에 따라 개인정보의 국외이전 요구가 증가하고 있으나, 각 국가별 법규의 상이성 문제를 해결하는 복잡한 컴플라이언스를 충족하는 기술개발이 필요하며, 이 기술개발과 함께 국가간 상호 연동성을 위한 국제 표준화의 추진 및 표준특허 확보가 요구됨



3.1. 중기(3개년) 및 장기(10개년) 표준화 계획

¡ 중기(2016~2018) 표준화 계획

Ver.2016


¡ 장기(~2025) 표준화 계획



[참고문헌]

[1] ICT 표준화 전략맵 Ver.2015, 2014.12

[2] NIS 등, “2015 국가정보보호백서”, 2015.4

[3] TTA, “ICT 표준개발맵 ver.2015”, 2015.1

[4] ETRI 전자통신동향분석, “인터넷 환경의 유해 정보 차단 기술 동향”, 2013.6

[5] 임석재, 염흥렬, “개인정보보호 관리체계 인증 제도 운영 현황 및 국제 표준화 동향”,

Internet & Security Focus 2013.5

[6] KISA, “다양한 보안 프로토콜에서의 SEED 이용 가이드라인”, 2008.6

[7] KISA, “암호정책 수립 기준 설명서”, 2008.10

[8] MITRE Trusted Automated eXchange of Indicator Information(TAXII),

https://taxii.mitre.org/specifications/version1.1/

[9] MITRE Structured Threat Information eXpression(STIX),

http://stix.mitre.org/language/version1.1/

[10] 정보통신용어사전, http://www.tta.or.kr

[11] TTA 정보통신표준화위원회, http://committee.tta.or.kr

[12] MarketsandMarkets, “Multi-Factor Authentication (MFA) Market by Model (Two, Three,

Four, and Five Factor), Application (Travel & Immigration, Government, Banking,

Defense, Commercial Security, Consumer Electronics, Healthcare), and Geography -

Global Forecast to 2020”, 2015.8, http://www.marketsandmarkets.com/

Ver.2016


AES Advanced Encryption StandardAPI Application Programming InterfaceARIA Academy, Research Institute, AgencyCAB Conformity Assessment BoardCAGR Compound Annual Growth RateCAPEC Common Attack Pattern Enumeration and ClassificationCAT Credit Authorization TerminalCC Common Criteria for Information Technology Security EvaluationCCRA Common Criteria Recognition ArrangementCEM Common Methodology for Information Technology Security EvaluationCISSP Certified Information Systems Security ProfessionalCMS Cryptographic Message SyntaxCWE Common Weakness EnumerationDBMS Database Management SystemDRM Digital Rights ManagementEAP Extensible Authentication ProtocolEMV Europay MasterCard VisaETRI Electronics and Telecommunications Research InstituteETSI European Telecommunications Standards InstituteFIDO Fast IDentity OnlineHCE Host-based Card EmulationHIGHT HIGh security and light weigHTHSM Hardware Security ModuleIC Integrated CircuitICT Information and Communication TechnologyID IDentityid, Id IdentifierIEC International Electrotechnical CommissionIETF Internet Engineering Task ForceIKE Internet Key ExchangeIoT Internet of Thingsi-PIN Internet Personal Identification NumberIPR Intellectual Property RightIPSec IP SecurityISACA Information Systems Audit and Control AssociationISC2 IT Certification and Security ExpertsISMS Information Security Management SystemISO International Organization for StandardizationISO/IEC JTC1 ISO/IEC Joint Technical Committee 1ISP Internet Service Provider

ITU-TInternational Telecommunication Union - Telecommunication Standardization

SectorKCMVP Korea Cryptographic Module Validation ProgramKISA Korea Information & Security AgencyKS Korean Industrial Standards

[약어]



LEA Lightweight Encryption AlgorithmM2M Machine to MachineMITRE Massachusetts Institute of Technology Research & EngineeringMOCCA Modular Open Citizen Card ArchitectureNFC Near Field Communication NIST National Institute of Standards and TechnologyNSRI National Security Research InstituteOASIS Organization for the Advancement of Structured Information StandardsOATH Open AuTHentificationOMTP Open Mobile Terminal PlatformOTP One Time PasswordP3P Platform for Privacy Preference ProjectPG Project GroupPIMS Personal Information Management SystemPKI Public Key InfrastructurePOS Point of SaleRFC Request for CommentsRSA Rivest, Shamir, AdlemanSG Study Group SHA Secure Hash AlgorithmSIEM Security Information and Event ManagementSIM Subscriber Identity ModuleSNS Social Networking ServiceSRTP Secure Real-time Transport ProtocolSVM Security & Vulnerability ManagementTC Technical CommitteeTLS Transport Layer SecurityTR Technical ReportTTA Telecommunications Technology AssociationURL Uniform Resource LocatorUSIM Universal Subscriber Identity ModuleW3C World Wide Web ConsortiumWG Working GroupXACML eXtensible Access Control Markup LanguageXRI eXtensible Resource Identifier

네트워크/디바이스보안

목 차

1. 표준화 개요 ·························································································································· 74

1.1. 기술 개요 및 표준화 필요성 ·································································································· 74

1.2. 연도별 주요 현황 및 이슈 ······································································································ 78

1.3. 중점 표준화 항목 ···················································································································· 81

2. 국내외 시장/기술개발/IPR/표준화 현황분석 ·································································· 84

2.1. 시장 현황 및 전망 ···················································································································· 84

2.2. 기술개발 현황 및 전망 ············································································································ 86

2.3. IPR 현황 및 전망 ······················································································································ 93

2.4. 표준화 현황 및 전망 ················································································································ 97

3. 국내외 추진전략 및 중장기 계획 ·················································································· 107

3.1. 비전 및 기대효과 ··················································································································· 107

3.2. 표준화 SWOT 분석 및 추진방향 ························································································ 110

3.3. 중점 표준화 항목별 국내외 추진전략 ··············································································· 111

3.4. 중기(3개년) 및 장기(10개년) 표준화 계획 ········································································ 136

[참고문헌] ············································································································································· 138

[약어] ····················································································································································· 139

정보보호 Ⅰ 네트워크/디바이스보안 73



1. 네트워크/디바이스보안 표준화 개요


¡ 기술 개요

네트워크/디바이스 보안은 컴퓨터 등을 이용한 정보시스템 간의 통신상에 발생하는

침해사고 또는 통신망에 대한 보안 기술을 다루는 네트워크 보안 기술과 스마트폰,

태블릿 등 스마트기기와 관련하여 발생하는 보안 위협에 대응하기 위한 디바이스 보안

기술로 구분되며, 세부 기술로는 SDN/NFV 보안, IoT 보안, 사이버보안(사이버공격 대응,

보안 정보공유, 악성코드, 네트워크 증거보존 등), 스마트폰 보안 기술 등이 있음

<네트워크/디바이스 보안 기술 개요도>

- SDN/NFV 보안은 네트워크 장비의 보안 제어 부분을 데이터 전송 부분과 분리하여 네트워

크 장비의 기능 및 정책을 정의할 수 있는 오픈 보안 API를 외부에 공개하는 특징을 갖는

기술로, 프로그램된 보안 소프트웨어로 다양한 네트워크 보안 설정 및 제어를 중앙 집중적

으로 할 수 있게 함. 또한 다양한 네트워크 보안 기능들을 클라우드 상에 위치시키고, 그

기능 간에 서로 협력하도록 하여 시너지를 높이고 네트워크 보안 장비의 부하를 줄임

- IoT 보안은 IoT 관련 기술이 구체화되어 IoT 디바이스, IoT 플랫폼, IoT 게이트웨이 및 IoT

액세스 네트워크 등으로 분화됨에 따라 이들 요소의 안전한 설계, 취약점 분석, 보안성 확

보와 관련한 기술을 비롯하여, 이를 통해 제공되는 IoT 어플리케이션 및 신규 서비스에서

의 보안과 프라이버시 문제 등을 포함함

Ver.2016


- 사이버보안은 전자적 침해행위를 사전에 예방하거나 침해행위로 인한 피해를 사후에 복구

하는 등 정보통신 시스템이 정상적으로 가동하도록 보장하고 정보통신기반시설을 보호하

는 것을 말하며, 사이버테러를 비롯한 사이버공격을 방지하고 피해를 최소화하며 신속히

대응하기 위해 노력하는 것을 포함. 사이버보안 정보 공유, 사이버 침해사고에 대한 원인

분석을 위해 사전에 네트워크 데이터를 수집·보존하는 네트워크 증거 보존, 악성코드 분석

등이 기술이 있음

- 디바이스 보안은 디바이스를 활용하는 사용자의 정보보호를 위한 보안으로, 디바이스 보안

위협, 스마트폰 스팸 대응 등에 대처하기 위한 보안 기술이며, 대표적인 디바이스로는 스

마트폰이 있지만, 태블릿, 노트북 등 다양한 기기가 존재


- A씨는 자신의 스마트폰 보안 응용을 이용해서 정보가전의 사용 시간대, 자녀의 컴퓨터 사

용 등을 위한 보안 정책을 수립하고, SDN 제어기를 탑재한 스마트홈 제어 시스템에 전달

한다. 이 정책에 따라 스마트홈 제어 시스템은 가정 내 모든 정보 기기들에게 네트워크 설

정을 한다. 이에 따라 가정 내 인터넷 트래픽들은 분석되고, 사용량 초과, 외부의 공격여부

등을 판단하여 적절한 처리가 진행된다.

- B사는 직장 내의 모든 트래픽을 안전하게 유지, 관리하기 위해 내부 네트워크를 SDN 기반

의 클라우드 네트워크로 구축하고, 외부의 데이터센터와의 동적인 연동을 효율적으로 수행

하기 위해 네트워크 장비 상의 보안 기능을 SDN/NFV 기반의 소프트웨어로 구현하여 원격

에서 제어할 수 있게 하였다. 또한 SDN/NFV 보안 프레임워크 및 프로파일 표준에서 제시

된 네트워크 장비들 간의 안전한 통신을 위한 보안 메커니즘과 프로토콜을 구현하였다. 이

를 통해 직장 내에서 전달되는 모든 트래픽을 SDN 클라우드 상에서 중앙 집중적으로 제

어할 수 있게 되어 실시간으로 악의적인 외부 공격자를 동적으로 탐지하고 제거할 수 있게

되었다. 또한 역추적할 수 있는 실시간 정보도 획득할 수 있게 되었다.

- 중규모 도시에서 회사원으로 일하는 C씨는 인증, 인가, 도메인 접근제어 및 프라이버시 보

호 기능을 가지는 퍼스널 IoT 게이트웨이를 통하여 연동되는 유헬스 태그, 지능형 슈즈, 스

마트 밸트, 스마트 글라스 등의 IoT 디바이스로부터 수신한 신체 및 행동 정보를 분석한

원격의료용 IoT 빅데이터 서버로부터 안전하게 자신의 건강상태를 실시간으로 보고를 받고

안전한 대화용 IoT 단말을 통하여 다른 직장에 있는 아내와 원격의료 정보에 관하여 이야

기를 나눈다. 가끔 함께 일하는 동료의 대화용 단말이 문제가 생기는 경우 퍼스널 게이트

웨이의 세션기반 위임인증 기능을 통하여 장치를 빌려준다. 귀가 시에는 보안이 강화된

IoT 네트워크로서의 스마트카를 통하여 운전 습관 및 목적지 등이 비밀리에 수집되고 교통

예측 서비스를 통하여 최적의 경로로 안전하게 집에 도착한다. 자신의 신체, 행동 및 심리

분석정보와 연동되는 집안의 IoT 기반 자동난방제어장치, 탕비시스템, 스마트 오디오비주얼

시스템 등이 자신에게 딱 맞는 서비스를 준비하고 있다. 바쁜 중에 실시간 확인을 못하였

던 정보들 즉, 아끼는 화분을 위해 미리 설정된 IoT 급수기의 제어이력과 수분 상태정보,

아끼는 애완동물 티티의 스마트 급식/배변 제어기의 상태정보 등 이력정보와 자신을 위하

여 직판으로 예약된 채소와 가축의 생육 상태정보 등이 IoT 디바이스로 구현된 스마트팜으

로부터 안전하게 우선순위에 따라 보고된다. 잠시 집에 머문 C씨는 산책을 하러 집 옆의



공원에 간다. 시설용 고정 카메라 및 자동차용 이동 카메라 등의 영상기반 IoT 장치들이

연합된 지능형 카메라네트워크를 통하여 보안/안전/치안 문제가 해결된 도시 속에는 각종

시설물들이 스마트 센서/액추에이터로 연결되어 최상의 쾌적상태가 유지되고 있는 공원이

있으며 하나로 살아 움직이는 공원은 자연재해, 교통/시설/주거 시스템 및 원격 의료서비

스 뿐만 아니라 공공용 분산 서비스 네트워크에 가입된 스마트 자판기 등과도 안전한 공

통망을 통하여 하나의 시스템처럼 연결되어 있어 C씨의 편안한 산책을 보장하고 있다.

- 강남 한 아파트에 입주한 신혼 신부인 D씨 사물인터넷(IoT) 네트워킹 기능을 지원하는 정

보가전제품을 구매하였다. 구매한 정보가전제품은 스마트 TV, 냉장고, 세탁기, 전기밥솥, 로

봇청소기, 컴퓨터, 에어컨 등이다. 이들 정보가전제품은 전원을 켜자마자 IoT 네트워킹을

통해 D씨 핸드폰에 아파트 도면 그림에 표시된다. D씨는 스마트폰으로 이들 정보가전제품

을 외부에서도 인터넷에서 관리 및 제어를 한다. 이러한 IoT 디바이스의 원격제어에 보안

성 및 안정성이 보장된다면 매우 편리할 것이다.

- 최근 APT 공격과 같은 보안 위협은 빠르게 다변화 하고 있으며 특정 대상을 목표로 함에

따라 별개로 운영되어 오던 기업의 보안 인프라를 유기적으로 연계하여 통합

관리함으로써 사이버위협 통합제어 서비스를 통해 사이버위협에 대한 정보를

정부기관으로부터 전달받고, 대응책을 손쉽게 확인 할 수 있다.

- 음악을 좋아하는 E 부장은 야근 중 음악을 듣기 위해 평소 즐겨 이용하던 P2P 사이트에서

음악파일을 다운로드 받을 때 필요한 프로그램을 설치하였다. 이후 컴퓨터가 느려지고 브

라우저 홈페이지가 바뀌는 등 컴퓨터가 악성코드에 감염된 증상이 발견되었다. E부장은 인

터넷침해대응센터에 이를 신고하여 필요한 조치와 침해사고예방 수칙을 안내받았다.

- 외부에서 이동 중인 F씨는 팀원으로부터 급히 결재 요청을 받는다. 이동 중에 결재를 위해

F씨는 자신의 스마트폰을 이용하여 회사 모바일 결재 시스템을 통해 안전하게 결재 처리

를 하였고, 이를 통해 업무의 효율성을 높일 수 있다.


- SDN/NFV 기술은 데이터 전송부분과 제어부분이 결합된 기존 하드웨어 중심의 고가 네트

워크 장비를 대체할 수 있도록 데이터 전송부분과 제어부분이 분리, 저가의 범용 하드웨어

장비를 사용함으로서 장비 가격을 낮추고 사업자의 요구사항을 충족하는 유연한 네트워크

구성 및 운용을 가능하게 함. 따라서 SDN 제어부분을 보안 확장하여, 보안 API를 공개함

으로써 기존의 다양한 네트워크 공격 유형을 실시간에 효과적으로 막을 수 있는 표준화된

수단을 제공해야 함. 또한 NFV 기술을 통한 보안 기능을 가상화함으로써 다양한 보안 서

비스들을 클라우드 상에서 제어하고 하드웨어에 무관하게 사용할 수 있도록 가상화, 오케

스트레이션 기능을 표준화해야 함

- IoT의 실현기술이 무르익으면서 다양한 관련 표준화 단체와 표준화 아이템이 등장하고

있으나 공통적인 표준은 2017년에나 이루어질 수 있을 것으로 예상됨. IoT 보안은 저용량

디바이스(예, 센서, 미터기)와 고용량 디바이스(예, 정보가전기기, 스마트 디바이스)등의

다양한 IoT 디바이스들이 다양한 무선 네트워킹 기술로 연결되어 통합서비스로 연동될

상황에서 이종 디바이스 및 게이트웨이 운용, 이종 무선 네트워크 접속과 네트워크의 절체,

Ver.2016


새로이 등장하는 관련 서비스에서의 보안과 프라이버시 문제 해결을 위한 일관된 표준화

추진이 시급히 요구됨

- 대부분의 기업 및 주요 기관은 사이버 표적공격(APT)에 취약하며 향후 이러한 공격은

지속적인 증가와 함께 더욱 큰 사회적 위험을 야기할 것으로 예측되고 있음. 이에 따라,

사이버위협을 대응하기 위한 빅데이터 처리 기술을 활용한 지능형 보안 분석 기술과

유관기관간의 침해사고 정보공유 기술을 포함한 체계적이고 종합적인 실시간

통합보안제어 기술에 대한 표준이 필요함. 또한, 백신업체의 침해사고 관련 악성코드

샘플수집 및 분석, 네트워크 보안업체의 유포경로· 피해확산 경로 분석 및 차단, 침해사고

분석업체의 로그·포렌식 분석 등 공격기법 분석에 따른 정보공유를 통한 종합적인 대응을

위해 각 업체, 기관들이 수집할 수 있는 정보유형에 따라 악성코드에 대한 공격경로, 분석,

대응 전 과정에서의 대응구조 및 정보연동에 대한 표준화가 필요함. 또한, 최근 사이버

침해사고가 발생했을 때 신속하게 원인을 파악하고 대응하는 것이 더욱 중요해지고

있으며 이를 위해 네트워크 데이터의 활용하고자 하는 요구사항이 증가하고 있음. 하지만

네트워크 트래픽은 매체에 저장된 형태가 아니기 때문에 데이터를 수집·보존하는 과정에서

데이터의 무결성과 도구의 신뢰성을 확보함으로써 수집·보존된 데이터를 이용해 분석된

결과가 법적 효력을 갖도록 네트워크 증거 보존에 대한 표준화된 규격을 제공할 필요가

있음

- 스마트폰 보안 위협, 스마트폰 스팸 증가 등 스마트폰 보안 이슈에 대한 관심이 증가하고

있으며, 이에 따른 역기능 방지 기술 및 다양한 스마트폰 보안 관련 기술 마련이 시급하므

로 디바이스 보안을 위한 표준화 추진 필요




Ver.2016



- 2000년 NIJ(National Institute of Justice), DHS(Department of Homeland Security) 및

NIST에서는 CFTT(Computer Forensic Tool Testing) 프로젝트 운영 시작

- 2010년 방통위, '스마트폰 이용자 10대 안전수칙'을 발표, '모바일 시큐리티 포럼'을 통해

스마트폰 정보보호 주체별 역할 정립

- 2011년 한국인터넷진흥원, 스마트폰 보안성 제공을 위한 폰키퍼를 개발하여 앱마켓을 통해

배포

- 2011년 한국인터넷진흥원, 침해사고 정보연동을 위한 사이버 위협정보 공유시스템 개발

- 2014년 미래부, 네트워크 장비산업의 상생발전 전략을 수립하고 확산 중이며, 네트워크 핵

심장비 국산화를 통한 보안 장비 시장 확대를 추진하고 있음

- 2015년 미국은 국세청/인사관리처 해킹사고 등을 겪고, 사이버보안 스프린트를 통해 연방

기관의 보안을 점검하는 등 보안을 강화하고 있음

¡ 국내외 기술개발 주요현황 및 이슈

- 2013년 다중소스 데이터의 Long-term History 분석기반 사이버 표적공격 인지 및 추적 기

술 개발

- 2013년 ETSI에서 NFV에 대한 표준개발을 시작함에 따라, 우리나라도 2014년부터 기존

SDN, NFV, 클라우드 과제 등을 통해 스마트 네트워킹 핵심 기술개발 일환으로 통합하여

연구개발을 추진함

- 2013년 유비쿼스, 파이오링크, 인티게이트 등을 중심으로 테라급 라우터 하드웨어 공통플

랫폼 기술개발 작업을 시작하였으며, KT, SKT, LGU+ 등 통신사업자들에 SDN과 NFV 기술

등을 통신망에 도입하기 위한 연구개발을 본격적으로 진행하고 있음

- 2014년 SDN 기술을 이용한 사이버 검역 시스템 개발 과제 시작

- 2014년 파이오링크를 주관으로 SK텔레콤, KAIST, 이토리서치, 인소프트에서 공동연구기관

으로 참여하여, 소프트웨어 기반 멀티서비스 통합 스위치 플랫폼을 개발하고 있음

- 2014년 SK텔레콤은 ‘네트워크 기능 가상화(NFV)’ 솔루션을 활요해 네트워크 가상화 센터

구축 및 운영 중

- 2014년 사이버 공격의 사전/사후 대응을 위한 사이버블랙박스 및 통합사이버 상황분석 기

술 개발

- 2014년 내부 데이터 유출방지를 위한 네트워크 증거수집 도구 개발(ADD)

- 2014년 워치아이는 대용량 보안 데이터를 실시간으로 수집 및 검색을 위한 로그인사이트

(LogInsight)의 리뉴얼 버전 출시

- 2014년 2Gbps/10Gbp급 네트워크 데이터 수집보존을 위한 사이버 블랙박스 개발 시작(ETRI)




- 2013년 스마트인터넷 국내 표준화의 원년으로 ETRI에서 기술개발로 진행 중인 스마트 노

드 플랫폼 관련한 국내 규격 4종 및 SDN 제어기 기능 요구사항 표준 제정

- 2013년 ‘확장된 침입 탐지 메시지 교환 포맷‘ TTA 표준 제정

- 2014년 TTA PG220 산하 WG2201 (하드웨어 공통플랫폼 표준개발 실무반)은 산업체를 중

심으로 네트워크 하드웨어 공통플랫폼 국내표준 제정

- 2014년 SDN/NFV 보안 관련 표준안을 TTA PG504에 신규로 제안하여, 현재 작업 진행중

- 2014년 한국RFID/USN융합협회가 한국사물인터넷협회로 명칭을 변경하고 사물인터넷포럼

을 창립

- 2014년 세션정보 메시지 교환 포맷(SIMEF) TTA 표준 제정

- 2014년 보안 관제를 위한 시스템 정보 메시지 교환 포맷 TTA 표준 제정

- 2015년 사물인터넷포럼이 내부 정보보호분과에서 경량암호, 데이터보안구조, 게이트웨이보

안 요구사항, 기기 등급분류 및 보안요구사항 등에 관한 표준화 추진 중

- 2015년 침해사고 분석을 위한 네트워크 데이터 수집 및 보존 도구 요구사항 TTA 표준 제

정 (12월 예정)


- 2013년 IRTF, IRTF 산하에 SDN RG를 신설

- 2013년 IETF, 시스코, 주니퍼 중심의 표준기술로 I2RS (Interface to the Routing System)

WG을 신설하여 표준개발을 진행중. 또한 세그먼트 라우팅과 같은 시스코의 새로운 SDN

접근방법 등도 새롭게 논의가 진행중

- 2014년 ITU-T SG13, Question 14는 SDN 프레임워크(Y.3300) 및 정형검증(Y.3320) 표준을

제정함. 현재 이 권고안을 기반으로 SDN 구조(Y.sdn-arch) 및 요구사항(Y.sdn-req) 표준을

개발하기 시작

- 2014년 ITU-T SG17, SDN 보안 유스케이스 (Y.sdnsec-1) 권고안 개발 시작

- 2014년 ITU-T SG17, 스마트폰 앱 보안 프레임워크 표준 부속서 채택

- 2015년 ITU-T SG17, 스마트폰 개발자를 위한 스팸 대응 지침 표준 부속서 표준화 추진

- 2015년 ITU-T SG17, SDN 보안 요구사항 및 구조 (Y.sdnsec-2) 권고안 개발 시작

- 2015년 ITU-T SG17, IoT 보안 프레임워크 (X.iotsec-2) 표준화 시작

Ver.2016


중점 표준화 항목 표준화 내용Target SDOs

전략목표

네트워크보안

SDN/NFV보안

SDN/NFV 보안

프레임워크와 메커니즘

SDN 제어기와 스위치 분리 기법에 기초한 제어기와 스위치간의 보안 인터페이스, 보안메커니즘, 디바이스 프로파일, NFV 구조 및 인프라 등을 정의

ITU-T, IETF, ETSI

차세대공략

SDN/NFV 보안 응용 및

서비스

SDN/NFV 보안 응용으로의 SDN 제어기 공통 인터페이스, 클라우드 상의 보안 서비스, 보안 검증 표준언어 및 명세, NFV 관리 및 오케스트레이션 등을 정의

ITU-T, IETF, ONF,ETSI

차세대공략

IoT보안

IoT 통신 인프라 보호 프레임워크

IoT 디바이스 간 짧지만 대용량인 이종 트래픽이 발생함에 따른 새로운 모바일 통신 인프라 보호 메커니즘 및 새로운 개인용 디바이스에 의한 프라이버시 침해요소와 보안위협을 정의하고 이에 대응할 수 있는 통신보안 기술 정의

ITU-T,oneM2M

적극공략

IoT 게이트웨이

보안 프레임워크

IoT 디바이스의 인터페이스, 디바이스와 게이트웨이 간의 인증, 도메인 내에서의 권한위임 및 접근제어 기술과 이와 관련한 취약점, 프라이버시 문제 등을 정의하고 이를 위한 보안 프레임워크 정의

ITU-T,oneM2M

차세대공략

IoT 서비스 보호

프레임워크

u-City, u-Health, u-Warfare, u-Automobile, u-Surveillance 등의 IoT 관련 신규 서비스 및 응용에서의 디바이스 유실/분실 관리, 도메인 공유 관리, 서비스 사용자 보호 등의 새로운 보안 이슈와 디바이스-사용자 고유성 확보 및 인증 기술, IoT 디바이스 네이밍 서비스 등 정의

ITU-T,one

M2M, IETF

차세대공략

사이버보안

사이버 공격 대응을 위한

빅데이터 분석 요구사항

사이버 공격 대응을 위한 특징인자 모델링 및 대용량 보안 이벤트 처리를 위한 빅데이터 분석 기술의 요구사항 정의

ITU-T차세대공략

보안정보공유 및 통합제어 프레임워크

사이버위협에 대응하기 위한 유관기관간의 침해사고 정보공유 포맷 및 협업형 통합제어 프레임워크 정의

ITU-T다각화협력

악성코드 통합 대응 기능 및

구조

악성코드의 확산 방지를 위한 악성코드 수집정보, 경유/유포지 탐지정보등을 공유하고 분석하는 악성코드 통합 대응 요구사항 및 프로토콜 정의


악성코드 분석 및 보고형식

악성코드 분석결과 및 대응기법의 상호 공유를 위한 분석포맷, 보고형식 정의

ITU-T다각화협력

침해사고 분석을 위한

네트워크 증거 보존 요구사항

사이버 침해사고에 대한 원인 분석을 위한 네트워크 데이터 수집 및 보존 도구를 위한 요구사항 정의


디바이스보안

스마트폰

보안

스마트폰 스팸 대응을 위한

보안 요구사항

스마트폰 환경에서의 스팸문제와 관련된 보안 위협을 정의하고, 개발자 관점에서의 보안 요구사항 정의

ITU-T적극공략

스마트폰 환경에서의

저장장치 보안 프레임워크

모바일에서의 신뢰 플랫폼 모듈, 마이크로SD 등 스마트폰 환경의 저장장치에 대한 보안 요구사항 및 단일 기기에서의 멀티 도메인 프로파일 지원으로 다중 수준의 보안 프레임워크 제공 기술 정의

ITU-T, OMA

차세대공략




Ver.2014 Ver.2015 Ver.2016

미래 인터넷 보안 요구사항 - -

자가 인증(Self certifying) 구조 및 절차

자가 인증(Self certifying) 구조 및 절차

-

Mobility 보안 구조 및 절차네트워크 이동성 보안 구조 및

절차-

M2M(IoT) 통신 인프라 보호 프레임워크

M2M/IoT 통신 인프라 보호 프레임워크

IoT 통신 인프라 보호 프레임워크

M2M(IoT) 게이트웨이 및 액세스 네트워크 보호 프레임워크

M2M/IoT 게이트웨이 및 액세스 네트워크 보호 프레임워크

IoT 게이트웨이 보안 프레임워크

M2M(IoT) 서비스 보호 프레임워크

M2M/IoT 서비스 보호 프레임워크

IoT 서비스 보호 프레임워크

SDN 보안 프레임워크SDN 보안 프레임워크와 메커니즘

SDN/NFV 보안 프레임워크와 메커니즘

SDN 보안 응용 및 서비스 SDN/NFV 보안 응용 및 서비스

클라우드 보안관리 프레임워크 - -

클라우드 개인정보보호 기준 - -

클라우드 보안을 위한 정보교환 프레임워크

- -

클라우드 컴퓨팅 서비스에서의 이용자 디바이스 보안 요구사항

- -

가상네트워크 침입탐지 분석 요소 - -

클라우드 컴퓨팅을 위한 네트워크 보안 요구사항

- -

사이버 표적공격 대응을 위한 빅데이터 분석 요구사항

사이버 표적공격 대응을 위한 빅데이터 분석 요구사항

사이버 공격 대응을 위한 빅데이터 분석 요구사항




악성코드 통합 대응 기능 및 구조 악성코드 통합 대응 기능 및 구조 악성코드 통합 대응 기능 및 구조

악성코드 분석 및 보고 형식 악성코드 분석 및 보고 형식 악성코드 분석 및 보고 형식

신규 악성코드 분석 기술용어 - -

[참고] 네트워크/디바이스보안 표준화전략맵 추진경과

- Ver.2014에서는 정보보호기반 및 이용자보호, 네트워크 및 디바이스 보안, 플랫폼 보안 및

평가인증, 콘텐츠 보호 및 관리의 네 개의 중점기술로 구분되어 수립되었음

- Ver.2015에서는 정보보호 분야를 한 개의 중점기술로 통합하여 수립되었음

- Ver.2016에서는 공통기반보안, 네트워크/디바이스보안, 서비스/융합보안의 세 개의 중점기

술로 구분하여 수립함. 네트워크/디바이스보안에서는 SDN/NFV 보안, IoT 보안, 사이버보

안, 디바이스 보안의 표준화 전략 수립


Ver.2016


정의

- -침해사고 분석을 위한 네트워크

증거 보존 요구사항

스마트폰 앱 보안 검증 프레임워크

스마트폰 앱 보안 검증 프레임워크

-

스마트폰 다중 수준 보안 프레임워크

스마트폰 관련 보안 대책스마트폰 스팸 대응을 위한 보안

요구사항

- -스마트폰 환경에서의 저장장치

보안 프레임워크

Ver.2016 중점 추진방향

§ SDN/NFV 보안은 NFV 분야를 신규로 포함하여, NFV 기술 분야까지 확장하여 네트워크 보안 프레임워크 및 응용 표준화 항목을 도출함

§ IoT 보안은 Ver.2015까지 M2M을 함께 다루었으나 기술과 표준의 산발적 확산을 방지하고 공통의 표준화를 유도하기 위하여 IoT만으로 통일하여 표준화를 추진함. 특히, IoT 통신 인프라에서의 이상노드 검출, 침입탐지, 패킷 검사 및 추적, 게이트웨이에서의 위임, 대리인증 및 스푸핑 취약점 대응, 서비스 수준에서의 사용자 프로파일 및 위치정보 보호 등을 중심으로 표준화를 추진함

§ 사이버보안은 사이버공격의 지능화, 글로벌화로 국가간 침해사고 정보공유가 중요해짐에 따라 사이버 공격 대응을 위한 보안정보 공유 및 통합제어 프레임워크, 악성코드 분석 및 통합 대응 표준화를 추진하며, 네트워크 데이터 수집 및 보관 과정에서 데이터의 무결성과 도구의 신뢰성을 확보하기 위해 네트워크 증거 보존에 대한 신규 표준화 항목을 추가하기로 함

§ 디바이스보안은 스마트폰 스팸에 대처하는 방안 마련이 시급한 점과 스마트폰에서의 저장장치 보안에 대한 필요성이 높아지는 점을 감안하여 기존 항목을 세분화함. 기존 항목 중에 하나인 스마트폰 관련 보안 대책을 스마트폰 스팸 대응을 위한 보안 요구사항과 스마트폰 환경에서의 저장장치 보안 프레임워크로 분리하여 표준화를 추진함






- SDN 관련 국내시장은 2013년 490억원에서 2016년까지 매년 140% 이상 증가할 것으로 예

상되어 2016년에는 7,250억 규모를 달성할 것으로 전망됨 (출처: OpenFlow Korea, 2012)

- 국내 IoT 시장은 2013년 2.3조원에서 2022년에는 17.1조원으로 연평균 32.8% 성장할 것으

로 전망됨 (출처: Machina Research, NIA, 2013)

- 사이버보안 산업의 매출은 2014년 총 10,690 억원으로 2012년부터 연평균 1.9%가량 증가

되었으며, 시스템(단말) 보안시장이 크게 증가된 것으로 조사되었음

- 3.20, 6.25 사이버테러 등 침해사고가 빈번히 발생함에 따라, 증거 보존 및 신속한 분석과

관련된 로그관리 등 보안관리 시장 수요 증가하고 있으며, 보안관리제품 시장은 `12년

1,430억 대비 `15년 1,911억원으로, 약 10.1% 증가할 것으로 전망됨 (출처: KISIA 지식정보보안

산업 실태조사, 2012)

<국내 사이버보안산업 시장 현황>(단위 : 백만원)

구분 2012년 2013년 2014년(E) 성장률(%)

네트워크 보안 466,979 448,224 473,412 0.7

시스템(단말) 보안 168,381 212,982 215,484 13.1

콘텐츠/정보유출 방지보안 275,817 257,716 268,782 -1.3

보안관리 117,941 97,542 111,350 -2.8

합계 1,029,118 1,016,464 1,069,028 1.9

(출처: KISIA, 2015.4, 2014 국내 정보보호산업 실태조사)

¡ 국외 시장 현황 및 전망

- SDN 관련 세계시장은 2016년에는 37억달러 규모로 성장하고 2020년경에는 104억 달러에

이를 것으로 전망됨 (출처: IDC, 2013)

- 전 세계 IoT 시장규모는 ‘13년 2,000억 달러에서 연 21.8% 성장하여 ‘22년에는 1.2조 달러

로 성장할 전망됨 (출처: Machina Research, NIA, 2013)

- 국제 사이버보안 제품 시장의 매출은 2014년 326억 달러였으며, 2018년에는 427억달러로

연평균 6.9%의 성장률이 예상됨

- 전체 시장에서는 Security and Vulnerability management 분야의 시장이 연평균 10.2%의

높은 성장률을 보임

Ver.2016


<세계 사이버보안 시장 현황 및 전망>(단위 : 백만달러)

구분 2013 2014 2015 2016 2017 20182013-2018CAGR(%)

Endpoint security 8783.50 9197.20 9681.20 10196.40 10727.00 11286.30 5.10

Identity and access management 4763.90 5177.50 5625.40 6105.40 6608.10 7135.80 8.40

Web security 1888.90 2004.60 2119.40 2240.70 2367.00 2497.90 5.70

Messaging security 2222.50 2306.00 2396.30 2491.60 2587.80 2684.00 3.80

Network security 8120.40 8706.50 9304.70 10053.70 10827.40 11610.10 7.40

Security and vulnerability management 4028.90 4421.30 4893.10 5451.20 6005.10 6554.30 10.20

Other 788.90 821.70 861.10 904.90 951.80 1002.30 4.90

Total 30597.00 32634.80 34881.20 37443.90 40074.20 42770.70 6.90

(출처: IDC 2014.12)




기술개발수준

국내 □기술기획↦■설계↦□구현↦□프로토타입/시제품↦□상용화 국내외격차

-0.5년국외 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화

¡ SDN 보안 프레임워크와 메커니즘

- 국내 기술개발 현황 및 전망

Ÿ 2012년 4월 미국 산타클라라에서 개최된 오픈네트워킹 서밋(ONS)의 초빙으로 연세대와

국내 클라우드가 독자 소프트웨어로 개발한 100Gps급 오픈플로우 스위치(버전1.2) 및 제

어기 전시된 바 있음

Ÿ ETRI는 2013년 10월 독일 바트홈부르쿠에서 개최한 2013 SDN & Openflow congress에

참여하여 개방형 오픈플로우 제어기 플랫폼 기술을 전시함

Ÿ 현재 오픈플로우 외에도 NetConf, PCE, ForCES 등 다양한 SDN 제어 방식에 대한 연구가

진행 중에 있음. KT는 오픈스택 기반의 클라우드OS 도입을 적극 추진중이며, ETRI에서는

NFV 관련한 분산클라우드OS 기술로 오픈스택을 채택하여 NFV 인프라 하부 구조로 활용

하고자 함

Ÿ LGU+는 LTE 코어망의 핵심인 EPC와 HD 보이스 (VoLTE) 등 IP 기반 서비스를 위한 IMS

를 가상화하기 위한 ‘V-EPC’ ‘V-IMS’ 두 가지 NFV 프로젝트를 추진하고 있음

Ÿ SKT는 2013년 말 NFV 도입을 위한 PoC를 실시한 데 이어 2014 2월 HD 보이스에 NFV

기술을 시범 적용하였으며 2017년까지 기지국 등 다른 핵심 장비와 서비스까지 적용 분

야를 확대 될 것으로 전망임

Ÿ 파이오링크는 SKT 등과 함께 NFV 개념의 멀티서비스 맞춤형 스위칭 시스템 및 운영체제

개발 과제를 통하여 데이터센터 미들박스 및 보안 기능 개발 착수

- 국외 기술개발 현황 및 전망

Ÿ Cisco는 오픈플로우에 대응하여 기존 IETF 표준들을 적극 활용하는 SDN-ONE (Open

Network Environment) 플랫폼 및 API를 발표한 바 있으며, 구글은 글로벌 IDC 연결에 운

영되는 모든 내부 네트워크에 SDN 적용함

Ÿ NEC는 OpenFlow와 레거시 기능을 혼합한 ProgrammbleFlow 상품 출시하고 Trema 컨트

롤러를 출시함. 스탠포드 출신 벤처기업인 Big Siwtch는 Open Source 기반 SDN

Controller인 Floodlight 발표, 기존 Legacy Switch/Router 들과 연동성을 제공하는

Overlay SDN 기술 발표함(’12.6). NTT는 세계 최초 SDN 기반 멀티 가상 데이터센터 서비

스를 상용화('12.6)하고, 자사가 개발한 SDN 컨트롤러 ‘가상 네트워크 컨트롤러’ Ver 2.0

판매 시작함

Ÿ IBM은 OpenFlow 스위치외에 통합시스템인 ‘퓨어시스템즈’로 네트워킹 사업 본격 강화하

고 고성능, 저지연, 저전력 강점을 부각시키고자 함. 리눅스 파운데이션은 오픈소스 기반

Ver.2016


의 ODL (Open Daylight) 프로젝트를 진행하고 있으며, 이를 기반으로 SDN 제어 및 관리

기술 분야는 다양한 SBAPI 등을 활용한 개방형 SDN 플랫폼 환경으로 진화될 전망임.

