The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

A Study of Protection Profile and Analysis of Related Standard for Internet Banking Systems

인터넷 뱅킹 시스템 관련 표준 분석 및 보호프로파일 개발에 관한 연구

  • 조혜숙 (성균관대학교 전자전기컴퓨터공학과) ;
  • 김승주 (성균관대학교 정보통신공학부) ;
  • 원동호 (성균관대학교 정보통신공학부)
  • Received : 2010.01.25
  • Accepted : 2010.05.17
  • Published : 2010.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

Due to the advance of Internet, offline services are expanded into online services and a financial transaction company provides online services using internet baning systems. However, security problems of the internet banking systems are caused by a lack of security for developing the internet banking systems. Although the financial transaction company has applied existing internal and external standards, ISO 20022, ISO/IEC 27001, ISO/IEC 9789, ISO/IEC 9796, Common Criteria, etc., there are still vulnerabilities. Because the standards lack in a consideration of security requirements of the internet banking system. This paper is intended to explain existing standards and discusses a reason that the standards have not full assurance of security when the internet baning system is applied by single standard. Moreover we make an analysis of a security functions for the internet baning systems and then selects the security requirements. In this paper, we suggest a new protection profile of the internet baning systems using Common Criteria V.3.1 from the analysis mentioned above.

인터넷의 발달로 기존의 많은 오프라인 서비스가 온라인 서비스로 확장되면서 금융 거래 서비스 역시 편리성을 이유로 인터넷 뱅킹 시스템을 통해 서비스가 제공되고 있다. 하지만 인터넷 뱅킹 시스템 개발 과정에서 보안성에 대한 고려가 부족하여 여러 보안 문제점을 갖고 있고 실제로 인터넷 뱅킹 시스템에 보안 사건들이 빈번하게 일어나고 있는 실정이다. 이런 문제점을 해결하기 위하여 금융기관은 ISO 20022, ISO/IEC 27001, ISO/IEC 9789, ISO/IEC 9796 등의 국외 표준과 웹 환경 구축 및 운영을 위한 보안관리 지침, 전자상거래 표준화 로드맵 등 국내 표준을 적용하고 있지만 인터넷 뱅킹 시스템에 관한 보안요구사항 등이 제대로 고려되지 않아 여전히 취약성이 발생하고 있다. 본 논문에서는 기존 표준들에 대해서 설명하고 인터넷 뱅킹 시스템에 단일 표준 적용시 보안을 보증하지 못하는 이유에 대해서 살펴본다. 또한 인터넷 뱅킹 시스템의 취약성을 설명하고 보안기능을 분석해 그 특징에 맞는 보안기능 요구사항을 도출하고 이를 통해 공통평가기준 V3.1을 참고로 하여 인터넷 뱅킹 시스템의 보안을 강화하기 위해 특화된 보호프로파일을 제안한다.

Keywords

References

  1. 김성천, 장희만, 신용녀, “범금융 산업 메시지 체계 표준화 동향”, TTA Journal No.126, 2009.
  2. ISO, International Standards ISO/IEC 27001, “Information technology Security Techniques-Information security management Systems-Requirements,” 2005.
  3. 정보시스템의 구축.운영 기술 지침, 정보통신부 고시 제2006-37호, 2006. 9. 11.
  4. ISO/IEC 2nd WD 15446, Guide for the production of protection profiles and security targets, 2007. 01. 22.
  5. James C. Foster, Vitaly Osipov and Nish Bhalla, “Buffer Overflow Attacks,” 2005.
  6. The Open Web Application Security Project, “OWASP TOP 10” www.owasp.org., 2010.
  7. 조혜숙 외5, “상이한 DRM 시스템의 호환성을 위한 보호프로 파일 개발에 관한 연구”, 정보처리학회논문지C, 제16-C권, 제1호, 2009.2. https://doi.org/10.3745/KIPSTC.2009.16-C.1.1
  8. International Standard ISO/IEC 18045, “Common Methodology for Information Technology Security Evaluation,” Version 3.1, Revision 3, 2009.07.
  9. International Standard ISO/IEC 15408, “Common Criteria for Information Technology Security Evaluation, Part1,” Version 3.1, Revision 3, 2009.07.
  10. International Standard ISO/IEC 15408, “Common Criteria for Information Technology Security Evaluation, Part2,” Version 3.1, Revision 3, 2009.07.
  11. International Standard ISO/IEC 15408, “Common Criteria for Information Technology Security Evaluation, Part3,” Version 3.1, Revision 3, 2009.07.
  12. 정보통신부, “전자거래 안전성 강화 종합대책”, 2005.09.
  13. 전자금융거래법, 법률 제9325호, 2008.12.
  14. 한국정보통신기술협회, “OTP 암호키관리 보안 요구사항”, 2009.12.
  15. 송성현, 남형준, 권태경, “MITM 공격에 강인한 OTP시스템 설계”, 한국정보보호학회, 2009.6.
  16. 한국정보통신기술협회, “웹 환경 구축 및 운영을 위한 보안 관리 지침”, TTAS.KO-10.0090, 2006.12.
  17. 조혜숙, 이성진, 조성규, 김승주, 원동호, “온라인 금융거래 시스템을 위한 관련 표준 분석에 관한 연구”, COMSW2009,2009.7.
  18. 유진호, 지상호, 임종인, “개인정보 유.노출 사고로 인한 기업의 손실비용 추정”, 정보보호학회논문지, 2009.08