Abstract
Due to the advance of Internet, offline services are expanded into online services and a financial transaction company provides online services using internet baning systems. However, security problems of the internet banking systems are caused by a lack of security for developing the internet banking systems. Although the financial transaction company has applied existing internal and external standards, ISO 20022, ISO/IEC 27001, ISO/IEC 9789, ISO/IEC 9796, Common Criteria, etc., there are still vulnerabilities. Because the standards lack in a consideration of security requirements of the internet banking system. This paper is intended to explain existing standards and discusses a reason that the standards have not full assurance of security when the internet baning system is applied by single standard. Moreover we make an analysis of a security functions for the internet baning systems and then selects the security requirements. In this paper, we suggest a new protection profile of the internet baning systems using Common Criteria V.3.1 from the analysis mentioned above.
인터넷의 발달로 기존의 많은 오프라인 서비스가 온라인 서비스로 확장되면서 금융 거래 서비스 역시 편리성을 이유로 인터넷 뱅킹 시스템을 통해 서비스가 제공되고 있다. 하지만 인터넷 뱅킹 시스템 개발 과정에서 보안성에 대한 고려가 부족하여 여러 보안 문제점을 갖고 있고 실제로 인터넷 뱅킹 시스템에 보안 사건들이 빈번하게 일어나고 있는 실정이다. 이런 문제점을 해결하기 위하여 금융기관은 ISO 20022, ISO/IEC 27001, ISO/IEC 9789, ISO/IEC 9796 등의 국외 표준과 웹 환경 구축 및 운영을 위한 보안관리 지침, 전자상거래 표준화 로드맵 등 국내 표준을 적용하고 있지만 인터넷 뱅킹 시스템에 관한 보안요구사항 등이 제대로 고려되지 않아 여전히 취약성이 발생하고 있다. 본 논문에서는 기존 표준들에 대해서 설명하고 인터넷 뱅킹 시스템에 단일 표준 적용시 보안을 보증하지 못하는 이유에 대해서 살펴본다. 또한 인터넷 뱅킹 시스템의 취약성을 설명하고 보안기능을 분석해 그 특징에 맞는 보안기능 요구사항을 도출하고 이를 통해 공통평가기준 V3.1을 참고로 하여 인터넷 뱅킹 시스템의 보안을 강화하기 위해 특화된 보호프로파일을 제안한다.