ETSI는 유럽 표준화기구로, NFV Phase-2 표준화 작업을 추진 중임

Ÿ ONF는 ETSI와 협력 관계를 맺고 NFV의 표준 프로토콜 정립 및 SDN과의 연계를 위한 연

구 지원 중이며, 인프라 영역과 제어 영역을 연결해 주는 SW 기반 프로토콜인 '오픈플로

우', 제어 영역의 각 요소를 구성하는 ‘Open Daylight’, 제어 영역과 애플리케이션 영역의

요소들을 클라우드 기반 SW로 구축하는 오픈스택 등의 오픈소스 기술 표준들이 SDN 및

NFV 시스템을 구성하고 있음

Ÿ TMF는 NFV 기술을 중심으로 한 네트워크 가상화 기술의 활용을 촉진하기 위한 기술 연

구 프로젝트 '줌 프로젝트 (ZOM Project)‘를 개시하였으며, 통신사업자 진영에서는 AT&T,

Orange, Telcom Itali, IT 벤더 진영에서는 IBM, 화웨이, 오라클 등이 참여하여 가상화 기

술을 이용해 네트워크 운영 및 관리 아키텍처 환경을 실현하기 위한 기술 개발 및 표준화

를 추진

Ÿ 주니퍼, IBM 등 대부분의 범용하드웨어 기반의 NFV 인프라는 오픈스택 구현물을 활용하

여 솔루션 개발을 진행 중. 알카텔-루슨트는 2012년부터 코어 망의 네트워크 기능을 가상

화하는 NFV를 강력하게 추진해 오고 있으며, CloudBand라는 프로젝트를 시작해서 NFV

프레임워크를 최초로 구현

¡ SDN 보안 응용 및 서비스


Ÿ ETRI는 SDN 응용 및 서비스 검증과 관련한 정형기술을 개발 중이며, 이와 관련하여 2013

년 10월에 독일 바트홈부르쿠에서 개최한 2013 SDN & Openflow Congress에 참여하여

SDN 검증도구 기술을 전시함

Ÿ 국내 SDN 스타트업인 프리스티는 2014년 ONS2014 전시회에 ETRI와 함께 참가하여

SDN 검증 응용 기술을 전시함. 텔코웨어는 데이터 트래픽을 유형별로 분류해 네트워크

상에서 효율적으로 전달해주는 다이나믹 서비스 체이닝 기술 및 가상화 기술을 SKT와 공

동 개발 중임

Ÿ 아이엔소프트는 글로벌 오픈스택 수요에 맞춰 자사 NFV 설루션에 오픈스택 OS를 연결시

키는 작업을 진행하고 있으며, NFV 기술 표준화를 주도하는 ETSI에 ETRI와 함께 한국형

NFV 표준 기술을 제안함


Ÿ 2013년 하반기에 HP에서 SDN 앱스토어를 오픈하여, 네트워크 프로텍터(Network

Protector), 옵티마이져(Network Optimizer) 외에도 로드 발랜서(Load Balancer), DDoS

보호, 안전한 네트워크 설계 도구, DNS 디렉터(Director) 등의 응용 기술을 공개함. 2013

년 11월에 실시간 검증을 키워드로 하는 ‘veriflowsystems’ 스타트업이 시작됨

Ÿ Radware는 SDN 기반의 DDoS 공격 방어 응용 및 서비스 프로그램을 발표(’13.6). 스타트



업 ‘veriflowsystems’이 실시간 검증을 키워드로 하는 기술 개발을 시작(‘13.10). 화웨이는

vEPC 및 IMS 가상화를 진행 중이고, 영국 보다폰은 도이치텔레콤과 합착으로 실험을 실

시 중임

Ÿ 알카텔-루슨트는 2012년부터 코어 망의 네트워크 기능을 가상화하는 NFV를 강력하게 추

진해 오고 있으며, CloudBand라는 프로젝트를 시작해서 NFV 기술을 최초로 구현함. 윈드

리버는 NFV를 위한 실시간 응답성을 높인 가상화 소프트웨어 ‘Wind River Open

Virtualization Profile(OVP)’의 출하를 시작함

Ÿ 커넥템은 NFV 소프트웨어로 ‘VCM(Virtual Core for Mobile)’을 제공하여 EPC를 가상화하

고 범용 x86서버에 구동시킴

¡ IoT 통신 인프라 보호 프레임워크


Ÿ IEEE는 WiFi와 Zigbee의 장점을 살려 하나의 액세스포인트에 넓은 영역에 위치한 수천개

의 디바이스를 연결할 수 있는 사물인터넷을 위한 새로운 무선표준인 802.11ah를 2016년

완성을 목표로 표준화를 추진 중이며 이미 2015년에 시장이 형성되고 있음. 또한 이와 유

사하게 기존의 802.15.4를 확장한 802.15.4g를 위한 보안 솔루션이 등장하고 있음


Ÿ Symantec은 IoT 기기용 임베디드운영체제의 감시와 침입탐지‧차단, 접근통제 등의 기능

을 제공하는 '크리티컬 시스템 프로텍션(CSP)' 기술을 제시, TrendMicro는 Broadcom과

협력하여 사이버 위협을 예방하기 위한 '홈게이트웨이 보안 솔루션' 개발을 추진

Ÿ Infineon Technology는 스마트홈 및 스마트공장 등에서의 기밀 데이터 저장, 교환을 위한

인증과 암호화를 지원하는 'OPTIGA Trust P 솔루션'을 출시, ICTK는 Physically

Unclonable Function (PUF) 기반의 전자지문 보안칩을 개발함

¡ IoT 게이트웨이 보안 프레임워크


Ÿ KTB솔루션이 휴대가 가능한 소형, 저전력, 경량의 IoT 기기용 ‘웨어러블 방화벽’을 개발,

시큐아이가 IoT 보안 하드웨어와 소프트웨어 모듈, IoT 보안게이트웨이, IoT 보안센서 등

으로 구성된 IoT 보안플랫폼을 개발함

Ÿ 삼성그룹이 2014년도 미래기술육성사업 지정테마 지원 10대 과제 중의 하나로 IoT 보안

분야를 선정하여 현재 수행 중에 있음


Ÿ 인텔은 IoT 플랫폼을 발표하면서 IoT Gateway를 핵심 컴포넌트로 제시하였으며 여기에

맥아피를 통하여 Secure Boot, Deep Packet Inspection 등의 기술을 준비하였음

Ver.2016


Ÿ Allseen Alliance는 Alljoyn이라는 오픈소스 프로젝트를 통하여 2015년 1월 Alljoyn

Gateway Agent를 발표함으로써 디바이스 관리 차원에서의 보안 및 프라이버시 통제를

위한 세부 기술을 제시하였음

¡ IoT 서비스 보호 프레임워크


Ÿ 펜타시큐리티가 DB 암호화 솔루션을 IoT용 데이터 암호화 솔루션으로 확장함

Ÿ 마크애니가 IoT를 지원할 수 있는 전자서명 기술을 개발하여 적용 중에 있음. (주)시옷은

사물인터넷 보안서비스 강화를 위한 하드웨어 기반 암호화 및 응용 솔루션을 발표함


Ÿ Symantec은 수십억개의 IoT 디바이스를 보호할 수 있는 IoT를 위한 Symantec 보안 레퍼

런스를 통한 IoT 보안관련 문제를 파악하여 이를 해결하는 솔루션은 제공하려고 다양한

보안 기술을 개발함

Ÿ Verisign은 글로벌 인프라에 적용된 사이버보안기술력을 IoT 플랫폼 및 서비스를 보호하

기 위해 분산 트랜잭션 처리를 통해 클라우드 기반으로 한 글로벌 스케일의 보안 서비스

를 제공함

Ÿ Infineon는 민감한 유저 데이터(예, 연락처, 제품 설계도, 제품 개발 플랜선호)를 저장하는

IoT에 연결된 디바이스에 하드웨어 기반의 보안 서비스를 통해 데이터 암호화와 데이터

무결성을 제공하는 솔루션을 제공함

¡ 사이버 공격 대응을 위한 빅데이터 분석 요구사항


Ÿ 국내 인터넷 기업들을 위주로 아파치 하둡을 이용한 대용량 데이터 처리를 시도하고 있으

나, 국내 독자적인 빅데이터 처리 플랫폼의 개발 및 빅데이터 기반 보안이벤트 분석 기술

연구는 초기단계임


Ÿ 사이버공격 방어를 위해 네트워크 및 시스템 보안 제품군을 통합한 보안 이벤트 정보 관

리(SIEM) 기술을 제공하고 있으며, 이를 바탕으로 빅데이터 처리기술을 활용한 지능형 보

안 기술에 대한 연구가 본격화 되고 있음

Ÿ 또한, 빅데이터 분석 기술을 활용한 내부자 행위 분석 기술에 대한 연구와 제품 개발이

본격화되었으며, Security Intelligence를 위한 빅데이터 분석기술 도입은 Splunk를 비롯한

SIEM 선두주자들이 새로운 공격 위협에 대응하기 위한 새로운 기술로 활용되고 있으며,

SIEM의 전문기업들은 글로벌 대표 기업에 인수 합병되어 보안 토털 솔루션을 제공하는

형태의 글로벌 트랜드로 진화하고 있으며,



Ÿ ArcSight를 인수한 HP, Q1Labs를 인수한 IBM, NitroSecurity를 인수한 McAfee 등이 대표

기업으로서 관련제품을 출시 중임

¡ 보안정보공유 및 통합제어 프레임워크


Ÿ 국내에서 협력대응 기반의 통합제어 프레임워크 기술 연구는 2010년부터 시작하였으며,

정부차원의 통합전산센터와 지자체간의 사이버위협 정보를 공유할 수 있는 정보공유 시

스템을 구축하여 운영 중에 있음

Ÿ 유관기관간의 보안정보 공유를 통해 전체 공격상황을 직관적으로 파악하고 제어하려는

기술이 요구되고 있음


Ÿ 네트워크 전체를 보안 제어 영역으로 확장하여 서로 다른 기관간의 보안정보 공유를 통한

협력기반의 보안제어 기술에 대한 연구는 미국, 일본을 중심으로 활발히 진행되고 있음

Ÿ 최근 유럽연합(EU)과 미국 정부가 사이버 보안 및 사이버범죄 위협 대처를 위한 공조를

강화하기로 했으며, 사이버 보안위협 공조를 위한 작업반을 설치하고, 사이버 사고 대응

훈련을 합동으로 전개하고 수자원이나 전력 등의 통제 시스템 안전 이슈에 공동 대응하기

위한 시스템을 구축하여 운영 중임

¡ 악성코드 통합 대응 기능 및 구조


Ÿ 사용자 평판 기반 대규모 악성코드 수집·분석 기술이 개발되었으며, 악성코드 분석정보

공유를 위해 사이버 위협정보 공유시스템이 개발되어 있으나, 정보공유가 활성화되어 있

지 않음


Ÿ TrendMicro, Kaspersky 등 해외 글로벌 보안업체는 대규모 인프라를 바탕으로 수집된 악

성코드, 침해정보를 클라우드 환경에서 분석하여, 기존에 분석하지 못했던 Intelligence 분

석결과를 도출하는 등 양질의 침해사고 정보를 제공하고 있음. 최근 발생하고 있는 지능

형 지속 공격(APT)에 대한 이상징후 탐지, 대응을 위해 네트워크 트래픽 전수 수집, 분석

기능을 제공하는 기술이 꾸준히 연구되고 있음

¡ 악성코드 분석 및 보고 형식


Ÿ End point와 네트워크에서 수집된 정보 연동을 통한 침해사고 대응 형태를 보이고 있음.

악성코드 분석기술은 Sandbox 기술을 사용하며, 커널레벨 api 분석, 분석회피형 악성코드

대응 등으로 정교한 형태의 분석기술 개발을 추진 중에 있음

Ver.2016



Ÿ 가상환경에서의 실행코드 행위정보를 분석하여 악성코드를 탐지함. 또한 악성코드 분석

기술을 기반으로 지능형 지속공격(APT)에 대응하기 위한 솔루션을 적극적으로 출시하고

있음

¡ 침해사고 분석을 위한 네트워크 증거 보존 요구사항


Ÿ 사이버테러와의 전쟁 대비를 위한 네트워크 침해사고 증거 수집 및 보존 기술이 국내 기

업 및 연구기관들을 중심으로 개발되고 있음. 한국전자통신연구원(ETRI), 고려대학교 등

연구기관을 중심으로 디지털 증거 수집 기술에 대한 다양한 연구·개발이 진행 중임

Ÿ 국방과학연구소(ADD)는‘14년 완료 및 기술이전을 목표로’내부 데이터 유출방지를 위한

네트워크 증거수집 도구‘ 개발을 진행 중임. 또한 ‘모젠소프트’사에서 네트워크 모니터링

과 증거수집 기능이 통합된 엔크로노스(nChronos) 제품을 출시한 사례가 있음


Ÿ 미국을 중심으로 영국, 프랑스, 러시아 등에서 네트워크 증거 수집 도구(Network

Forensics Analysis Tools, NFAT) 개발 및 상용화를 추진하고 있음

Ÿ APT를 비롯한 네트워크 침해 사고의 사후 정밀 분석·대응을 지원하고, 수집된 데이터를

보존할 수 있는 네트워크 보안 솔루션의 개발이 활발히 이루어지고 있으며, 관련 시장도

급속히 성장하고 있는 추세임

Ÿ Gartner도 APT와 같은 최근 고도화된 공격 방어 관련 시장인 Advanced Threat Defense

Application 시장은 미래 성장 가능성이 높은 관계로, 투자 회사들의 매출이 증가하는 단

계에 있다고 보고함

¡ 스마트폰 스팸 대응을 위한 보안 요구사항


Ÿ 스마트폰의 활발한 이용에 따라 역기능을 방지하기 위한 보안 기술이 요구되고 있으며,

이와 관련하여 스마트폰 소프트웨어 개발자 보호 차원의 스마트폰 보안 기술을 필요로 함

Ÿ 또한 스마트폰 스팸이 발생되는 근본적인 원인 해결을 통한 보안 기술 차원에서, 프로그

램 리패키징을 방지하는 기술 등의 스마트폰 소프트웨어 보안 기술 개발이 요구됨


Ÿ 스마트폰의 소프트웨어적인 보안 관점에서 스마트폰 플랫폼에 대한 보안 기술을 높이기

위해 관심을 보이고 있음

Ÿ 독일 Dresden 공과대학의 Genode Labs에서는 TZ의 보안 기능을 확장하기 위한 Genode

OS(Operating System) Framework을 제안함. 프랑스의 Trustonic사는 TZ 기반의 보안실행

환경인 Trustonic TEE (Trusted Execution Environment) 기술을 선보임



¡ 스마트폰 환경에서의 저장장치 보안 프레임워크


Ÿ 스마트폰 정보보호 차원에서 보안 인식이 높아지고 있으며, 특히 스마트폰 하드웨어 저장

장치의 보안 위협에 대처할 수 있는 보안 기술이 요구됨. 현재 스마트폰 메모리 및 장치

에 대한 접근제한 기술은 2003년 ARM사가 공개한 TrustZone (TZ)을 기반으로 구현되고

있으며 삼성전자는 이를 활용하여 KNOX, S-PAY 등을 구현한 바 있음

Ÿ 또한, SK텔레콤은 에이티솔루션즈사와 함께 TZ를 활용한 보안서비스 생태계 구축을 위한

작업을 시작하였음. 특히 삼성전자의 KNOX는 KNOX Standrd SDK를 통하여 스마트폰 외

부저장장치의 암호화를 지원함


Ÿ 스마트폰 관련 하드웨어 저장장치 보호를 위해 스마트폰에서의 하드웨어 플랫폼 보안 차

원에서의 다양한 연구가 되고 있음

Ÿ 구글은 Encryption Manager 앱을 이용하여, Remo Software는 Remo MORE 앱을 이용하

여 스마트폰 내외의 저장장치를 암호화할 수 있는 방법을 제공함. 독일의 Secusmart사는

microSD 인터페이스를 지원하는 스마트카드 기반 보안 플래시 메모리를 출시함

Ver.2016



¡ 네트워크/디바이스보안 중점 표준화 항목별 특허출원 동향(국내)

기술IoT보안

SDN/NFV보안

네트워크증거보존

디바이스보안

사이버공격대응

악성코드대응

총계

출원건수 102 53 33 136 330 148 802

v.2015 63 12 - 100 290 129 594

* 국내 특허 분석구간(1999년~2015년) : 출원일 기준으로 분석하며, 일반적으로 특허출원 후 18개월이 경과된 때에 출원관련정보를 대중에게 공개하고 있음. 따라서 아직 미공개 상태의 데이터가 존재하는 2014년 이후 자료의 경우 미공개분이 존재함을 고려해야함

* ‘디바이스 보안’ 기술의 경우, 스마트폰 기기, 스마트폰 App, 개발자 보안 기술로 한정하여 특허 분석 실시함* ‘네트워크 증거보존’ 기술의 경우, v.2016에 신규로 추가된 항목임

- 중점 표준화 항목 중 ‘사이버 공격대응’ 기술과 관련된 IPR이 가장 많았으며, ‘악성코드 대

응’, ‘디바이스 보안’, ‘IoT 보안’, ‘SDN/NFV 보안’, ‘네트워크 증거보존’ 기술의 순임

- 연도별 출원 동향을 살펴보면, ‘사이버 공격대응’, ‘ 악성코드 대응’ 기술이 1990년대 후반

부터 출원이 증가하기 시작하여 2000년대 중반 가장 많은 출원양을 나타내었다가, 최근 들

어 다시 증가하는 추세를 보이고 있음

- 2000년대 중반부터 ‘디바이스 보안’, ‘IoT 보안’ 기술 관련 출원이 나타나고 있으며 특허 출

원양이 크게 증가하고 있음

- 'SDN/NFV 보안‘ 기술은 2000년대 후반부터 출원이 나타나기 시작하여 증가하는 양상을

보이고 있으며, ’네트워크 증거보존‘ 기술은 2000년대 초반부터 현재까지 꾸준한 출원이 이

어지고 있음



- 향후 네트워크를 통한 IoT 서비스 증가, 스마트폰을 활용한 각종 서비스 등이 확대되고, 사

이버 보안 및 악성코드 대응에 대한 중요성이 매우 커지면서 네트워크/디바이스 보안 분야

의 기술에 대한 특허 출원이 계속적으로 증가할 것으로 예상됨


특히 ‘IoT 보안’, ‘SDN/NFV 보안’, ‘디바이스 보안’ 기술은 최근 들어 출원양이 다소 큰 폭

으로 증가한 것으로 보아 해당 기술에 대한 관심도가 높은 것으로 판단되고, 앞으로 특허

출원양이 크게 증가할 것으로 예상됨

¡ 네트워크/디바이스보안 중점 표준화 항목별 출원인 동향(국내)

기술

출원인

IoT보안

SDN/NFV보안


디바이스보안


악성코드대응

총계

1 ETRI 4 13 10 4 91 21 143

2 KT 9 12 0 0 9 5 35

3 삼성전자 12 2 0 5 11 3 33

4 KISA 0 0 0 0 18 7 25

5 한남대학교 1 0 1 1 8 6 17

6Alcatel Lucent

4 2 1 0 6 1 14

7Interdigital 10 0 0 2 0 0 12

SK텔레콤 0 6 0 0 4 2 12

9 시큐아이 0 0 0 0 4 5 9

10

윈스테크넷 0 0 0 0 4 4 8

안랩 0 0 0 2 4 2 8

Qualcomm 5 3 0 0 0 0 8

<국내특허 상위 10개 출원인의 각 표준화 항목 기술별 출원 현황>

- 네트워크/디바이스 보안 기술에 관련된 국내특허 다수 출원인은 ‘ETRI', 'KT', '삼성전자’,

‘KISA', ’한남대학교‘, 'Alcatel Lucent' 등의 순임

- 상위 10개 출원인 뒤를 이어 ‘고려대학교’, ‘이월리서치’, ‘모다정보통신’, 'Harris

Corporation', '제이컴정보‘, 'LG엔시스’, ‘숭실대학교’, ‘LG CNS', ’이글루시큐리티‘ 등이 네트

워크/디바이스 보안 관련 기술에 대한 특허출원을 하고 있음

- ‘Alcatel Lucent', 'Interdigital', 'Qualcomm', 'Harris', 'Intel', 'NEC', 'IBM', "Microsoft', 'NTT'

등과 같은 외국기업이 네트워크/디바이스 보안 관련 기술에 대해서 국내에 특허출원을 하

고 있음

Ver.2016


¡ 네트워크/디바이스보안 중점 표준화 항목별 특허출원 동향(국외)

기술IoT보안

SDN/NFV보안


디바이스보안


악성코드대응

총계

출원건수 224 98 118 86 493 162 1181

v.2015 138 51 - 56 419 143 807

* 미국, 일본, 유럽 특허 분석구간(1994년~2015년) : 출원일 기준으로 분석하며, 일반적으로 특허출원 후 18개월이 경과된 때에 출원관련정보를 대중에게 공개하고 있음. 따라서 아직 미공개 상태의 데이터가 존재하는 2014년 이후 자료의 경우 미공개분이 존재함을 고려해야함

* ‘디바이스 보안’ 기술의 경우, 스마트폰 기기, 스마트폰 App, 개발자 보안 기술로 한정하여 특허 분석 실시함* ‘네트워크 증거보존’ 기술의 경우, v.2016에 신규로 추가된 항목임

- 중점 표준화 항목 중 ‘사이버 공격대응’ 기술과 관련된 IPR이 가장 많았으며, ‘IoT 보안’,

‘악성코드 대응’, ‘네트워크 증거보존’, ‘SDN/NFV 보안’, ‘디바이스 보안’ 기술의 순임

- 연도별 출원 동향을 살펴보면, ‘사이버 공격대응’, ‘ 악성코드 대응’, ‘SDN/NFV 보안’ 기술이

1990년대 부터 출원이 나타나기 시작하였으며, ‘사이버 공격대응’ 기술의 경우 2000년대

중반까지 큰 폭의 증가세를 보이다가, 최근 들어 다시 증가하는 추세를 보이고 있음

- 2000년대 중반부터 ‘디바이스 보안’, ‘IoT 보안’ 기술 관련 출원이 나타나고 있으며, 특히

‘IoT 보안’ 기술의 경우 특허 출원양이 크게 증가하고 있음

- 'SDN/NFV 보안‘ 기술은 1990년대부터 출원이 나타났으며, 2000년대에는 관련 출원이 많지

않다가 최근 들어 출원양이 증가하는 양상을 보이고 있으며, ’네트워크 증거보존‘ 기술은

2000년대 초반부터 현재까지 꾸준한 출원이 이어지고 있음



- 향후 네트워크를 통한 IoT 서비스 증가, 스마트폰을 활용한 각종 서비스 등이 확대되고, 사

이버 보안 및 악성코드 대응에 대한 중요성이 매우 커지면서 네트워크/디바이스 보안 분야

의 기술에 대한 특허 출원이 계속적으로 증가할 것으로 예상됨


특히 ‘IoT 보안’, ‘SDN/NFV 보안’, ‘디바이스 보안’, ‘사이버 공격대응’ 기술은 최근 들어 출

원양이 다소 큰 폭으로 증가한 것으로 보아 해당 기술에 대한 관심도가 높은 것으로 판단

되고, 앞으로 특허 출원양이 크게 증가할 것으로 예상됨

¡ 네트워크/디바이스보안 중점 표준화 항목별 출원인 동향 (국외)

기술

출원인

IoT보안

SDN/NFV보안


디바이스보안


악성코드대응

총계

1 ETRI 6 1 4 1 23 9 44

2 Huawei 30 1 0 0 9 1 41

3 IBM 1 5 4 0 17 1 28

4 McAfee 0 0 0 0 21 6 27

5 ZTE 25 0 0 0 0 0 25

6 AT&T 0 13 1 1 8 0 23

7

Juniper Network

1 0 1 3 17 0 22

Cisco 0 2 3 2 14 1 22

9 Ericsson 16 2 0 0 2 1 21

10

NEC 13 2 0 0 1 4 20

Microsoft 1 0 4 1 10 4 20

Symantec 0 0 0 0 6 14 20

<국외특허 상위 10개 출원인의 각 중점 표준화 항목별 출원 현황>

- 네트워크/디바이스 보안 기술에 관련된 국외특허 다수 출원인은 ‘ETRI', 'Huawei', 'IBM’,

‘McAfee', ’ZTE', 'AT&T' 등의 순임

- 상위 10개 출원인 뒤를 이어 ‘Verizon’, ‘삼성전자’, ‘Intel’, 'Interdigital', 'Alcatel Lucent',

'Riverbed Technology‘, 'NTT’, ‘Trend Micro’, ‘General Electric' 등이 네트워크/디바이스 보

안 관련 기술에 대한 특허출원을 하고 있음

- ‘ETRI', '삼성전자', 'KISA', 'KT', KAIST', 'LG N-SYS' 등과 같은 국내기업이 네트워크/디바이스

보안 관련 기술에 대해서 국외에 특허출원을 하고 있음

Ver.2016



표준화수준

국내 ■기획↦□항목승인↦□개발/검토↦□최종검토↦□제/개정표준화

격차/특성

-0.5년

국제 □기획↦■항목승인↦□개발/검토↦□최종검토↦□제/개정 병행

¡ SDN/NFV 보안 프레임워크와 메커니즘

- 국내 표준화 현황 및 전망

Ÿ 국내에서는 2011년 미래를 대비한 인터넷 발전계획의 수립 이후, 미래인터넷의 첫 번째

실현 모델로 스마트 인터넷 기술을 정의하고 2012년부터 본격적인 관련 기술의 국내 표

준화를 진행하고 있음

Ÿ 국내 통신3사 (KT, SKT, LG U+)와 ETRI는 2012년부터 국내 CDN 사업자간의 상호연동을

위한 표준화 연구를 시작하였으며, SDN 관련한 표준개발 연구를 2012년부터 시작하였고,

국내 통신사업자의 요구사항을 수집하여 국내 맞춤형 SDN 참조구조 및 관련 세부 표준

의 개발을 추진하고 있음

Ÿ 2012년 방송통신위원회 미래인터넷PM실 주관으로 스마트인터넷 기술 표준화 협의체를

구성하여 국내 스마트 인터넷 표준기술 관련한 후보기술 도출 및 통신사업자, 제조업체,

연구소, 학계 등의 의견 수렴화 작업을 진행 중에 있음

Ÿ 미래인터넷PG 등 관련 그룹을 중심으로 스마트 노드, 클라우드 스위치, 한국형 오픈플로

우 기술, CDNi 표준기술 등 국내에 적합한 표준 기술에 대한 표준 개발 및 기획 작업을

진행 중에 있음

Ÿ 한편 SDN 자체 보안 확장 표준은 TTA PG503에서 진행하고자 준비 중에 있음. ITU-T

SG17에서 개발되고 있는 표준화와 병행하여 국내 SDN 구조 및 요구사항 표준 개발이 진

행되는 것이 적절하다고 판단됨

- 국제 표준화 현황 및 전망

Ÿ 스마트 인터넷 관련한 국제 표준화는 세부 요소 표준 기술별로 IETF, ONF 등의 사실표준

화기구와 ITU-T와 같은 공식표준화기구로 나누어 진행되고 있음

Ÿ ONF는 2011년부터 구글, 페이스북, 마이크로소프트 등 서비스사업자와 일본 NEC, NTT

등을 중심으로 산업체 포럼을 구성하고 오픈플로우 기반의 SDN 기술도입 및 표준화에

대한 집중하고 있음

Ÿ 현재 SDN을 안전하게 하기 위한 원리와 실제 관련된 기술 보고서가 개발되어 있음. IETF

는 2011년부터 SDN 기술에 대한 표준화 논의를 시작하여 SDN 연구그룹 논의를 진행 중

임

Ÿ IETF에서는 응용계층에서의 트래픽 최적화 기술로 데이터 전송 기술 연동을 위한 ALTO

WG과 CDNi WG을 2010년과 2011년에 각각 신설하고 표준화 작업을 추진 중에 있음

Ÿ IETF ALTO WG은 ALTO에 대한 기본 규격 작업을 마무리하고, SDN 기반 네트워킹에서 인



구분

표준(안)명개발연도

대응 TTA PG명

대응 국내 포럼명


국내

(TTA) TTAK.KO-01.0182, 소프트웨어 정의 네트워크(SDN)를 위한 제어 플레인의 개방형 인터페이스 요구사항

2012

미래인터넷 PG, 사이버보안(PG503)

미래인터넷포럼, 사물인

터넷포럼O

(TTA) TTAR-01.0005, 스마트 노드 플랫폼: 참조 구조 (기술보고서)

2013

(TTA) TTAK.KO-01.0188, 스마트 인터넷 공통 플랫폼 하드웨어 요구 사항

2013

(TTA) TTAK.KO-01.0184, 스마트 노드 플랫폼: 시스템 요구 사항

2013

(TTA) TTAK.KO-01.0187, 소프트웨어 정의 네트워킹 (SDN) 제어기 기능 요구 사항

2013

(TTA) TTAK.KO-01.0191, 네트워크 하드웨어 공통 플랫폼: 프레임워크

2014

(TTA) TTAK.KO-01.0192, 네트워크 하드웨어 공통 플랫폼: 네트워크 기능 보드

2014

(TTA) TTAE.IT-Y.2771, 심층 패킷 정보 감시 프레임워크

2014

(TTA) TTAE.IF-RFC5810, 전달 및 제어 요소 분리(ForCES) 프로토콜 규격

2014

(TTA) TTAE.IT-Y.3320, 소프트웨어 정의 네트워킹을 위한 정형 명세 기법 요구사항

2014

(TTA) TTAE.IT-Y.3300, 소프트웨어 정의 네트워킹 프레임워크

2014

국 (IETF ForCES WG) RFC 5810, Forwarding and 2010

프라 정보의 전달을 위해 관련 표준 프로토콜을 SDN RG 및 I2RS WG 등에서 확장 적용

을 논의 중임

Ÿ IETF CDNi WG은 Routing Request 인터페이스, Meta 인터페이스, 로깅 인터페이스, 컨트

롤 인터페이스 등, 4개 인터페이스 규격 중심으로 표준화를 진행 중에 있음

Ÿ ITU에서는 2011년부터 SUN (Smart Ubiquitous Networks) 이름으로 스마트 네트워킹 관

련 기술의 프레임워크 표준 개발 작업을 진행 중이며, 2013~2016년 새로운 연구회기에서

는 관련 기술의 기능 요구사항 및 기능 구조 등의 세부 표준 개발 작업을 진행 중임

Ÿ ITU-T SG13을 중심으로 2013년에 SDN 기술 표준화 로드맵이 작성되었으며, 이 새로운

SDN 표준화 로드맵에 따라 Q.14/13에서 SDN 프레임워크 권고안(Y.3300) 개발이 2014년

6월에 완료되었으며, 통신사업자에 필요한 SDN 프레임워크 확장, 유즈케이스 표준, SDN

응용 검증을 위한 요구사항 표준 등이 개발 중임. 유즈케이스 표준에는 보안이 한 분야로

함되어 개발되고 있음

Ÿ 한편 ITU-T SG17은 SDN 보안 표준 개발이 필요함을 인지하고 Q6/17과 Q2/17에서 SDN

자체 보안 확장 권고안 개발을 진행하고자 하고 있음. Q2/17은 중국에서 제안한 SDN 구

조와 요구사항(Y.sdnsec-2) 표준을 2015년부터 개발하고 있음

Ÿ ETSI는 NFV 보안 문제점 정의 기술보고서를 개발한 바 있으며, 현재 NFV 보안 구조 표준

을 개발하고 있음


Ver.2016


제

Control Element Separation (ForCES) Protocol Specification(IETF PCE WG) RFC 6457, PCC-PCE Communication and PCE Discovery Requirements for Inter-Layer Traffic Engineering

2012

(IETF ALTO WG) RFC 6708, Application-Layer Traffic Optimization (ALTO) Requirements

2012

(ONF Extensibility WG) OpenFlow Specification 1.3 2012(ONF Config WG) OF-Config 1.1 2012(ITU-T Q14/13) Y.3300(Formerly, Y.SDN-FR) Framework of software-defined networking

2014

(ITU-T Q2/17) X.sdnsec-2, Security requirements and architecuture of SDN

진행중 (2014)

(ITU-T Q14/13) Y.sdn-arch, Functional architecture of SDN

진행중 (2014)

(ITU-T Q14/13) Y.sdn-req, Functional requirements of SDN

진행중(2014)

구분


대응 TTA PG명



국내

(TTA) TTAE.IF-RFC6708, 응용 계층 트래픽 최적화(ALTO) 요구 사항

2013

미래인터넷 PG, 응용보안및평가인증(PG504)

미래인터넷포럼, 사물인

터넷포럼X

(TTA) TTAK.KO-01.0185, 스마트 노드 플랫폼: 개방형 서비스 응용 프로그램 인터페이스

2013

(TTA) TTAK.KO-01.0186, 스마트 노드 플랫폼: 개방형 시스템 응용 프로그램 인터페이스

2013

(TTA) TTAK.KO-01.0190, 분산 클라우드 관리 플랫폼: 자원 제어 인터페이스

2014

(TTA) TTAK.KO-01.0189, 분산 클라우드 관리 플랫폼: 서비스 응용 프로그램 인터페이스

2014

(TTA) TTAE.IF-RFC7285, 응용 계층 트래픽 최적화(ALTO) 프로토콜

2014

¡ SDN/NFV 보안 응용 및 서비스


Ÿ SDN을 이용한 보안 응용 및 서비스 표준은 TTA PG504에서 진행하고자 준비 중에 있음

- 국외 표준화 현황 및 전망

Ÿ ITU-T SG17은 SDN을 이용한 응용 및 서비스, 유즈케이스 등의 권고안 개발을 Q6/17에서

진행하는 것으로 2014년 1월과 6월 회의에서 결정됨. SDN 구조 및 요구사항을 개발하는

Q2/17과 Q6/17은 합동회의 형태로 표준화를 진행하기로 함. 현재 Q6/17은 한국에서 제

안한 SDN 보안 유스케이스(Y.sdnsec-1)를 2014년부터 개발하고 있음

Ÿ 또한 IETF는 2번의 I2NSF BoF 회의를 통해 네트워크 보안 기능을 위한 인터페이스 표준

개발을 진행하기로 하였으며, 2015년 7월 회의에서 정식 WG으로 활동하는 것으로 결정

됨




국제

(ITU-T Q14/13) Y.3320(Y.FNsdn-fm), Requirements of formal specification and verification methods for software-defined networking

2014

(ITU-T Q14/13) Y.Sup-sdn-usecases, Use cases for Telecom SDN

진행중 (2014)

(ITU-T Q6/17) X.sdnsec-1, Security services using the software-defiend networking

진행중(2014)

구분


대응 TTA PG명



국내

(TTA) TTAK.KO-06.0365, 객체 식별자 기반 사물인터넷 디바이스 식별 체계

2014

사물인터넷 융합서비스

(SPG11)- X

국제

(ITU-T SG13) Y.2060 - Overview of the Internet of things

2012

(ITU-T SG17) X.iotsec-2, Security framework for Internet of Things

진행중(2018)

¡ IoT 통신 인프라 보호 프레임워크


Ÿ IoT 관련 표준은 현재 TTA 사물인터넷 특별기술위원회를 통해 표준화가 추진 중이며, 사

물인터넷 특별기술위원회는 사물인터넷 융합서비스 프로젝트 그룹(SPG11), 사물인터넷

네트워킹 프로젝트 그룹(SPG12), oneM2M 프로젝트 그룹(SPG13)으로 이루어지는 위원회

임. 그 중에 IoT 통신 인프라 보호 프레임워크 표준화는 주로 사물인터넷 융합서비스 프

로젝트 그룹과 관련 있음


Ÿ ITU는 SG16을 통해 IoT reference model(Y.2060)을 개발함. IoT 보안 프로토콜 관련 국제

표준은 ITU-T SG17에 의하여 지속적인 표준 채택을 시도하고 있음. 특히 ITU-T SG17에서

는 IoT 보안 프레임워크를 다루는 표준인 X.iotsec-2가 2015년에 신규 표준화 아이템으로

채택되어 추진 중임


¡ IoT 게이트웨이 및 엑세스 네트워크 보호 프레임워크


Ÿ 사물지능통신의 서비스 활성화 및 기술개발 확대에 따라 TTA에서는 사물인터넷 특별기술

위원회를 구성하여 IoT 네트워크 보호 등의 표준화를 추진 중임. 특히 IoT 게이트웨이 및

엑세스 네트워크 보호 프레임워크와 관련 있는 주요 그룹은 사물인터넷 네트워킹 프로젝

트 그룹인 SPG12가 고려됨


Ÿ 현재 ETSI 등에서 M2M와 연계하여 IoT와 관련된 표준이 추진되고 있음

Ver.2016


구분


대응 TTA PG명



국내

(TTA) TTAK.KO-06.0381, 스마트 디바이스 기반 센서 개인화 서비스 참조모델

2014 사물인터넷 네트워킹(SPG12)

- X국제

(ETSI) ETSI TS 102 690, Machine-to-Machine communications (M2M); Functional architecture

2011


¡ IoT 서비스 보호 프레임워크


Ÿ 스마트 디바이스, 정보가전기기, 각종 센서들이 사물인터넷을 위한 표준 네트워킹 기술로

연동됨으로써 본격적인 많은 사물인터넷 서비스가 생성되고 있음

Ÿ TTA는 이러한 IoT 표준화를 위해 특별기술위원회 STC1를 재편하여 그 안에 IoT 융합서비

스, IoT 네트워킹, oneM2M 등 세 프로젝트 그룹을 구성하여 표준화를 추진하고 있고 안

전한 IoT 서비스를 위해서는 보안 및 프라이버시를 고려한 네트워킹 기술이 필요함


Ÿ 현재 oneM2M은 M2M기반 IoT 서비스를 위한 네트워킹 계층 및 서비스 계층의 보안 프

로토콜을 개발하고 있음


구분


대응 TTA PG명



국내

(TTA) TTAT.MM-TR.0008, oneM2M – Security V1.0.0 : Analysis of Security Solutions for the oneM2M System

2014

사물인터넷 융합서비스

(SPG11)

사물인터넷 네트워킹(SPG12)

oneM2M(SPG13)

M2M/IoT포럼

X

(TTA) TTAT.MM-TS.0003, oneM2M – Security Solutions

2015

(TTA) TTAT.MM-TS.0004, oneM2M – Service Layer Core Protocol Specification

2015

(TTA) TTAT.MM-TS.0008, oneM2M – CoAP Protocol Binding

2015

국제

(oneM2M) TR 0008, oneM2M–TR-0008-Security-V1.0.0

2014

(oneM2M) TS-0003-V1.0.1, Security Solutions 2015

(oneM2M) TS-0004-V1.0.1, Service Layer Core Protocol Specification

2015

(oneM2M) TS-0001-V1.6.1, Functional Architecture 2015



구분


대응 TTA PG명



국내

(TTA) TTAK.KO-10.0700 클라우드 기반 빅데이터 서비스를 위한 기능적 요구 사항

2013

빅데이터 PG

- X

(TTA) TTAK.KO-10.0705 클라우드 기반 빅데이터 서비스를 위한 프레임워크 정의

2013

(TTA) TTAK.KO-10.0706 클라우드 기반 빅데이터 서비스 참조 모델

2013

(TTA) TTAK.KO-10.0778 빅데이터 실시간 처리 - 제1부 : 기술 개요

2014

(TTA) TTAK.KO-10.0779 빅데이터 실시간 처리 - 제2부 : 기능 요구사항

2014

(TTA) TTAK.KO-10.0800 모바일 클라우드 서비스를 위한 실시간 빅데이터 처리 요구사항

2015

국제

(ITU-T SG17) X.1601 - Security framework for cloud computing

2014

(ITU-T SG17) X.1631 - Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services

2015

¡ 사이버 공격 대응을 위한 빅데이터 분석 요구사항


Ÿ 향후 사이버 공격대응을 위한 대용량 데이터 처리기술을 활용한 빅데이터 분석 요구사항

에 대한 표준개발이 추진될 것으로 예상됨


Ÿ ITU-T SG17에서 빅데이터 데이터보안 관련 표준화 개발을 시작하였으므로, 빅데이터 처

리기술을 활용한 보안이벤트 분석 요구사항에 대한 표준개발이 추진될 것으로 예상됨


¡ 보안정보공유 및 통합제어 프레임워크


Ÿ TTA 사이버보안 프로젝트그룹(PG503)에서 침해사고 정보 전달 포맷 및 프로토콜에 대한

표준이 제정되었으며, 사이버 공격대응 통합제어 프레임워크에 대한 표준을 추진할 예정임


Ÿ IETF에서는 침해사고 데이터형식인 IODEF(Incident Object Description Exchange Format)

