IT Security Evaluation Methods Lecture Notes (3/7)

고려대학교정보보호대학원

마스터 제목 스타일 편집


History of CC- Domestic -





3

정보보호제품이 얼마나 안전한가?

일반기업 및 공공기관들이 정보를 얼마나안전하게 관리, 보호하고 있는가?

Domestic Information Security Policies



4

정보보호제품이 얼마나 안전한가?



5

Brief History

1995. 08 정보화촉진기본법 및 동법 시행령 제정

1998. 02 정보보호시스템 침입차단시스템 평가기준 고시 및 평가시행

2000. 07 정보보호시스템 침입탐지시스템 평가기준 고시 및 평가시행

2000. 08 정보보호시스템 평가·인증 지침 개정

2001. 01 정보통신망이용촉진 및 정보보호 등에 관한 법률 제정

2002. 08정보보호시스템 공통평가기준 고시

침입차단/침입탐지/가상사설망 평가시행

2003. 11 운영체제보안, 지문인식시스템, 스마트카드 평가시행

2004. 09 CCRA 인증서 발행국 가입신청

2005. 05 CC로 평가기준 일원화, 정보보호시스템 모든 제품으로 평가대상 확대

2006. 05 CCRA 인증서 발행국 가입

2007. 07 / 08 한국산업기술시험원(7월), 한국시스템보증(8월) 민간평가기관 등록

2007. 08복수 평가기관 제도 도입 근거 마련

정보화촉진기본법 시행령 개정[`07. 8. 17, 대통령령 제 20227호]



6

국가정보원은 "( )"를갖추기 위해 CC 평가인증제도 시행과CCRA 가입을 추진함.

글로벌 수준에 맞는 평가체계 운영으로정보보호 제품의 품질과 안전성을 더욱높임으로써, 결과적으로 국제적인 산업경쟁력을 높일 수 있게 됨.

또한 그 평가체계를 기반으로 안전성과신뢰성을 확보한 정보보호 제품을 쓰는국가기관의 보안수준을 높이는 데에도 큰역할을 할 것이란 논리를 갖고 있었음.

K & CC 병행



7

F/W, IDS 등정보보호시스템

(6종)

PC보안 제품 등기타 정보보호

시스템

국가기관도입

국가용 PP 준수

보안목표명세서 평가

K & CC 병행



8

평가등급 호환성

K 등급 CC 등급

‘가’급 수준 자료

‘나’급 수준 자료

‘다’급 수준 자료

K & CC 병행



9

사용자(각급기관)

제품공급자

제품공급자


CC로 일원화, 그러나…



10

( ) : 정부기관 및공공기관에서 보안제품을 도입할 경우국정원이 안성성을 확인해 주는 제도

과거에는 6개 CC 평가대상 제품군 외의제품에 한해 적용했으나, 2005년부터 전제품군으로 확대




11

국가정보원 인증기관(IT 보안인증사무국)

인정기관(기술표준원)

평가기관(KISA)

인정

평가신청인

사 용 자 정부기관 공공기관 외국정부 보안사회

평가결과

평가업무관리감독

인증서 발급

평가자문

평가신청제품및 보호프로파일

( ISO 17025 적합여부 심사 )




12

암호모듈 : 검증대상 보호 함수를 구현한하드웨어, 소프트웨어, 펌웨어의 집합

암호검증제도 : ( )정보통신망에서 소통되는 자료 중에서( )의 보호를위해서 사용되는 암호모듈의 안전성과구현 적합성을 검증하는 제도

KCMVP (암호검증제도) 시행



13




14


기타 보안기능 암호기능



15


기타 보안기능 암호기능



16


검증위원회官·學·硏 전문가 15명

암호모듈 시험기관

검증기관

신청인

암호모듈 개발업체

지침고시기관

암호검증시험 신청암호모듈 시험

암호모듈시험결과 승인

암호모듈 시험결과 검토암호모듈 시험 및 검증 지침고시 및 집행

정책 및 법제 협의



17

정보보호제품 평가기관 복수운영 체제로전환됨.

정보보호시스템 평가기관으로 기존의 유일한평가기관이던 KISA 외에 국가정보원장이지정하는 기관으로 바뀜.

