정보보호시스템을 평가하기 위한 기준은 보안기능 요구사항 및 보증요구 사항으로 이루어진다 본고에서는 미국의 TCSEC(Trusted Computer System Evaluation Criteria)과 유럽의 ITSEC(Information Technology Security Evaluation Criteria) 국제표준 (SIO/IEC 15408) 으로 제정된 CC(Common Criteria for Information Technology Secuirty Evaluation)의 보안 기능 요구사항을 비교, 분석하고 국내에서 개발된 침입차단시스템과 침입탐지시스템 평가기준, 현재개발중인 사용자인증용 스마트카드 평가기준의 보안기능 요구사항을 소개한다.

본 논문에서는 정형 명세 언어 Z를 이용하여 사용자 인증에 사용되어지는 MD5 Message Digest 알고리즘을 정형 명세방법론에 따라서 명세 한 경험을 기술한다 인터넷 기술의 발달로 인하여 통신상에서의 전자 상거래가 활성화되면서 다양한 형태의 정보보안시스템이 사용이 되고 있다. 이러한 시스템은 하자가 있는 경우 그 피해가 매우 심각하기에 각 나라에서는 정보 보호 관련 시스템을 인증을 해주고 있다 한국정보보호센터에서도 K1에서 K7까지의 평가를 하고 있는데 정형기법을 사용하여 만들어진 제품에 대해 최상의 평가를 하고 있다 하지만 국내에서는 이러한 분야에 대한 연구가 전무한 상태여서 어떠한 기준을 적용하는 것이 좋은지를 판단하기가 매우 어려운 실정이다 따라서 본 논문에서는 이러한 문제에 대한 연구로 정형 명세언어를 이용해서 인증 알고리즘을 명세하고 검토하는 작업을 수행한 경험을 기술한다.

1995년 10월에 제정된 정보화촉진기본법과 동법 시행령에 의거 국내평가·인증 제도가 구축되어 시행되어왔다. 현재 한국정보보호센터에서는 1998년 2월 정보통신부에서 고시하였으며 2000년 2월에 개정한 정보통신망 침입차단시스템 평가기준과 2000년 7월에 고시된 침입탐지시스템 평가기준을 이용하여 두 개의 제품에 대한 평가를 실시하고 있으며 인증기관인 국가정보원에서 인증서를 발급하고 있다 하지만 컴퓨터 및 통신 기술의 발달과 네트워크의 급속한 확산으로 인하여 다양한 정보보호제품이 개발되고 있으며 IT 제품 평가 관련 선진국들은 세계 여러국가들에게 국제표준(ISO/IEC 15408)으로 제정된 국제공통평가 기준에 기반을 둔 국제상호인정협정을 확산시키고 있다 따라서 급변하는 IT 환경과 국제상황을 고려하여 국내 평가·인증제도의 개선점들을 찾아본다.

국제 공통평가기준(CC)은 정보보호제품의 개발·평가·사용을 위한 ISO 15048 국제 표준이다. 국제 공통평가기준의 제 2부 보안기능 요구사항은 정보보호제품의 보안 기능을 11개 클래스로 분류하였고 13개국 인증제품 상호승인 협정(MRA)에 의하여 교차 사용이 가능한 평가된 보안제품을 해설할 수 있는 공통언어로써 사용할 수 있다 보호프로파일(PP)은 특정형태의 제품군의 지녀야 할 보안 목적을 사용자 그룹에서 요구한 명세서이다. 보호프로파일은 제품군의 운영환영, 위협요소를 분석하고 보안기능 요구사항의 부분 집합들을 모아서 제품군이 목표로 하는 보안 목적들을 주장할 수 있다.

인터넷을 통한 기업간(B2B) 전자거래 시장규모가 올해 17조원대에 이르고 기업과 소비자간(B2C) 전자상거래 시장규모 또한 1조원을 넘어서는 등 전체 국내 전자상거래 시장 규모가 18조원을 넘어 설 전망이다. 이는 정보통신시스템에 대한 사회 전반의 의존도가 한층 증대하고 있음을 보여주는 단적인 예라 할 수 있다 오늘날 인터넷 사용이 보편화되고 전자상거래의 규모가 커져 갈수록 정보보호시스템에 대한 신뢰성 및 안전성에 대한 입증 노력 또한 더 강하게 요구되고 있는게 사실이다. 특히 안전성이 입증되진 않은 취약한 정보보호시스템을 사용한 시스템 구축은 오히려 그 위험성을 증가시킬 수 있음을 최근의 많은 해킹사례를 통해 경험한바 있다, 향후 예견되는 이러한 엄청난 사회적 손실을 막기 위한 제도적 노력의 일환으로 미국, 영국, 독일, 프랑스 등 선진국에서는 10여년 전부터 자국의 환경에 적합한 평가기준을 마련하여 정보보호시스템을 평가해오고 있다 본고에서는 정보보호시스템 평가제도와 관련하여 최근의 국제동향과 그에 따른 국내 대응방안을 모색해 보고자한다. 특히 정보보호시스템 평가를 위한 국제기준의 CC(Common Criteria)와 이를 기반으로 맺어진 MRA(Mutual Recognition Arrangement)의 전개과정을 살펴보고 유럽의 상호인정협정인 ITSEC-MRA의 출범배경과 올 5월에 새롭게 출범한 CC-RA체제와 특징적인 모습을 고찰해 보고자한다.

정보보호관리자에 대한 직업교육훈련 프로그램을 개발하기 위해서 정보보호관리자에 대한 직무분석에 대한 체계적인 직무준석을 실행함으로서 정보보호관리자의 직무정의 직무흐름도. 직업명세서, 직무명세서, 작업명세서를 도출하였다 정보보호관리자의 직무는 4가지 책무와 13가지 작업으로 분석되었고 교육훈련 프로그램으로 18가지 교육내용과 7가지 교육과정이 제시되었다.

본 고에서는 최근 휴대용 보안장치로 이슈화되고 있는 스마트카드에 대하여 기술한다. 요즘 우리주변에서 쉽게 접할 수 있는 스마트카드는 교통카드이다. 1997년 스마트카드를 이용한 버스카드 시범 프로젝트가 성공적으로 이루어지면서 1999년부터는 지하철 패스와 버스카드를 통합하여 지금은 일반인들이 소유하고 있는 가장 보편화된 교통 지불수단으로서 그 활용도가 높다고 볼수 있다. 최근 스마트 카드에 대한 인식이 제고되고 있는 이유는 스마트카드가 일반 사용자들의 실생활을 사이버세계를 연결해 줄 수 있는 다리역할을 할 수 있기 때문이다. 하지만 일반인들은 스마트카드가 보안 장치로서의 역할을 수행한다는 사실은 인지하지 못하고 있는 실정이다. 앞으로 실생활에 밀접하게 활용되게 될 스마트카드에 대한 보안 구조를 살펴보고 스마트카드에 저장되어 있는 사용자 데이터를 보호하기 위하여 스마트 카드에 구현되는 접근통제 메커니즘을 분석한다.