와 침해사고 추적 프로토콜인 RID(Real-time Inter-network Defense)를 표준화 진행 중임

Ÿ ITU-T SG17에서는 사이버보안에 대한 정보공유 프레임워크(CYBEX)에 대한 표준이 제정

되었으며, 관련 메커니즘에 대한 표준화 작업이 지속적으로 진행 중임


Ver.2016


구분


대응 TTA PG명



국내

(TTA) TTAK.KO-12.0145 분산서비스거부 공격의 탐지 및 대응 메시지 교환 포맷

2010

사이버보안PG

-

X(TTA) TTAK.KO-12.0061/R1 네트워크 공격에 대한 시그니처 교환 프로토콜

2010

(TTA) TTAK.KO-12.0172 사이버보안 정보공유 협상 절차 2011

(TTA) TTAE.IT-X.1570 사이버보안 정보 교환에서의 탐색 메커니즘 2012

(TTA) TTAK.KO-12.0229 확장된 침입 탐지 메시지 교환 포맷 2013 O

(TTA) TTAK.KO-12.0242 세션 정보 메시지 교환 포맷(SIMEF) 2014

X

(TTA) TTAK.KO-12.0256 보안 관제를 위한 시스템 메시지 교환 포맷

2014

국제

(ITU-T SG17) X.1209 - Capabilities and their context scenarios for cybersecurity information sharing and exchange

2010

(ITU-T SG17) X.1500 - Overview of cybersecurity information exchange (CYBEX)

2011

(ITU-T SG17) X.1500.1 - Procedures for the registration of arcs under the object identifier arc for cybersecurity information exchange

2012

(ITU-T SG17) X.1570 - Discovery mechanisms in the exchange of CYBEX

2011

(ITU-T SG17) X.1520 - Common vulnerabilities and exposures 2011(ITU-T SG17) X.1541 - Incident object description exchange format

2012

(ITU-T SG17) X.1580 - Real-time inter-network defence 2012(ITU-T SG17) X.1581 - Transport of real-time inter-network defence messages

2012

(ITU-T SG17) X.1526 - Open vulnerability and assessment language

2013

(ITU-T SG17) X.Suppl.18- ITU-T X.1205 - Supplement on guidelines for abnormal traffic detection and control on IP-based telecommunication networks

2013

(ITU-T SG17) X Suppl.20: ITU-T X.1205 - Supplement on framework of security information sharing negotiation

2013

(ITU-T SG17) X.1582 - Transport protocols supporting cybersecurity information exchange

2014

¡ 악성코드 통합 대응 기능 및 구조


Ÿ 2006년 TTA에서 악성코드 정의 및 대응방법이 포함된 악성코드 감염 예방을 위한 가이드

가 제정되었으며, 2010년 악성코드 감염예방을 위한 지침이 개정되었음. 악성코드 네이밍

의 경우 백신 회사마다 샘플의 유입시간이나 처리 절차 등이 상이한 문제로 11년 침해정

보 공유 시스템이 개발되었으나 정보연동이 활성화되지 않음


Ÿ 2011년 ITU-T ICT 네트워크에서 악성코드 감염 예방을 위한 가이드라인 표준 부속서가



구분


대응 TTA PG명



국내

(TTA) TTAK.KO-12.0147, 악성 코드 경유/유포지 탐지 프레임워크

2013사이버보안

PG- X

국제

(ITU-T SG17) X.1546 - Malware attribute enumeration and characterization

2013

구분


대응 TTA PG명



국내

(TTA) TTAE.IT-X.1520, 공통 취약점 및 노출(CVE) 2011

사이버보안PG

- X(TTA) TAE.IT-X.1521, 공통 취약점 평가 체계(CVSS) 2011

(TTA) TTAE.IT-X.1500, 사이버보안 정보 교환 개요(CYBEX) 2011

국제

(ITU-T SG17) X.1520, Common Vulnerabilities and Exposures 2013

개발되었으며, 2013년 ITU-T 악성코드의 속성 및 분류체계에 대한 표준이 제정되었음

Ÿ 2013년 MITRE에서는 사이버위협정보 표현규격인 STIX, 정보전송 규격인 TAXII를 발표하

였음. 악성코드에 대한 종합적인 대응을 위해 악성코드 은닉 사이트, 경유/유포 사이트에

대한 정보 공유, 사전예방 절차 등에 대한 표준 추진이 필요할 것으로 보임


¡ 악성코드 분석 및 보고 형식


Ÿ 2011년 TTA에서는 운영체제, 웹브라우저 등 프로그램에 대해 보고된 취약점 정보를 기술

하는 표준이 제정되었으며, 취약점 등록 시 적절하게 분석된 것인지 평가할 수 있는 취약

점 평가체계가 표준으로 제정되었음

Ÿ 국내 침해사고 분석·대응에 있어 국내 표준을 준수하기 보다는 MITRE에서 개발된 CVE를

참고하여 침해사고에 대응하는 등 국내에서 개발된 표준이 활성화되고 있지 않음. 또한,

침해사고 분석·대응 정보를 공유하기 위한 사이버보안 정보교환 표준이 마련되어 있음


Ÿ 국제적으로 취약점 정보 제공에 널리 사용되고 있는 MITRE의 CVE에 대한 국제표준화가

ITU-T에서 진행되었음


¡ 침해사고 분석을 위한 네트워크 증거 보존 요구사항


Ÿ 국내 정보보호관련 표준화를 위한 단체로는 TTA 등이 있으며, 사이버보안 프로젝트 그룹

(PG503)에서 사이버 보안 기술 및 사이버 범죄 대응 등의 표준을 담당하고 있음. 현재 네

Ver.2016


구분


대응 TTA PG명



국내

(TTA) TTAK.KO-12.0080 – 디지털 증거 파일 교환포맷

2008

사이버보안PG

- X

(TTA) TTAK.KO-12.0113 – 디지털 증거 조사 모델 2009(TTA) 2014-608 – 침해사고 분석을 위한 네트워크 데이터 수집 및 보존 도구 요구사항

2015

국제

(IETF Network WG) RFC 3227 – Guidelines for Evidence Collection and Archiving

2002

(IETF Network WG) RFC 5070 – The Incident Object Description Exchange Format

2007

(ITU-T) X.1541 – Incident Object Description Exchange Format

2012

(ISO/IEC JTC1 SC27) ISO/IEC 27037 – Guidelines for identification, collection, acquisition and preservation of digital evidence

2012

(ETSI TS) TS102232 – Handover Interface and Service-Specific Details (SSD) for IP delivery

2006

(ETSI TS) TS102657 – Handover interface for the request and delivery of retained data

2009

트워크 데이터 수집보존 요구사항에 대한 표준이 추진 중임


Ÿ ITU-T SG17에서는 사이버보안에 대한 정보공유 프레임워크 국제표준(X.CYBEX)이 제정되

어 관련된 기술의 국제표준화 작업이 미국, 한국, 일본을 중심으로 진행 중에 있으며, ETSI

에서는 네트워크 중개자와 합법적인 집행기관 간에 다양한 네트워크 데이터를 교환하기

위한 프레임워크를 표준화하고 있음

Ÿ 또한 ISO/IEC, IETF, ITU-T 등에서도 증거를 수집하기 위한 절차에 대한 표준을 제정하고

있음


¡ 스마트폰 스팸 대응을 위한 보안 요구사항


Ÿ 국내의 경우 TTA PG504에서 스마트폰 앱 보안에 대한 검증 관련 표준이 제정됨


Ÿ 국외에서는 ITU-T SG17에서 스마트폰 앱 배포에 대한 보안 프레임워크 표준이 추진되었

으며, 2014년에 표준 부속서로 채택됨. 또한 ITU-T SG17에서는 현재 스마트폰 개발자를

위한 스마트폰 스팸 대응 지침이 국제 표준화 추진 중에 있음

Ÿ 스팸 대응 보안 국제 표준과 관련하여, ITU-T SG17에서는 모바일 메시징 스팸 관련 프레

임워크, 인스턴트 메시징 스팸 대응 관련 요구사항 등의 국제 표준화가 추진되고 있음



구분


대응 TTA PG명



국내

(TTA) TTAK.KO-12.0183 - 스마트폰 앱 보안 검증 절차 및 기준

2011

응용보안 및 평가인증(PG504)

-

O(추진중)

국제

(ITU-T SG17) X Suppl. 24 - ITU-T X.1120-X.1139 series - Supplement on a secure application distribution framework for communication devices

2014

X

(ITU-T SG17) X.gcsfmpd - Supplement on guidance of countering spam for mobile phone developers

진행중(2016)

(ITU-T SG17) X.tfcmm - Technical framework for countering mobile messaging spam

진행중

(ITU-T SG17) X.cspim - Technical requirements for countering instant messaging spam (SPIM)

진행중

구분


대응 TTA PG명



국내

(TTA) TTAK.KO-12.0153 - 모바일 통신 단말용 상황인지형 보안재구성 프레임워크

2010

응용보안 및 평가인증(PG504)

- X국제

(ITU-T SG17) X.1125 - Correlative Reacting System in mobile data communication

2008

(OMA) OMA-TS-DM_Protocol-V1_3-20091229-D, OMA Device Management Protocol Draft Version 1.3

2009

(OMTP) OMTP TR1, Advanced Trusted Environment

2009


¡ 스마트폰 환경에서의 저장장치 보안 프레임워크


Ÿ 스마트폰 하드웨어 보안 관련 기술의 필요 요구에 따라 이에 대한 표준화 추진과 관련된

노력이 많아질 것임


Ÿ 스마트폰 하드웨어 보안 위협에 대비하기 위한 보안 기술 표준화를 위해 스마트폰 내부

하드웨어 보안 대책이 필요할 것으로 전망


Ver.2016






¡ 표준화 목표

- SDN/NFV 보안은 동적으로 네트워크 공격 유형을 탐지, 실시간으로 방어하게 하는 유연한

보안 네트워크 구성 및 운용을 가능하도록 SDN/NFV 기반의 보안 참조모델과 인터페이스

표준 개발을 추진함. 특히 기존 SDN 플랫폼 기반하여 보안 기능 추가 확장 (Security of

SDN)과 SDN을 이용한 보안 기술 (Security by SDN) 표준 개발을 2017년까지 추진함

- IoT 보안은 ITU, ETSI, TIA, ATIS, IEEE, NIST, ARIB, CCSA, oneM2M, IETF, AllSeen Alliance,

OIC 등에서의 IoT 및 M2M 표준화 동향을 분석하고 이를 위한 보안 및 프라이버시 기술

의 표준화 주도 항목 도출 및 기술 개발을 통해 2018년까지 국제표준 개발을 목표로 함

- ITU-T SG17을 중심으로 정보공유 기술 및 통합제어 프레임워크 표준화 개발에 주도적으로

참여하여 2016년까지 사이버 공격 대응 통합제어 분야 국제 표준화 선도 목표

- 2017년까지 악성코드 분석 및 차단을 위한 데이터 포맷 및 공유 프로토콜을 마련하고, 악

성코드 분석정보 및 대응기법 공유를 위한 표준화를 추진하여 2018년까지 악성코드 대응

분야 국제 표준화를 선도

- 네트워크 증거 보존 기술에 대한 요구사항 및 정책을 2015년까지 국내표준화하고 효과적

이고 종합적인 원인 분석을 위해 기존 보안 장비와의 침해 정보 공유를 위한 데이터 포맷

및 프로토콜 등에 대해 국내외 표준 추진

- 디바이스 보안성 향상을 위해 스마트폰 소프트웨어 개발자를 위한 스마트폰 스팸 대응 기

술, 스마트폰 저장장치 보안 요구사항 등에 대해서 국제 표준화 및 국내 표준화를 2018년

까지 추진하는 것을 목표로 함


- 새로운 보안 위협에 능동적으로 실시간 대응할 수 있는 SDN/NFV 기반 보안 네트워크 구

축으로 안전한 미래 네트워크 상으로 제공할 수 있음. 또한, 클라우드, 빅데이터 저장 및

전송기술 등과 연계하여 안전한 클라우드 서비스 제공이 가능하며, 다양한 유형의 공격자

를 탐지하고, 침입자에 대한 역추적 기능 등을 통해 미래 네트워크의 신뢰성을 향상시킴

- IoT 보안의 비전은 핵심 표준기술 개발 및 국제표준화 선도하는 것으로, 국내 대기업, 중견

기업, 중소기업 등이 IoT 디바이스 및 소프트웨어 제품이 보안측면에서 세계적 수준을 갖

게 하여 세계 시장을 주도하는 원동력을 갖게 하며, IoT 기반 기술에서의 보안 및 프라이

버시 문제를 해결할 수 있는 공통 표준기술을 개발함으로써 향후 산업제어, 공공정보, 개

인정보 분야에서의 신규 서비스 및 시장 창출과 확산을 도모할 수 있음

- 사이버보안 기술에 대한 표준화를 통해 신규 사이버 공격에 대해 국가 대응체계를

강화하고, 침입탐지 및 악성코드 분석/대응을 상호 협력 하에 종합적으로 관리하는

국가차원의 통합보안제어 체계를 구축할 수 있으며, 전 세계적으로 분포된 CERT 등

침해대응기관, 네트워크 보안업체, 악성코드 분석업체, 보안관제업체 간 정보공유, 협업을

통한 효과적인 악성코드 분석 및 대응 기반을 마련하여 안전한 인터넷 서비스 환경

제공하고, 침해사고의 신속한 원인 분석과 증거 확보를 통한 책임소재 규명을 위한 기반

마련이 가능하며, 업체가 능동적 분석을 할 수 있는 기회를 획득함으로써 새로운

Ver.2016


보안위협에 선제 대응함으로써 보안 수준이 향상될 것으로 기대

- 스마트폰 스팸 대응 기술, 스마트폰 저장장치 보안 등 스마트폰에서의 다양한 보안 강화

대책의 표준화 추진을 통해 향후에는 IoT 등의 기기 보안에 활용될 것으로 전망



국내역량요인

국외환경요인


시장

- 세계 최고수준의 유무선 인터넷 및 스마트폰/TV, 태블릿 PC 등 정보통신 단말 보급률

- 국내 주요 통신사를 중심으로 IoT 디바이스 보급 및 서비스 추진

- 삼성, LG 등 국내 대기업의 스마트폰 세계 시장 선도

시장

- 정부외의 기업주도형 기술투자 부족

- 높은 인터넷 보급률에 비해 낮은 보안의식

- 외산장비 의존도가 높음

기술

- IoT 신기술 지원을 위한 네트워크 기반 HW, SW 요소기술을 확보하고 있음

- 사이버 침해사고 분석 등 정보보호 원천기술 개발 및 확보 노력

- 국내의 우수한 스마트폰 개발 기술

기술

- 신규기술 분야 발굴 및 선점하는 선진국의 추세에 따라 기술개발을 추진함으로써 신규기술 분야 원천기술 확보 어려움

- 부족한 스마트폰 운영체제 개발 기술

표준

- 산학연 합동의 SDN/NFV 하드웨어 및 소프트웨어 공통 플랫폼 표준 개발

표준

- 주요 표준기술에 대해서 국제표준기술을 준용하여 도입하는 경우가 많음

- 국제표준화 참여인력 부족

기회요인(O)

시장

- IT기술과 비 IT산업과의 융합을 통한 신규시장 창출

- 글로벌 경쟁력을 보유한 국내 기업과의 연계를 통한 서비스 발굴 가능

- 사이버 침해사고 원인 규명에 대한 요구사항 확대

SO전략

- 높은 수준의 ICT 인프라를 바탕으로 IoT 등 부가가치가 높은 신규서비스에 대한 보급을 통해 기술력을 확보하고 핵심 보안기술에 대한 표준화 추진

- 다양한 사이버 침해사고 분석 및 대응 경험으로 축적된 노하우와 정보보호 원천기술에 대한 기술개발을 통해 핵심 보안기술에 대한 표준화 추진

- 국제적인 경쟁력을 갖춘 국내기업과의 협력을 통한 전략적 표준화 추진

WO전략

- 상대적으로 초기 단계에 있으면서 기존 기술과 독립적인 요소기술에 대한 기술개발 및 표준화 추진

- 기존의 정보나 기술들 간의 융합으로 부가가치를 창출하거나 기존 기술과의 차별성을 갖는 기술에 대한 연구개발 및 표준화 추진

- 정부주도의 정보보호 기술개발 사업에 중소규모의 기업 참여를 통한 기술력 확보 및 관련 기술 표준화를 통한 표준화 참여 확대

기술

- 신규서비스 창출에 따른 보안기술 개발 필요성 증가

- IoT 임베디드 시스템 등 주요 IT기반기술 활용 가능

표준

- 신규기술 분야에 대한 표준화 주도 가능

위협요인(T)

시장

- 글로벌 기업의 국내시장 진출 가속화

ST전략

- 기존 기술과 차별성을 갖는 정보보호 기술 개발 추진과 동시에 상대적으로 초기단계인 국제표준화에 적극 참여

- 국내 우수 보안기술에 대한 지속적인 연구개발을 통한 고도화 및 국제표준화 주도

- 신규기술 분야 국내외 테스트베드 연동 등 국제 공동연구 추진을 통한 기술교류 및 경쟁력 강화

WT전략

- 산학연 연계 연구개발을 통한 지속적인 정보보호 고급 인력 양성을 통한 기술경쟁력 확보

- 국외의 우수 보안기술에 대한 조사 및 분석을 통해 필요시 국내 환경을 고려하여 수용

- 외국기업에서 개발한 우수한 보안기술에 대한 지속적인 연구 및 습득을 통해 기존 기술과 차별성을 갖는 고도화된 기술 개발 추진

기술

- 외국기업의 핵심 원천기술 IPR 선점

- 국외대비 국내기술 수준 격차 존재

표준

- 북미/유럽 표준화단체 중심의 표준화 추진


Ver.2016




High

전

략

적

중

요

도(IPR

확보

가능성,

시장/

기술적

파급

효과,

정책

부합성

등)

Low


◑ SDN/NFV 보안 프레임워크와 메커니즘

◑ SDN/NFV 보안 응용 및 서비스

○ IoT 게이트웨이 보안 프레임워크

○ IoT 서비스 보호 프레임워크

○ 사이버 공격 대응을 위한 빅데이터 분석 요구사항

◑ 악성코드 통합대응 기능 및 구조

◑ 침해사고 분석을 위한 네트워크 증거 보존 요구사항

● 스마트폰 환경에서의 저장장치 보안 프레임워크


● 스마트폰 스팸 대응을 위한 보안 요구사항

○ IoT 통신 인프라 보호 프레임워크

S3(Dog): 방어적수용 항목(수용/적용) S4(Cash Cow): 다각화협력 항목(부분협력)

◑ 보안정보공유 및 통합제어 프레임워크

◑ 악성코드 분석 및 보고형식

Low 국외대비 국내 표준화 역량 (표준화/기술개발 수준, 국제 표준화에 국내 기여도 등) Highㅇ 영역별 특징 및 대응전략 - 적극공략 항목(Star, 선도경쟁) : 국외대비 국내 표준화 역량과 전략적 중요도가 모두 높은 기술 분야 : 아직 국제 표준화 완성도가 낮아 국제 표준화 선도경쟁이 치열한 분야로 국제 표준화 활동에 주도적인 참여






(차세대공략 | 병행) SDN/NFV 보안 프레임워크와 메커니즘

전략적중요도

/국내역량


국내TTA,

미래인터넷포럼

국외ITU-T, IETF,

ETSI

국내참여업체/기관

ETRI, KT, SKT, 삼성전자, 미래

인터넷포럼


표준개발

□ 포럼 ☑ TTA □ 국표원

기술개발


기술개발단계

국내 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화기술격차

뒤짐(선도국대비90% 수준)국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가

/기업미국/Google, IBM, 시스코

일본/NEC

표준화단계

국내 □기획↦■항목승인↦□개발/검토↦□최종검토↦□제/개정


선도국가

/기업미국/Google, 시스코

일본/NEC

- Trace Tracking : 차세대공략(Ver.2015) → 차세대공략(Ver.2016)

현재 국내에서 다양한 통신 및 장비 산업체에서 꾸준히 동향 파악을 하고 있고 국제적으로 이슈가 되고 있음에 따라, “차세대공략” 항목으로 선정함. 현재 일반적인 SDN/NFV 기술 그 자체는 국내에서 “프로토타입/시제품” 개발, 국외에서 “상용화” 단계임. 이를 기반으로 확장된 SDN/NFV 보안 기술은 각각 한 단계씩 전 단계인 “구현,” “프로토타입/시제품” 개발 단계임. 이 보안 확장 SDN 기술의 보급 확산을 위한 핵심기술로서, 기술개발과 병행한 표준화가 요구됨

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 소프트웨어적으로 네트워크 경로 및 제어 등을 동적으로 프로그램화함으로써 다양한 융복합 서비스를 위한 최적화된 네트워킹 환경을 구현할 수 있는 표준 기술로, ITU-T SG13과 SG17, ETSI ISG 등을 중심으로 SDN/NFV 국제 표준을 개발을 추진함

* 사실 표준화 활동 전략 : ONF, IETF 등에서 시장 중심의 표준 개발이 진행되고 있음. ITU-T와 ETSI를 중심으로 전반적인 SDN/NFV 프레임워크를 개발하고, 이 프레임워크 상에서 핵심적으로 사용되는 프로토콜은 IETF 및 ONF에서 개발된 프로토콜을 채택하는 형태로 진행되어야 함. 장기적으로 사물인터넷(IoT) 기술의 중요성이 부각되고 있으며, 이를 위한 클라우드, 데이터센터 기술들은 SDN/NFV 환경에서 구축되는 것이 바람직하며, 따라서 사물인터넷을 위한 핵심 기술들과의 연계를 표준화를 위해 OIC, oneM2M 등의 표준화 기구와의 협력이 요구됨

- 국내 표준화 추진계획 : 국내에서는 TTA의 미래인터넷 프로젝트그룹(PG220)과 사이버보안 프로젝트그룹(PG503)이 적극 연계하여 보안성이 강화된 제어 플레인에 대한 기술적 표준화를 추진함

- IPR 확보가능분야 및 확보방안 : 국제적으로 SDN에 대한 IPR이 다수 확보되고 있는 추세에 따라 이에 대응하기 위한 적극적인 IPR 확보에 주력할 필요가 있음. 특히 국내 통신사업자 맞춤형 SDN 기술 및 비 오픈플로우 기반의 다양한 SDN 기술 분야는 IPR 확보가능성이 높음. 특히 SDN/NFV 소프트웨어 체이닝, SDN 디바이스의 상호 인증 알고리즘과 프로토콜 등의 분야에서 IPR를 선점할 필요가 있음

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 국내 학계/연구소에서 국내 환경에 맞는 다양한 SDN 기술을 개발 계획 중에 있음으로 이를 바탕으로 도출하고 핵심 기술을 특허 출원하는 것이 필요함



(차세대공략 | 병행) SDN/NFV 보안 응용 및 서비스

전략적중요도

/국내역량


국내TTA,

미래인터넷포럼

국외ITU-T, IETF, ETSI, ONF


ETRI, KT, SKT, 삼성전자, 미래인터넷포럼, 사물인터넷포럼


표준개발


기술개발


기술개발단계


뒤짐(선도국대비90% 수준)국외 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화

선도국가

/기업미국/Google, IBM, 시스코

일본/NEC

표준화단계



선도국가

/기업미국/Google, 시스코

일본/NEC


국내 다양한 통신 및 장비 산업체의 수요가 있고 국제적으로 이슈가 되고 있으나, 표준화 초기 단계로 “차세대공략” 항목으로 분류

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : L4-7 서비스 제어를 위한 인터페이스, SDN 언어/명세 및 검증 표준기술 등의 분야에서 ITU-T, ONF 등에서 표준화가 진행되고 있으나, 초기 단계임. 따라서 이 분야에 대한 보안 기술을 포함하여 국내에서 기술개발과 표준화를 진행하면서 동시에 국제 표준화를 병행 추진해야 함

* 사실 표준화 활동 전략 : IETF I2NSF 작업반에서 개발되는 응용 인터페이스 표준, ODL 프로젝트 등의 오픈 소프트웨어 기술 등의 기술을 바탕으로 SDN/NFV 보안 응용 및 서비스와의 연계 표준화를 추진해야 함. 오픈 소프트웨어를 중심으로 기본 기술들은 공개되는 추세이므로, 이를 기반으로 표준화와 연계한 핵심 기술에 대한 IPR 확보를 추진해야 함. 또한, 국내외 산업체와의 연계를 통한 보안 기술의 구현을 표준화와 병행하여 진행해야 함

- 국내 표준화 추진계획 : TTA의 미래인터넷 프로젝트그룹(PG220)과 응용보안/평가인증 프로젝트그룹(PG504)이 적극 연계하여 보안성이 강화된 응용 인터페이스 등에 대한 기술적 표준화를 추진함

- IPR 확보가능분야 및 확보방안 : 국제적으로 SDN에 대한 IPR이 다수 확보되고 있는 추세에 따라, L4-7 서비스 체이닝, SDN 서비스 검증 등의 분야에서 적극적인 IPR 확보에 주력할 필요가 있음

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) SDN 유즈케이스 발굴 및 관련 요구사항 분석/도출을 통해, 이를 지원하는 네트워크 제어 기술, 서비스 체인 구성 기술, 서비스 검증 기술 개발을 진행하고 IPR을 확보함, 해당 기술에 필요한 Northbound API 세부 항목이나 신규 인터페이스를 제안 및 표준화함으로써 관련 표준 특허를 창출함. 특히 서비스 체이닝 기술에 연계한 응용 인터페이스가 핵심 분야임



(적극공략 | 선행) IoT 통신 인프라 보호 프레임워크

전략적중요도

/국내역량


국내TTA,

M2M/IoT포럼

국외ITU-T, ETSI, oneM2M,

ISO/IEC, 3GPP

국내참여업체

/기관

순천향대, ETRI


표준개발

☑ 포럼 ☑ TTA □ 기표원

기술개발


기술개발단계


뒤짐(선도국 대비 95% 수준)국외 □기술기획↦■설계↦□구현↦□프로토타입/시제품↦□상용화

선도국가

/기업미국/Sierra Wireless

표준화단계



선도국가

/기업미국/

한국/순천향대

- Trace Tracking : 차세대공략(Ver.2015) →적극공략(Ver.2016)

현재 IoT 분야는 기술보다는 표준이 앞서 진행하고 있는 상황이며 단말 및 통신 관련한 계층적인 측면의 표준이 본격적으로 진행 중에 있음. 현재 IoT 통신 인프라 보호를 위한 국제 표준은 국내 표준화 전문가에 의하여 주도적으로 추진되고 있는 상황이어서 적극적 정책 지원이 요구되므로 “적극공략” 항목으로 분류하였음

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : IoT 통신 인프라 보호 기술은 선행적 표준화가 이루어지지 않으면 상호운용성 측면에서 대응이 어려울 수 있음. 따라서 oneM2M, ISO/IEC 등 국제 표준화기구의 통신 인프라 보호 표준화 동향에 따른 상호 협력적 구조를 통한 적극적 표준화가 요구됨

* 사실 표준화 활동 전략 : oneM2M과 같은 기구에서 서비스 보호 표준화 동향에 따른 상호 협력적인 표준 개발이 요구됨

- 국내 표준화 추진계획 : TTA 사물인터넷 융합서비스 프로젝트그룹(SPG11), 및 사물인터넷 네트워킹 프로젝트그룹(SPG12)과 연계하여 기존 개발 표준과 보안 이슈를 포함하여 IoT 통신 인프라 보안 표준화 추진

- IPR 확보가능분야 및 확보방안 : IoT 분야는 표준화 및 산업적 측면에서 모두 치열한 경쟁이 예상되며 다양한 응용분야에 대한 선점이 핵심 쟁점이 될 것으로 예상됨. 따라서 IoT 통신 인프라 핵심기술에 대한 IPR 뿐만 아니라 그 응용분야와의 인터페이스 등에 대한 IPR 확보가 요구됨

- 기술개발·표준화·표준특허 연계방안 : (표준화 후 기술개발) IoT 관련 기본 표준이 개발되어 있음에도 불구하고 산업계는 아직 IoT 시장진입을 하지 않고 있는 상황이므로 국가적 차원에서 IoT 통신 인프라 보안 표준 기술개발을 촉진하고 이를 기반으로 표준 특허를 연계



(차세대공략 | 선행) IoT 게이트웨이 보안 프레임워크

전략적중요도

/국내역량


국내TTA,

M2M/IoT포럼

국외ITU-T, ETSI, oneM2M,

ISO/IEC, 3GPP

국내참여업체

/기관

ETRI


표준개발


기술개발


기술개발단계


뒤짐(선도국대비 90% 수준)국외 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화

선도국가


표준화단계



선도국가



현재 IoT 분야는 기술보다는 표준이 앞서 진행하고 있는 상황이며 단말 및 통신 관련한 계층적인 측면의 표준이 본격적으로 진행 중에 있음. 향후 게이트웨이 및 액세스 네트워크, 서비스 등에 대한 기술적 해결과 보안 기술의 확보, 호환성 지원을 위한 상호운용성 지원이 이루어짐에 따라 본격적 시장이 형성될 수 있어 “차세대공략” 항목으로 분류하였음

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : IoT 게이트웨이 및 액세스 네트워크 분야는 선진국에서는 이미 표준화가 진행되고 있는 분야이지만, 국내에서는 대응이 되지 못하고 있음. 그러므로 국내에서도 표준화 과제를 세분화하고 다양화하여 국제 표준화 수준에 빠르게 도달할 필요가 있음

* 사실 표준화 활동 전략 : oneM2M와의 협력을 통한 IoT 게이트웨이 및 네트워크 분야 표준 개발을 통해 사실 표준화를 강화할 필요가 있음

- 국내 표준화 추진계획 : TTA 사물인터넷 융합서비스 프로젝트그룹(SPG11), 및 사물인터넷 네트워킹 프로젝트그룹(SPG12)과 연계하여 기존 개발 표준과 보안 이슈를 포함하여 IoT 게이트웨이 및 액세스 네트워크 표준화 추진

- IPR 확보가능분야 및 확보방안 : IoT 분야는 표준화 및 산업적 측면에서 모두 치열한 경쟁이 예상되며 다양한 응용분야에 대한 선점이 핵심 쟁점이 될 것으로 예상됨. 따라서 IoT 게이트웨이 및 액세스 네트워크 핵심기술에 대한 IPR 뿐만 아니라 그 응용분야와의 인터페이스 등에 대한 IPR 확보가 요구됨

- 기술개발·표준화·표준특허 연계방안 : (표준화 후 기술개발) IoT 관련 기본 표준이 개발되어 있음에도 불구하고 산업계는 아직 IoT 시장진입을 하지 않고 있는 상황이므로 국가적 차원에서 효과적인 IoT 게이트웨이 및 액세스 네트워크 보안 표준 기술개발을 촉진하고 이를 기반으로 표준 특허 연계



(차세대공략 | 선행) IoT 서비스 보호 프레임워크

전략적중요도

/국내역량


국내TTA,

M2M/IoT포럼

국외

oneM2M, ITU-T, ETSI, 3GPP, IETF,

IEEE

국내참여업체

/기관

ETRI, 성균관대학교


표준개발


기술개발


기술개발단계


비슷(선도국 대비 100% 수준)국외 □기술기획↦■설계↦□구현↦□프로토타입/시제품↦□상용화

선도국가


표준화단계



선도국가



현재 IoT 분야는 기술보다는 표준이 앞서 진행하고 있는 상황이며 단말 및 통신 관련한 표준이 본격적으로 진행되었음. 향후 게이트웨이 및 액세스 네트워크, 서비스 등에 대한 기술적 해결과 보안 기술의 확보, 호환성 지원을 위한 상호운용성 지원이 이루어짐에 따라 본격적 시장이 형성될 수 있어 “차세대공략” 항목으로 분류하였음

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 서비스 분야는 일반적으로 기술적용이 유연한 분야로서 IoT 인프라가 구축될 경우 표준화보다 앞서 산업적 다분화가 이루어질 수 있으므로 선행적 표준화가 이루어지지 않으면 상호운용성 측면에서 대응이 어려울 수 있음. 따라서 국제 표준화기구의 서비스 보호 표준화 동향에 따른 상호협력적 구조를 통한 적극적 표준화가 요구됨

* 사실 표준화 활동 전략 : 사실 표준화 기구인 oneM2M은 업체 중심으로 M2M 기반의 IoT 네트워킹 계층 및 서비스 계층에서 다양한 보안 이슈에 대한 표준화를 추진하고 있음. IoT 서비스 보호 분야를 국내 기관이 주도하기 위해서는 보다 적극적으로 oneM2M 표준화 활동에 참여하여 IoT 서비스를 위한 보안 및 프라이버시에 대한 표준화에 실질적인 기여를 할 필요가 있음

- 국내 표준화 추진계획 : TTA의 사이버보안 프로젝트그룹(PG503), 사물인터넷 융합서비스 프로젝트그룹(SPG11), 사물인터넷 네트워킹 프로젝트그룹(SPG12) 및 사물인터넷 oneM2M 프로젝트그룹(SPG13)과 연계하여 기존 개발 표준과 보안 이슈를 포함한 향후 개선 추진

- IPR 확보가능분야 및 확보방안 : IoT 분야는 표준화 및 산업적 측면에서 모두 치열한 경쟁이 예상되며 다양한 응용분야에 대한 선점이 핵심 쟁점이 될 것으로 예상됨. 따라서 IoT 핵심기술에 대한 IPR 뿐만 아니라 그 응용분야와의 인터페이스 등에 대한 IPR 확보가 요구

- 기술개발·표준화·표준특허 연계방안 : (표준화 후 기술개발) IoT 관련 기본 표준이 개발되어 있음에도 불구하고 산업계는 아직 IoT 시장진입을 하지 않고 있는 상황이므로 국가적 차원에서 효과적인 IoT 응용 참조모델로서의 기술개발을 촉진하고 이를 기반으로 표준 특허 연계



(차세대공략 | 선행) 사이버 공격 대응을 위한 빅데이터 분석 요구사항

전략적중요도

/국내역량


국내 TTA

국외ITU-T, IETF

ISO/IEC JTC1

국내참여업체

/기관

ETRI, KISA


표준개발

□ 포럼 ☑ TTA □ 기표원

기술개발


기술개발단계


뒤짐(선도국대비90% 수준)국외 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화

선도국가

/기업미국/Splunk, IBM

표준화단계


국제 ■기획↦□항목승인↦□개발/검토↦□최종검토↦□제/개정

선도국가

/기업미국/Splunk, IBM


국외의 기술개발 및 표준화 수준을 고려할 때, 국제 표준화 초기 단계로 우리나라가 선도할 수 있는 가능성이 매우 높은 항목으로 판단되어 “차세대공략” 항목으로 분류

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 국내 사이버보안포럼, 유관기관과 협력하여 표준 아이템을 만들고, TTA 사이버보안 프로젝트그룹(PG503)을 통한 국내표준화와 ITU-T SG17을 통한 국제표준화를 추진

* 사실 표준화 활동 전략 : OASIS, W3C 등에서 빅데이터에 대한 표준화를 추진 중이므로, 장기적으로 사실 표준화 기구와의 연계도 요구됨

- 국내 표준화 추진계획 : 2016년 상반기에 TTA 사이버보안 프로젝트그룹(PG503)을 통해 사이버 공격 대응을 위한 빅데이터 분석 요구사항에 대한 국내 표준을 추진

- IPR 확보가능분야 및 확보방안 : 사이버 표적공격 대응을 위한 빅데이터 분석기술 분야는 국제 기여도가 매우 높으며, 또한 IPR 확보 가능성이 높아 국제표준 선도 가능성이 높음. 따라서 관련된 국내외 IPR 확보를 적극적으로 시도

- 기술개발·표준화·표준특허 연계방안 : (표준화 후 기술개발) 사이버공격의 글로벌화로 국제적 상호 호환성이 중요해지고 세계시장의 단일화로 세계 표준화 특허 획득 여부가 수출 산업화에 핵심 관건이 되고 있음. 사이버 공격 대응을 위한 빅데이터 분석기술 분야는 국제 기여도가 매우 높은 상태이므로, 실용적인 기술 개발 및 검증과 함께 현재 미흡한 IPR 확보에 역점을 두어 관련 국제 표준특허에 협력/경쟁 구도로 추진



(다각화협력 | 병행) 보안정보공유 및 통합제어 프레임워크

전략적중요도

/국내역량


국내 TTA

국외ITU-T, IETF,

ISO/IEC JTC1

국내참여업체

/기관

ETRI, KISA


표준개발

□ 포럼 ☑ TTA □ 기표원

기술개발


기술개발단계


비슷(선도국 대비 100% 수준)국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가

/기업한국/한국전자통신연구원(ETRI)

표준화단계



선도국가

/기업미국/MITRE(정보보안 관련 연구소)

- Trace Tracking : 적극공략(Ver.2015) → 다각화협력(Ver.2016)

Ver.2015에서는 선도경쟁 확보 가능으로 적극공략 항목으로 분류되었으나, 현재시점에서 미국, 유럽을 중심으로 국제표준화가 진행 중이므로 추가적인 표준개발 작업으로 표준경쟁을 할 수 있는 항목으로 판단되어 Ver.2016에서는 다각화협력 항목으로 분류

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 국내 사이버보안포럼, 유관기관과 협력하여 표준 아이템을 만들고, TTA 사이버보안 프로젝트그룹(PG503)을 통한 국내표준화와 ITU-T SG17을 통한 국제표준화를 추진

* 사실 표준화 활동 전략 : IETF, IEEE 등에서 보안정보 공유에 대한 사실 표준화 작업을 진행했으며, 통합제어 프레임워크에 대한 국제 표준화 작업 시 사실 표준화 기구와의 연계도 요구됨

- 국내 표준화 추진계획 : TTA 사이버보안 프로젝트그룹(PG503) 제정된 사이버보안 정보공유 프로토콜 관련 표준안을 기반으로 통합제어 프레임워크에 대한 국내표준을 조기 추진

- IPR 확보가능분야 및 확보방안 : 사이버공격 정보공유 및 통합제어 분야는 국제 기여도가 매우 높으며, 또한 IPR 확보 가능성 및 국제표준 선도 가능성이 높음. 따라서 통합보안제어 프레임워크에 대한 국내외 IPR 확보를 적극적으로 시도

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 사이버공격의 글로벌화로 국제적 상호 호환성이 중요해지고 세계시장의 단일화로 세계 표준화 특허 획득 여부가 수출 산업화에 핵심 관건이 되고 있음. 사이버공격 정보공유 및 통합제어 분야는 국제 기여도가 매우 높은 상태이므로, 실용적인 기술 개발 및 검증과 함께 현재 미흡한 IPR확보에 역점을 두어 관련 국제 표준특허에 협력/경쟁 구도로 추진



(차세대공략 | 병행) 악성코드 통합대응 기능 및 구조

전략적중요도

/국내역량


국내 TTA

국외ITU-T, IETF,

ISO/IEC JTC1


ETRI, KISA


표준개발


기술개발


기술개발단계


비슷(선도국 대비 100% 수준)국외 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화

선도국가

/기업한국/한국인터넷진흥원(KISA)

표준화단계



선도국가

/기업미국/시만텍


다양한 침해사고 대응 경험을 통한 악성코드 대응 노하우 및 기술을 보유하고 있는 분야로 국제표준화를 선도할 수 있는 있는 가능성이 높은 항목으로 판단되어 Ver.2015에 이어 Ver.2016에서도 “차세대공략”항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : TTA, 사이버보안포럼, 백신업체, 통신 사업자 등 국내 유관기관과 협력하여 표준 아이템을 만들고, TTA 사이버보안 프로젝트그룹(PG503)을 통해 국내표준화를 진행하며, 2016년 국내표준을 추진하고, 2017년 ITU-T 표준을 제안

* 사실 표준화 활동 전략 : 악성코드 대응 관련 민간단체 및 조직과의 정보교류, 의견수렴 등을 통해 표준기술을 개발하고 침해사고 관련 표준화를 추진하는 IETF와의 표준개발 협력 추진

- 국내 표준화 추진계획 : 사이버보안 프로젝트그룹(PG503)을 통해 악성코드 통합대응 기능 및 구조에 대한 국내 표준을 추진

- IPR 확보가능분야 및 확보방안 : 악성코드 통합대응 분야는 국제 기여도 및 IPR 확보 가능성이 높아 국제표준 선도 가능성이 높음. 따라서 국내에서 개발 진행 중인 악성코드 분석 및 프로파일링 원천기술에 대한 미국 등 국내외 IPR 확보 적극 시도

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 국내 악성코드 통합분석을 위한 우수한 단위기술을 활용하여 IETF, ISO/IEC JTC1과의 공동기고, 공동개발 등을 통해 국제표준 선점 및 IPR 확보를 추진하며, 악성코드 통합대응 분야는 국제 기여도가 매우 높으므로 실용적인 기술 개발 및 검증과 함께 현재 미흡한 IPR확보에 역점을 두어 관련 국제 표준에 협력/경쟁 구도로 추진