평가적체와 복수평가기관 지정



18

평가적체와 국내용 CC 시행

국제용 인증서 국내용 인증서



19

∗ CCRA 수준의 제품 평가

∗ 국제용 평가 인증서는 CCRA 회원국들 간에 상호 인정됨

국제용 CC 평가인증제도

∗ 평가보증등급에서 요구하는 평가항목 중 ( )과 ( )을 제외한

일부 항목을 ( )하여 평가

∗ 국내용 평가 인증서는 ( ) 인정됨

국내용 CC 평가인증제도

※ 국제용, 국내용 인증서 모두 국내에서는 동일한 효력을 가짐

평가적체와 국내용 CC 시행



20

보안적합성검증제도 개선사용자

(각급기관)

보안적합성제품

공급자사용자

(각급기관)





보안적합성

보안적합성

보안적합성

제품공급자



21

2008년 6월부터 ‘( )’정책시행

보안적합성검증제도를‘( )을개선하는 절차’로 운영하자는 취지

보안적합성검증제도 개선



22

국가용암호제품지정제도 시행

암호기능 기타 보안기능



23

국가용 암호제품 지정제도 대상 제품군은암호가 주 기능인 ‘암호기반 제품’이며상세 제품군은 다음과 같음.

국가용암호제품지정제도 시행



24

7.7 DDoS와 별도지정제도 시행



25

국가안보 등을 위해 긴급 도입이 필요하나CC인증 등 검증을 필한 제품이( )한 경우

일정조건이 갖추어진 제품에 한해별도지정제도를 통해 ( )을 실시




26




27

보안적합성검증제도 또 개선



28

보안기능이 단순하거나 국가기관에 시급히도입해야 하는 제품에 적용해온( )해, 그 대상이었던디가우저·이레이저 등 완전삭제제품은도입시 보안적합성 검증제도를 통해안전성을 검증받도록 함.

지난 2005년 국가기관에 도입되는 ( ) 정보보호 제품에 의무 적용됐던 CC 인증대상을 ( )함.

정보보호기술 및 환경 변화에 따라 CC인증대상을 추가·변경할 수 있고, 최신 변경사항을향후 IT보안인증사무국 홈페이지에 공지토록 함.




29

국내용 CC인증 제품과 국가용 암호제품은( ), 특정기관에서 도입해 보안적합성 검증을받은 제품을 다른 기관이 도입할 땐( ) 사용할수 있도록 함.




30

“단순" 명칭 변경



31

CC 인증기관 업무 국보연 이관



32

CC 업무 미래부 이관



33

CC 업무 미래부 이관



34

기관이 얼마나 안전한가?



35

주요정보통신기반보호제도 : 국가주요정보통신기반시설을 해킹 등의위협으로부터 보호할 수 있도록 취약점분석·평가, 보호대책 수립 등에 필요한기술을 지원하여 동 기반시설의 안정적인운영을 도모코자 하는 제도. 지정은( )에 법적 근거를두며, 민간 부문 기반 시설은( )가, 공공부문은 ( )이중심적 역할을 함.

KCIIP 시행



36

정보보호관리체계 : 개별 기관이 자신이처한 정보보호환경에 대응하여정보자산을 효율적으로 보호하기 위해체계적으로 수립․운영하고 있는정보보호대책 및 관리, 운영체계

인증심사 : 조직의 정보보호관리 체계가처해진 정보보호환경에 적절하게수립·운영되고 있는지에 대하여, 관련문서및 절차 등의 검토와 문서의 내용 등에대한 실제 현장 점검을 통해 실시 국외유사제도 : BS7799인증(정보보호관리체계인증), ISO9001(품질경영시스템 인증) 등

KISMS 시행



37

정보보호안전진단제도 : 주요정보통신서비스제공자(ISP), 집적정보통신시설사업자(IDC), 쇼핑몰 등의 정보통신망에 대한침해사고 예방을 위하여 관리적, 기술적, 물리적 정보보호지침(안전진단기준)를이행하고, 안전진단수행기관으로부터안전진단을 받음으로써 정보통신망 및정보통신서비스에 대한 안정성 및 신뢰성 을확보하기 위한 제도

안전진단 대상자는 매년 1월 1일부터 12월 31일사이의 기간 내에 안전진단수행기관으로부터정보보호 안전진단을 받아야 함

2003.1.25 대란과 KISCS 시행



38

실효성이 낮은 정보보호안전진단 제도를폐지하고 정보보호 관리체계 인증제도로일원화

정보 보호에 대한 특정 기준(최소 보안요구수준)을 정부가 제시하고 그 만족 여부를 따지는( ) -> 기업에서자율적으로 판단해 정보 보호 수준 제고를 목표로하는 ( )

의무화 대상 : 정보통신망서비스 제공자(ISP), 집적정보통신시설 사업자(IDC), 정보통신서비스 제공자가운데 정보통신부문 연매출액 100억원 이상 또는전년도말 기준으로 직전 3개월간 하루평균 이용자수가100만명 이상인 사업자

KISCS 폐지, ISMS로 일원화!




History of CC- Domestic -

Engineering

IT Security Evaluation Methods Lecture Notes (3/7)