(다각화협력 | 병행) 악성코드 분석 및 보고형식

전략적중요도

/국내역량


국내 TTA

국외ITU-T, IETF,

ISO/IEC JTC1


ETRI, KISA


표준개발


기술개발


기술개발단계


비슷(선도국 대비 100% 수준)국외 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화

선도국가

/기업한국/한국인터넷진흥원(KISA)

표준화단계



선도국가

/기업미국/시만텍

- Trace Tracking : 다각화협력(Ver.2015) → 다각화협력(Ver.2016)

악성코드 분석 및 보고형식에 대한 표준화는 악성코드 분석정보에 대한 공유를 통해 침해사고에 대한 공조 및 공동대응을 가능하게 하는 기술로, 국내외 기업, 기관들의 협조 및 협력을 필요로 하므로 ver.2015에 이어 ver.2016에서도 “다각화협력” 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : TTA, 사이버보안포럼, 백신업체, 통신 사업자 등 국내 유관기관과 협력하여 표준 아이템을 만들고, TTA 사이버보안 프로젝트그룹(PG503)을 통해 국내표준화를 진행하며, 2015년 국내표준을 추진하고, 2016년 ITU-T 표준을 제안

* 사실 표준화 활동 전략 : IETF 내 ICSG Malware Working Group에서 악성코드 관련 표준화를 진행 중이므로 국제표준화 추진 시 IETF와의 협력을 통해 표준개발 추진

- 국내 표준화 추진계획 : 사이버보안 프로젝트그룹(PG503)을 통해 악성코드 분석 및 보고형식에 대한 국내 표준을 추진

- IPR 확보가능분야 및 확보방안 : 악성코드 분석 및 보고형식에 대한 기술은 국제 기여도 및 IPR 확보 가능성이 높아 국제표준 선도 가능성이 높음. 따라서 국내에서 개발 진행 중인 분석 회피형 악성코드 분석 원천기술에 대한 미국 등 국내외 IPR 확보 적극 시도

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 국내 악성코드 분석 및 보고형식 개발을 위한 우수한 단위기술을 활용하여 IETF, ISO/IEC JTC1과의 공동기고, 공동개발 등을 통해 표준을 개발하고, 해당 표준을 활용한 실용적인 기술 개발 및 IPR 확보 추진



(차세대공략 | 병행) 침해사고 분석을 위한 네트워크 증거 보존 요구사항

전략적중요도

/국내역량


국내 TTA

국외ITU-T, IETF,

ETSI


ETRI, KISA


표준개발


기술개발


기술개발단계


뒤짐(선도국대비 95% 수준)국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가

/기업미국/RSA

표준화단계



선도국가

/기업EU

- Trace Tracking : 차세대공략(Ver.2016 신규 항목)

국외의 기술개발 및 표준화 수준을 고려할 때, 국제 표준화 초기 단계이며 우리나라가 선도할 수 있는 가능성이 매우 높은 항목으로 판단되어 “차세대공략” 항목으로 분류

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 현재 ITU-T SG17에서 제정하고 있는 사이버보안에 대한 정보공유 프레임워크(CYBEX)에는 포렌식 도메인을 정의하고 있으나 실제 표준화작업은 이루어지지 않고 있어 해당 분야를 대상으로 국내 주도의 적극적인 국제 표준화를 추진하는 것이 필요함

* 사실 표준화 활동 전략 : 2018년 이후부터는 ITU-T의 표준 기술을 기반으로 IETF, ETSI 등 다양한 표준화 기구를 통한 표준을 확보하고, 다양한 네트워크 보안 업체 및 기관들의 국제 표준화 그룹 참여를 유도함으로써 실용표준으로 활용될 수 있도록 하는 전략을 모색

- 국내 표준화 추진계획 : TTA 사이버보안 프로젝트그룹(PG503)을 통해 네트워크 데이터 증거 보존 및 분석을 위한 프레임워크를 표준화하고, 세부 항목에 대한 표준 개발 및 관련 국제표준을 국내표준으로 수용하는 전략 필요

- IPR 확보가능분야 및 확보방안 : 네트워크 데이터 증거 보존 등의 기술에 대한 IPR이 확보 가능하며, 2017년까지 관련 기술에 대한 국내 특허를 확보하고, 국제특허의 효용가치를 분석하여 선별된 국가에 국제특허를 출원할 예정

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 네트워크 증거 보존 기술 개발이 현재 구현단계에 있으며, 이와 관련된 IPR을 확보하고 있는 상황임. 아직까지 ITU-T에서 표준 개발이 기획단계에 있으며, 국내 표준화 활동은 현재 시작 단계에 있으므로, 국제 표준화 초기에 독자적인 IPR을 개발하고 표준화 과정에서 국내 주도로 등록된 IPR이 반영되도록 적극적 활동 및 상호 협력 방안 모색



(적극공략 | 후행) 스마트폰 스팸 대응을 위한 보안 요구사항

전략적중요도

/국내역량


국내TTA,

지식정보보안산업포럼

국외ITU-T, IETF, GSMA 등


삼성전자,LG전자, SKT, KT, LG U+,

ETRI 등


표준개발


기술개발


기술개발단계


비슷(선도국대비100% 수준)국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가

/기업

한국/삼성전자, 지란지교시큐리티미국/구글

독일/Secusmart

표준화단계



선도국가

/기업유럽, 중국, 한국

- Trace Tracking : 다각화협력(Ver.2015) → 적극공략(Ver.2016)

Ver.2015에서는 “스마트폰 앱 보안 검증 프레임워크”으로 다각화협력으로 분류 했으며, Ver.2016에서는 스마트폰 스팸 대응을 위한 보안 요구사항은 개발자 입장에서의 보안 대책 요구가 늘어날 것으로 예상되며 꾸준한 관심이 필요한 분야이므로 “적극공략” 으로 분류

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 스마트폰 스팸 대응을 위한 보안 요구사항 관련 표준은 ITU-T에서 국제 표준화 추진 중이며, 국제 표준화 추진 시 ITU-T 이외에 GSMA와 같은 사실 표준화 기구의 표준화 연계가 요구됨

* 사실 표준화 활동 전략 : 스마트폰 기술은 GSMA처럼 사실 표준화 기구에서도 관심이 있는 영역이며, ITU-T 공적 표준으로 KISA에서 추진 중인 스마트폰 스팸 대응 보안 표준에 대해서는 표준화 연계 방안이 필요

- 국내 표준화 추진계획 : ITU-T에서 스마트폰 스팸 대응 보안 표준이 국제 표준화로 추진 중에 있으므로 TTA 응용보안 및 평가인증 프로젝트그룹인 PG504에서 국내 표준으로 추진되도록 준비 중인 단계임

- IPR 확보가능분야 및 확보방안 : 스마트폰 스팸 대응을 위한 보안 요구사항 표준은 개발자가 프로그램 개발 시 필요로 하는 보안에 대한 부분이므로, 개발자 차원에서 IPR 확보가 요구될 수 있음

- 기술개발·표준화·표준특허 연계방안 : (기술개발 후 표준화) 스마트폰 스팸 대응을 위한 보안 요구사항은, 산업체에서의 보안 필요에 대응하는 분야이며, 이를 위해서는 산업체의 수요에 맞는 보안 대책 수립이 필요함



(차세대공략 | 후행) 스마트폰 환경에서의 저장장치 보안 프레임워크

전략적중요도

/국내역량


국내TTA,

모바일시큐리티포럼

국외ITU-T, OMA,

OMTP 등


삼성전자,LG전자, SKT, KT, LG U+,

ETRI 등


표준개발

☑ 포럼 ☑ TTA □ 국표원

기술개발


기술개발단계


앞섬(선도국대비110% 수준)국외 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화

선도국가

/기업

한국미국/구글, Remo Software

독일/Secusmart

표준화단계



선도국가

/기업중국, 한국


Ver.2015에서는 “스마트폰 관련 보안 대책”으로 차세대공략으로 분류 했으며, Ver.2016에서는 스마트폰 환경에서의 저장장치 보안 프레임워크는 기술적으로 이슈가 있으며, IPR 확보가 시급한 항목으로 Ver.2016에서는 “차세대공략” 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 스마트폰 저장장치 보안 대책 중에, 스마트폰 다중 수준 보안 관련 기술은 국내 보안 기술 및 표준화가 1년 가량 앞선 표준화 항목임. 그러므로 국제 표준화 추진 시 차세대공략으로 선도할 필요가 있음

* 사실 표준화 활동 전략 : OMA와 같은 사실 표준화 기구에서 추진 중인 스마트폰 저장장치 관련 보안에 대해 ITU-T와 협력으로 표준화 연계 추진을 하는 것이 필요하며, 특히 스마트폰 저장장치 개발업체와의 연계가 중요할 전망

- 국내 표준화 추진계획 : TTA 응용보안 및 평가인증 프로젝트그룹인 PG504에서 기존 상황인지형 보안 재구성 프레임

- 워크를 최신 신규 기술에 부합되도록 현실적으로 표준 개정이 요구됨

- IPR 확보가능분야 및 확보방안 : 스마트폰 저장장치 보안 관련 기술은 디바이스 제조사의 IPR 확보 차원에서 시급한 분야로 전망. 또한 다중 수준의 보안 프레임워크 개발이 중요한 이슈임

- 기술개발·표준화·표준특허 연계방안 : (기술 개발후 표준화) 스마트폰 저장장치 보안 기술은 스마트폰 제조사와의 협력 방안 강구가 무엇보다 선행되어야 하며, 산업체 수요에 기반한 표준 개발이 필요할 전망임




¡ 중기(2016~2018) 표준화 계획

Ver.2016


¡ 장기(~2025) 표준화 계획



[참고문헌]

[1] “ITU-T SG17에서의 사이버보안 국제 표준화 동향”, 김종현, 김익균, 정보보호학회지, 2013

[2] “빅데이터를 활용한 사이버 보안 기술 동향”, 김종현 외. 전자통신동향분석 6월호, 2013

[3] A. Rutkowski, et al, “CYBEX – The Cybersecurity Information Exchange Framework

(X.1500),” ACM SIGCOMM Computer Communication Review, Volume 40, Number 5,

October 2010

[4] TS102232 : Handover Interface and Service-Specific Details (SSD) for IP delivery.

European Telecommunications Standards Institute, December 2006.

[5] 이승익, 이종화, 신명기, 김형준, 손승원, 스마트인터넷을 위한 SDN 및 NFV 표준기술

동향분석, 전자통신동향분석, 29권 2호(통권 146), 2014.

[6] 임용재, 백선경, 신명기, 네트워크 산업 상생 발전을 위한 하드웨어 공통플랫폼 표준 개발,

PM Issue Report 2013-제4권 이슈, 2013.

[7] 미래창조과학부, 네트워크산업 상생발전 실천전략, 2014.3.

[8] 전자신문사, “훤히보이는 ICT표준기술,” 2013.12

[9] OpenFlow Switch Specification 1.x, http://www.opennetworking.org.

[10] ONF Whitepaper, "Software-Defined Networking: The New Norm for Networks", 2013

[11] ONF (Open Networking Foundations), http://www.opennetworking.org.

[12] ETSI NFV ISG, http://portal.etsi.org/portal/server.pt/community/NFV/367.

[13] IETF, http://www.ietf.org.

[14] IRTF, http://www.irtf.org

[15] TTA, http://www.tta.or.kr.

[16] ITU-T, http://www.itu.int/ITU-T/

[17] 미래인터넷포럼, http://fif.kr.

[18] Genode Labs, http://www.genode-labs.com

[19] “2014 국내 정보보호산업 실태조사”, KISIA, 2015

[20] “Worldwide IT Security Products 2014-2018 Forecast and 2013 Vendor Shares”, IDC,

2014

Ver.2016


[약어]

ALTO Application-Layer Traffic OptimizationAPI Application Programming InterfaceAPT Advanced Persistent ThreatCDN Content Delivery NetworkCDNi Content Delivery Network InterconnectionDDOS Distributed Denial of ServiceDPDK Data Plane Development KitETSI European Telecommunications Standards InstituteFIF Future Internet ForumForCES Forwarding and Control Element SeparationI2NSF Interface to Network Security FunctionsI2RS Interface to the Routing SystemICSG Industry Connections Security GroupIETF Internet Engineering Task ForceIMS Internet protocol Multimedia SubsystemIRTF Internet Research Task ForceITU-T International Telecommunications Union - Telecommunication StandardizationLTE Long Term EvolutionsMMDEF Malware MEtadata Exchange FormatNetConf Network ConfigurationNFAT Network Forensics Analysis ToolsNFV Network Functions VirtualizationODL Open DayLightOF OpenFlowOIC Open Interconnection ConsortiumONF Open Networking FoundationsOS Operating SystemOVP Open Virtualization ProfilePCE Path Computation ElementPG Project GroupPoC Proofs of ConceptRG Research GroupSBAPI Southbound APISDN Software-Defined NetworkingSDN-ONE Software-Defined Networking – Open Network EnvironmentSIEM Security Information and Event ManagementSUN Smart Ubiquitous NetworksTEE Trusted Execution EnvironmentTTA Telecommunications Technology AssociationTZ TrustZoneVCM Virtual Core for MobilevEPC virtual Evolved Packet CoreVoLTE Voice over Long Term Evolutions

서비스/융합보안

목 차

1. 표준화 개요 ························································································································ 142

1.1. 기술 개요 및 표준화 필요성 ······························································································· 142

1.2. 연도별 주요 현황 및 이슈 ··································································································· 147

1.3. 중점 표준화 항목 ················································································································· 150

2. 국내외 시장/기술개발/IPR/표준화 현황분석 ································································ 155

2.1. 시장 현황 및 전망 ················································································································· 155

2.2. 기술개발 현황 및 전망 ········································································································· 160

2.3. IPR 현황 및 전망 ···················································································································· 167

2.4. 표준화 현황 및 전망 ············································································································· 172

3. 국내외 추진전략 및 중장기 계획 ·················································································· 185

3.1. 비전 및 기대효과 ··················································································································· 185

3.2. 표준화 SWOT 분석 및 추진방향 ························································································ 189

3.3. 중점 표준화 항목별 국내외 추진전략 ··············································································· 190

3.4. 중기(3개년) 및 장기(10개년) 표준화 계획 ········································································ 240

[참고문헌] ············································································································································· 243

[약어] ····················································································································································· 244

정보보호 Ⅰ 서비스/융합보안 141



1. 서비스/융합보안 표준화 개요


¡ 기술 개요

- 서비스보안 기술은 공통기반 보안 기술과 네트워크 및 디바이스/시스템 보안 기술을 활용하여,

클라우드/빅데이터 보안, DB 및 웹 보안, 콘텐츠 보안, 개인정보보호, 금융보안, 바이오인식 응용

등 다양한 응용서비스 및 제품의 보안을 위한 기술

- 융합보안은 정보통신 기술과 타 산업 기술이 융합된 스마트그리드 보안, 자동차 융합 보안, 헬스

케어 보안 등을 위한 기술

정보보호는 컴퓨터를 이용한 정보시스템이나 유무선 인터넷과 같은 네트워크를 통하여

전달되는 정보의 위/변조, 유출, 무단침입, 서비스거부 등을 비롯한 각종 불법 행위로부터 조직

혹은 개인의 컴퓨터와 정보를 안전하게 보호하고, 물리적 공간에서의 보안 침해사고 방지, 타

산업과의 융합 시스템에서의 보안을 제공하기 위한 기술로, 공통기반 보안, 네트워크 보안,

디바이스 보안, 서비스 보안, 융합보안 기술로 구분한다. 서비스/융합 보안은 응용계층에서

제공되는 서비스들의 보안과 타 산업, 즉 자동차, 에너지, 의료산업과 같은 분야에 IT를

융합으로 인한 보안을 대상으로 함

<서비스/융합 보안 기술 개요도>

Ver.2016



- 업무 환경에서

Ÿ (휴먼/바이오인식) C씨는 출근을 위해 지하철을 탑승하면서 멀리 한번 응시로 본인의 홍

채정보를 이용하여 지하철 탑승요금을 지불하였다.

Ÿ (클라우드/빅데이터 보안) 이동 중에는 스마트폰으로 급한 업무를 처리하기 위하여 사용

자 인증을 통해 클라우드 스토리지에 저장된 데이터에 접속하여 서류를 작성 하였다. C

씨가 국경을 넘어서 인접국 목적지 역에 도착하자 입국을 위한 정보가 이미 도착하여 자

동 출입국 심사대를 통과했고, 도착 도시의 지하철 정보와 함께 관심 있던 해외 축구 결

과가 전송되었다.

Ÿ (웹 보안) D씨는 국외출장으로 인도를 방문하게 되었으나 초행이어서 회의장 찾아가기가

걱정이었다. 그러나 스마트폰의 지도 웹서비스를 통하여 호텔에서 회의장까지의 교통편과

시간을 알 수 있어서 효율적으로 회의장에 도착할 수 있었다. 회의장에서는 회사의 자료

가 잘못된 것임을 발견하고, 회의주관자에게 회사의 관련 자료에 접근할 수 있는 제한적

위임권한을 웹으로 부여하여 회의 자료를 원활하게 제공할 수 있도록 조치 할 수 있었다.

Ÿ (금융보안) 회의를 마친 후, D씨는 물품대금 납부 마감일임을 깨닫고 인터넷 뱅킹을 시도

하자 은행에서는 D씨의 평상시 거래 위치와 다른 점을 인지하고 사용자 스마트폰으로 본

인확인을 요청하여 본인확인 후 이체를 승인하였다.

- 일상 생활에서

Ÿ (핀테크 서비스보안, 모바일 결제) B씨는 증권계좌를 개설하기 위해 스마트 단말기로 앱

을 다운로드 받아 회원가입을 하였다. 본인인증을 위해 스마트 단말기로 주민등록증을 찍

고, 영상통화로 본인확인 과정을 인증하여 계좌를 개설하였다. 이후 가까운 식당에가 음

식을 주문하고 기다리는 동안 간편 송금서비스를 이용하여 B씨의 증권계좌로 투자금액을

이체하고 주식거래를 시작하며 식사를 하였다. 식사를 마친 후 음식값은 스마트폰 간편결

제 서비스를 이용하여 결제하였다.

Ÿ (자동차 융합보안) 식당에서 나온 B씨는 갑자기 복통을 느끼고 차량의 네비게이션에서 그동

안 이용했던 병원 중에 가장 가까운 병원을 안내받았다. 운전 도중 B씨의 차량통신 단말은

전방도로에 사고가 났음을 감지하였고 우회도로를 이용하여 신속히 도착할 수 있었다.

Ÿ (클라우드/빅데이터 보안, 헬스케어 보안) 병원을 방문하자 지문과 위치 인증 후에 실시간

으로 제공된 라이프스타일 개인건강정보를 분석 결과를 기반으로 즉시 진료를 받고 준비

된 약을 수령하였다.

Ÿ (헬스케어 보안) B씨는 평소 다니던 C병원에서 건강검진결과 간에 이상소견을 보여, A대

학병원에서 진료받을 것을 권유받았다. 이에 C병원은 B씨의 동의를 바탕으로 진료기록사

본과 진료에 대한 의뢰를 온라인을 통해 A병원으로 전송하였다. A대학병원은 담당교수의

진료스케쥴에 맞춰 B씨의 진료예약을 진행하였다. B씨가 진료일 A대학병원의 정문을 들

어서니, B씨가 진료받을 진료실의 위치정보가 스마트폰에 자동으로 나타나며, 진료실의

경로를 알려주었다. B씨가 진료실에 도착해 진료를 본 결과 검사를 몇가지 진행하기로 하

였다. 진료실을 나서자 B씨의 스마트폰에 검사실의 위치와 예약시간과 현재 위치에서 검



사실로 이동하는 경로가 나타나 경로를 안내해주었다. 진료를 마치고 집에 도착하니, B씨

의 스마트폰에 검사결과 큰 이상이 없으며, 처방받은 약이 B씨의 집으로 배송되어 왔다.

Ÿ (클라우드/빅데이터 보안) 커피를 좋아하는 C씨는 퇴근길에 클라우드 업체인 D사로부터

주변 커피숍 추천을 받았다. 이는 C씨의 행동패턴을 분석한 것으로, 자신의 개인정보를

분석한 서비스 제공을 신청하지 않았던 C씨는 D업체를 개인정보 침해로 신고하였다.

Ÿ (모바일 결제) C씨는 추천 받은 커피숍 대신 새로 오픈한 커피숍에 들러 커피를 주문하고

스마트폰의 지문을 터치하여 삼성페이를 통하여 모바일 결제, 쿠폰 할인, 멤버십 적립을

하고 모바일 전자 영수증까지 발급받았다.

Ÿ (연령검증)커피를 기다리는 동안에는 모바일 쇼핑몰에서 에스프레소기기를 골라 전자지갑

(모바일카드, 앱카드 등)을 이용해 결제하였다. 이동 중에 C씨는 관심 있는 영화를 시청하

기 위해 연령 검증을 통해 해당 서비스에 접속하여 영화를 감상하였다.

Ÿ (산업제어시스템 보안) E씨는 야근을 위해 외출하며 중학생 자녀의 컴퓨터 사용을 제한하

기 위하여 스마트폰을 통해 컴퓨터의 전력 사용량을 실시간으로 확인하고, 특정 사용량을

초과할 시에 자동으로 전원이 차단되도록 설정하였다.

Ÿ (유해정보대응) E씨의 부탁으로 집에 들른 삼촌 F씨는 유해정보를 자동으로 차단해주는

안전한 스마트 스쿨 서비스(Safe Smart School Service: Safe Browser, Safe Movie Player

등)를 이용하여 조카 숙제를 함께 해결하였다.

Ÿ (악성코드분석) 저녁 식사를 위해 인터넷으로 피자를 주문하였는데, 웹사이트에 악성코드

가 은닉되어 있어서 나도 모르게 PC가 악성코드에 감염되고 PC에 저장된 개인정보가 모

두 유출되었다. F씨는 인터넷침해대응센터에 이를 신고하였고, 필요한 조치와 함께 악성

코드 감염PC 및 침해사고 발생을 사전에 예방할 수 있음을 안내받았다.

Ÿ (모바일 바이오인식) K씨는 국제표준회의 참석을 위하여 자동차키에 있는 지문인식을 통

하여 차시동을 걸고 인천국제공항으로 출발하였다. 공항에서 지문인식을 통해 자동출입국

심사를 통과하고 출국한다.

Ÿ (생체신호기반의 텔레바이오인식기술) 국제표준회의 중 고열이 발생하여 본국의 주치의에

게 착용하고 있는 스마트워치에서 본인의 심장박동을 측정하고 스마트폰의 원격진료 웹

서비스를 통하여 본인의 건상상태와 신원확인을 검증받아 응급조치를 받고 무사히 업무

를 수행하고 귀국하게 되었다.

Ver.2016



정보보호 기술은 안전하고 믿을 수 있는 ICT 환경을 제공하는 핵심 기술로서, 공공, 금융,

의료, 서비스 등 모든 산업의 신뢰성과 안전성을 강화하여 산업 경쟁력을 향상시키고

나아가 사이버 테러 등의 위협으로부터 국가의 안전을 지킬 수 있음. IoT, 빅데이터,

모바일 시대에 보안에 대한 위협은 점점 더 커지고 있으며, 안전성과 신뢰성, 호환성을

달성하기 위해서는 공통 기반이 되는 암호기술부터 네트워크, 디바이스, 서비스에 이르는

각 기술 요소별 보안을 위한 표준이 요구됨

- 서비스 보안 : 웹 서비스 보안, 클라우드 보안, 빅데이터 보안, 유해정보 차단/접근제어,

개인정보보호, 바이오인식 등 서비스 공간의 위협에 대하여 대응하는 모든

메커니즘으로서 이용자의 심인적 안전성과 생활환경에 직접적 영향을 미치므로 그

필요성을 가짐

- 융합 보안 : ICT 융합산업에 활용되는 보안 기술로서, 미래 유망산업으로 대두되는

스마트그리드, 스마트카, 헬스케어 등 ICT 융합 서비스에서 개인정보 유출, 해킹 등

사이버위협에 대응을 위해서는 타 산업 분야 기술과의 상호운용성을 위한 표준화가

필요함

➀ 서비스 보안

- (클라우드/빅데이터 보안) 클라우드 서비스 기업과 다른 서비스 기업/이용자 간의 신뢰성과

선택권을 확보하고, 클라우드 환경을 구성하는 기술로 생성되는 계층에서 발생하는 취약점과

다수 정보 유출위험성에 대한 기술개발 및 표준화 추진이 요구됨. 클라우드 서비스의 보급

확산과 더불어 증가하는 사용자의 다양한 요구사항을 만족시키기 위해 각종 서비스들이

융∙복합되어 새로운 서비스를 제공하는 추세임. 또한 클라우드를 통하여 데이터가 국경을

넘어 활용되면서 국가마다 안전한 이용환경이 상이하여 이를 이해하고 대비할 필요가 있음.

융합 서비스의 보안 위협으로부터 안전하게 서비스들이 상호연동하기 위해서는 신뢰

클라우드 연동 표준화가 필요함. 클라우드 서비스를 이용하는 사용자에게 보다 안전한

서비스가 제공되도록 인증 및 접근제어 기술 개발이 시급한 실정이며, 이에 대한 표준화

추진이 요구됨. 이와 더불어 IoT 기반 서비스들의 신뢰 연동을 위한 표준화가 요구됨. 또한,

다양한 데이터 소스로부터 데이터를 수집하고 분석하는 빅데이터 기술은 개인의 맞춤형

서비스 제공 이슈와 맞물려 다양한 개인정보 침해 문제 및 분석 과정에서의 악의적 정보

유출 가능성이 있어 이를 방지하고 검출하기 위한 표준 기술이 필요함

- (웹 보안) HTML5가 W3C에서 제정으로(2014.7.) 플러그인, 콘텐츠 이용 등의 문제점을

해결하게 되어, 하나의 소스를 다양한 디바이스에서 사용이 가능하게 되었음. 또한 융합

콘텐츠 활용에 대한 표준들이 OAuth2.0 (IETF), CORS (W3C)에서 제정됨을 시작으로 인증 및

서비스 접근제어 관련하여 보다 포괄적이고 섬세한 기술표준 개발이 필요함

- (콘텐츠 보안) 단말, 플랫폼, 서비스 프로토콜, 정보 포맷(코덱) 등 이용자의 정보 이용 환경이

다양화됨에 따라 각각의 환경에 적용 가능한 유해 정보 차단 기술을 개별적으로 개발하기



보다는 개발 기간 단축 및 기술 호환성을 극대화하기 위해 유해정보 차단 프레임워크 및

인터페이스에 대한 표준화 추진이 필요함. 이와 함께 온라인상의 콘텐츠로 인한 게임중독,

유해 콘텐츠 노출 등의 피해가 확산됨에 따라 콘텐츠 접근제어를 위한 연령검증 기술의

표준화 작업이 요구됨

- (금융 보안) 스마트폰의 대중화와 함께 금융사에서는 이와 연계한 다양한 금융서비스를

출시하고 있어 신뢰할 수 있는 장치로부터의 금융서비스 제공 방안에 대한 기술개발 및

표준화가 필요함

- (휴먼/바이오인식) 삼성페이·애플페이 등 스마트폰에 모바일 바이오인식기술이 널리 보급됨에

따라 바이오인식시스템에 대한 상호호환성 시험기술, 모바일 바이오인증 서비스 기술,

바이오인식 응용서비스, 위변조에 강인한 뇌파·심전동 등 생체신호를 이용한 차세대

바이오인식기술등에 대한 국제/국내 표준화 동시 추진

➁ 융합 보안

- (산업제어시스템 보안) 기존의 전력망이 공개된 네트워크와 연결됨으로써 관련 정보의 유출,

위/변조 등의 피해가 발생할 가능성이 높으므로, 스마트그리드 시스템의 보안성을 향상시키고

안정적인 서비스 제공 및 기술개발을 위해 국내외 표준화 추진이 필수적임

- (자동차 융합 보안) 차량 간 통신 기술을 이용한 지능형 교통 체계 구축이 활발히 진행되고

있고, 사용자의 휴대 단말과 차량과의 통신 기술을 활용하는 등 자동차와 IT의 융합 기술이

현실화되고 있으나, 보안 표준의 개발은 미비한 실정임. 차량 통신 환경에서의 보안 사고는

인명 피해를 유발할 수 있으므로, 자동차 융합 보안 표준화가 시급한 실정임

- (헬스케어 보안) 병원의 의료기록 및 개인건강기록의 공유/교환과 개인화 서비스 구축이

활발히 진행되고 있으나 실정임. 건강관련 데이터는 중요한 개인정보를 비롯한 다양한

정보들이 포함되어 있으나, 이에 대한 관리는 개인정보보호법과 의료법에서 제시하는 몇가지

사항들에 대해 그치고 있음. 건강정보에 대한 데이터의 유출건 또한 매년 심심치 않게

발생되고 있음. 건강정보데이터의 공유와 교환에 대한 활발한 논의가 이루어지고 있는

시점에서 미비한 보안의 문제점이 해결되지 않으면, 개인정보의 심각한 유출이 우려되며,

해당 분야의보안 표준화가 시급한 실정임

Ver.2016





2013년 NFC 기반 모바일 OTP 기술 개발 (금융보안연구원)

2013년 스마트폰에서의 바이오정보 저장을 위한 탑재모듈 SW 개발

2013년 웹브라우저 제로데이 공격 탐지기술 개발(KISA)

2013년 카드사(KB국민, 신한, 롯데, 농협, 삼성, 현대 6개사) 앱카드 공동 규격 개발 및 서비스 개시

2013년 은행사 직불카드 기반 바코드 결제 서비스 개시

2013년 스마트폰으로 터치만 하면 인증되는 IC카드기반 (공인)인증 기술 ‘터치사인’개발 (ETRI)

2013년유럽 스마트그리드 배전망에 요구되는 ‘침입탐지 차단 및 자동 복구를 위한 스마트그리드 배전네트워크용 보안기술 프로젝트’ 수행 (유엠브이기술)

2014년 XML기반 웹 DB 콘텐츠 관리지원 기술 개발

2014년 “구글서 내 정보 지워달라“ 유럽연합(EU) 주민 대상 개인정보를 삭제해 달라는 웹페이지 개설

2015년 지문인증을 이용한 애플페이 서비스 개발

2015년 지문인증을 이용한 삼성페이 서비스 개발

2015년 금융권 비대면 실명확인 방식 도입

2015년 스마트 단말용 스트리밍 유해 콘텐츠 차단 기술 개발(ETRI)

2015년 스마트워치 등 웨어러블디바이스에서 심장박동 등 생체신호를 이용한 개인식별기술 등장

2013년산업통상자원부, 스마트그리드법 제6조(지능형전력망 시행계획의 수립·시행)에 따라 2013년도 지능형전력망 시행계획 발표

2013년법무무, 제주도 입국 외국인을 대상으로 얼굴⋅지문을 바이오본인 인증을 통한 자동 출입국 심사 서비스 시범운영

2013년 KISA ISMS, 2.0 버전으로 변경, 개인정보보호인증 개시 2013년 미래부, ‘13년도 빅데이터 기반 스마트서비스 촉진 기반조성’ 사업추진안 발표2013년 금융위원회·금융감독원, ‘온라인결제 보안 강화 종합대책’ 발표 (4월)2013년 금융위원회·금융감독원, ‘금융전산 보안 강화 종합대책’ 발표 (7월)

2013년미래부, 정보보호산업 발전 종합대책 안건으로 정보보호기술사제도를 2016년 시행할 예정으로 발표

2013년 미래부, 국회에 클라우드 보안책을 담은 ‘클라우드컴퓨팅발전 및 이용자보호에 관한 법률’을 제출2014년 한국 암호모듈 검증제도(KCMVP) 보호함수에 국내 개발 블록암호 LEA, HIGHT 포함 예정2014년 미래부, “개인정보보호 강화를 위한 기술대책 마련 추진” 계획 발표 (3월)2014년 한국전력공사, UAE 두바이수전력청(DEWA)과 ‘스마트그리드 상호협력을 위한 양해각서(MOU)’ 체결

2014년 미래부, 클라우드 산업 경쟁력 강화를 위하여 ‘클라우드 산업 육성계획’ 발표2014년 미래부, 클라우드 시장 활성화를 위한 클라우드 지원센터의 확대·운영 추진2014년 바이오인식 기반 전자서명법 하위 고시 개정

2014년금융감독원, ‘전자금융감독규정시행세칙’ 개정(5.20)으로 지급결제에서 30만원이상 공인인증서 사용 폐지

2014년 2013년 방송통신위원회가 고시한 정보보호관리등급 부여에 관한 고시가 2014년 1월부터 시행2015년 자본시장과 금융투자업에 관한 법률 개정(크라우드 펀딩법 국회 법사위 통과)2015년 인터넷전문은행 설립을 위한 법률(하반기 예정) (인터넷전문은행법 같은 특별법 방안 등 고려)2015년 금융위원회금융감독원, ‘금융IT부문 자율보안체계 확립방안’ 발표2014년 미래부, 안전한 IoT 환경 조성 위한 ‘사물인터넷 정보보호 로드맵’ 수립2014년 음란물 유통 방지를 위한 규제 강화를 포함한 전기통신사업법 개정안 국회 본회의 통과2015년 개정 전기통신사업법 시행(음란물 유통 방지를 위한 규제 강화, 청소년 유해매체물 차단 의무 등)


¡ 국내외 기술개발 주요 현황 및 이슈

Ver.2016


2013년 POS 단말기 사용자 인터페이스 TTA 표준 제정

2013년 모바일토큰 기반의 공인인증서 사용자 인터페이스 가이드라인 발표(KISA)

2013년 블록암호 SEED, ARIA의 TLS/SRTP 적용 규격 국가 표준 KCS 추진

2013년 차량 간 통신 보안 요구사항 TTA 표준 제정

2013년 확장된 침입 탐지 메시지 교환 포맷 TTA 표준 제정

2013년 스마트그리드 표준화 포럼, ‘지능형전력량계 제2부: 통신 및 보안 기능’을 포럼 표준으로 제정

2013년 한국전력에서 AMI - 스마트가전 연계 표준화 사업 추진

2013년 온라인 청소년 보호를 위한 ID 검증 구조 TTA 표준 제정

2013년 경량 블록암호 LEA의 TTA 표준 제정

2014년 경량 블록암호 LEA 운영모드 TTA 표준 제정

2014년 일회용패스워드(OTP) 발생기 사용자 인터페이스 TTA 표준 개발

2014년 여신협회 IC카드 기반 신용카드 단말기(POS, CAT) 보안 표준 제정

2014년 스마트그리드 적용을 위한 HAN 기기 보안 메커니즘 TTA 표준 제정

2014년 스마트그리드에서의 전기차 충전 서비스를 위한 보안 기능 구조 표준 제정

2013년 ITU-T, OTP 기반 부인방지 프레임워크 표준 제정(X.1156)

2013년ITU-T SG17 Q.3 및 ISO/IEC SC27 WG1에서 Information security management guidelines for telecommunications organizations (X.1051/27011) 개정 추진

2013년미국의 주도로 ISO SC27 및 SC2, SC6, 그리고 ITU-T, ETSI, ISACA, VISA/MASTERCARD가 참여하는 “PKI Policy/ Practices/Audit”에 관한 Study period를 개시

2013년 NIST, 빅데이터 표준화 보고서 “Big Data : Combining Brainstorming Deliverables”초안 발표

2013년ISO/IEC JTC1 SC32, 빅데이터 표준화 항목에 대한 논의로 32N2386 보고서를 발간, SWG-Planning 그룹에서는 빅데이터의 세부적인 표준화 이슈 분석 시작

2013년 ISO/IEC JTC1, 익명 인증 및 익명 전자서명 표준 제정(ISO/IEC 20008, 20009)

2014년 W3C, HTML5 표준 제정

2014년 ITU-T SG17, 위임 부인방지 아키텍처(X.sap-9) 제정

2014년ITU-T SG13, SDN 프레임워크 권고안 Y.3300 (Framework of software-defined networking)으로 제정

2014년ISO/IEC SC27 WG1, 정보보호 전문가 자격 관련 ISO/IEC 27021 : Specification of Competencies for Information Security Management Professionals 표준 개발 개시

2014년 ANSI/HL7, HL7 HealthCare Privacy and Security Classification System(HCS) Release 1 발표





중점 표준화 항목 표준화 내용Target

SDOs

전략

목표

서비스 보안

클라우드/빅데이터 보안

클라우드 컴퓨팅 서비스에서의

개인정보 국외교환

프레임워크

- 클라우드 환경에서의 개인정보 안전한 국외이전에 대한 방안 제시

- CBPR(Cross Border Privacy Rules) - 개인정보 국외 이전 시 프라이버시 보호에 대한 기준

ITU-T, ISO/IEC JTC1

다각화 협력

클라우드 컴퓨팅 서비스 보안

요구사항

- 클라우드 컴퓨팅 서비스에서 이용자의 안전한 이용을 위하여 제공자에게 요구되는 보안 방안의 제시

ITU-T, ISO/IEC JTC1

적극공략

클라우드 인증 및 접근제어 보안

프레임워크

- 클라우드 컴퓨팅 환경에서 자원의 중요성, 사용자 이용형태 등을 고려한 안전한 인증 및 접근제어 방안 제시

ITU-T, ISO/IEC JTC1

차세대 공략

신뢰 클라우드 연동 보안

- 가상화된 클라우드 서비스 환경에서 다양한 서비스들 사이의 상호연동성 및 보안을 보장할 수 있는 보안 기술 표준화

- TCI(Trusted Cloud Initiative) - 클라우드에서 안전하고 호환 가능한 비즈니스 환경 구축

- 사물인터넷(IoT) 기반 서비스의 신뢰 연동 보안

ITU-T, ISO/IEC JTC1

차세대공략

빅데이터의 데이터 보안

- 빅데이터 분석에서 비밀정보를 보호하기 위한 익명화, 암호화, 관리(접근제어, 보호, 모니터링), 리스크 관리 기술 표준화

ITU-T, ISO/IEC JTC1,

ODCA, CSA, NIST

적극공략

웹 보안

차세대 웹 보안

차세대 웹 환경을 위한 보안 기술에 관한 표준화 - 웹 2.0 보안, 모바일 웹 2.0 보안 기술- 차세대 웹 기반 융합 응용 보안, SOA 기반 융합응용 보안

기술- 유비쿼터스 웹 보안, 시맨틱 보안 기술 등- 다중 콘텐츠(멀티미디어 포함) 권한 관리

ITU-T, W3C

차세대 공략

모바일 웹 보안

모바일 웹 어플리케이션 및 단말을 위한 보안 기술 표준화- 모바일 웹 어플리케이션 데이터 보호 기술, 모바일 브라우

저 보안 기술, 경량의 웹보안 기술- 하나의 소스 다양한 디바이스 공유 보안 기술- 사물인터넷 경량 웹인증 및 통신보안 플랫폼 기술

ITU-T, IETF,W3C

적극공략

웹 프라이버시 보호

웹 서비스 환경에서의 프라이버시 보호 기술 표준화- 웹 프라이버시 정책 협상 기술, 프라이버시 데이터 접근

제어 기술- P3P, 위치정보 보호 기술

ITU-T, W3C

차세대 공략

SOA 보안

SOA (Service Oriented Architecture)를 위한 보안 기술- SOA를 위한 인증/인가 기술, SOA 메시지 보안 기술,

SOA기반 서비스를 위한 보안 정책 기술, 웹기반 SaaS 보안

ITU-T, W3C

다각화 협력

콘텐츠 보안

유해정보 차단 정책 및 기술

- 유해정보차단 정책(차단방식, 등급, 콘텐츠 포맷 등) 및 솔루션 평가 가이드라인, 실시간 유해정보 차단을 위한 단말 프레임워크 및 인터페이스, 유해정보 실시간 특징 추출 기술

ITU-T차세대 공략

콘텐츠 접근 제어를 위한 연령 검증 프로토콜

- 콘텐츠 사용자의 연령 검증을 강화하는 웹 기반 ID 속성 인증 모델 개발

ITU-T, ISO/IEC JTC1

차세대 공략


Ver.2016


금융보안

핀테크 서비스 보안 기술

- 핀테크 응용 보안을 위한 비대면 실명확인 기술- 스마트 단말 보안기술(TrustZone, TPM, HCE 등)

ISO, ITU-T

다각화 협력

금융거래 이상 징후 방지

-금융거래 이상 징후 탐지를 위한 이상행위 정보 공유 표현 및 전송 규격 모델

ITU-T다각화 협력

금융보안거버넌스

프레임워크

- 금융IT보안과 통제를 위한 금융정보보안 기술, 표준, 정책, 가이드가 금융업권(감독당국, 금융회사, 금융보안전담기관, 금융협회 등) 및 개별 금융회사에서 일관성 있게 효과적으로 적용되기 위한 모델 및 프레임워크 개발

ISO/IEC JTC1

다각화 협력

휴먼/바이오인

식

바이오인식 응용 서비스

- 스마트 워크, 러닝, 지급결제 등을 위한 원격 바이오인증 응용서비스, 바이오 보안토큰을 이용한 개인인증 서비스

ISO/IEC

JTC1, ITU-T

다각화 협력

생체신호기반 텔레바이오 인식기술

- 스마트워치 등 웨어러블디바이스에서 뇌파·심전도 등 위변조에 강인한 생체신호를 추출하여 스마트폰을 통해(뇌파, 심전도) 개인을 식별 할 수 있는 차세대 바이오인식기술

ISO/IEC JTC1, ITU-T, ABC

차세대 공략

모바일 바이오인증

- 모바일 기기에서의 바이오인식 정보 저장 방법, 모바일 기기를 위한 바이오 인증서 표준 포맷, 모바일 기기를 이용한 원격 바이오인증 절차

ISO/IEC JTC1, ITU-T

적극공략

융합 보안

산업제어시스템보안

스마트그리드 보안 기능 구조

- 스마트 그리드 보안 위협 분석 및 요구사항 도출을 통해 안전한 스마트 그리드 인프라 구축을 위한 보안 기능 구조 정의

ITU-T, NIST,

ISO/IEC JTC1, ETSI

적극공략

스마트그리드 보안관리

- 스마트그리드 환경에서 정보, 시스템 등 자산에 대한 보호를 위한 보안관리 기술

ITU-T, NIST,

ISO/IEC JTC1, ETSI

차세대 공략

스마트그리드 기기 보안

- 스마트그리드에서 사용되는 기기에 대한 인증, 저장 및 전송되는 데이터에 대한 보안 기술

ITU-T, NIST,

ISO/IEC JTC1, ETSI

차세대 공략

자동차 융합 보안

V2X 통신 보안 프레임워크

- 차량 간(V2V), 차량과 인프라 간(V2I), 차량과 노메딕 디바이스 간(V2N) 통신 보안 기능을 제공하는 프레임워크 개발

- 차량의 소프트웨어 업데이트 보안 규격에 대한 표준 개발

ITU-T, ISO, IEEE

적극공략

헬스케어 보안

전자건강기록(EHR, Electronic

Health Record) 보안 프레임워크

기술

- 병원의 의료기록 정보화 시스템 개발에 있어, 기록의 생성, 관리, 유통에 필요한 보안요구사항과 절차에 대한 정의

ISO, ITU-T, IEEE

차세대공략

개인건강기록(PHR, Personal

Health Record) 서비스 보안

- 개인건강기록(PHR) 서비스에 있어서, 정보의 저장 및 전송에 관련된 서비스 보안관리 기술

ISO, ITU-T, IEEE

차세대공략



Ver.2014 Ver.2015 Ver.2016클라우드 보안을 위한 정보교환프레임워크

클라우드 컴퓨팅 서비스에서의 개인정보 국외교환 프레임워크

클라우드 보안관리 프레임워크클라우드 컴퓨팅 서비스 보안

요구사항클라우드 인증 및 접근제어

보안 프레임워크신뢰 클라우드 연동 보안 신뢰 클라우드 연동 보안 신뢰 클라우드 연동 보안빅데이터의 데이터 보안 빅데이터의 데이터 보안 빅데이터의 데이터 보안

차세대 웹 보안 차세대 웹 보안 차세대 웹 보안모바일 웹 보안 모바일 웹 보안 모바일 웹 보안

웹 프라이버시 보호 웹 프라이버시 보호 웹 프라이버시 보호SOA 보안 SOA 보안 SOA 보안

유해정보 차단 정책 및 기술 유해정보 차단 정책 및 기술 유해정보 차단 정책 및 기술

연령 검증 프로토콜콘텐츠 접근 제어를 위한 연령

검증 프로토콜콘텐츠 접근 제어를 위한 연령

검증 프로토콜모바일 전자금융보안 프레임워크

모바일 전자금융보안 프레임워크

핀테크 서비스 보안 기술

모바일 결제서비스 보안 -금융보안관리(compliance)

프레임워크금융보안관리(compliance)

프레임워크금융보안거버넌스 프레임워크

금융거래 이상 징후 방지 기술바이오인식 응용 서비스 바이오인식 응용 서비스 바이오인식 응용 서비스

모바일 바이오인증 모바일 바이오인증 모바일 바이오인증

생체신호기반 텔레바이오인식 기술

스마트그리드 보안 기능 구조 스마트그리드 보안 기능 구조 스마트그리드 보안 기능 구조

[참고] 서비스/융합보안 표준화전략맵 추진경과

- Ver.2014에서는 정보보호기반 및 이용자보호 중점기술에서 경량 암호 알고리즘에 초점을 맞

추었던 부분을 차세대 암호 알고리즘으로 암호 알고리즘의 범위를 확대하였으며, 디바이스

인증 분야는 다중 인증을 포함하고 표준화 방향에 적합하도록 인증서 기반인증으로 수정하

고, 유해정보 대응은 유해정보 차단 정책까지 포함하여 표준화 범위를 확대하였음. 또한, 네

트워크 및 시스템 보안 중점기술에서는 스마트폰 앱, 클라우드, M2M 관련 표준화항목을 세

분화 하고, 소프트웨어 정의 네트워킹(SDN) 항목을 새롭게 추가함. 플랫폼 보안 및 평가인증

중점기술에서는 차량통신보안을 추가함. 중점기술로 새로 추가된 콘텐츠 보호 및 관리 기술

에서는 핑거프린팅, 콘텐츠서비스, 전자책 DRM, 콘텐츠 관리의 4개 분야로 구분하고, 관련

산업 활성화가 예상됨에 따라 객체기반 핑거프린팅, 콘텐츠포렌식 항목을 신규 선정함

- Ver.2015에서는 ‘ICT 통합기술분류체계’의 정보보호 분류에 맞추어 표준화항목을 재배치함.

헬스케어 보안, 차세대 다중요소 인증기술, 스마트폰 보안 등 이슈가 되고 있는 표준화 항목

을 추가하고, SDN 보안 등 표준화 활동이 활발할 것으로 예상되는 분야의 항목을 세분화함

- Ver.2016에서는 인터넷 상의 모든 사물을 연결하여 통신을 목표하는 안전한 융합 보안 인프

라 구축을 위한 경량 및 보안강화 기술표준 개발과 ICT 환경에서 간편 결재를 위한 바이오

인식기술의 융합 및 결제기술의 간소화 표준중심으로 표준전략을 수립


Ver.2016


스마트그리드 보안관리 스마트그리드 보안관리 스마트그리드 보안관리스마트기기 보안 스마트그리드 기기 보안 스마트그리드 기기 보안

V2X 통신 보안 프레임워크 V2X 통신 보안 프레임워크 V2X 통신 보안 프레임워크

- 의료정보 보안

전자건강기록(EHR, Electronic Health Record) 보안

프레임워크 기술개인건강기록(PHR, Personal Health Record) 서비스 보안

서비스 보안Ver.2016 중점 추진방향

§ (클라우드/빅데이터 보안) 다양한 클라우드 응용 서비스들 사이의 상호연동성 및 보안을 보장하기 위한 신뢰 클라우드 연동 보안 및 클라우드 상에서 개인정보의 국가 간 안전한 이동을 위해 필요한 참조 모델임. 클라우드 서비스 상에서의 보안성이 강화된 관리방안 및 침입탐지 등에 대한 정보교환 요구사항이 발생하며, 이를 위한 보안 프레임워크 표준화에 중점을 둠

§ 보안 요구사항 등, 보안 기술 표준화 추진 및 IoT 기반 서비스들의 신뢰 연동을 위한 표준화 검토. 클라우드 환경에서 보안성을 강화하여 사용자에게 안전한 서비스를 제공할 수 있는 인증 및 접근제어 기술에 대한 보안 프레임워크 표준화에 중점을 두고 추진. 빅데이터 시스템의 보안은 시스템을 외부의 공격이나 해킹에 대비하여 안전하게 지키는 기술과 빅데이터 분석 과정에서 과도한 개인정보의 활용을 방지 및 데이터의 활용에서 개인정보를 유추 가능성을 제거하는 기술의 표준화에 중점을 둠

§ (웹 보안) 다양한 소스의 콘텐츠에 대한 융합 서비스를 위하여 대리자 인증 및 콘텐츠 관리를 위한 접근제어 정책수행에 필요한 인가기술 표준화와 IoT의 말단의 사물과 백엔드간의 정보보호 제공을 위한 경량 기술 표준화에 중점을 둠

§ (콘텐츠 보안) 유해정보대응 기술에서는 유해정보차단 솔루션의 기능 및 성능 평가를 위한 가이드라인 수립에 대한 요구를 반영하여 표준화 항목의 명칭에 기술적 요구 사항뿐만 아니라 정책 요구사항을 수용하기 위해 유해정보 차단 정책 및 기술로 확대함. 또한, 연령 검증을 위한 주요 기능 컴포넌트 정의와 아키텍처 구성에 중점을 두어 표준화를 추진함

§ (금융보안) 안전한 핀테크 서비스를 제공하기 위한 단말 보안 및 비대면 실명확인 기술 등과 금융IT보안 통제를 위한 통합 모델 및 프레임워크 표준화 개발에 중점 추진함

§ (휴먼/바이오인식) 바이오인증을 통한 보안서비스를 위하여, 기존의 네트워크 기반의 텔레바이오인식 응용기술과 다양한 모바일 기기에서의 바이오인식기술을 이용한 비대면 인증기술, 뇌파·심전도 등 생체신호를 이용한 차세대 바이오인식기술 표준화에 중점을 둠



융합 보안Ver.2016 중점 추진방향

§ (산업제어시스템 보안) 전력망과 ICT 기술이 접목하여 발생할 수 있는 보안 위협들에 대비하고, 스마트그리드 산업 활성화를 위하여 안전성 확보를 위한 보안 기능 및 보안 관리 표준화를 중점 추진함

§ (자동차 융합 보안) 자동차-ICT 융합 기술의 활성화 추세를 반영하여 차량 보안 기술을 중점 표준화 대상으로 선정하고, 특히 차량 통신 보안 프레임워크 표준 개발을 중점 추진함

§ (헬스 케어 보안) 데이터 교환/공유시 발생할 수 있는 병원전자의무기록과 개인건강정보에 대한 위협들에 대비하고, 안전성이 확보된 서비스 제공을 위한 보안 관리 및 기술 표준화를 중점 추진함

Ver.2016





- 정보보호산업의 매출은 2014년 총 16,957억 원으로 2013년 대비 4.0% 증가한 것으로 조사

됨. 분류별로 살펴보면, 정보보안 제품은 보안관리, 네트워크보안, 콘텐츠/정보유출 방지보안

분야의 매출 비중이 높고 성장률도 높은 것으로 조사되었음

구분 2013년 2014년(E) 성장률 (%)

네트워크보안 448,224 473,412 5.6

시스템 보안 212,982 215,484 1.2

콘텐츠/정보유출 방지보안 257,716 268,782 4.3

암호/인증 126,761 126,792 0.0

보안관리 97,542 111,350 14.2

기타 제품 133,316 124,691 -6.5

보안컨설팅 76,061 82,279 8.2

유지관리 85,212 90,776 6.5

보안관제 150,310 157,892 5.0

교육/훈련 16 15 -6.3

인증 서비스 42,973 44,282 3.0

합계 1,631,113 1,695,755 4.0

< 국내 정보보안산업 매출 현황 >

(단위: 백만원)

(출처: (KISIA, 2014.12, 2014 국내 정보보호산업 실태조사)

- 정보보안산업의 매출은 2013년 16,311 원에서 연평균 9.6%씩 증가하여 2018년에는 25,749

억 원에 달할 것으로 전망됨. 특히 작년 우수한 전망을 보인 보안컨설팅 분야 보다는 보안

관리 분야가 성장률이 21.9%로 향후 지속적인 성장을 보일 것으로 예상됨

구분 2013년 2014년 2015년 2016년 2017년 2018년연평균성장률

(‘13-’18)

네트워크보안 448,224 473,412 531,100 574,441 622,864 677,014 8.6

시스템 보안 212,982 215,484 241,643 265,847 296,833 336,893 9.6콘텐츠/정보유출

방지보안257,716 268,782 299,960 327,059 357,548 391,909 8.7

암호인증 126,761 126,792 132,329 137,045 143,070 150,534 3.5

보안관리 97,542 111,350 151,016 179,761 215,943 262,064 21.9

기타 제품 133,316 124,691 139,458 149,151 159,519 170,607 5.1

보안컨설팅 76,061 82,279 99,337 113,593 130,833 151,688 14.8

기타 서비스 278,511 292,965 326,705 358,578 394,259 434,243 9.3

합계 1,631,113 1,695,755 1,921,549 2,105,476 2,320,869 2,574,951 9.6

< 국내 정보보안산업 매출 전망 >

(단위: 백만원,%)

(출처: (KISIA, 2014.12, 2014 국내 정보보호산업 실태조사)



¡ 국외 시장현황 및 전망

- 전 세계 IoT 시장규모는 ‘13년 2,000억 달러에서 연 21.8% 성장하여 ‘22년에는 1.2조 달러로

성장할 전망됨. (출처: Machina Research, NIA, 2013)

- 국제 정보보호 제품 시장의 매출은 2014년 326억 달러였으며, 2018년에는 427억달러로 연

평균 6.9%의 성장률이 예상됨

- 전체 시장에서는 작년 Endpoint Security와 Network Security 관련 제품 시장이 높은 비중이

Security and Vulnerability management 분야의 시장으로 전환되었으며 연평균 10.2%의 높

은 성장률을 보임

< 세계 정보보안 제품 시장 전망 >

구분 2013 2014 2015 2016 2017 20182013-2018CAGR(%)

Endpoint security 8783.50 9197.20 9681.20 10196.40 10727.00 11286.30 5.10

Identity and access management

4763.90 5177.50 5625.40 6105.40 6608.10 7135.80 8.40

Web security 1888.90 2004.60 2119.40 2240.70 2367.00 2497.90 5.70

Messaging security 2222.50 2306.00 2396.30 2491.60 2587.80 2684.00 3.80

Network security 8120.40 8706.50 9304.70 10053.70 10827.40 11610.10 7.40

Security and vulnerability management

4028.90 4421.30 4893.10 5451.20 6005.10 6554.30 10.20

Other 788.90 821.70 861.10 904.90 951.80 1002.30 4.90

Total 30597.00 32634.80 34881.20 37443.90 40074.20 42770.70 6.90

(출처: IDC, 2014.12, Worldwide IT Security Products 2014–2018 Forecast and 2013 Vendor Shares)

Ver.2016


2.1.1. 서비스 보안 분야

¡ 국내 시장현황 및 전망

- 클라우드/빅데이터 보안 관련 국내 시장은 `15년 약 2.6억 달러 규모로 성장하여 연평균

31%의 성장을 예상 (출처: IDC, 2012.12, 방송통신사업통계연보 2012, ITSTAT(NIPA) 자료를 기반으로 KIST에

서 추정). 또한, 클라우드 서버 시장은 2017년까지 연평균 27%의 고성장이 예상되고 전체 서

버 시장 매출에서 클라우드 서버가 차지하는 비중도 증가할 것으로 전망됨 (출처: 한국IDC, 국내

클라우드 컴퓨팅 서버 시장 분석 및 전망 보고서, 2013-2017). 시장조사 기관인 가트너는 2013년 공공

클라우드 서비스에 대한 지출이 1,310억 달러에 달했고, 2015년에는 1,800억 달러로 확대될

것으로 전망, 한국의 경우 2013년 공공 클라우드 서비스에 대한 지출이 16.3% 증가한 22억

달러에서 2015년에는 약 30억 달러까지 증가할 것으로 전망함

- 콘텐츠/정보유출방지 보안 제품의 연평균성장률은 8.3%로 정보보안제품 중 가장 높은 성장

이 예상되고 있으며, 2017년 4,110억 원의 매출을 기록할 것으로 전망됨. 또한, 시스템 보안

제품의 경우 3.8%의 연평균성장률로 2017년 2,032억 원의 매출을 기록할 것으로 전망됨 (표

2 참조). 콘텐츠 보안 관련 국내 시장의 대부분은 지란지교소프트, 플랜티넷, 테라정보기술

등 국산 업체의 제품이 차지하고 있으며, 솔루션의 형태가 PC 및 유선 인터넷 환경의 솔루

션에서 스마트폰 및 모바일 솔루션으로 변화하고 있음. 또한, 2012년 정부의 ‘청소년 음란물

차단대책’ 발표 이후 국내 시장 규모는 점진적으로 증가할 것으로 전망됨

- 2014년 인터넷뱅킹 서비스(모바일뱅킹 포함) 등록고객수는 1억 319만명으로 전년말 대비

8.1% 증가함. 또한 스마트폰 사용 보편화, 앱(App)방식의 모바일 카드 발급 확대, 편의성 증

진 등으로 카드 이용 건수는 2013년 9.6%에서 2014년 10.%로 견조한 증가세가 지속됨. 모바

일 서비스 증가로 인해 보안 요구사항을 충족하기 위해 스마트 단말 기반의 보안플랫폼(예,

ETRI TeeMo, 삼성전자 KNOX 등) 기술 및 제품이 출시되고 있음 (출처 : 한국은행)

- 국내 바이오인식 분야 기업들의 내수와 수출을 포함한 매출규모는, 2014년 기준 약 1,867억

원 정도이고, 이는 2013년 대비 8.3% 증가한 것이며 향후에는 2017년까지 연평균 성장률

43.3%를 유지하여 2017년에 약 4,282억원까지 증가할 것으로 예상되고 있음 (출처 : 2014 국내

정보보호산업 실태조사(KISIA, KDCA, 2014.12))


- 국외 클라우드 서비스 시장규모는 매년 18.9%의 성장률을 보이며 2015년에는 1,768억 달러

규모를 형성할 것으로 전망되고 있으며, 특히 SaaS 영역은 ’15년 210억 달러 규모까지 성장

하며 가장 큰 시장을 형성할 전망 (출처: 가트너, 2011.06) 이 중 약 7%가 클라우드 보안시장

으로 예상. 세계 빅데이터 시장 규모는 `13년 11억 달러 수준에서 `16년에는 238억 달러 규

모로 성장이 예상됨 (출처: IDC, 2012.12)

- 아시아태평양지역 웹기반 콘텐츠 보안 관리 시장은 2017년 경 15억7830만 달러에 달하고,

시장의 연간 성장률은 약 17.9%에 육박할 것으로 예상됨 (출처: Frost & Sullivan, 2014). 콘텐츠

접근 제어는 Parental Control 분야로 분류되어 Herman Street의 Net Nanny, McAfee의



Safe Eyes와 Family Protection, PureSight Technologies의 PureSight 등의 제품이 시장을 이

끌고 있으며 주로 PC 환경에서 유해 사이트 차단 및 과도한 기기 사용 제한 등의 기능을 제

공하고 있음. 또한 구글 플레이 및 앱스토어 등을 통해 스마트폰용 솔루션이 등장하고 있음

- Identity and access management 분야는 전체 정보보호 시장의 분야별 연평균 성장률 중

9.4%로 가장 높은 성장을 보일 것으로 예상됨. 2014년 53억 달러에서 2017년에는 69억 달

러 규모를 형성할 것으로 전망됨

- 리포트앤리포트 자료에 의하면 NFC칩을 탑재한 휴대폰은 2014년부터 2019년 사이 연평균

55.8%가 증가할 것으로 예측하고 있으며, NFC칩을 이용한 시장 규모는 2014년부터 연평균

8.83%씩 증가하여, 2022년에는 160.25억 달러로 전망

- 세계 바이오인식 산업 신장규모는 2016년에는 96억불, 2019년에는 150억불로 급성장이 예상되며,

특히 모바일 보안에서 바이오인식 분야의 성장세가 예측됨 (출처: Biometrics Research Group , 2014)

- 모바일기기 분야에서 바이오인식 시장이 급속도로 성장할 것으로 예측된다. 2011년 스마트 모바

일기기 세계시장은 약 350억원에서 매년 90%씩 급속도로 성장하여, 2020년에는 36조원로 모바일

바이오인식시장의 개화기가 될 것으로 예측됨 (출처: 미국 AMI 시장조사기업, '15. 2. 4일자 전자신문)

Ver.2016


2.1.2. 융합 보안 분야

¡ 국내 시장현황 및 전망

- 스마트그리드 시장은 년 평균 32% 성장하여, 2020년까지 42조원의 시장이 형성될 것으로 예

상되며, 스마트그리드 보안 시장과 보안관제 시장은 각각 2016년 1,600억원 규모, 2015년

1,300억원 규모로 성장할 것으로 전망됨 (출처: 지능형전력망협회, 2012)

- 텔레매틱스 시장 규모는 2010년 8.9억달러(연평균 13.1% 성장)를 기록하였으며, 인프라 구축

완료 시기인 2020년까지 17.6% 높은 성장이 전망됨. 따라서, 차량 통신 보안 시장도 동반 성

장할 것으로 기대됨 (출처: TTA ICT표준화전략맵-융합서비스 2014)

- (헬스케어 보안) 빠른 고령화는 의료시장의 트렌드가 치료 중심에서 예방중심으로 바뀌어 가

는데 중요한 요소로서 2011년 조사 노인실태조사 결과 노인의 88.5%가 만성질환을 가지고

있었으며 복합질환자는 68.3%인 것으로 나타나고 있음. 2014년 원격의료법이 입법예고되어,

정식 서비스가 허용되면 한국전자통신연구원은 헬스케어 시장은 2015년 2~5조원 규모의 시

장으로 성정할 것으로 전망하고 있으며, 해당 서비스들은 데이터의 교환을 바탕으로 이루어

지는 서비스들로서 보안시장의 동반성장이 기대됨

- (헬스케어 보안) 2000년대 이후 꾸준히 의료정보에 대한 유출이나 불법 조회건이 발생해 왔

으나, 최근은 2015년 초 발생한 외국계 의료정보 컨설팅 업체의 5억건 유출과 같은 불법적

인 대규모 유출 등이 발생하고 있음. 100여개의 의료정보 소프트웨어 서비스 회사들 중 대

부분의 관련업체들은 보안관리가 미비한 현실이며, 개발 보급되는 솔루션들 역시 보안에 대

해 취약한 솔루션들이 많음


- 세계 스마트그리드 관련 시장이 2017년까지 총 1,252억불 규모로 연평균 28% 성장할 것으

로 전망됨 (출처: Forst & Sullivan, 2012)

- 세계 차량 간 통신 플랫폼 시장 규모는 2012년 13억 유로에서 2018년 39억 유로로 성장 할

것으로 예상되며, 차량 통신 보안 시장도 동반 성장할 것으로 예상됨 (출처: GSMA Connected car

forecast, 2013)

- (헬스케어 보안) 원격의료 시장은 ICT의 발전으로 인해 의료서비스 접근성이 개선됨에 따라

시장규모가 2011년 13억 달러에서 연평균 복합 성장률이 14%로 성장해 2018년 325억 달러

에 달할 것으로 예상됨 (출처: Health EXPO, 2014)

- (헬스케어 보안) 국외 의료정보 업계 역시, 2015년 들어 앤섬(Anthem), 프리메라 블루

(Premera Blue), 엑셀루스 블루크로스 블루쉴드(Excellus BlueCross BlueShield) 등에 대한 해

킹으로 개인건강정보들이 유출된 바 있음. 의료정보에 대한 공격은 날로 증가할 것으로 예상

되며, 보안에 대한 중요도가 높지 않게 인식되었던 시장인만큼, 해당 분야의 보안에 대한 수

요가 폭발적으로 증가할 것으로 예측됨




기술개발수준

국내 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화 국내외격차

-0.5년 국외 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화


¡ 클라우드 컴퓨팅 서비스에서의 개인정보 국외교환 프레임워크

- 국내 기술개발 현황 및 전망 : 행정자치부에서 개인정보 국외이전과 관련한 조사를 실시하고

국외이전을 위한 절차를 수립하기 위한 검토를 진행 중임

- 국외 기술개발 현황 및 전망 : EU, APEC 은 CBPR을 수립하여 적용하는 추세에 있으며 이를

인증하는 프레임워크를 개발하여 운영 중임

¡ 클라우드 컴퓨팅 서비스 보안 요구사항

- 국내 기술개발 현황 및 전망 : 클라우드발전법 통과와 함께 정부를 중심으로 클라우드 서비

스 보안에 대한 기준을 마련하고 있으며 이를 수용한 기술의 개발이 진행 중임

- 국외 기술개발 현황 및 전망 : 클라우드 시스템의 보안기술로 무결성 확인 기술, 신뢰보장

하드웨어 지원기술, 가상화 기반 보안성 향상 기술 등이 아마존 구글등의 전략적 투자와 맞

물려 개발 및 보급 중임

¡ 클라우드 인증 및 접근제어 보안 프레임워크

- 국내 기술개발 현황 및 전망 : 한국인터넷진흥원은 ‘클라우드 서비스 보안관리 가이드라인’

보고서로 보안 체계를 수립하며, 그외에도 클라우드 보안 관련 기술개발, 보안 관련 연구를

진행 중임.

- 국외 기술개발 현황 및 전망 : 미국 정부의 주요 전략으로는 Federal OID Council에서의 클

라우드 컴퓨팅 추진 전략 수립을 들 수 있으며, 영국 정부는 주요 추진 전략으로 G-Cloud

서비스를 추진함. 클라우드 보안 연합인 CSA에서는 클라우드 컴퓨팅 보안 위협과 보안 가이

드라인을 제시함

¡ 신뢰 클라우드 연동 보안

- 국내 기술개발 현황 및 전망 : 클라우드 환경에서의 ID관리 강화를 위한 SaaS형 Security as

a Service 기술 및 다중 클라우드 환경에서 클라우드 연동 보안 기술 개발 중이며, 클라우드

기반 SaaS 형태의 보안서비스로 확대가 예상됨. 추가적으로 IoT 기반 서비스의 신뢰 연동 보

안으로 확장될 것임

- 국외 기술개발 현황 및 전망 : 클라우드 컴퓨팅 관련 가상화, 클러스터관리, 분산시스템,

SOA, 보안 등의 분야에서 여러 선점 업체들이 앞 다투어 다양한 기술을 개발하여 서비스에

Ver.2016


적용되고 있으며, 클라우드 환경에서 신뢰 클라우드 서비스 참조 모델이 개발 중임

¡ 빅데이터의 데이터 보안

- 국내 기술개발 현황 및 전망 : 국내의 빅데이터 보안 기술은 데이터의 저장/관리 기능에서

암호화 기술을 적용한 DB 암호화 기술이나 저장 시스템의 보호 기술에 치중하고 있으며, 빅

데이터를 활용/분석하는 단계에서의 데이터 보안은 빅데이터 분석가에 대한 교육에 집중하

고 있음 (소셜 빅데이터의 디지털 리터러시 교육)

- 국외 기술개발 현황 및 전망 : Google, IBM 등은 빅데이터 분석을 사유화하고 내부의 보안

시스템을 강화하여 보안성을 강화하거나, 분석 시스템을 외부와 단절하는 사설화 시스템을

통해 보안성 강화 기술을 도입하고 있음. 내부적으로 K-익명화 등의 익명화 기술과 암호 기

술을 활용한 기술이 개발 초기 단계에 있음

¡ 차세대 웹 보안

- 국내 기술개발 현황 및 전망 : 웹 2.0 보안에 대한 요구사항이 증가하고 있으나 웹 2.0 보안

기술 개발은 웹 방화벽 개발 위주로 이루어지고 있고 아직 기술 개발이 부족한 실정임. 융합

환경에서 다중 콘텐츠 서비스를 위한 인증 및 인가 기술 활용되고 있으며, 향후 사용자 중심

의 다중 도메인 인증 및 인가 기술 개발이 필요

- 국외 기술개발 현황 및 전망 : 통신 사업자 영역에서의 융합서비스를 위해 웹 2.0 및 SOA

기술이 웹 서비스 주요 기술로 활용되며, 보안 기술 개발은 웹 방화벽 중심으로 개발이 이루

어졌으나, 최근 아마존, 구글, 페이스북, IBM 등에서 웹 매쉬업 보안 기술 개발이 활발이 이

루어지고 있음. IETF에서는 OAuth 2.0 표준이 제정되어 관련 기술이 산업계에 활용되고 있

으며, W3C에서는 HTML5 표준 개발에 있어서 비호환표준 개발을 반대하며 구글, 애플, MS,

모질라 등이 연합하여 기존의 웹 표준기술과 호환을 갖는 표준화가 이루어지고 있으며, 보안

관련 사용자 중심의 CORS (Cross Origin Resource Sharing) 표준 제정을 필두로 다중 도메

인 리소스 사용에 대한 웹 보안 표준화에 집중

¡ 모바일 웹 보안

- 국내 기술개발 현황 및 전망 : 모바일 웹서비스의 확산에 따라 모바일 웹 보안에 대한 요구

사항이 증가하고 있으며, 모바일 웹 환경을 위한 메시지 보안, 사용자 인증 기술 등의 보안

기술 개발이 이루어지고 있음. 스마트폰의 보급으로 모바일 앱이 많은 부분을 차지하고 있지

만, 메모리의 사용과 호환성을 고려하여 모바일 웹의 산업적 수용을 위하여 경량화 보안 기

술 개발의 요구가 있음

- 국외 기술개발 현황 및 전망 : MS, IETF 등에서 디바이스 웹서비스 관련 기술을 개발하고 있

음. 모바일 웹 2.0 기술은 MS 등에서 주도적으로 개발하고 있으며 MS Web Services

Framework에 보안 기능이 포함되어 있음. 다양한 플랫폼에 웹 서비스를 원활하게 운용하기

위한 기술의 산업적 수용으로 기술의 동향이 변화하고 있으며 구글, 페이스북, 트위터, 아마

존과 같은 주요 기업들이 기술개발에 집중하고 있음



¡ 웹 프라이버시 보호

- 국내 기술개발 현황 및 전망 : 웹 서비스의 제공 위주로 기술개발에 따라 개인정보보호에 대

한 기술개발이 취약점을 보임. HTML5의 표준화에 따라 위치정보의 활용이 확산될 것으로

예상되며 이에 따른 정보보호 취약점이 발생할 수 있어 대응이 요구됨

- 국외 기술개발 현황 및 전망 : 웹 기술의 근본적인 문제점으로 웹 데이터가 정책에 의하여

사용되지 않을지라도 클아이언트에게 전달되어 플랫폼 스토리지에(캐쉬, 이력, 다운로드 리스

트, 쿠키 등) 저장되는 프라이버시 문제점 내재. W3C P3P 표준(2002)으로 사용자 동의에 의

하여 개인정보 활용이 허용되고 있지만 여전히 프라이버시 문제를 극복하지 못하고 있음

¡ SOA 보안

- 국내 기술개발 현황 및 전망 : 현재의 웹 기술은 SOA 기반으로 되어 있다. SOA 기반의 서

비스가 프로토콜에 의존적으로 진행되어서 다소 무겁게 처리되는 경향이 있음. 스마트폰의

보급으로 모바일 웹의 경량화 기술의 산업적 수용으로 경량화 보안 기술 개발이 요구에 따

라 ROA 기반의 서비스가 혼재되어 있음

- 국외 기술개발 현황 및 전망 : 모바일 환경에서의 경량의 보안 프로토콜에 대한 이슈가 제기

되고 있어서, ROA 기반의 플랫폼이 제공. 아마존, 페이스북, 트위터, 구글 등의 업체는 이미

REST 기술을 활용하여 SOA와 혼재한 서비스를 제공하고 있음

¡ 유해정보 차단 정책 및 기술

- 국내 기술개발 현황 및 전망 : ETRI에서는 2015년 스마트폰 환경의 스트리밍 유해 콘텐츠

차단 기술 개발 완료

- 국외 기술개발 현황 및 전망 : 유럽에서 EU의 지원을 통해 2008~2010년에 아동 포르노를

탐지하기 위한 I-Dash 프로젝트 수행, 미국에서는 2007~2011년 비디오 채팅을 통한 음란물

유포 차단을 위한 SafeVchat 프로젝트 완료

¡ 콘텐츠 접근 제어를 위한 연령 검증 프로토콜

- 국내 기술개발 현황 및 전망 : 콘텐츠 접근제어의 기술적인 방법으로는 사용자 인증 및 접근

제어, 권한부여 등의 기술을 적용하고 있음 (신용카드, 휴대폰 번호 및 I-PIN 등의 사용자의

고유 식별번호 사용)

- 국외 기술개발 현황 및 전망 : 일본에서는 바이오인식 기술의 생리적 특성 또는 얼굴의 이미

지 등의 개인의 고유 특성을 이용하여 나이를 검증하고 있으며, 효과적인 사용자 인증을 위

해 사용자 인증 정보의 공유 및 활용에 관한 연구를 수행하고 있음

¡ 핀테크 서비스 보안 기술

- 국내 기술개발 현황 및 전망 : 기술, 서비스, 채널 등 다양한 영역과 결합된 새로운 서비스

속속 등장하고 있으며, 특히 비대면 거래에 중점적으로 나타남에 따라 비대면 실명확인 기

술 및 중요정보 저장을 위한 스마트 단말 보안기술(TrustZone, TPM 등) 등이 주목받음

Ver.2016


- 국외 기술개발 현황 및 전망 : 모바일 결제 서비스(애플페이, 삼성페이, 안드로이드 페이

등) 기술이 스마트 단말 보안기술(TrustZone, HCE 등)과 바이오인식 기술 등이 결합되어

상용화 중임

¡ 금융거래 이상 징후 방지 기술

- 국내 기술개발 현황 및 전망 : 금융감독원에서는 2014년 12월 ‘금융권 이상금융거래탐지시

스템(FDS) 고도화 1.0 로드맵’을 발표함. 2016까지 금융회사간 정보공유를 제공하기 위해

정보공유 규격 개발 및 표준화 추진 예정임

- 국외 기술개발 현황 및 전망 : 영국의 경우 금융거래와 관련된 범죄의 경우 공공기관, 민

간기관 등과의 협력 체계를 통해 효율적이고 체계적인 대응 서비스를 제공함

¡ 금융보안거버넌스 프레임워크

- 국내 기술개발 현황 및 전망 : 금융당국(금융위원회·금융감독원)에서는 2015년 금융개혁회

의 개최결과로 ‘금융IT부문 자율보안체계 확립 방안’을 발표함. 또한, 금융보안원에서는 ‘금

융보안 거버넌스 가이드‘를 발간하여 금융회사에 배포함. 향후 금융권에선 자율보안체계

(Self-legulating)가 효율적으로 정착되기 위해서 금융보안 거버넌스 개념 및 운영체계가 효

과적으로 안착 필요

- 국외 기술개발 현황 및 전망 : ISO/IEC 27014(information security governance)는 정보보

호 거버넌스의 개념 및 원칙, 프로세스를 정의. 또한, ISO/IEC 27015(Finance ISMS)에 대한

표준이 개발됨

¡ 바이오인식 응용 서비스

- 국내 기술개발 현황 및 전망 : 위조지문 등 바이오인식 위변조 탐지 및 방지기술, PKI, 바이

오인식기술과 연동기술인 PKI 2.0을 개발 중이며, 삼성페이와 같은 스마트폰상의 모바일 지

급결제 등 비대면 인증기술로 활용되는 모바일 바이오인증 서비스가 더욱 강화될 전망임.

- 국외 기술개발 현황 및 전망 : 템플릿보호및 암호화기술, PKI, 스마트카드와 연동기술 시제품

이 상용화 되고 있으며, IoT와 연동한 원격의료, 모바일 지급결제 등 바이오인식 기반 비대

면 인증기술이 활성화 되고 있음.

¡ 생체신호 기반 텔레바이오인식 기술

- 국내 기술개발 현황 및 전망 : 위변조에 강인한 뇌파·심전도 등 생체신호를 이용한 개인식별

기술개발과 표준화 추진을 위하여 지난 5월 대학병원, 웨어러블디바이스·바이오인식 개발업

체, 관련학계·연구기관 등 산학연 전문가그룹인 KISA 모바일 생체신호 인증기술 표준연구회

가 발족되어, 핀테크·헬스케어 등 모바일 응용서비스에서의 새로운 시장창출이 기대됨.

- 국외 기술개발 현황 및 전망 : 뇌파·심전도 등 생체신호 추출하는 스마트워치 등 웨어러블

디바이스 등장으로 인하여 생체신호기반의 차세대 바이오인식기술 개발에 박차를 가하고 있

음. 특히, 영국의 경우 모은행에서 심장박동을 이용한 신원확인 등 핀테크분야에서 이미 적



용되고 있으며, 심장박동과 뇌파 등 생체신호정보를 이용한 건강측정 및 개인식별 등 헬스케

어분야에서 비대면 인증기술로 활용이 기대됨

¡ 모바일 바이오인증

- 국내 기술개발 현황 및 전망 : 지문센서를 탑재한 스마트폰 출시 및 터치 스크린에 바이오인

식 기반 센서를 바탕으로 모바일 결제 및 모바일 전자 거래 활성화를 위해 바이오인식 기술

이 적극 활용될 전망임

- 국외 기술개발 현황 및 전망 : 바이오인증을 탑재한 스마트폰 출시가 지속적으로 이뤄짐에

따라 모바일 환경에서의 위조 바이오정보 검출과 모바일바이오인증 서비스 기술이 연구되고

있음

Ver.2016



¡ 스마트그리드 보안 기능 구조

- 국내 기술개발 현황 및 전망 : 스마트그리드 국가 로드맵 2단계(‘13~’20)가 진행됨에 따라 도

시단위 지능형 전력망 구축을 위한 지능형 송배전시스템 및 광역계통감시제어시스템 확대

적용 시 고려해야할 보안 위협 및 보안 기능에 대한 기술 연구가 진행될 전망임

- 국외 기술개발 현황 및 전망 : 유럽에서는 ‘SmartGrids European Technology Platform’ 프로

젝트에서 외부 공격 대응에 관한 연구를 수행하였으며, 미국 전력연구원에서는 스마트그리드

사이버공격 탐지 및 대응 시스템을 개발 중임

¡ 스마트그리드 보안 관리

- 국내 기술개발 현황 및 전망 : 스마트그리드 구축환경 및 방향을 고려한 개인정보 유출 대응

체계를 개발하고, 중요 정보를 보호하기 위한 기반 기술 마련이 필요함

- 국외 기술개발 현황 및 전망 : 미국은 Smart Grid Roadmap(2010)을 기반으로 전력망 관리

와 운영의 상호연계성 및 복잡성을 고려한 정보화, 사이버보안 리스크 경감을 위한 모니터

링․제어 시스템의 지속적인 개선 및 보완을 수행 중임

¡ 스마트그리드 기기 보안

- 국내 기술개발 현황 및 전망 : 한국에너지기술평가원에서 ‘스마트그리드기술개발사업‘을 통해

스마트그리드 내 기기에 대한 보안 기술 개발을 진행(2012-2015)하고 있으며, 실제 적용을

위한 연구가 필요할 것으로 전망됨

- 국외 기술개발 현황 및 전망 : UCAlug는 AMI-SEC TF를 설립하여 AMI 사이버 보안에 대해

연구를 수행하였으며, EU의 OPENmeter 프로젝트에서는 AMI 보안요구사항 및 기술 개발을

수행 중임

¡ V2X 통신 보안 프레임워크

- 국내 기술개발 현황 및 전망 : ETRI는 차량 간 통신을 위한 멀티 홉 무선 통신 기술 개발을

수행하였으며(2007-2010), 차량 통신 보안을 위한 보안 하드웨어 모듈을 개발 중에 있음

- 국외 기술개발 현황 및 전망 : 미국은 Connected Vehicle 프로젝트롤 통해 차량 간 통신 및

보안 기술을 개발하고, 상용화 시험 중이며, 유럽은 차량 통신 보안에 관한 다수의 프로젝트

를 수행하고, SimTD 프로젝트에서 상용화 시험 중이며, PRESERVE 프로젝트를 통하여 선행

연구 결과물을 통합/보완하고, 시스템 확장성 강화 및 개발 비용 절감 등의 연구를 진행 중임

¡ 헬스케어 보안




Ÿ 국내의료서비스 기술수준은 상당한 수준에 와 있으나, 법과 정책의 방향성으로 인해, 네

트워크 기반의 데이터가 교환이 일어나는 서비스들은 시범서비스 위주의 정부과제 형태

로 기술개발이 이루어져왔음. 해당 기술들에 대한 표준화의 부재 및 기술의 공유/개선에

대한 부분이 미흡

Ÿ 국내 의료정보 유출사고는, 의료기관 중심의 데이터 관리였던 상황에 따라, 정부기관이나

의료기관 혹은 유관기관의 데이터 유출이 주를 이루었으나, 이보다 보안에 대한 관리가

미흡한 중소 일반기업들의 건강정보서비스 시장 진출에 따른 데이터 보안과 관리에 대한

이슈가 발생할 수 있음

Ÿ 개인건강관리 시장의 활성화로 다양한 개인건강기기 및 서비스들이 시장에 등장하고 있

으나, 글로벌 대기업을 제외하고는 데이터 보안에 대한 고려가 거의 되지 않고 사용자들

의 데이터를 수집하고 서비스를 하고 있으며, 이는 개인건강정보에 대한 해킹 등에 대한

사고들이 국외의 경우 발생하고 있음


Ÿ 미국, 중국, EU 등 선진국 중심으로 정부 주도의 개발 정책과 지원을 통해 표준 및 가이드

라인을 개발하고, 오랜 기간 서비스를 통해 쌓아온 노하우를 보유하고 있음

Ÿ 최근 기술개발 현황은 이기종 시스템들의 데이터 연동을 위한 IHE의 XDS 시스템과 모바

일 Health가 중점적으로 이루어지고 있으며, 이러한 연구들은 보안 요구사항을 개별적으

로 정의하고 이를 통해, 의료정보 보안성을 강화하여 안전한 서비스를 제공하는데 목적을

두고 연구 개발이 진행 중임

Ver.2016



¡ 서비스/융합보안 중점 표준화 항목별 특허출원 동향 (국내)

기술금융

보안

클라우드

보안

바이오

인식웹보안

유해정보

대응

헬스케어

보안

차량통신

보안

스마트

그리드

보안

빅데이터

보안

콘텐츠

접근제어

(연령검증)

총계

출원

건수551 399 301 258 227 225 79 79 56 20 2195

v.2015 365 234 194 187 206 153 37 53 39 14 1790

* 한국 특허 분석구간(1996년~2015년) : 출원일 기준으로 분석하며, 일반적으로 특허출원 후 18개월이 경과된

때에 출원 관련정보를 대중에게 공개하고 있음. 따라서 아직 미공개 상태의 데이터가 존재하는 2014년 이

후 자료의 경우 미공개분이 존재함을 고려해야함

* ‘금융보안’의 경우, 핀테크 서비스 보안기술, 금융거래 이상 징후 방지에 대한 특허분석이 추가되었음

- 서비스보안 중점 표준화 항목 중 ‘금융보안’ 기술과 관련된 IPR이 가장 많았으며, ‘클라우드보

안’, ‘바이오인식’, ‘웹보안’, ‘유해정보대응’, ‘빅데이터보안’, ‘콘텐츠접근제어(연령검증)’ 기술의

순임

- 융합보안 중점 표준화 항목 중 ‘헬스케어보안’ 기술과 관련된 IPR이 가장 많았으며, ‘차량통신

보안’, ‘스마트그리드보안’ 기술의 순임

- 연도별 출원 동향을 살펴보면, ‘금융보안’, ‘클라우드보안’, ‘헬스케어보안’, ‘유해정보대응’, ‘바이

오인식’, ‘웹보안’ 기술이 1990년대 후반부터 출원이 증가하기 시작하여 현재까지 꾸준한 출원

이 이어지고 있음

- ‘빅데이터보안’, ‘콘텐츠접근제어(연령검증)’ 기술의 경우 출원양은 타 기술에 비해 미미하나 출

원양이 전년도와 유사한 것으로 보아 해당 기술들에 대한 연구개발이 지속적으로 이루어지고

있는 것으로 보임



- 2000년대 중반부터 ‘빅데이터보안’, ‘차량통신보안’ 관련 출원이 나타나고 있으며, 특히 ‘클라우

드보안’, ‘웹보안‘, ’스마트그리드보안‘ 기술은 2000년대 중후반 이후 크게 증가하고 있음

- v.2015 분석 결과와 비교했을 경우, 전체 표준화 대상 항목별로 특허 건수가 증가하였으며, 특

히 ‘클라우드보안’, ‘바이오인식’, ‘웹보안’, ‘헬스케어보안’, ‘금융보안’ 기술은 최근 들어 출원양이

다소 큰 폭으로 증가한 것으로 보아 해당 기술에 대한 관심도가 높은 것으로 판단되고, 앞으로

특허 출원양이 크게 증가할 것으로 예상됨

- 향후 클라우드 서비스 확대, 스마트카 및 차량통신 기술 발전, 핀테크 산업의 활성화, 빅데이터

활용 기술 발전, 원격의료 서비스의 확대 및 IoT 디바이스와 웨어러블 디바이스를 비롯한 스마

트기기를 이용한 서비스 확대 등이 예상되므로, 이와 관련된 서비스/융합보안 기술에 대한 출

원이 계속적으로 증가할 것으로 사료됨

¡ 서비스/융합보안 중점 표준화 항목별 출원인별 동향 (국내)

기술

출원인

금융

보안

클라우드

보안

바이오

인식웹보안

유해정보

대응

헬스케어

보안

차량통신

보안

스마트

그리드

보안

빅데이터

보안

콘텐츠

접근제어

(연령검증)

총계

1 ETRI 5 31 8 17 30 3 4 8 3 2 109

2 비즈모델라인 66 0 37 1 0 1 1 0 1 0 106

3 KT 14 18 3 4 11 3 0 2 1 3 54

4 삼성전자 2 15 12 5 9 10 0 0 2 2 52

5 신한은행 38 0 0 0 0 0 2 0 0 0 40

6 엘지전자 1 2 12 1 16 1 3 0 0 1 35

7 SK텔레콤 5 10 1 5 7 6 1 1 0 0 34

8 Intel 2 13 6 9 0 0 0 0 0 0 24

9 Microsoft 0 14 1 3 0 1 0 0 1 0 19

10 SK플래닛 8 5 0 5 1 0 0 0 0 0 19

<각 표준화 항목별 국내 상위 10개 출원인 현황>

- 서비스/융합보안 기술에 관련된 다수 출원인은 ETRI, 비즈모델라인, KT 등의 순임

- ETRI는 모든 표준화 항목에 출원을 나타내고 있으며, 비즈모델라인은 ‘금융보안’과 ‘바이오인

식’ 관련 기술에 출원을 집중하고 있음

- 신한은행은 ‘금융보안’ 기술에, Microsoft는 ‘클라우드보안’ 기술에 출원을 집중하고 있음

- 상위 10개 출원인 뒤를 이어 ‘고려대학교’, ‘퀄컴’, ‘우리은행’, ‘경북대학교’, ‘대우일렉트로닉스’,

‘인텔렉추얼디스커버리’, ‘SK C&C’, ‘동국대학교‘, ‘삼성SDS‘, 등이 서비스/융합보안 관련 기술에

대한 특허출원을 하고 있음

Ver.2016


- ‘Intel', ‘Microsoft', ‘Qualcomm’, ‘Google’, ‘Interdigital’, ‘eBay’, 등과 같은 외국기업이 서비스/

융합보안 관련 기술에 대해서 국내에 특허출원을 하고 있음

¡ 서비스/융합보안 중점 표준화 항목별 특허출원 동향 (국외)

기술헬스케어

보안

클라우드

보안

바이오

인식금융보안

차량통신보

안웹보안

스마트

그리드

보안

콘텐츠

접근제어

(연령검증)

빅데이터

보안

유해정보대

응총계

출원

건수2164 1354 676 418 332 304 244 137 104 100 5833

v.2015 1631 1080 434 239 143 207 116 89 74 63 3086

* 미국, 일본, 유럽 특허 특허 분석구간(1995년~2015년) : 출원일 기준으로 분석하며, 일반적으로 특허출원 후

18개월이 경과된 때에 출원 관련정보를 대중에게 공개하고 있음. 따라서 아직 미공개 상태의 데이터가 존

재하는 2014년 이후 자료의 경우 미공개분이 존재함을 고려해야함

* ‘금융보안’의 경우, 핀테크 서비스 보안기술, 금융거래 이상 징후 방지에 대한 특허분석이 추가되었음

- 서비스보안 중점 표준화 항목 중 ‘클라우드 보안’ 기술과 관련된 IPR이 가장 많았으며, ‘바이오

인식’, ‘금융보안’, ‘웹보안’, ‘콘텐츠접근제어(연령검증)’, ‘빅데이터보안’, ‘유해정보대응’ 기술의

순임

- 융합보안 중점 표준화 항목 중 ‘헬스케어보안’ 기술과 관련된 IPR이 가장 많았으며, ‘차량통

신보안’, ‘스마트그리드보안’ 기술의 순임

- 연도별 출원 동향을 살펴보면, ‘금융보안’, ‘헬스케어보안’ 기술이 1990년대 후반부터 출원이

증가하기 시작하여 현재까지 꾸준한 출원이 이어지고 있으며, 특히 ‘헬스케어보안’ 기술은 타

기술에 비해 많은 출원양을 나타내고 있음.

- 2000년대 들어서 ‘바이오인식’, ‘,웹보안’, ‘빅데이터보안‘, ‘콘텐츠접근제어(연령검증)‘ 기술에 대

한 출원이 나타나기 시작했으며, 2000년대 중반부터는 표준화 이슈가 되고 있는 ’스마트그리드



보안‘ 분야의 특허 출원이 이루어지기 시작하여 계속적으로 증가하고 있는 것으로 나타남

- ‘클라우드보안’, ‘바이오인식’, ‘헬스케어보안’ 기술 등은 2000년대 후반부터 출원양이 크게

증가하는 추세를 보이고 있음. 미공개 구간인 2014년에도 이미 많은 출원양이 나타나고 있는데,

해당 기술에 대한 특허출원이 매우 활발히 진행되고 있는 것이라 판단됨


특히 ‘클라우드보안’, ‘바이오인식’, ‘웹보안’, ‘헬스케어보안’ 기술은 2009년 이후 출원양이 다

소 큰 폭으로 증가한 것으로 보아 해당 기술에 대한 관심도가 높은 것으로 판단되고, 앞으로

특허 출원양이 크게 증가할 것으로 예상됨

- ‘유해정보대응’, ‘빅데이터보안’, ‘콘텐츠접근제어(연령검증)’ 기술의 경우 출원양은 타 기술에

비해 미미하나 특허 출원양이 전년도와 유사한 것으로 보아 해당 기술들에 대한 연구개발이

지속적으로 활발하게 이루어지고 있는 것으로 보임

- 향후 클라우드 서비스 확대, 스마트카 및 차량통신 기술 발전, 핀테크 산업의 활성화, 빅데이터

활용 기술 발전, 원격의료 서비스의 확대 및 IoT 디바이스와 웨어러블 디바이스를 비롯한 스마

트기기를 이용한 서비스 확대 등이 예상되므로, 이와 관련된 서비스/융합보안 기술에 대한 출

원이 계속적으로 증가할 것으로 사료됨

‘ ¡ 서비스/융합보안 중점 표준화 항목별 출원인 동향 (국외)

기술

출원인

헬스케어

보안

클라우드

보안

바이오

인식금융보안

차량통신

보안웹보안

스마트

그리드

보안

콘텐츠

접근제어

(연령검증

)

빅데이터

보안

유해정보

대응총계

1 IBM 34 113 4 6 2 40 3 0 2 4 208

2 MICROSOFT 13 132 15 5 0 14 1 1 3 2 186

3 TOSHIBA 51 1 2 0 2 2 13 2 0 1 74

4 INTEL 7 29 11 2 0 8 0 0 0 0 57

5GENERAL ELECTRIC

35 1 0 0 0 0 16 0 0 0 52

6삼성전자 14 14 8 4 4 5 0 0 0 0 49

BANK OF AMERICA

1 17 0 26 0 5 0 0 0 0 49

8 HITACHI 14 15 6 5 0 1 1 0 1 2 45

9 PHILIPS 32 0 3 0 0 0 0 0 1 2 38

10GM GLOBAL TECHNOLOGY

1 0 0 0 36 0 0 0 0 0 37

<각 표준화 항목별 국외 상위 10개 출원인 현황>

- 서비스/융합보안 기술에 관련된 다수 출원인은 IBM, Microsoft, TOSHIBA 등의 순임

- IBM과 Microsoft는 ‘클라우드보안’과 ‘웹보안’ 기술에 출원을 집중하고 있으며, TOSHIBA와

Ver.2016


General Electric은 ‘헬스케어보안’과 ‘스마트그리드보안’ 기술에 출원을 집중하고 있음

- Bank of America는 ‘금융보안’과 ‘클라우드보안’ 기술에, PHILIPS는 ‘헬스케어보안’ 기술에,

그리고 GM Global Technology는 ‘차량통신보안’ 기술에 출원을 집중하고 있음

- 상위 10개 출원인 뒤를 이어 ‘American Express Travel Related Services’, ‘ETRI’, ‘AT&T’,

‘SIEMENS AG’, ‘Cisco’, ‘RED HAT’, ‘Qualcomm’, ‘Google’, ‘SONY’ 등이 서비스/융합보안 관련

기술에 대한 특허출원을 하고 있음

- ‘삼성전자’, ‘ETRI’ 등이 서비스/융합보안 관련 기술에 대해서 국외에 특허출원을 하고 있음




표준화수준

국내 □기획↦■항목승인↦□개발/검토↦□최종검토↦□제/개정표준화

격차/특성

-0.6년

국제 □기획↦■항목승인↦□개발/검토↦□최종검토↦□제/개정 병행


¡ 클라우드 컴퓨팅 서비스에서의 개인정보 국외교환 프레임워크

- 국내 표준화 현황 및 전망 : 행정자치부가 개인정보의 국외이전에 대하여 절차와 기준을 준

비하고 있고, 이를 바탕으로 표준화에 대한 논의가 시작될 것으로 예상

- 국외 표준화 현황 및 전망 : 2004년부터 APEC이 권고하여 프라이버시 프레임워크가 권고되

었고 각국의 수용과 발전을 통하여 현재 회원국들이 인증체계를 운영하고 있으며 확대 예상

- 국내외 관련표준 대응 리스트: 관련 표준 없음

¡ 클라우드 컴퓨팅 서비스 보안 요구사항

- 국내 표준화 현황 및 전망 : 2014년 클라우드 컴퓨팅을 위한 보안 프레임워크가 표준화 작

업이 완료되었고, 이를 기반으로 국제 표준화에 반영하기 위한 활동이 예상됨

- 국외 표준화 현황 및 전망 : ISO/IEC 27017 이 현재 준비 중이며, ITU-T 에서도 클라우드 보

안관리에 대한 반영이 이루어질 것으로 예상됨



대응 TTA PG 명



국내 TTATTAE.IT-X.1601 — 클라우드 컴퓨팅을 위한

보안 프레임워크2014 PG504 KISA

X국제

ISO/IEC JTC 1

ISO/IEC 27017 — Information security management for cloud systems

개발중 - KISA

¡ 클라우드 인증 및 접근제어 보안 프레임워크

- 국내 표준화 현황 및 전망 : TTA 클라우드 컴퓨팅(SPG21), 응용보안 및 평가인증(PG504) 프

로젝트 그룹에서 국내 표준 개발을 추진 중에 있음

- 국외 표준화 현황 및 전망 : ITU-T SG17, ISO/IEC JTC1 SC27 등 국제 표준화 기구에서 클라

우드 보안 관련 국제 표준 개발이 진행 중에 있음


Ver.2016



대응 TTA PG



국내

TTATTAE.OT-12.0015 - 공공 클라우드 컴퓨팅의 보안 및 프라이버시 보호 지침

2011

응용보안 및

평가인증(PG504)

- XTTA TTAK.KO-10.0615 - 퍼스널 클라우드 접근제어 2012클라우드 컴퓨팅(SPG21)

국제ITU-T

X.1601 - Security framework for cloud computing

2014 -

ISO/IEC JTC1

ISO/IEC 27036-4 —Guidelines for Security of Cloud Services

개발중 -

¡ 신뢰 클라우드 연동 보안

- 국내 표준화 현황 및 전망 : 가상화 기술이 접목된 클라우드 보안에 대한 표준화 작업이 진

행 중이며, 우선적으로 SaaS 형태의 서비스들에 대한 신뢰 클라우드 연동이 활성화되고 이

에 대한 표준화 작업이 요구됨

- 국외 표준화 현황 및 전망 : CSA에서 클라우드 보안, 순응(compliance), identity 관리, 그리

고 기타 사례(best practices)에 대한 표준과 증명(certification)을 위해 제조사에 중립적인

“Trusted Cloud Initiative”를 참조 모델로 발표하였고, 이를 기반으로 각 비즈니스 분야별로

표준화 작업이 진행될 것으로 예상됨


¡ 빅데이터의 데이터 보안

- 국내 표준화 현황 및 전망 : 국내 빅데이터 표준화는 TTA 클라우드/빅데이터 STC에서 진행

하고 있으며, 클라우드 기반의 빅데이터 분석 시스템에 대한 표준을 추진하고 있으며, 빅데

이터 포럼을 통해 민간 사업자 중심의 요구사항을 정의하고 있음

- 국외 표준화 현황 및 전망 : 국제 표준화는 ITU-T SG13에서 클라우드 기반의 빅데이터 생태

계에 대한 논의가 진행 중에 있으며, ITU-T SG17에서 정보 보호에 대한 이슈가 제기되고 있

음. 또한 ISO/IEC JTC 1 산하에 SG-BD(Study Group on Big Data)가 신설되어 SG32에서 제

안한 빅데이터 표준 기술 보고서를 근간으로 표준화 추진하고 있음



대응 TTA PG



국내

국가기술 표준원

빅데이터 산업 및 표준화 분석 보고서 2013 -

- XTTA 2014-051, 050 빅데이터 실시간 처리 2014 STC2

국제

ISO/IEC JTC 1

Next Generation Analytics and Big Data – A Reference Model for Big Data

개발중 응용보안 및

평가인증(PG504)NIST

Big Data Outline: Combining Brainstorming Deliverables

개발중

¡ 차세대 웹 보안



- 국내 표준화 현황 및 전망 : TTA를 중심으로 표준화 활동이 지속될 것으로 전망되며 차세대

웹기반 융합 서비스 보안 등을 중점적으로 추진. 다중 콘텐츠 사용에 대한 인증/인가 프로토

콜 개발 및 활용 중임

- 국외 표준화 현황 및 전망 : ITU-T, IETF, W3C, OASIS 주도의 표준화 활동이 지속될 것으로

전망됨. IETF는 OAuth2.0을 W3C는 CORS 표준을 제정하였으며, 향후 콘텐츠(리소스)에 대한

권한 정책 및 주어진 권한 내의 리소스 활용에 대한 검증하는 감사와 같은 다중 도메인간의

콘텐츠 활용에 대한 보안 표준화에 집중



대응 TTA PG 명



국내 TTA

TTAK.KO-12.0184, 웹 서비스 융합 정보보호 요구사항 2011

응용보안 및 평가인

증(PG504)

- X

TTAK.KO-12.0210, 웹 오픈 API(Application Programming Interface) 보안 요구사항 2012

TTAK.KO-12.0211, 웹 신디케이션(Syndication) 보안 요구사항 2012

TTAE.IF-RFC5849, 공개 인증 1.0 프로토콜 2013

TTAE.IF-RFC6749, 공개 인증 2.0 권한관리 프레임워크 2013

TTAK.KO-12.0234, 웹 메쉬업 정보보호 지침 2013

국제 ITU-T

X.1141- Security Assertion Markup Language (SAML 2.0) 2006


증(PG504)

- X

X.1142- eXtensible Access Control Markup Language (XACML 2.0) 2006

X.1143- Security architecture for message security in mobile web services 2007

X.supp.17- Threats and security objectives for enhanced web-based telecommunication service

2012

X.1144 - eXtensible Access Control Markup Language (XACML) 3.0 2013

X.1211 - Guideline on techniques for preventing web-based attacks

2014

X.websec-5 Security architecture and operations for web mashup services 2014

Ver.2016


¡ 모바일 웹 보안

- 국내 표준화 현황 및 전망 : TTA를 중심으로 HTML5의 보안성 강화를 위하여 Local

Storage(Web Storage중), XSS와 CORS 중심으로 표준화를 추진 중임

- 국외 표준화 현황 및 전망 : W3C의 HTML5 가 2014년7월 제정되어 하나의 소스를 다양한

디바이스에서 공유 서비스가 가능하며, 이에 걸 맞는 경량화 보안 기술 표준화가 필요. 차세

대 웹 기반 융합 서비스 보안, 유비쿼터스 웹 보안, 모바일 웹 2.0 보안 등은 아직 국제 표준

화 초기 단계임



대응 TTA PG



국내 TTA TTAK.KO-12.0259 HTML5 로컬 스토리지에 저장되는 데이터의 암복호화 프레임워크 2014


증(PG504)

정보보호

X

국제

W3C CORS(Cross-Origin Resource Sharing) 2014 PG504

-IETF An architecture for authorization in

constrained environments(개발중)

PG504

IETF TLS/DTLS Profiles for the internet of Things(개발중)

PG504

¡ 웹 프라이버시 보호

- 국내 표준화 현황 및 전망 : TTA를 중심으로 프라이버시 보호 표준이 개발되고 있으나, 웹

서비스를 중심의 표준화 추진이 필요함

- 국외 표준화 현황 및 전망 : W3C에서 P3P 표준 제정(2002). 이 표준에 따라 이용자의 동의

없이는 개인정보를 이용하지 못하여 서비스 제공이 중단됨



대응 TTA PG



국내 (관련 표준 없음)- X

국제 W3C P3P(Platform for Privacy Preferences) 2002 PG504

¡ SOA 보안

- 국내 표준화 현황 및 전망 : TTA를 중심으로 SOA 개념의 SOAP 프로토콜의 표준이 개발됨

- 국외 표준화 현황 및 전망 : SOA 보안은 WS-* 형태의 벤터 주도로 제시된 스펙을 OASIS,

W3C 등의 표준화 기구에서 표준화 진행. ITU-T, W3C, OASIS 주도의 표준화 활동이 지속될

것으로 전망됨





대응 TTA PG



국내TTA TTAE.OT-12.0005, 웹 서비스 보안 : SOAP

메시지 보안 1.1 2006


증(PG504)

- X

TTA TTAS.OT-10.0076, 웹 서비스 보안 : 첨부를 갖는 SOAP 메시지 프로파일 1.1 2006

국제

ITU-T X.1141 - Security Assertion Markup Language (SAML 2.0) 2006

ITU-T X.1142 - eXtensible Access Control Markup Language (XACML 2.0) 2006

ITU-T X.1144 - eXtensible Access Control Markup Language (XACML) 3.0 2013

¡ 유해정보 차단 정책 및 기술

- 국내 표준화 현황 및 전망 : 국·내외적으로 표준화가 아직 미비한 상황임

- 국외 표준화 현황 및 전망 : 2009년 ITU 이사회 온라인 아동보호 이사회작업반(Council

Working Group on Child Online Protection, CWG-COP)이 설립되었고, 2011년 ITU-T에서

TSAG의 제기로 온라인상 어린이 보호를 위한 기술 표준 개발 논의를 시작으로 2012년 온라

인상 어린이 보호를 JCA(Joint Coordination Activity)-COP가 신설되어 지속적으로 표준화 논

의 중임


¡ 콘텐츠 접근 제어를 위한 연령 검증 프로토콜

- 국내 표준화 현황 및 전망 : TTA에서 온라인 청소년 보호를 위한 ID 검증 구조에 대한 표준

화 작업을 진행하였으며, 국제표준 작업과 동시에 추진 중에 있음

- 국외 표준화 현황 및 전망 : ITU-T SG17에서 2014년 9월에 속성기반의 인증 프로토콜 표준

화가 표준 아이템으로 선정되어 작업 중이며, ISO/IEC JTC1 SC27에서도 익명 속성 보증 표

준화에 대한 Study Period를 표준화 수행 중에 있음



대응 TTA PG 명



국내 TTA TTAK.KO-12.0236, 온라인 청소년 보호를 위한 ID 검증 구조 2013

응용보안 및

평가인증(PG504) - X

국제 ITU-T SG17

X.eaaa: Enhanced authenticaton based on aggregated attribute 2014 PG504

Ver.2016


¡ 핀테크 서비스 보안 기술

- 국내 표준화 현황 및 전망 : 스마트단말 보안 기술(TrustZone, TPM 등)의 상용화 이전에

이를 이용한 금융서비스의 적용 가능성 및 효과를 검토하고 관련 표준화를 추진. 국가기술

표준원을 중심으로 칩기반 모바일 카드 규격을 제정하고, 신용카드사를 중심으로 앱기반

모바일 카드 규격을 제정하여 상용서비스 중임

- 국외 표준화 현황 및 전망 : Global Platform등에서는 스마트단말 보안 기술(TrustZone,

TPM 등)을 TEE(Trusted Execution Environment)라는 표준으로 정의하여 범용 목적의 활용

을 위해 상용화 지원. EMV에서는 모바일 결제에 사용할 수 있는 결제 카드 관련 표준화



대응 TTA PG 명



국내 TTA TTAK.KO-12.0214, 스마트 단말 보안 플랫폼을 이용한 전자금융서비스 아키텍처

2012


증(PG504)

- X

국제

OMTP Advanced Trusted Environment : OMTP TR1 2009

-

OMTPSecurity Threats on Embedded Consumer Device

2009

Global Platform

Trusted Execution Environment(TEE) Client API Specification

2010

TCGTCG PC Specific Implementation specification, Version 1.1

2003

TCGTCG PC Client Specific TPM Interface Specification, Version 1.2

2005

EMVPayment Tokenisation Specification Technical Framework

2014

¡ 금융거래 이상 징후 방지 기술

- 국내 표준화 현황 및 전망 : 이상금융거래 탐지 및 대응 프레임워크가 2011년도 TTA를 통

해 제정되었으며, 2013년 금융전산 보안 강화 종합대책 및 2014년 금융권 이상금융거래탐

지시스템 고도화 1.0 로드맵의 요구사항에 의해, 이상금융거래 정보 공유를 위한 규격 개

발이 진행중임

- 국외 표준화 현황 및 전망 : ITU-T SG17 X.1157(X.sap-7) 표준 개발이 진행되고 있는 상황

이며, 이상금융거래 정보 공유를 위한 표준은 없음



대응 TTA PG 명



국내 TTA TTAK.KO-12.0178, 이상 금융 거래 탐지 및 대응 프레임워크

2011


증(PG504)

- X

국제 ITU-T1157(X.sap-7): Technical capabilities of fraud detection and response for services with high assurance level requirements

2015


증(PG504)




대응 TTA PG 명



국내

TTATTAI.IT-X.bhsm 바이오인식 보안토큰을 이용한 텔레바이오인식 인증 프레임워크

2014

바이오 인식

(PG505)

한국바이오

인식협의회(KBID)

X

TTATTAK.KO-12.0266 홍채인식 성능평가 상호인정 기준

2014

TTATTAK.KO-12.0267 지문인식 성능평가 상호인정 지침

2014

TTATTAK.KO-12.0268 웹기반 BioAPI 표준적합성 시험 상호인정 지침

2014

TTA2014-021 지능형 CCTV 시험용 주석 DB의 구조 및 데이터 포맷

(개발중)

¡ 금융보안거버넌스 프레임워크

- 국내 표준화 현황 및 전망 : 금융보안 정책에 기반한 업무를 정의하는 표준이 2011년도

TTA를 통해 제정됨. 금융권에서 자율보안체계 안착을 위하여 자율규제(Self-regulating)에

대한 개념 및 체계가 요구되며, 이를 구현하는 방법으로서 금융보안거버넌스의 필요성에

대한 인식 확대와 금융권 효율적 확산에 활용을 위한 프레임워크 개발이 진행중임

- 국외 표준화 현황 및 전망 : ISO/IEC 27014 Information Security Governance 표준이 개발

되어 있는 상황이며, 금융을 위한 ISMS 표준 개발됨



대응 TTA PG 명



국내TTA

TTAK.KO-12.0177, 금융 제휴 사업자 안전성 점검 프레임워크

2011 응용보안 및 평가인

증(PG504)

- X

TTA TTAK.KO-12.0179, 금융 정보보호 컴플라이언스 프레임워크

2011

국제

ISO/IEC JTC1 SC27 ISO/IEC TR 27015, ISM Finance & Insurance 2012 응용보안

및 평가인증ISO/IEC

JTC1 SC27 ISO/IEC Governance of information security 2013

¡ 바이오인식 응용 서비스

- 국내 표준화 현황 및 전망 : TTA PG505를 중심으로 모바일 바이오인식 응용기술, 지능형

CCTV 시험용 DB 구조 및 데이터 포맷, IC 카드 기반 개인 신분 확인 시스템에서의 바이오

인식 응용기술 등의 표준이 진행 중임

- 국외 표준화 현황 및 전망 : ISO/IEC SC27에서는 바이오보안 토큰을 이용한 원격 바이오인

증 서비스를 위한 공인인증서의 표준 포맷과, 이를 이용하는 표준 절차에 대한 표준이 진행

중이며, ISO/IEC SC37에서는 BioAPI 표준적합성 시험방법 개정안, DNA 데이터규격 표준적합

성 시험방법, 모바일 바이오인식 응용기술에 대한 표준화가 진행중임. 한편, 애플과 삼성의

스마트 폰에 지문센서 탑재가 활성화 되고 있고, 이를 이용하여 스마트 기기 자체의 보안을

높이기 위한 표준과 더불어, 원격으로 바이오인증 하기 위한 전송 및 절차 나아가서 이기종

간의 상호 인증을 위한 표준이 활발하게 진행되리라 예상됨


Ver.2016


국제

ISO/IEC SC37

WD30137-1 : Use of biometrics in Video surveillance sysstems – Part 1 : Design and Specification

(개발중)

XCD1-24709-1Rev1 : Conformance Test for BioAPI Part1 revision

(개발중)

ISO/IEC SC27 & ITU-T SG17

17922(X.bhsm): Telebiometric authentication framework using biometric hardware security module

(개발중)

¡ 생체신호기반 텔레바이오 인식기술

- 국내 표준화 현황 및 전망 : KISA 모바일 생체신호 인증기술 표준연구회를 중심으로 뇌파·

심전도 등의 생체신호에 대한 개인식별 기술개발과 표준화 연구를 착수하였으며, TTA

PG505를 통하여 생체신호센서 인터페이스, 생체신호 개인식별 및 보호기술, 생체신호 시

험기술 등의 표준화를 추진할 전망임

- 국외 표준화 현황 및 전망 : 스마트워치 등 웨어러블 디바이스에서 생체신호 인증기술에 대

한 상용화와 연구개발은 활발히 진행중이나, 생체신호 인증기술관련 표준화를 전문한 상태임.

이에 따라 KISA에서 ITU-T SG17 Q9을 통하여 차세대 전략분야로 신규제안을 추진할 계획임



대응 TTA PG 명



국내

TTA 생체신호센서 인터페이스 표준규격 2016

바이오 인식

(PG505)

한국바이오 인식협의회

(KBID)X

TTA 생체신호 개인식별 및 보호기술 2017

TTA 생체신호 시험기술 2018

국제ITU-T SG17

X.tab: Telebiometric authentification for bio-signals (New work item)

2016NP

¡ 모바일 바이오인증

- 국내 표준화 현황 및 전망 : 모바일 바이오인증 서비스와 관련해서는 모바일 기기 바이오정

보 탑재 방법, 스마트폰 기반의 바이오인식 보안 프레임 워크 등의 표준이 진행되고 있으며,

향후 모바일 기기를 이용한 원격 바이오인증 서비스가 급증함에 따라, 스마트 기기를 이용한

원격 바이오인증 서비스를 위한 절차 및 보안방안에 대한 표준이 진행되리라 전망됨

- 국외 표준화 현황 및 전망 : ITU-T SG 17 Q.9에서는 모바일 기기에서의 보안 프레임워크에

대한 표준으로, 모바일 기기를 이용한 바이오인증 응용 모델별로 보안위협 및 이에 대한 대

책을 제시하는 표준이 진행 중임





대응 TTA PG 명



국내TTA 2014-022 모바일 바이오인식 응용기술 (개발중) 바이오

인식 (PG505)

한국바이오 인식협의회

(KBID)X

TTA TTAK.KO-12.0243 모바일 기기 바이오정보 탑재방법

2014

국제

ITU-T SG17

X.tam: A guideline to technical and operational countermeasures for telebiometric applications using mobile devices

(개발중)바이오 인식

(PG505)

KS

X

ISO/IEC SC37

30125: Use of Mobile Biometrics for Personalization and Authentication

(개발중)한국바이오 인식협의회

(KBID)

Ver.2016



¡ 스마트그리드 보안 기능 구조

- 국내 표준화 현황 및 전망 : 스마트그리드 환경에서의 보안 요구사항에 대한 표준화가 TTA

에서 진행되고 있으며, 보안 기능 구조에 대한 표준화가 이루어질 것으로 전망됨. 또한 스마

트그리드 서비스 중에 하나인 전기차 충전 서비스에서의 보안 기능 구조 표준화가 TTA에서

진행되었음

- 국외 표준화 현황 및 전망 : NIST에서는 스마트그리드 사이버 보안에 대응하기 위한 표준이

제정되었으며, ITU-T에서는 스마트그리드 시스템에서의 통신 보안 기능 구조에 대한 표준이

진행되고 있음



대응 TTA PG 명



국내

TTA

TTAK.KO-12.0182, 스마트 그리드 보안 요구 사항

2011응용보안 및 평가인

증(PG504)

스마트그리드 표준화 포럼 X

TTAK.KO-12.0209, 스마트 그리드 시스템 보안 기능 요구사항

2012

TTAK.KO-12.0257, 스마트그리드에서의 전기차 충전 서비스를 위한 보안 기능 구조

2014

스마트그리드 표준화 포럼

스마트그리드 표준의 사이버 보안성 확보를 위한 보안가이드라인

2013 -

국제

NIST IR 7628, Guidelines for Smart Grid Cyber Security 2010


증(PG504)

스마트그리드 표준화 포럼 XIEC

62351-10, Power systems management and associated information exchange - Data and communications security - Part 10: Security architecture guidelines

2012

ITU-TX.sgsec-1, Security functional architecture for smart grid services using telecommunication networks

개발중

¡ 스마트그리드 보안 관리

- 국내 표준화 현황 및 전망 : 스마트그리드 환경에서 사용되는 정보, 시스템 등 자산에 대한

보호 관리 표준에 대한 진행이 미비한 상황이며, 스마트그리드 국가로드맵을 기반으로 표준

연구가 진행될 것으로 전망됨

- 국외 표준화 현황 및 전망 : NIST에서 스마트그리드 사이버 보안에 대한 가이드라인 표준이

제정되었으며, 보안 관리를 위한 표준 연구가 진행될 것으로 전망됨



대응 TTA PG 명



국내 - 관련표준 없음 - - - X

국제 NIST IR 7628, Guidelines for Smart Grid Cyber Security 2010

응용보안 및

평가인증(PG504)

스마트그리드 표준화

포럼X



¡ 스마트그리드 기기 보안

- 국내 표준화 현황 및 전망 : TTA에서 스마트그리드 환경에서 댁내 통신을 위한 프로토콜을

통한 표준을 제정하였으며, 스마트그리드 표준화포럼에서 지능형전력량계에 대한 기능요구사

항, 보안 기능, 요구사항 등을 정의하여 제정함. 그리고 TTA에서는 스마트그리드에서의 HAN

기기 보안 메커니즘에 대한 표준을 제정하였음

- 국외 표준화 현황 및 전망 : NIST에서 AMI의 스마트미터와 관련된 테스트 프레임워크 관련

표준을 제정하였으며, IEEE에서 지능형 전력 기기의 사이버 보안 역량에 대한 표준을 제정하

였음. ITU-T에서는 2017년을 목표로 스마트그리드 HAN 영역에서의 보안 가이드라인을 표준

개발하고 있음



대응 TTA PG 명



국내

TTA

TTAK.KO-04.0151, 스마트그리드 댁내 통신 규격 : RS485 통신 프로토콜

2012

스마트홈 프로젝트그

룹(PG214)


X

TTAK.KO-12.0258, 스마트그리드 적용을 위한 HAN 기기 보안 메커니즘

2014


증(PG504)


KSC1231-1, 지능형전력량계 – 제1부: 기능요구사항

2011 - ○

지능형전력량계 – 제2부: 통신 및 보안 기능 2013 -X

에너지정보 디스플레이 – 제2부: 보안 일반요구사항

2013 -

국제

NISTIR 7823, Advanced Metering Infrastructure Smart Meter Upgradeability Test Framework(draft)

2012


증(PG504)


XIEEEIEEE 1686-2007, IEEE Standard for Substation Intelligent Electronic Devices (IEDs) Cyber Security Capabilities

2008 - -

ITU-T X.sgsec-2, Security guidelines for Home Area Network (HAN) devices in Smart Grid system

개발중


증(PG504)


¡ V2X 통신 보안 프레임워크

- 국내 표준화 현황 및 전망 : TTA를 통해 차량 통신 보안 요구사항(2012), 차량 간 통신 인증

서비스 구조(2013) 등이 표준화되었으며, 차량간 통신 서비스를 위한 차량 등록 절차 등이

표준이 제정될 전망임

- 국외 표준화 현황 및 전망 : IEEE에서는 차량 통신 규격인 WAVE를 표준화 추진 중에 있으

며, 특히 메시지 보안 규격 등의 보안 관련 표준인 1609.2는 2013. 4월 version 2가 제정된

상태임. 또한, 2014년 9월에 ITU-T SG17에서 V2X 통신 시스템 보안 가이드라인이 신규 워크

Ver.2016



대응 TTA PG 명



국내

TTATTAR-06.0028, 모바일 RFID 기반의 헬스케어 정보보호 서비스 모델을 위한 응용 요구사항 프로파일

2008(구)

RFID/USN 모바일 RFID

포럼X

TTATTAK.IT-X.1092, 바이오인식 기반 원격 의료 통합 프레임워크

2013바이오인식

(PG505)-

국제

ISO

ISO/TR 11633-1, Information security management for remote maintenance of medical devices and medical information systems – Part 1: Requirements and risk analysis

2009

- - X

ISO

ISO/TR 11633-2, Information security management for remote maintenance of medical devices and medical information systems – Part 1: Implementation of an

2009

아이템으로 채택되어 표준화가 추진 중에 있음. 또한, 차량 소프트웨어 업데이트 보안 규격

이 신규 워크아이템으로 채택되어 표준화가 추진 중에 있음



대응 TTA PG 명



국내

TTATTAK.KO-12.00208, 차량 간 통신 보안 요구 사항

2012응용보안 및 평가인

증 (PG504)

- X

TTATTAK.KO-12.0238차량 간 통신 인증 서비스 구조

2013

TTATTAK.KO-12.0260 차량간 통신환경에서의 메시지 암호화 규격

2014

국제 IEEEIEEE Std 1609.2-2013 Wireless Access in Vehicular Environments – Security Services for Applications and Management Messages

2014


증 (PG504)

¡ 전자건강기록(EHR, Electronic Health Record) 보안 프레임워크 기술

- 국내 표준화 현황 및 전망 : 기존 의료시스템은 의료기관내 내부망에서 독립된 구조로 구성

되어 왔으며, 이러한 환경으로 인해 보안에 대한 관심이 타 분야 대비 미약했으며 이로 인해

의료정보 보안 관련 표준화 또한 진행된 것이 없었으나, 원격의료시스템, 의료기관간 데이터

공유, 개인건강관리 서비스 등의 등장으로 인해 의료시스템 및 서비스의 보안 요구가 증가하

고 있으며, 관련 표준화의 논의되고 있으며, 해당 연구과제들이 나오고 있음

- 국외 표준화 현황 및 전망 : 의료정보시스템이나 서비스의 보안은 미국의 HITECH(The

Health Information Technology for Economic and Clinical Health Act)나 호주, EU 등 선진

국 중심으로 시스템에 보안을 강제하는 법안을 통해, 의료데이터의 안전성을 확보하려는 노

력을 꾸준히 행하고 있으며, HL7이나 ISO TC 215등 표준화 단체에서도 다양한 활동을 통해

표준화를 추진하고 있음. 2014년 ANSI/HL7 HCS R1을 통해 콘텐츠에 대해 개인정보보호를

위한 보안에 대한 표준화도 진행되고 있으며, 전자건강기록의 전반적인 콘텐츠 관리기술에

대한 논의가 진행되고 있음

- 국내외 관련표준 대응 리스트(TR 포함)



information security management system(ISMS)

ISOISO/TS 13606-4, Health informatics - Electronic health record communication – Part 4 : Security

2009 ○

ISOISO/TS 14441:2013, Health informatics – Security and privacy requirements of EHR systems for use in conformity assessment

2013 X

ISOISO/TS 21547:2010, Health informatics – Security requirements for archiving of electronic health records – Principles

2010 ○

ISOISO/TR 21548:2010, Health informatics – Security requirements for archiving of electronic health records – Guidelines

2010

X

ISOISO 27790:2008, Health informatics – Information security management in health using ISO/IEC 27002

2008

IEC/TR

IEC/TR 80001-2-1:2012, Application of risk management for IT-networks incorporating medical devices – Part 2-2:Guidance for the communication of medical device security needs, risks and controls

2012

HL7 HL7 Version 3 : Privacy, Access and Security Services(PASS) 2010

HL7 HL7 Healthcare Privacy and Security Classification System(HCS) 2014

HL7 HL7 FHIR Specication v0.0.82 2014

¡ 개인건강기록(PHR, Personal Health Record) 서비스 보안

- 국내 표준화 현황 및 전망 : 건강관리의 측면에서 개인건강정보 서비스에 대한 논의가 2010

년 이후 지속적으로 논의 되어 왔으며, 해당 서비스를 위해 기존의 EHR 서비스 표준들을 적

용하는 방안으로 논의되어 왔으나, 최근은 스마트폰과 다양한 건강관리기기를 활용하는 형태

의 서비스들이 개발되고 서비스되어지고 있음. 현재, 여러 정부부처에서 관련된 국책과제들

을 내놓고 있고 활발히 연구되고 있는 분야이지만, 보안에 대한 부분에 대한 논의는 개인의

민감한 정보를 다루지만 거의 이루어지지 않고 있음

- 국외 표준화 현황 및 전망 : 개인건강정보 보안에 대한 논의는 EHR 시스템의 내용을 가져다

사용하는 정도의 논의정도가 주류를 이루고, HL7에서 PHRs 시스템 스펙에서 PHR의 보안요

구사항을 정리한 것 정도가 있음. 서비스의 활성화에 따른 해당 분야의 표준화 이슈가 대두

되고 있음

- 국내외 관련표준 대응 리스트(TR 포함)


대응 TTA PG 명



국내TTA

TTAK.KO-10.0304 개인건강정보 보호를 위한 기술적 요구사항

2005

- - X

TTATTAK.KO-10.0750 건강라이프로그 서비스 정보보호 참조모델

2014

국제

ITU Recommendation ITU-T H.810 Interoperability design guidelines for personal health systems 2013

ISOHealth Informatics — HL7 Personal Health Record System Functional Model, Release 1(PHRS FM)

2015

Ver.2016






¡ 표준화 목표

2018년까지 핵심기술 및 선도가능 분야를 중심으로 생활형 및 수요밀착형 국내외 표준화

추진을 통해, 국내 보안 제품의 세계시장 점유율과 보안표준 활용도를 제고하고, 보안

표준분야 기술 강국 진입을 위한 기반을 구축


- (클라우드/빅데이터 보안) 클라우드 환경에서 발생하는 위협요소들의 기술적·정책적 보안 통제

및 조치사항에 대한 표준화 활동(ISO JTC1, 2015년 완료예정)을 활용하여 클라우드 서비스의

안정성을 확보하고 기업들이 클라우드 환경 도입 시 고려해야 할 보안관리 및 기술의

표준화를 추진. 2004년부터 추진되어온 개인정보의 국외 이전 시 안전성을 확보하기 위하여

규칙에 대한 개발이 발전되어 왔고 인증체계가 개발됨. 2017년까지 신뢰 클라우드 연동을

위한 참조 모델을 정의하고 안전한 서비스 연동을 위한 각 단계별 보안 요구사항 및

프레임워크에 대한 표준화 및 IoT 기반 서비스의 신뢰 연동을 위한 보안 표준화 추진.

클라우드 서비스 이용 시에 필요한 인증 및 접근제어 기술 개발을 통해, 클라우드 서비스

보안 정책을 수립함. 이와 관련하여 클라우드 서비스의 안전성을 위한 국내 표준화를

2015년부터 추진하고, 2017년에는 국제 표준화로 추진을 목표로 함. 또한, 빅데이터 분석

시스템에서 다양한 정보를 결합하여 분석함에 있어 데이터의 활용 범위를 넘어서는 정보의

활용이나 개인 정보의 수집/분석/해석 시도가 있는지를 검사하는 온라인 참조 모니터 기술의

표준화 추진

- (웹 보안) 융합환경에서 콘텐츠 사용에 대한 인증단계를 넘어서 콘텐츠에 대하여 실질적으로

사용 권한 허용과 의도(정책)에 따라 적절히 활용이 되도록 더욱 섬세한 정책 메카니즘에 대

한 표준 개발과, IoT 보안을 위한 경량 웹 플랫폼을 기반으로 하는 경량 인증/인가 및 안전

통신 표준 개발 추진

- (콘텐츠 보안) 유해정보대응 기술은 2013년부터 스마트 단말 환경의 신규 기술개발을 통해

IPR을 확보하고 있으며, 기술개발 종료시점인 2015년부터 국내표준화 진행을 시작하여 국제

표준 단체를 통한 국제표준(안) 개발 및 IPR 확보 추진. 아울러 2017년까지 온라인 청소년

보호를 위한 연령 검증 기술 및 활용방법에 대한 국제/국내 표준화 동시 추진

- (금융 보안) 스마트단말 보안 기술(TrustZone, TPM 등)을 이용한 전자금융서비스를 상용화하

고 관련 프레임워크와 관련 규격의 표준화를 동시 추진

- (휴먼/바이오인식) 최근 삼성페이·애플페이 등 스마트폰에 모바일 바이오인식기술이 널리 보

급됨에 따라 바이오인식시스템에 대한 상호호환성 시험기술, 모바일 바이오인증 서비스 기

술, 바이오인식 응용서비스, 위변조에 강인한 뇌파·심전동 등 생체신호를 이용한 텔레바이오

인식기술등에 대한 국제/국내 표준화 동시 추진

Ver.2016


➁ 융합 보안

- (산업제어시스템 보안) 안전한 스마트그리드 환경에 있어서 필요한 보안 기능 구조, 보안

관리 기법 등의 기반을 구축하고 관련 산업에 적용하기 위해 2017년까지 국제/국내 표준화

추진

- (자동차 융합 보안) 2016년에는 차량 통신 서비스를 위한 차량 인증 구조에 대한 표준을

개발하고, 2017년까지 국내외 표준화 추진

- (헬스케어 보안) 병원의 전자의무기록 및 개인건강정보 데이터 교환/공유, IoT기반 개인건강

기기 등을 통한 건강관리와 같은 서비스를 위해 필요한 보안관리기법, 데이터 관리를 위한

구조와 데이터 요소들에 대한 접근 제어를 비롯한 보안 요구사항 및 기법 등을 마련하고

이에 대한 국내외 표준화 추진


국내 핵심 보안기술의 국제표준 제정을 통해, 국내 기술을 활용한 국내 보안 제품의 국제적

경쟁력을 강화하여 세계 시장 점유율을 확대하고, 생활형, 수요 밀착형 표준 개발로 국내 보

안표준의 활용도를 제고하는데 기여. 또한, 스마트폰, 클라우드컴퓨팅, 스마트그리드 등 신규

ICT 서비스의 인프라 조성을 위한 보안 표준을 마련하여 안전하고 신뢰성 있는 신규 서비스

의 조기 정착을 유도


- (클라우드/빅데이터 보안) 클라우드 시장성숙으로 새롭게 대두된 보안이슈를 해결하기 위한

기술개발 현황과 달리 국제 표준화는 실제 운영되는 시스템을 고려한 호환성 확보에 무게중심을

두고 있어 국제 표준화에 적극 대응하여 향후 관련 표준화 및 관련 기술선도가 가능함. “클라우드

환경을 기반으로 한 서비스들 사이의 연동에 대한 안전성을 보장하는 신뢰 클라우드 연동

표준기술”의 선점은 클라우드에 대한 보안 우려를 억제하고 클라우드 도입 및 서비스 확산을 통해

국제 경쟁력 강화 및 IPR 확보에 기여하며 개인정보의 국외 이전 시 안전성을 보장함으로서

클라우드의 발전에 기여. 클라우드 환경 기반의 다양한 서비스 이용 시 발생 가능한 각종 보안

취약점 해결을 위한 기술개발과 병행하여 표준화 추진을 통해 클라우드 서비스의 보안성을 더욱

강화하는 효과를 기대함. 또한, 빅데이터 분석 시스템의 활용 가치는 높으나 정부의 공공정보 공개

및 이를 활용하는 시스템에서 개인정보의 직접적인 활용이나 서로 다른 데이터 조합을 통한

개인정보 유출 가능성 등의 역기능이 존재하여, 온라인으로 검사하는 기술에 대한 표준이 필요

- (웹 보안) HTML5가 표준 규격의 웹 보안기술이 95%의 수준으로 구현이 되어 있는 상황이나,

표준개발은 초기상태이므로, 향후 글로벌 기업들과 경쟁 및 협력체계의 국제 표준개발로



선두그룹 진입

- (콘텐츠 보안) 스마트 단말과 4G의 보급 확대로 인해 스트리밍 유해정보의 확산이 가속될

것으로 예상되므로, 유해정보 대응 분야의 핵심기술을 조속히 개발하고 이에 대한 국내 및

국제표준화 추진을 통해 국내시장 창출 및 국제 경쟁력 강화에 기여. 아울러, 온라인 청소년

보호를 위한 범용 목적의 연령정보를 포함한 속성정보 검증 모델 개발을 통해 IPR 확보 및

국제적인 협력체계 구축

- (금융 보안) 온라인 금융거래에 대한 해킹기술이 점점 정교하고 고도화는 반영, 대응은

소프트웨어 기반의 보안 솔루션에 의존하고 있어 한계적 상황임. 스마트단말 보안

기술(TrustZone, TPM 등)을 이용하여 전자금융서비스 보호를 위한 기술 개발과 표준화시

해킹 대응 수준을 향상시킬 것으로 기대

- (휴먼/바이오인식) 스마트폰 등 모바일 바이오인식 신융합기술 적용이 가속화되는 시점에서

모바일 지급결제서비스와 같은 핀테크 분야에서 비대면 인증수단으로 각광받기 시작하였으며,

스마트워치 등 웨어러블 디바이스에서 기존의 바이오인식기술에 비해 위변조에 강인한

뇌파·심전도 등과 같이 생체신호로 개인을 식별하는 텔레바이오 인식기술이 주목을 받기 시작

➁ 융합 보안

- (산업제어시스템 보안) 스마트그리드 보안 영역에 대한 표준 기술개발을 통해 향후 보안성이

보장된 환경 구축과 선제적 보안 기술 개발 및 스마트그리드 보안 시장의 국제 경쟁력 확보

- (자동차 융합 보안) 차량 통신 환경에서의 보안 표준을 개발하여, 차량 간 통신 기술의 시장

상용화 가속화를 유도하고, 국내 업체의 차량 통신 보안 분야의 선점 주도권 확보에 기여.

또한, 차내망 통신 보안에 대한 표준화를 추진하여, 차량 해킹 등에 대한 사고를 미연에 방지

- (헬스 케어 보안) 세계 최고 수준의 의료 및 건강정보 서비스 개발 능력이 있음에도 불구하고

국제시장에 진출하지 못하고 있는 서비스를 국제기준에 맞는 표준화된 보안 요구조건을 통해

보다 양질의 솔루션과 서비스를 개발하고 국제시장에서 경쟁력 확보

Ver.2016


국내역량요인

국외환경요인


시장

- 각종 보안 이슈로 인한 기업 및 기관의 침해사고 대응장비 구매 증가

- 보안 필요성에 대한 높은 범사회적 인식

시장

- 클라우드, 스마트그리드 등 기술개발이 앞선 외국 제품이 시장 주도함

- 세계 시장 대비 상대적으로 협소한 개인정보보호 시장 규모

기술

- 암호, 인증방식 등 다양한 기반 및 응용기술 보유, 침해사고 발생시 대응체계 및 풍부한 경험 보유

- IoT, SDN 등 신기술 지원을 위한 네트워크 기반 HW, SW 요소기술을 확보하고 있음

기술

- 기술 전반을 포괄하는 플랫폼 기술력이 미흡하며, 응용 위주의 제품 생산

- IoT, SDN, 스마트그리드 등 신기술 관련 원천기술 부족

표준

- 보안 분야에서 국내 전문가의 국제표준화 기여도가 높음

- 국내 의장단 및 국제표준화 경험을 바탕으로 신규 표준화 활동 용이

표준

- KISA, ETRI 등 정부기관 중심이며 업체의 참여가 부족

- 표준화 전문인력 부족으로 다양한 표준화 기구를 이용한 표준화 추진이 어려움

기회요인(O)

시장

- 스마트폰 앱 및 모바일결제, 바이오센서 기능 등을 탑재한 서비스 시장 증가

- 스마트그리드, 클라우드 컴퓨팅, 빅데이터, 모바일 바이오인식 시장 확대 예상

SO전략

- ITU-T SG13 의장, SG17 부의장 등 기확보된 국제 표준 전문가를 활용한 국제표준화 추진

- 스마트폰 앱, 모바일결제, 빅데이터 등 시장 확대가 예상되는 분야에 대한 표준 선점

- 확보된 요소기술을 바탕으로 IoT, SDN 보안 표준화에 적극 참여

- 빅데이터, 차량보안 등 국제 표준화 초기 단계인 분야에서 표준화 선도

- 웨어러블디바이스에서 뇌파·심전도 등 생체신호를 이용한 텔레 바이오인식 기술 표준화 선도

- 의료시스템에서 보안은 초기시장으로서 시장확대가 예상되는바, 세계 최고수준의 의료전산화 기술력을 바탕으로, 의료전산화 시스템의 보안 분야에 대한 표준화 주도

WO전략

- 공공 분야의 ID 인프라 구축 및 개인정보보호 제품 확대를 통한 국내 정보보호 시장 확대

- 지속적인 기반 기술 개발과 우수 제품 개발을 통해 국내 정보보호 수준 제고 및 제품 경쟁력 향상

- 국내 산업계의 요구사항을 수렴하고 TTA 위원회를 통해 국내 표준화를 수행

- 스마트워치 등 웨어러블디바이스,바이오인식업체, 관련학계·연구기관 전문가그룹인 KISA 모바일 생체신호 표준연구회를 통하여 신기술 개발 및 표준화를 수행

- 국내 스마트기기 제조사의 뛰어난 생산기술을 바탕으로 모바일 의료기술을 위한 기술연구 및 관련기관들과의 협력을 통해 모바일 의료기기 및 기술에 대한 표준화 추진

기술

- 해킹기술의 고도화 등으로 안전한 정보보호 요구 증가

- IoT 프라이버시, SDN기술에 대한 세계적으로 높은 관심

표준

- ITU-T 등 국제표준화기구에서 클라우드 보안, 차량보안, 빅데이터, SDN 보안, 생체신호기반 텔레바이오 인식기술 등 국제 표준화 초기 단계인 분야에서 선도 가능

위협요인(T)

시장

- 클라우드 인증, 스마트그리드, 빅데이터 등 다양한 보안 분야에서 글로벌 기업의 독점 우려

- 상호운용성 확보 및 개발 규모를 이유로 국내개발 암호기술의 제품 적용 기피

ST전략- IoT등 신규 서비스를 중심으로

정보보호 기반 기술 및 응용서비스 표준 개발을 통한 국제 경쟁력 확보

- 국내 인터넷 환경에 선적용하여 제품의 인지도와 완성도를 제고하여 해외 시장 경쟁력 확보

- TTA 위원회를 통해 국내 표준화를 수행하고 표준 전문가를 적극 활용하여 국제 표준화 추진

WT전략- 산․학․연 연계 연구/개발을

통해 지속적인 정보보호 고급 인력을 양성하고 이를 통해 기반 기술 확보

- 스마트그리드, 미래네트워크 등 국외 선행기술 및 시장동향을 파악하여 이와 병행한 보안 기술 개발 및 국내외 표준화 추진 기

술

- 일부 선진 국가와 회사에서 핵심 원천 보안기술에 대한 기술적 우위 선점

표준

- 북미, 유럽 표준화 단체 중심의 국제 표준화 추진





3.3.1. 서비스 보안


High

전

략

적

중

요

도(IPR

확보

가능성,

시장/

기술적

파급

효과,

정책

부합성

등)

Low


◑ 클라우드 인증 및 접근제어 보안 프레임워크

○ 신뢰 클라우드 연동보안

◑ 차세대 웹 보안

○ 웹 프라이버시 보호

◑ 유해정보 차단 정책 및 기술

◑ 콘 텐 츠 접 근 제 어 를 위 한 연

령 검 증 프 로 토 콜

◑ 생체신호기반 텔레바이오 인식기술


◑ 클라우드 컴퓨팅 서비스 보안 요구사항

◑ 빅데이터의 데이터 보안

◑ 모바일 웹 보안

◑ 모바일 바이오 인증


◑ 클라우드 컴퓨팅 서비스에서의 개인정보

국외교환 프레임워크

● SOA 보안

◑ 핀테크 서비스 보안 기술

◑ 금융거래 이상 징후 방지

◑ 금융보안거버넌스 프레임워크

◑ 바이오인식 응용 서비스





Ver.2016


¡ 서비스 보안 표준화항목 목록

No. 표준화항목 대응 전략표준 및 기술개발

추진 방식

1클라우드 컴퓨팅 서비스에서의 개인정보 국외교환

프레임워크다각화협력 병행

2 클라우드 컴퓨팅 서비스 보안 요구사항 적극공략 병행

3 클라우드 인증 및 접근제어 보안 프레임워크 차세대공략 병행

4 신뢰 클라우드 연동 보안 차세대공략 선행

5 빅데이터의 데이터 보안 적극공략 병행

6 차세대 웹 보안 차세대공략 병행

7 모바일 웹 보안 적극공략 병행

8 웹 프라이버시 보호 차세대공략 선행

9 SOA 보안 다각화협력 후행

10 유해정보 차단 정책 및 기술 차세대공략 병행

11 콘텐츠 접근 제어를 위한 연령검증 프로토콜 차세대공략 병행

12 핀테크 서비스 보안 기술 다각화협력 병행

13 금융거래 이상 징후 방지 다각화협력 병행

14 금융보안거버넌스 프레임워크 다각화협력 병행

15 바이오인식 응용 서비스 다각화협력 병행

16 생체신호기반 텔레바이오 인식기술 차세대공략 병행

17 모바일 바이오 인증 적극공략 병행



(다각화 협력 | 병행) 클라우드 컴퓨팅 서비스에서의 개인정보 국외교환 프레임워크



국내TTA,

CSA-Korea

국외ISO/IEC JTC1,

ITU-T,CAS

국내참여업체

/기관

NIA


표준개발


기술개발

□ 산업체 ☑ 학계 ☑ 연구소

기술개발단계

국내 ■기술기획↦□설계↦□구현↦□프로토타입/시제품↦□상용화기술격차

2년 뒤짐 선도국대비 80% 수준국외 □기술기획↦□설계↦□구현↦□프로토타입/시제품↦■상용화

선도국가

/기업EU

표준화단계



선도국가

/기업EU

Trace Tracking : 차세대공략 (Ver.2015) → 다각화협력(Ver.2016)

Ver.2016에서 표준기획단계로서 다각화협력항목으로 분류함. 국가에서 국가 전략 항목으로 기대가 크고, 클라우드 시장 주도권을 위해 비즈니스 활성화를 위한 클라우드 컴퓨팅 서비스에서의 개인정보 국외교환 프레임워크 기술 개발이 향후 중점 추진 분야로 떠오르고 있음

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : APEC, EU 등 현재 운영 중인 프레임워크를 참고하여 ISO/IEC JTC1 SC27에서 협의를 통하여 국제 표준화 추진

* 사실 표준화 활동 전략 : 미국과 EU는 세이프 하버 규정의 적용이후 EU를 중심으로 BCR 과 APEC을 중심으로 CBPR을 수립하고 이를 참조할 수 있도록 하고 있으며, 권역내 기업은 이러한 규칙을 준수하여 적용하고 있음 APEC을 중심으로 클라우드 서비스가 국경을 초월하여 제공됨에 따라 CBPR 인증에 대한 이해 확산을 통하여 선도적으로 적용하는 전략이 요구됨

- 국내 표준화 추진계획 : TTA의 응용보안/평가인증 프로젝트그룹(PG504) 활동을 참조하여 클라우드 컴퓨팅 서비스에서의 개인정보 국외교환 프레임워크에 대한 국내 표준화 추진

- IPR 확보가능분야 및 확보방안 : 클라우드 컴퓨팅 서비스에서의 개인정보 국외교환 프레임워크에 대한 특허 출원 추세가 미미하나, 성장가능성을 고려할 때, 관련 특허를 적극 확보 추진

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 클라우드 컴퓨팅 서비스에서의 개인정보 국외교환 프레임워크과 클라우드 환경에서의 기존의 정보교환 프레임워크 개발을 참고하여 핵심 기술에 대한 특허를 출원하고 이를 포함하는 국내외 표준특허를 추진



(적극공략 | 병행) 클라우드 컴퓨팅 서비스 보안 요구사항



국내TTA,

CSA-Korea

국외ISO/IEC JTC1,

ITU-T, CSA

국내참여업체

/기관

KISA, ETRI


표준개발


기술개발


기술개발단계



선도국가

/기업미국 / Amazon

표준화단계



선도국가

/기업미국 / Amazon

Trace Tracking : 다각화 협력(Ver.2015) → 적극공략(Ver.2016)

Ver.2015와 달리 Ver.2016에서는 국내표준이 제정되었고, 저극공략항목으로 분류함. 클라우드 발전법의 통과로 국내 시장의 약진이 예상되고, 클라우드 시장 주도권을 위해 비즈니스 활성화를 위한 서비스 보안 요구사항이 향후 중점 추진 분야로 떠오르고 있음.

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 미국 연방정부 FedRamp 등 현재 운영 중인 표준을 참고하여 ITU-T 내 SG17과 ISO/IEC JTC1 SC27에서 협의를 통하여 국제 표준화 추진

* 사실 표준화 활동 전략 : 아시아 국가에서는 싱가포르가 국가 차원의 클라우드 표준과 규정을 수립하여 적용 중이며, 아마존 마이크로소프트, 오라클 등이 자신의 클라우드 서비스 보안체계를 적용하고 서비스하고 있음 정부, 기업 및 학계에서 포럼을 결성하여 아시아권의 클라우드 보안에 대한 법, 제도, 기술에 대하여 논의 중이며, 우리도 적극 참여하여 국가 간 서비스에서의 보안 이슈를 해결해 나아갈 전략적 참여가 요구됨

- 국내 표준화 추진계획 : TTA의 응용보안/평가인증 프로젝트그룹(PG504) 활동을 참조하여 클라우드 컴퓨팅을 위한 보안 프레임워크에 대한 국내 표준 제정

- IPR 확보가능분야 및 확보방안 : 클라우드 컴퓨팅 서비스 보안 요구사항에 대한 특허 출원 추세가 미미하나, 성장가능성을 고려할 때, 클라우드 보안관리 프레임워크에 대한 특허를 적극 확보 추진

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 클라우드 컴퓨팅 서비스 보안 요구사항과 클라우드 환경에서의 기존의 정보보호 관리체계 개발을 참고하여 핵심 기술에 대한 특허를 출원하고 이를 포함하는 국내외 표준특허를 추진



(차세대공략 | 병행) 클라우드 인증 및 접근제어 보안 프레임워크



국내TTA,

CSA-Korea

국외

ISO/IEC JTC1, ITU-T, CSA, DMTF

국내참여업체

/기관

ETRI, KISA


표준개발


기술개발


기술개발단계


1년 뒤짐 선도국대비 90% 수준국외 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화

선도국가

/기업미국

표준화단계



선도국가

/기업미국

Trace Tracking : 차세대공략 (Ver.2016 신규 항목)

클라우드 서비스의 사용 시 사고에 대처하기 위한 방안에 대한 관심이 높아지고 있으며, 특히 인증 및 접근제어 관련 프레임워크에 대한 필요성이 앞으로 확대될 것으로 전망되므로, 해당 항목에 대해 신규항목으로 “차세대공략” 항목으로 분류

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 미국 연방정부 FedRamp, 일본 등에서 개발되는 클라우드 보안 관련 표준을 참조하여 ITU-T SG17과 SG13간 논의를 통하여 국제 표준화 추진하며, ITU-T 국제 표준화 추진 시 ISO/IEC JTC1과의 협력 체계를 구축

* 사실 표준화 활동 전략 : CSA 클라우드 보안 표준 활동을 참조하여 ITU-T 국제 표준 개발 시 협의가 되도록 추진

- 국내 표준화 추진계획 : 국내 표준화는 TTA의 응용보안 및 평가인증 프로젝트그룹(PG504) 활동을 참조하여 클라우드 인증 및 접근제어 보안 프레임워크에 대해 국내 표준으로 추진될 계획

- IPR 확보가능분야 및 확보방안 : 클라우드 보안에 대한 기술개발에 관심을 가지고 있으며, 특히 클라우드 인증 및 접근제어에 대한 IPR 확보 중요성이 높아질 것으로 예상되므로 이에 대한 대처 방안이 요구

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 클라우드 인증 및 접근제어 관련 기술개발을 통해 클라우드 사고를 방지할 수 있는 기반을 조성하고, 이에 따르는 국제 표준화 추진을 통해 클라우드 보안성을 높이고 클라우드 시장 활성화에 기여



(차세대공략 | 선행) 신뢰 클라우드 연동 보안



국내TTA,

클라우드컴퓨팅 포럼

국외ITU-T, CSA, IETF

국내참여업체

/기관

ETRI, 클라우드 산업포럼


표준개발


기술개발


기술개발단계



선도국가

/기업미국/ MS, VMware, Amazon

표준화단계



선도국가

/기업미국/ IBM, MS, Amazon


Ver.2015와 같이 Ver.2016에서도 표준기획단계로서 차세대공략항목으로 분류함. 국가에서 국가 전략 항목으로 기대가 크고, 클라우드 시장 주도권을 위해 비즈니스 활성화를 위한 신뢰 클라우드 연동 표준화 및 기술 개발이 향후 중점 추진 분야로 떠오르고 있음. 또한 IoT 기반 서비스와 연계되어 신뢰 연동 보안 분야가 중요시 될 것임

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : CSA를 통해 사업화를 위한 기술 형식과 동향을 파악하고, 표준 기구인 ITU-T SG13, IETF, ISO/IEC JTC1의 표준개발 항목 채택 등 최신 추세를 국내에 적극 반영

* 사실 표준화 활동 전략 : CSA 클라우드 보안 표준 활동을 참조하여 ITU-T 국제 표준 개발 시 협의가 되도록 추진

- 국내 표준화 추진계획 : TTA의 클라우드 보안관련 PG에서 신뢰 클라우드 연동 보안 관련 국내 표준화 추진

- IPR 확보가능분야 및 확보방안 : 가상화된 클라우드 환경에서의 다양한 분야에서의 융∙복합 서비스를 위한 신뢰 클라우드 연동 보안이 필요한 상황이므로 이에 대한 IPR 확보가 요구됨. SaaS 보안 요구사항을 기반으로 가상 클라우드 환경에서의 신뢰 클라우드 연동 보안 모델을 개발하여 IPR을 확보함

- 기술개발·표준화·표준특허 연계방안 : (표준화 후 기술개발) 신뢰 클라우드 연동 보안 관련 IPR을 확보하게 되면, 다양한 융∙복합 서비스의 확산을 촉진하게 되어 다양한 특허의 개발뿐만 아니라 기술제품의 개발이 가능함



(적극공략 | 병행) 빅데이터의 데이터 보안



국내TTA,

빅데이터포럼

국외

ITU-T, ISO/IEC JTC1 SC27, ODCA, CSA, NIST

국내참여업체

/기관

ETRI, KISTI, TTA


표준개발


기술개발


기술개발수준



선도국가

/기업미국 / EMC

표준화수준


국외 □기획↦■항목승인↦□개발/검토↦□최종검토↦□제/개정

선도국가

/기업미국


Ver.2016에서는 빅데이터의 데이터 보안 항목이 적극공략 항목으로 선정되었으며, 최근 온라인 분석 기술인 OLAP 기술이 산업체를 중심으로 부각 되면서 표준화에 대한 다양한 이슈가 발현되고 있음. 특히 공공정보의 공개와 맞물려 빅데이터 분석의 핵심이 되는 데이터 보안 기술을 적극공략 항목으로 선정

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : ODCA, CSA를 통해 사업화 중심의 데이터 형식과 데이터를 활용하는 측면에서 표준화를 집중 추진하고, 공적 표준화 기구인 ISO/IEC JTC1 BD-SG, ITU-T 에서는 보안 서비스를 제공하는 기관이나 기구 사이의 공유 표준에 대한 내용을 집중 추진. 국내 산업의 특징을 반영하기 위해 모바일 서비스 연계, 보안 관제 서비스를 연계한 표준화 추진

* 사실 표준화 활동 전략 : 사실 표준화는 아파치 커뮤니티 중심의 오픈소스 진영의 영향력이 크지만, 빅데이터의 데이터 보안은 아직까지 별다른 오픈소스 활동은 없음

- 국내 표준화 추진계획 : 2013년 산/학/연 중심의 빅데이터 포럼을 통해 국내외 산업의 요구사항과 필요 기술에 대한 내용을 정리하고 2014년 본격적인 활동을 시작. 국내 산업체가 경쟁력을 가지는 기술을 분석하고 국내 기술의 성숙도와 국내 시장 활성화를 위해 국내 표준화 추진

- IPR 확보가능분야 및 확보방안 : 빅데이터의 데이터 보안 기술은 기존 기술을 활용하는 분야와 새롭게 기술 개발이 필요한 분야가 있으며, 이를 산업적으로 활용하기 위해서는 국내 기술력 기반의 IPR 확보할 수 있는 방안의 마련과 관련 기술의 전략적 표준화를 추진

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 정부 3.0과 연계하여 빅데이터 기술은 핵심이 되는 기술이나 보안 기술에 대한 요구사항이 높아 표준 연계된 기술의 개발이 필요. 또한 정부 서비스와 연계한 사이트를 확보하여 국내 기업이 국외 시장을 진출을 도모. 관련 기술 개발과 함께 표준 특허를 확보를 위해 국내 기업이 가지고 있는 기술 중심의 특허 확보와 기술의 국제 표준화를 통한 국내 기업 경쟁력 강화



(차세대공략 | 병행) 차세대 웹 보안



국내TTA,

모바일웹2.0/정보보호포럼

국외ITU-T, IETF, W3C

국내참여업체

/기관

ETRI


표준개발


기술개발


기술개발단계


비슷 선도국대비 100% 수준국외 □기술기획↦□설계↦□구현↦□프로토타입/시제품↦■상용화

선도국가

/기업 미국/ 아마존,구글,페이스북,마이크로소프트

표준화단계



선도국가



Ver.2014에서는 표준개발단계로서 ‘차세대공략’ 항목으로 분류되었으며, 2012년 9월 ITU-T SG17에서 차세대 웹 위협 및 정보보호 가이드라인 승인, 2014년 1월 웹 매쉬업 서비스 정보보호 프레임워크 부속서(X.Supp.21), 웹공격 방어에 대한 요구사항 표준(X.1211)이 2014년 9월 승인으로 우리나라가 표준개발 주도가 예측되며 부가가치가 높은 항목으로 판단되어 Ver.2015에도 ‘차세대공략’ 항목으로 분류

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 우리나라 주도로 ITU-T SG17에서 차세대 웹기반 통합서비스 보안에 대한 국제 표준을 개발하여 보안요구사항에 대한 지침 표준과 웹 매쉬업 정보보호 프레임워크 표준이 ((X.1143(2007.11.), X.supp.21(2012.9), X.supp21(2014.1.), X.1211(2014.9.)) 승인되었음. 차세대 웹 보안 분야에 대한 표준 개발 경쟁 필요

* 사실 표준화 활동 전략 : IETF, W3C등의 매쉬업 표준화 활동과 협력하여 ITU-T SG17 국제 공식표준 개발 추진

- 국내 표준화 추진계획 : SOA기술 기반에서 ROA기술 기반으로 국제기술이 빠르게 변하는 기술동향에 맞추어 기술 및 표준개발 추진이 필요. 모바일분야로 집중된 국내 표준화 활동을 웹 전분야로 영역확대가 필요

- IPR 확보가능분야 및 확보방안 : 시맨틱 보안 분야 등 차세대 웹 보안 기술에 대한 IPR 선점 확보에 주력해야 할 것임

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) W3C, IETF, ITU-T SG17 기구에 활동을 통하여 국내 표준을 국제 표준화 기여도를 높이기 위한 전략분야 선정이 필요



(적극공략 | 병행) 모바일 웹 보안



국내TTA,


국외ITU-T, W3C

국내참여업체

/기관

ETRI


표준개발


기술개발


기술개발단계


비슷 선도국대비 100% 수준국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가


표준화단계



선도국가



Ver.2014에서는 표준개발단계로서 ‘적극공략’ 항목으로 분류되었으며, 스마트폰 앱 중심의 시장이 상호운용성이 보장되는 하나의 소스로 다양한 디바이스에서 공유가 가능한 웹 기반의 기술보급이 시급하므로 표준 선도하여 시장 유도가 필요하며, 이분야는 우리나라가 주도 가능하며 부가가치가 높은 항목으로 판단되어 Ver.2015에도 ‘적극공략’ 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 선진국과의 국제표준 협력/경쟁을 통한 대응 필요, 특히 W3C의 하나의 웹 기술(One Web)과 멀티미디어 보안기술의 표준 추진에 따라 국내기술의 표준반영을 위하여 기술격차를 좁히는 노력이 필수. IETF에서 제한된 환경에서 웹 보안기술(Contrained environment)인 인증/인가, 데이터그램 전송보안 표준 동향에 대하여 대응이 필요

* 사실 표준화 활동 전략 : IETF, W3C등의 IoT 보안 관련 표준화 활동과 협력하여 ITU-T SG17 국제 공식표준 개발 추진

- 국내 표준화 추진계획 : 유무선 환경에 공히 사용되는 웹 표준으로 W3C의 HTML5 제정으로 새로운 환경에서의 보안기술 점검과 더불어 신규 발생되는 위협과 기존의 위협을 방어하는 종합적 보안 표준개발에 집중필요

- IPR 확보가능분야 및 확보방안 : 모바일 웹 보안 기술은 애플을 중심으로 콘텐츠 보안에 대한 특허가 출원되어 있으며, 스마트TV와의 연계 선상에서 기술 개발 및 IPR 확보가 필요

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) W3C에서 산업 표준으로 HTLM5 제정되어(2014.7.), 웹 표준기술의 춘주전국 시대를 종식하고 표준에 준한 서비스 및 표준개발에 집중이 필요하며, 모바일 웹 산업과 연계하여 국제적으로 공신력 있는 표준기구(ITU-T)에서 표준제정이 필요



(차세대공략 | 선행) 웹 프라이버시 보호



국내TTA,


국외ITU-T, W3C

국내참여업체

/기관

ETRI


표준개발


기술개발


기술개발단계


비슷 선도국대비 100% 수준국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가


표준화단계



선도국가


Trace Tracking : 차세대공략(Ver.2014) → 차세대공략 (Ver.2015)

Ver.2014에는 표준개발단계로서 ‘차세대공략’ 항목으로 분류되었으며, 동 표준아이템은 산업의

다른 보안 기술보다 보급이 지연됨. 표준을 선 제정하여 산업을 육성하는 선도표준 특성을

갖으며, 차세대공략으로 유지

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : W3C의 P3P 표준제정(2002) 이후 괄목할 만한 표준개발 부재. 국내의 규제 및 지침을 기반으로 ITU-T SG17을 통해 국제표준화 추진

* 사실 표준화 활동 전략 : W3C의 P3P(Platform for Privacy Preference) 표준화 활동과 협력하여 ITU-T SG17 국제 공식표준 개발 추진

- 국내 표준화 추진계획 : 국내의 규제 및 지침을 국제적 환경에 맞추어 TTA, RRA를 중심으로 표준 제정을 추진

- IPR 확보가능분야 및 확보방안 : 국외보다 국내의 기술적 법제도적 수준이 우수함으로 지속적인 국내 기술개발 필요

- 기술개발·표준화·표준특허 연계방안 : (표준화 후 기술개발) 통신네트워크 상에서의 프라이버시 보장을 위한 기술개발에 대하여 산업의 필요성이 우선 고려되어야 함



(다각화협력 | 후행) SOA 보안



국내TTA,


국외ITU-T, W3C

국내참여업체

/기관

ETRI


표준개발


기술개발


기술개발단계


비슷 선도국대비 100% 수준국외 □기술기획↦□설계↦□구현↦□프로토타입/시제품↦■상용화

선도국가


표준화단계



선도국가



Ver.2014에는 표준개발단계로서 ‘다각화협력’ 항목으로 분류되었으며, SOA는 선진국의 기술개념을

도입하는 것이므로, 수용 및 협력하고, 경쟁력 가능한 분야를 발굴이 필요한 ‘다각화협력’으로 분류

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 선진국과의 국제표준 협력/경쟁을 통한 대응 필요

* 사실 표준화 활동 전략 : W3C등의 SOA 및 XML 표준화 활동과 협력하여 ITU-T SG17 국제 공식표준 개발 추진

- 국내 표준화 추진계획 : 국제적으로 이미 표준의 완성도가 높은 환경이므로 SOA 응용으로 클라우드 분야에서 국제표준 협력/경쟁 분야 발굴 필요

- IPR 확보가능분야 및 확보방안 : OA 응용으로 클라우드 분야에서 적극적 기술개발 및 지재권 확보를 위한 노력 필요

- 기술개발·표준화·표준특허 연계방안 : (기술개발 후 표준화) W3C나 ITU-T SG17 기구에 활동을 통하여 국내 표준을 국제 표준화 기여도를 높이기 위한 전략분야 선정이 필요



(차세대공략 | 병행) 유해정보 차단 정책 및 기술



국내 TTA

국외 ITU-T

국내참여업체

/기관

ETRI


표준개발


기술개발


기술개발단계


비슷 선도국대비100% 수준국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가

/기업미국/ Google한국/ ETRI

표준화단계



선도국가

/기업미국, EU


국내외의 사회적 정책적 관심이 높은 분야로서, 2012년 4월 ITU-T CG-COP의 활동이 시작되었고 국내에서도 표준화가 요구되는 항목으로 추후 우리나라가 주도가 가능한 항목으로 판단되어 Ver.2015에서 "차세대공략" 항목으로 분류되었으며, 지속적인 연구개발이 진행 중이고 표준에 대한 정책적 필요가 요구되고 있으나 아직은 표준 기획 단계에 머무르고 있어 Ver.2016에서도 "차세대공략" 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 2012년 상반기부터 ITU-T에서 유해정보대응기술의 활용분야인 COP에 대한 표준 항목 발굴을 위한 논의가 시작되고 있으므로 국제 표준 초기부터 적극 참여할 필요가 있으며, 지속적인 기술 개발과 국내 적용 사례 등의 경험을 바탕으로 새로운 표준화 안을 도출하고 국제 표준화 기구에 기고하여 이 분야의 주도권을 선점할 필요가 있음

- 국내 표준화 추진계획 : 우선적으로 유해정보차단 정책 및 솔루션 평가 가이드라인에 대해 정부, 연구계, 학계, 시민단체 등의 의견을 모아 2015년부터 TTA에서 국내 표준을 추진하고, 세부 기술에 대해서는 국가 정책 방향, 연구 개발 진행 상황, 국내 시장 현황 등을 면밀히 분석하여 순차적으로 표준화를 진행할 필요가 있음

- IPR 확보가능분야 및 확보방안 : 현재 ETRI는 다중모달 기반의 유해 멀티미디어 탐지 및 차단 관련 다수의 IPR을 보유하고 있으며, 2013년부터 시작된 실시간 스트리밍 유해정보 차단 기술 개발 과제를 통해 관련 기술에 대한 신규 IPR 확보가 가능할 것으로 기대됨

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 기존에 국내에서 개발된 기술에 대해서는 이미 특허가 출원 또는 등록된 상태이며, 향후에는 유해정보 차단의 핵심기술인 유해관심정보 탐지, 실시간 스트리밍 분석 및 차단 기술 등에 대한 기술개발 및 IPR 확보를 진행하면서 표준화도 병행할 예정임



(차세대공략 | 병행) 콘텐츠 접근 제어를 위한 연령검증 프로토콜



국내 TTA

국외ITU-T,

ISO/IEC JTC1 SC27

국내참여업체

/기관

ETRI, TTA


표준개발


기술개발


기술개발단계


1년 뒤짐 선도국대비 90% 수준국외 ■기술기획↦□설계↦□구현↦□프로토타입/시제품↦□상용화

선도국가

/기업미국/ IDOLOGY

표준화단계



선도국가

/기업-


국내외의 사회적/정책적 관심이 높은 분야로서, 추후 우리나라 주도가 가능한 항목으로 판단되어

Ver.2015에서는 차세대공략 항목으로 분류되었으며, ITU-T SG17에서 x.eaaa로 work item으로 선정

되어 표준을 개발하고 있으며, ISO/IEC JTC1 SC27에서는 익명 속성 검증에 대한 Study Period가

연장이 되어 Ver.2016에서도 차세대공략 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 나이를 검증할 수 있는 기술적 측면에서 ITU-T SG17과 JTC1 SC27에서 국제 표준화 추진

- 국내 표준화 추진계획 : TTA 응용보안 및 평가인증 프로젝트그룹(PG504)에서 연령 검증 프로토콜 국내 표준화 추진

- IPR 확보가능분야 및 확보방안 : 관련 분야의 특허가 미비한 상황이므로 이에 대한 IPR 확보가 필요함. 범용 목적의 연령 검증 및 연령 정보 공유 모델 개발을 통한 IPR 확보

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 연령을 검증할 수 있는 부분적인 제품들이 존재하나 통합적으로 제공할 수 있는 기술의 개발이 부족한 상황이며, 연령 검증 프로토콜 개발을 통해 표준화 및 특허 개발이 가능



(다각화협력 | 병행) 핀테크 서비스 보안 기술



국내 TTA

국외 ISO, ITU-T

국내참여업체

/기관

금융보안원


표준개발


기술개발


기술개발단계


비슷선도국대비 100% 수준국외 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화

선도국가

/기업미국

표준화단계



선도국가

/기업미국

Trace Tracking : 다각화협력 (Ver.2015) → 다각화협력 (Ver.2016)

핀테크 서비스는 기술, 서비스, 채널 등 다양한 영역과 결합됨에 따라 빠르게 상용화를 요구하는

분야로써, 통신사, 단말제조사, 칩제조사 등 다양한 기업간 이해관계에 의해 Ver.2016에서도

다각화협력 분야로 분류

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 다양한 무선 기술(NFC 등)을 활용한 모바일 결제 서비스, 비대면 실명확인 기술이 확대 중이며 서비스의 안전성을 보장하기 위한 보안 기준, 시험 기준 및 방법을 개발하여 해외 기준과 상호호환 작업을 추진

* 사실 표준화 활동 전략 : 신기술이 적용된 핀테크 서비스가 지속적으로 등장함에 따라, 이에 대한 보안수준을 평가하기 위한 진단방법 개발을 진행하고 있으며, 지속적인 연구가 전략적 차원에서 추진되어야 할 것으로 판단됨

- 국내 표준화 추진계획 : 국내에서는 개별 서비스가 다방면으로 개발되어지고 있어 표준화 추진이 다소 미흡하나, 차후에는 국내에서도 비대면 실명확인 기술 적용이 필요할 것으로 예상되어 지속적인 관심이 요구됨

- IPR 확보가능분야 및 확보방안 : 범용 목적의 소프트웨어 테스팅 분야의 IPR분석을 통해 비대면 실명확인, 지급결제 서비스 보안 등에 대한 특허 발굴 전략 개발을 선행 추진

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 비대면 실명확인 기술들이 존재하나 통합적으로 제공할 수 있는 여건이 부족한 상황이며, 관련 연구를 통해 표준화 및 특허 개발이 가능



(다각화협력 | 병행) 금융거래 이상 징후 방지



국내 TTA

국외ITU-T,

ISO TC68

국내참여업체

/기관

금융보안원


표준개발


기술개발

□ 산업체 ☑ 학계 □ 연구소

기술개발단계



선도국가

/기업영국

표준화단계


국제 □기획↦□항목승인↦□개발/검토↦□최종검토↦□제/개정

선도국가

/기업영국

Trace Tracking : 다각화협력 (Ver.2016 신규 항목)

정보 공유는 다양한 방법과 분야에서 사용 중이므로 다각화협력 분야로 분류

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 다양한 정보 공유 규격 중 보편적으로 사용되고 있는 규격을 이용하여, 금융권에 특화된 방안을 개발하여 해외 기준과 상호호환 작업을 추진

* 사실 표준화 활동 전략 : 금융보안원에서는 금융거래 이상 징후 방지를 위한 정보공유시스템을 구축 및 정보공유 규격을 개발 중에 있으며, 이를 국내 표준과 기술을 반영하기 위하여 국제 표준화에 적극적으로 대응할 필요가 있음

- 국내 표준화 추진계획 : 금융권에서 이용중인 이상행위 탐지시스템에서 활용하고 있는 정보를 이용하여 상호공유가 가능하도록 정보공유 규격 개발 추진

- IPR 확보가능분야 및 확보방안 : 정보공유 관련 기술에 대한 IPR 분석을 통해 국내 특허 발굴 전략이 필요하며, 금융기관, 금융회사 등으로 구성된 전문가 그룹 구성 및 운영하여 금융거래 이상 징후 방지 기술 등의 개발을 통한 IPR 확보

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 금융거래 이상 징후 방지 기술을 가진 기업, 운영중인 금융회사 등의 풍부한 경험을 활용하여 추진



(다각화 협력 | 병행) 금융보안거버넌스 프레임워크



국내 TTA

국외ISO/IEC JTC1

TC27

국내참여업체

/기관

금융보안원, 중앙대


표준개발


기술개발

☑ 산업체 ☑ 학계 □ 연구소

기술개발단계



선도국가

/기업미국

표준화단계



선도국가

/기업미국


Ver.2015에 이어 Ver.2016에서도 국외뿐만 아니라 국내에서도 금융분야 뿐만 아니라 정보통신 분야의 정책 조정 등의 이슈가 존재하여 다각적 협력 분야로 선정

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 국외 보안관리 체계 및 표준화 사례 분석을 통해 벤치마킹하여 국내 금융회사 및 금융권에 적합한 프레임워크 및 실행 프로세스를 개발하고, 기존 IT거버넌스로부터 금융보안거버넌스의 차별성을 기반으로 표준프레임워크 개발 및 보급

* 사실 표준화 활동 전략 :

- 2014년부터 금융보안원에서는 금융보안거버넌스에 대한 가이드와 세부 수행방안을 연구중에 있으며, 2015년 금융보안거버넌스에 대한 프레임워크를 개발 진행중임. 금융보안프레임워크 개발 완료 후 국내는 TTA PG504로부터 ISO/IEC JTC1 TC27로 표준 개발 제안

- 금융회사에서는 해당 프레임워크를 활용하여 금융보안 컴플라이언스에 따른 정보보호 통제활동을 구조적으로 수행하여 효율성 있는 정보보호 업무행위의 질을 향상

- 국내 표준화 추진계획 : 2015년 금융위원회-금융감독원, ‘금융IT부문 자율보안체계 확립방안’을 발표하였으며, 금융보안대책에 따라 금융보안원을 중심으로 자율보안체계의 세부 실행과제를 수행중임. 금융회사에 자율적보안체계를 안착시키기 위하여 금융보안거버넌스 프레임워크를 개발하여 국내 표준 추진하고 및 세부 사항을 금융권에 보급·확산을 추진예정

- IPR 확보가능분야 및 확보방안 : 국외 금융보안거버넌스 관련 기술 개발업체 등의 IPR 분석을 통해 국내 특허 발굴 전략 필요하며, 금융기관, 컨설팅 업체, 감사인, 솔루션 개발업체 등으로 구성된 전문가 그룹을 구성 및 운영하여 금융IT 보안관리 관련 기술 등의 개발을 통한 IPR확보

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 현재 금융권의 차세대시스템 개발, 금융IT 보안통제 구축, 내부통제 시스템 구축 등에 풍부한 경험을 가진 회계법인, 보안컨설팅 전문업체, 대학 등을 최대한 활용하여 추진



(다각화협력 | 병행) 바이오인식 응용 서비스



국내TTA,KBID

국외

ISO/IEC JTC1, ITU-T,

ABC(아시아지역 바이오인식

협력체)

국내참여업체

/기관

KISA, ETRI, 인하대, 충북대,

디젠트, 슈프리마


표준개발


기술개발


기술개발단계


1년 뒤짐 선도국대비 85% 수준국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가

/기업미국/ 애플

일본/ 히타치

표준화단계



선도국가

/기업미국/ 애플

일본/ 히타치

Trace Tracking : 적극공략(Ver.2015) → 다각화협력 (Ver.2016)

Ver2015에서는 적극공략 항목으로 분류하였으나, 넓어진 응용 분야와 더불어 다양한 부분의 기술적 협력 및 다각화가 예상됨. 개인 인증 프레임워크 등의 내용을 포함하여 Ver.2016는 의료, 금융, 지급 결제, 교육 등 다각화를 통한 표준화 공략이 필요함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : ISO/IEC JTC1, ITU-T의 표준개발 항목 채택 등 최신 추세를 국내에 적극 반영

* 사실 표준화 활동 전략 : 의장국으로서 대만, 중국, 일본, 싱가폴, 말레이시아, 태국, 인도네시아 등 아시아 8개 회원국으로 구성된 아시아바이오인식컨소시움(ABC)를 통하여 KISA K-NBTC에서 제공하는 바이오인식제품 시험인증서비스에 대하여 사실표준화를 적극 추진하여 아태지역에 국산제품의 해외진출에 기여할 수 있으므로 전략적인 차원에서 추진되어야 할 것으로 판단됨

- 국내 표준화 추진계획 : KBID(한국바이오인식협의회) 등을 통하여 바이오인식 업체들의 의견을 수렴하고, TTA의 PG505를 통하여 바이오인식 응용 서비스 관련 국내 표준화 추진

- IPR 확보가능분야 및 확보방안 : 스마트 워크/러닝을 위한 원격 바이오인증 서비스, 바이오인식 기반 지급결제 서비스, 바이오 보안토큰을 이용한 개인인증 서비스 분야 등에서 정부출연기관, 학계의 긴밀한 연계를 통해 IPR을 확보함

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) KBID 등을 통하여 바이오인식 업체들의 기술 수요를 조사하고, 정부 출연연구기관과 학계를 통한 기술개발을 통하여, 표준항목 및 표준 특허 항목을 도출



(차세대공략 | 병행) 생체신호기반 텔레바이오 인식기술



국내TTA,KBID

국외 ITU-T,ABC

국내참여업체

/기관

KISA, KBID(한국바이오인식협의회) 서울대·연세대학·아산병원,

인하대, 충북대, 삼성전자,

프라디지컴,디젠트,

유니온커뮤니티


표준개발


기술개발


기술개발단계


비등선도국대비 90% 수준국외 □기술기획↦■설계↦□구현↦□프로토타입/시제품↦□상용화

선도국가

/기업미국/ 애플, 대한민국/삼성전자

일본/ 히다찌, 후지쯔

표준화단계



선도국가

/기업미국/ 애플, 대한민국/KISA



Ver.2016에서 새롭게 도출되어 차세대공략으로 분류함. Ver2016에서는 스마트워치 등 웨어러블 디바이스에서 뇌파·심전도 등과 같은 생체신호를 추출하여 스마트 폰을 통하여 비대면 인증기술로 활용이 기대되며, 따라서 이를 이용한 원격의료 개인인증 서비스 및 모바일 지급결제가 활발해 질 것으로 예상됨. 따라서, 이들 차세대 유망분야를 적극 공략하여 신규시장 창출 및 기술 발전을 선도할 수 있음

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : ITU-T SQ17 Q.9 등에 뇌파·심전도 등 생체신호기반의 텔레바이오인식기술에 대하여 신규과제로 제안하여 세계 최초로 국제표준화를 추진할 계획임

* 사실 표준화 활동 전략 : 의장국으로서 대만, 중국, 일본, 싱가폴, 말레이시아, 태국, 인도네시아 등 아시아 8개 회원국으로 구성된 아시아바이오인식컨소시움(ABC)를 통하여 스마트워치 등과 같은 웨어러블 디바이스에 대한 심장박동 등 생체신호 인터페이스 표준규격과 개인식별기술에 대하여 사실표준화를 적극 추진하여 아태지역에서 생체신호기반의 텔레바이오인식 신규시장 창출 가능성이 높을 것으로 사료되므로 전략적 공략이 요구됨

- 국내 표준화 추진계획 : KISA 모바일 생체신호 인증기술 표준연구회, KBID(한국바이오인식협의회) 등을 통하여 웨어러블디바이스 및 바이오인식 개발업체들의 의견을 수렴하고, TTA의 PG505를 통하여 생체신호 인증기술관련 국내 표준화 추진

- IPR 확보가능분야 및 확보방안 : 스마트워치형, 밴드형, 패치형 생체신호센서에 대한 표준 인터페이스규격, 뇌파·심전도 등의 생체신호에 대한 인증기술, 생체신호 성능시험 및 프라이버시 보호기술 등에서 KISA, 대학병원, KBID와 긴밀한 연계를 통해 IPR을 확보함

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) KBID(한국바이오인식협의회) 등을 통하여 웨어러블 디바이스 및 바이오인식 업체들의 기술수요를 조사하고, KISA 모바일 생체신호 인증기술 표준연구회를 통한 기술개발을 통하여, 표준항목 및 표준 특허 항목을 도출



(적극공략 | 병행) 모바일 바이오 인증



국내TTA,KBID

국외ISO/IEC JTC1,

ITU-T,ABC

국내참여업체

/기관

KISA, ETRI, 인하대, 충북대,

디젠트, 슈프리마


표준개발


기술개발


기술개발단계


비슷선도국대비 100% 수준국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가

/기업미국/ 애플, 대한민국/삼성


표준화단계



선도국가

/기업미국/ 애플, 대한민국/삼성


Trace Tracking : 적극공략(Ver.2015) → 적극공략 (Ver.2016)

Ver.2014에서 새롭게 도출되어 적극공략으로 분류함. Ver2016에서는 스마트 폰을 포함한 다양한 모바일 기기에서 지문인식외의 홍채인식 및 얼굴인식 등 다양한 모달리티(Modality)의 바이오인식 센서를 장착할 것으로 전망되며, 따라서 이를 이용한 원격 개인인증 서비스 및 지급결제가 활발해 질 것으로 예상됨. 따라서, 이들 유망분야를 적극 공략하여 시장 및 기술 발전을 선도할 수 있음

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : ISO/IEC JTC1 SC27, SC37과 ITU-T SQ17 Q.9 등에서 채택된 표준개발 항목 등 최신 추세를 국내에 적극 반영

* 사실 표준화 활동 전략 : 의장국으로서 대만, 중국, 일본, 싱가폴, 말레이시아, 태국, 인도네시아 등 아시아 8개 회원국으로 구성된 아시아바이오인식컨소시움(ABC)를 통하여 삼성페이 등 한국의 모바일 지급결제서비스에서 적용하는 모바일 바이오인증기술에 대하여 사실표준화를 적극 추진하여 아태지역에 국산제품의 해외진출에 기여할 수 있으므로 전략적인 차원에서 추진되어야 할 것으로 판단됨

- 국내 표준화 추진계획 : KBID(한국바이오인식협의회) 등을 통하여 바이오인식 업체들의 의견을 수렴하고, TTA의 PG505를 통하여 모바일 바이오인증 관련 국내 표준화 추진

- IPR 확보가능분야 및 확보방안 : 바이오 보안 토큰을 이용한 개인인증 프레임워크, 모바일 디바이스에서의 바이오정보와 개인식별 정보의 연계 방안, 모바일 다중 바이오 인증분야 등에서 정부출연기관, 학계의 긴밀한 연계를 통해 IPR을 확보함

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) KBID(한국바이오인식협의회) 등을 통하여 바이오인식 업체들의 기술 수요를 조사하고, 정부 출연연구기관과 학계를 통한 기술개발을 통하여, 표준항목 및 표준 특허 항목을 도출



3.3.2. 융합 보안


High

전

략

적

중

요

도(IPR

확보

가능성,

시장/

기술적

파급

효과,

정책

부합성

등)

Low


◑ 스마트그리드 보안관리

◑ 스마트그리드 기기 보안

◑ 전자건강기록 보안 프레임워크 기술

◑ 개인건강기록 서비스 보안


◑ 스마트그리드 보안 기능 구조

◑ V2X 통신 보안 프레임워크






Ver.2016


¡ 융합 보안 표준화항목 목록

No. 표준화항목 대응 전략표준 및 기술개발

추진 방식

1 스마트그리드 보안 기능 구조 적극공략 병행

2 스마트그리드 보안관리 차세대공략 병행

3 스마트그리드 기기 보안 차세대공략 병행

4 V2X 통신 보안 프레임워크 적극공략 병행

5 전자건강기록 보안 프레임워크 기술 차세대공략 병행

6 개인건강기록 서비스 보안 차세대공략 병행



(적극공략 | 병행) 스마트그리드 보안 기능 구조



국내TTA,


국외ITU-T, NIST, ISO/IEC 등

국내참여업체

/기관

KISA, 국보연, ETRI, KT,

지능형전력망협회 등


표준개발

☑ 포럼 ☑ TTA ☑ 국표원

기술개발


기술개발단계


0.5년 뒤짐 선도국대비 95% 수준국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가


표준화단계

국내 □기획↦□항목승인↦□개발/검토↦■최종검토↦□제/개정


선도국가



Ver.2015에서는 표준개발단계로 ‘적극공략’ 항목으로 분류되었으며, 현재 ITU-T 국제표준화가 상당 부분 진행된 상황이고 스마트그리드 기술에 대한 국가적인 관심에 따라 Ver2016에서는 ‘적극공략’ 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : ITU-T SG17을 통해 스마트그리드 보안 기능 구조 표준안을 국제표준으로 추진하면서, 스마트그리드 및 정보보호 전문가 의견 수렴을 통해 개발된 국내 표준안을 기반으로 국제표준화를 병행 추진함

* 사실 표준화 활동 전략 : ITU-T SG17에서 개발 중인 스마트그리드 보안 기능 구조 표준안은 ISO/IEC 등과 협력이 될 수 있는 방안 필요

- 국내 표준화 추진계획 : 스마트그리드 및 정보보호 관련 산·학·연 전문가 의견수렴을 통해 개발된 스마트그리드 보안 기능 구조 표준안을 TTA PG504를 통해 국내 표준화로 진행하면서, 의견 수렴 및 논의를 통해 개선

- IPR 확보가능분야 및 확보방안 : 전세계적으로 스마트그리드 기술에 대한 국내외 IPR 확보를 위한 활동이 증가하고 있으며, 국내에서도 기술개발 및 실증사업 경험을 통해 개발된 원천기술들에 대한 IPR 확보가 필요함

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 스마트그리드 기술개발 및 실증사업 경험을 통해 기술력 및 특허를 확보하고 국제표준화 병행을 위해 표준화 항목을 제안하는 등 주도적인 표준화를 추진할 수 있도록 하여 국내 우수기술이 표준에 반영되도록 추진



(차세대공략 | 병행) 스마트그리드 보안관리



국내TTA,



국내참여업체

/기관

KISA, ETRI, KT, 국보연,

지능형전력망협회 등


표준개발

☑ 포럼 ☑ TTA □ 국표원

기술개발


기술개발수준


0.5년 뒤짐 선도국대비 95% 수준

국외 □기술기획↦□설계↦■구현↦□프로토타입/시제품↦□상용화

선도국가


표준화수준


국외 ■기획↦□항목승인↦□개발/검토↦□최종검토↦□제/개정

선도국가



스마트그리드 보안관리는 Ver.2015에서 ‘차세대공략’ 항목으로 분류되었으며, 국가적으로

스마트그리드 보안관리에 대한 관심 증가와 향후 표준화 추진 전망을 고려하여 Ver.2016에서도

‘차세대공략’ 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 전반적인 스마트그리드 보안관리에 대한 연구를 통해 국내표준안과 함께 국제표준화를 추진할 수 있도록 계획을 수립하고, 국제표준화를 선도할 수 있도록 스마트그리드 보안 표준화를 추진하고 있는 ITU-T SG17에서의 표준화를 추진

* 사실 표준화 활동 전략 : ITU-T SG17의 스마트그리드 보안관리 국제 표준화 추진 시에는 ISO/IEC 등으로 표준 연계가 되도록 계획 수립을 고려

- 국내 표준화 추진계획 : 국내 스마트그리드 시범사업, 실증단지 등 환경 분석을 통해 스마트그리드에 적합한 보안관리 방안에 대한 연구 및 계획을 수립하고, 산·학·연 전문가에게 의견 수렴 및 자문을 통하여 표준안 마련과 검토를 진행. 국내 표준화는 스마트그리드 표준화 포럼 및 TTA PG504 등을 통해 진행될 계획

- IPR 확보가능분야 및 확보방안 : 국내 스마트그리드 시범사업, 실증단지 등 환경 분석을 통해 스마트그리드에 적합한 보안관리 방안에 대한 연구 및 계획을 수립하고, 산·학·연 전문가에게 의견 수렴 및 자문을 통하여 표준안 마련과 검토를 진행. 국내 표준화는 스마트그리드 표준화 포럼 및 TTA PG504 등을 통해 진행될 계획

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 스마트그리드 실증단지 운영을 통해 검증된 원천기술을 통해 기술력 및 특허를 확보하고, 스미트그리드 보안관리 관련 국내외 표준화 항목 제안 등을 통한 연구 시 국내 원천기술 및 특허기술이 표준에 반영될 수 있도록 추진



(차세대공략 | 병행) 스마트그리드 기기 보안



국내TTA,



국내참여업체

/기관

KISA, KT, ETRI, 지능형전력망협

회 등


표준개발

☑ 포럼 ☑ TTA ☑ 국표원

기술개발


기술개발단계


0.5년 뒤짐 선도국대비 95% 수준국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가


표준화단계



선도국가



Ver.2015에서 스마트그리드 기기 보안은 ‘차세대공략’ 항목으로 분류되었으며, 국가적으로

스마트그리드에 대한 기대가 크고 다양한 스마트그리드 관련 기기들이 활용될 것으로 예상되어

Ver.2016에서도 ‘차세대공략’ 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 국내 스마트그리드 기기 보안 기술을 바탕으로 개발된 표준안과 국외 스마트그리드 기기 보안 기술 및 정책 등에 대한 분석을 바탕으로 국제 표준안을 개발하고, ITU-T SG17을 통해 스마트그리드 기기 보안 관련 국제표준화를 추진

* 사실 표준화 활동 전략 : ITU-T SG17를 통해 추진되고 있는 국제 표준안은 ISO/IEC 등의 표준화 기구와의 협조가 요구될 것임

- 국내 표준화 추진계획 : 스마트그리드 환경에서 사용되는 스마트 미터 등의 스마트그리드 기기 사용 환경에 대한 분석 및 보안기술 연구개발을 통해 표준안을 개발하고 주요 스마트그리드 기기 제조업체 및 정보보호 전문가 의견수렴을 통해 표준안을 개발하고 스마트그리드 표준화 포럼 및 TTA PG504를 통해 국내 표준화를 진행

- IPR 확보가능분야 및 확보방안 : 전세계적으로 스마트그리드 관련 국내외 IPR 확보를 위한 활동이 증가하고 있으며, 국내에서도 기술개발 및 실증사업 경험을 통해 개발된 원천기술들에 대한 IPR 확보가 필요함

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 스마트그리드 기기 보안 기술개발 및 실증사업 경험을 통해 기술력 및 특허를 확보하고 국제표준화 병행을 위해 표준화 항목을 제안하는 등 주도적인 표준화를 추진할 수 있도록 하여 국내의 우수기술이 표준에 반영되도록 추진



(적극공략 | 병행) V2X 통신 보안 프레임워크



국내 TTA

국외ITU-T, ISO,

IEEE

국내참여업체

/기관

ETRI, TTA

표준개발 주체

표준개발


기술개발


기술개발수준


2년 뒤짐 선도국대비 80% 수준국외 □기술기획↦□설계↦□구현↦■프로토타입/시제품↦□상용화

선도국가

/기업독일/Escrypt

표준화수준


국외 ■기획↦□항목승인↦□개발/검토↦□최종검토↦□제/개정

선도국가

/기업

Trace Tracking : 적극공략(Ver.2015) → 적극공략 (Ver.2016)

Ver.2015에서 표준화 기획단계의 적극공략 항목으로 지정되었으며, 2015년 ITU-T SG17에서 신규

아이템으로 선정되어 표준화 작업이 진행 중이므로 우리나라의 표준화 주도가 필요한 분야로서

Ver 2016에서도 적극 공략 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : ITU-T SG16에서 지능형 교통 시스템(ITS)에 관한 표준화 작업이 진행 중이며, ITS 보안 표준 개발은 SG17에서 추진 중이며, 이에 대응하기 위한 표준기고서 작성 및 Work Item 제안이 요구됨

* 사실 표준화 활동 전략 : 차량 통신 보안 기술 표준화는 IEEE 1609 Working Group에서 추진되고 있으므로, ITU-SG17, ISO TC204 표준화 추진안과 협력하여 사실 표준화 활동 추진

- 국내 표준화 추진계획 : 정부출연연기관, 학계 및 관련 기업의 연계를 통하여, TTA 응용보안 및 평가인증 프로젝트그룹(PG504)에서 표준화 추진

- IPR 확보가능분야 및 확보방안 : 정부출연연구기관, 학계, 기업의 긴밀한 연계를 통한 우수 IPR 개발

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 관련 IPR만 확보된다면 ITU-T SG17과 같은 기확보된 에디터쉽을 충분히 활용해 표준 특허 창출 가능함. 아울러, 기술을 주도하는 업체가 존재하는 바, 이들과의 IPR을 비교 분석하는 체계적인 전략이 요구됨



(차세대공략 | 병행) 전자건강기록 보안 프레임워크 기술




표준원

국외 ISO, HL7

국내참여업체

/기관

TTA, 식약청

표준개발 주체

표준개발

□ 포럼 ☑ TTA ☑ 국표원

기술개발


기술개발수준



선도국가

/기업미국/HL7

표준화수준


국외 □기획↦□항목승인↦□개발/검토↦■□최종검토↦□제/개정

선도국가

/기업미국/HL7

Trace Tracking : 차세대공략(Ver.2015) -> 차세대공략 (Ver.2016)

2015년 Ver.2015에서 의료정보보안이라는 항목으로 차세대공략으로 지정하였으며, Ver.2016에서는

“전자건강기록 보안 프레임워크 기술”로 항목명을 변경하고 차세대공략 항목으로 분류하였음.

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 국제 특허분야에서 후발주자로서, 해당 분야에 대한 전문 인력을 양성하고, 국내 보안표준의 적용 및 국제 표준을 준용하는 방법을 통해 국제 표준에 대응하며, 이후 국내 기술력을 바탕으로 국제 표준화에 참여

* 사실 표준화 활동 전략 : 의료정보시스템 보안에 대해 명시하고 있는 ISO TC 215 표준안들과 협력하여 시스템들의 표준 서비스 지원과 표준화 활동 지원

- 국내 표준화 추진계획 : 전자건강기록에 대한 보안 이슈는 개인정보보호법이 강화된 이후 이슈화된 문제들을 포함하여 개념들이 제대로 정립되지 못한 부분으로 정부산하기관 및 출연연구소와 협력하여 보안 표준화 추진

- IPR 확보가능분야 및 확보방안 : 국내 전자건강기록 시스템 시장은 지속적 발전을 통해, 최고의 기술수준을 확보하고 있지만 보안의 중요성은 간과되어 왔고, 최근 발생하고 있는 건강정보 유출 건 등을 통해 그 중요성 및 시급성에 대한 인지가 높아지고 있는 상황으로서 연구기관, 학계, 기업들간의 협력을 통해 실효성 높은 IPR에 대한 확보가 가능함

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 의료시장의 특성상 신뢰성 확보를 위해, 확보 가능한 IPR을 기반으로 적용사례를 만들고, 이를 국내시장 뿐만 아니라 국외 시장에 대한 적용을 통해, 표준화 및 표준특허에 대한 확보가 가능



(차세대공략 | 병행) 개인건강기록 서비스 보안




표준원

국외 ISO, IEEE, HL7

국내참여업체

/기관

TTA, 식약청

표준개발 주체

표준개발

□ 포럼 ☑ TTA ☑ 국표원

기술개발


기술개발수준



선도국가

/기업미국/Apple, Google

표준화수준


국외 □기획↦□항목승인↦□개발/검토↦■최종검토↦□제/개정

선도국가

/기업미국/Apple, Google


개인건강기록 시장이 확대됨에 따라, 해당 서비스들이 나타나고 있으나, 국내 시장은 해당분야의

초기 진입단계로 보안에 대한 문제들에 대한 고려없이 시범서비스 중심으로 서비스가 진행되고

있는바, 이에 신규항목으로 추가하고 차세대 공략 항목으로 분류함

Ver.2016


- 대응체계

- 국제 표준화 대응방안 : 국제 특허분야에서 후발주자로서, 해당 분야에 대한 전문 인력을 양성하고, 국내 서비스를 통해 검증된 국내 표준을 바탕으로 국제표준화에 대응

* 사실 표준화 활동 전략 : ISO 및 ITU에서 개발 중인 국제 표준안에 대응한 서비스 적용을 통해 사실 표준화 활동

- 국내 표준화 추진계획 : 정부산하기관 및 출연연구소와 협력하여, 국내 개인건강정보 서비스에 대한 데이터, 통신 및 개인건강기기에 대한 보안 표준화 추진

- IPR 확보가능분야 및 확보방안 : 최근 활발히 움직이고 있는 시장으로서, 지속적으로 새롭게 생겨다는 다양한 서비스에 대응할 수 있는 IPR들에 대한 확보

- 기술개발·표준화·표준특허 연계방안 : (기술개발-표준화 병행추진) 다양한 기술 개발 및 IP의 확보 및 적용 사례들을 꾸준히 만들어내는 것을 통해, 뛰어난 IPR을 확보하고 이를 통해 표준특허와 연계




¡ 중기(2016~2018) 표준화 계획


Ver.2016


➁ 융합 보안



¡ 장기(~2025) 표준화 계획

Ver.2016


[참고문헌]

[1] ICT 표준화 전략맵 Ver.2014, 2014.2

[2] NIS 등, “2014 국가정보보호백서”, 2014.4

[3] TTA, “ICT 표준개발맵 ver.2014”, 2014.1

[4] KISIA, KDCA, “2013 국내 정보보호 시장 동향과 전망”, 2013.12

[5] ETRI 전자통신동향분석, “인터넷 환경의 유해 정보 차단 기술 동향”, 2013.6

[6] 임석재, 염흥렬, “개인정보보호 관리체계 인증 제도 운영 현황 및 국제 표준화 동향”,

Internet & Security Focus 2013.5

[7] KISA, “2012 국내 지식정보보안산업 실태조사”, 2012.11

[8] 한국정보보호학회 정보보호학회지, "정보통신망에서의 온라인 아동보호(COP) 국제표준화

동향", 2012.5

[9] TTA, “정보통신표준 활용실태 및 수요조사 보고서 ver.2010”, 2010

[10] ETRI, “Digital Identity Management - 2009년 기술 백서”, 2009.11

[11] ETRI 주간기술동향, “국내외 ID관리 기술 표준화 동향”, 2008.7.16

[12] KISA, “다양한 보안 프로토콜에서의 SEED 이용 가이드라인”, 2008.6

[13] KISA, “암호정책 수립 기준 설명서”, 2008.10

[14] 미래창조과학부, “12년도 빅데이터 기반 스마트서비스 촉진 기반조성”, 2013

[15] 산업통상자원부, “2013년도 지능형전력망 시행계획”, 2013

[16] 기술표준원, “빅데이터 산업 및 표준화 분석 보고서”, 2013

[17] “지능형전력망 정보의 보호조치에 관한 지침”, 2012

[18] “지능형전력망의 구축 및 이용촉진에 관한 법률”, 2011

[19] IDC, “Worldwide IT Security Products 2013-2017 Forecast and 2012 Vendor Shares:

Comprehensive Security Product Review”, 2013.11

[20] IDC, “Worldwide Identity and Access Management 2010-2014 Forecast : A First Look in

2010”, 2010.3

[21] NIST, “Big Data Outline: Combining Brainstorming Deliverables”

[22] MITRE Trusted Automated eXchange of Indicator Information(TAXII),

https://taxii.mitre.org/specifications/version1.1/

[23] MITRE Structured Threat Information eXpression(STIX),

http://stix.mitre.org/language/version1.1/

[24] 정보통신용어사전, http://www.tta.or.kr

[25] TTA 정보통신표준화위원회, http://committee.tta.or.kr

[26] Biometrics Research Group, Inc. , http://www.biometricupdate.com/research, 2014



3GPP 3rd Generation Partnership Project

AES Advanced Encryption Standard

AMI Advanced Metering Infrastructure

API Application Programming Interface

APT Advanced Persistent Threat

ARIA Academy, Research Institute, Agency

ARIB Association of Radio Industries and Businesses

ASTAP Asia Pacific Telecommunication Standardization Program

ATIS Alliance for Telecommunications Industry Solutions

ATUM Address Traces Using Microcode

BERC Biometric Engineering Research Center

BLE Bluetooth Low Energy

BYOD Bring Your Own Device

C&C Command & Control

CAB Conformity Assessment Board

CAGR Compound Annual Growth Rate

CAPEC Common Attack Pattern Enumeration and Classification

CAT Credit Authorization Terminal

CC Common Criteria

CCRA Common Criteria Recognition Arrangement

CCSA China Communications Standards Association

CDNi Content Delivery Networks Interconnection

CEM Centre for Evaluation and Monitoring

CERT Computer Emergency Response Team

CISSP Certified Information Systems Security Professional

CMS Cryptographic Message Syntax

COP Child Online Protection

CORS Cross Origin Resource Sharing

CSA Cloud Security Alliance

CVE Common Vulnerabilities and Exposures

CWE Common Weakness Enumeration

DASH Dynamic Adaptive Streaming over HTTP

DBMS Database Management System

DES Data Encryption Standard

DLP Data Loss Prevention

DMTF Distributed Management Task Force

DRM Digital Rights Management

EAP Extensible Authentication Protocol

EMR Electronic Medical Records

EMV Europay MasterCard Visa

ETRI Electronics and Telecommunications Research Institute

ETSI European Telecommunications Standards Institute

FCCX Federal Cloud Credential Exchange

FG Focus Group

[약어]

Ver.2016


FIDO Fast IDentity Online

FIF Future Internet Forum

GSMA Global System Mobile communications Association

HCE Host-based Card Emulation

HIGHT HIGh security and light weigHT

HSM Hardware Security Module

IAM Identity and Access Management

IC Integrated Circuit

ICT Information and Communication Technology

ID IDentity

id, Id Identifier

IdM Identity Management

IEC International Electrotechnical Commission

IEEE Institute of Electrical and Electronics Engineers

IETF Internet Engineering Task Force

IKE Internet Key Exchange

IoT Internet of Things

i-PIN Internet Personal Identification Number

IPR Intellectual Property Right

IPSec IP Security

ISACA Information Systems Audit and Control Association

ISC2 IT Certification and Security Experts

ISMS Information Security Management System

ISO International Organization for Standardization

ISO/IEC JTC1 ISO/IEC Joint Technical Committee 1

ISP Internet Service Provider

ITU-T International Telecommunication Union - Telecommunication Standardization Sector

KBF Korea Biometrics Forum

KCMVP Korea Cryptographic Module Validation Program

KISA Korea Information & Security Agency

KISTI Korea Institute of Science and Technology Information

KS Korean Industrial Standards

LEA Lightweight Encryption Algorithm

M2M Machine to Machine

MITRE Massachusetts Institute of Technology Research & Engineering

MITB Man-in-the-Browser

MITM Man-in-the-Middle attack

MOC Machine-Oriented Communication

MOCCA Modular Open Citizen Card Architecture

NFC Near Field Communication

NFV Network Functions Virtualization

NGN Next Generation Network

NIST National Institute of Standards and Technology

NSRI National Security Research Institute

OASIS Organization for the Advancement of Structured Information Standards

OATH Open AuTHentification

OCC Open Cloud Consortium



ODCA Open Data Center Alliance

OMA Open Mobile Alliance

OMTP Open Mobile Terminal Platform

ONF Open Network Foundation

OTP One Time Password

OWASP The Open Web Application Security Project

P3P Platform for Privacy Preference Project

PG Project Group

PHR Personal Health Record

PIMS Personal Information Management System

PKI Public Key Infrastructure

POS Point of Sale

RFC Request for Comments

RFID Radio-Frequency Identification

RSA Rivest, Shamir, Adleman

SaaS Software as a Service

SAML Security Assertion Markup Language

SDN Software Defined Networks

SG Study Group

SHA Secure Hash Algorithm

SIEM Security Information and Event Management

SIM Subscriber Identity Module

SNS Social Networking Service

SOA Service-Oriented Architecture

SRTP Secure Real-time Transport Protocol

SSL Security Socket Layer

SSO Single Sign On

SVM Security & Vulnerability Management

SWG Sub Working Group

TC Technical Committee

TCI Trusted Cloud Initiative

TEE Trusted Execution Environment

TIA Telecommunications Industry Association

TLS Transport Layer Security

TPM Trusted Platform Module

TR Technical Report

TSAG Telecommunication Standardization Advisory Group

TTA Telecommunications Technology Association

URL Uniform Resource Locator

USIM Universal Subscriber Identity Module

V2X Vehicle to Everything

W3C World Wide Web Consortium

WAVE Wireless Access in Vehicular Environments

WG Working Group

XACML eXtensible Access Control Markup Language

XDI XRI Data Interchange

XRI eXtensible Resource Identifier

1. 본 보고서는 정부 기금사업의 일환으로 발간된 자료입니다.

2. 본 보고서의 무단 복제를 금하며, 내용을 인용할 시에는 반드시

정부 기금사업의 연구결과임을 밝혀야 합니다.

○ 총괄책임자 : 위규진 (TTA 표준화본부장)

○ 사업책임자 : 장종표 (TTA 표준기획부장)

○ 표준기획부 : 강부미, 전철기, 김영재, 박정환, 김학훈, 고준호,

전지윤, 이지영, 오정엽

K-ICT 표준화전략맵 Ver.2016

종합보고서 6

2015년도 11월 30일 인쇄

2015년도 12월 31일 발행

발행소 :

발 행인 : 임 차 식

발간번호 : TTA-15106-SD

인 쇄 처 :

13591, 경기도 성남시 분당구 분당로 47Tel : 031-724-0054 Fax : 031-724-0089http://www.tta.or.kr

[ |애드월드 ] Tel. 02-2271-0369

Documents

K-ICT Standardization Strategy Map Ver · 보안평가 측면에서는 정보보호제품 평가를 위한 제품 기술 별 평가기준 및 평가방법론에 대한 개발이 ccra(국제상호인정협정)