ISO의 정보보호관리 표준은 ISO/IEC JTC1/SC27 WG1에서 표준화를 진행하고 있으며, 현재까지 제정된 정보보호관리 표준으로는 ISO 13335 MICTS와 ISO 17799 Code of practices for information security management 등이 있다. ISO 13335는 정보보호관리 모델 및 기술에 대한 가이드를 제공하는 표준이고, ISO 17799는 정보보호관리 통제에 대한 가이드를 제공하는 표준이다. 최근 동향으로는 ISMS(Information Security Management Systems)국제표준화 작업이 시작될 것으로 예상되며, WG1에서 작업 중인 정보보호관리 표준 간 유사성을 배제하고 통합된 체제를 만들기 위한 로드맵 작성 작업이 진행 중에 있다. 인터넷의 확산과 정보화의 역기능 증가에 따라 능동적인 정보보호관리체계의 수립을 위하여, 우리나라도 정보보호관리 표준의 제정 과정에 적극적으로 참여할 뿐 아니라 국내 많은 조직에서 정보보호관리 표준이 적용되어 국가적인 정보보호관리 수준이 향상될 수 있도록 할 필요가 있다.

본 고에서는 ISO/IEC의 IDS(Intrusion Detection System) 표준화 동향에 대한 내용을 기술한다. ISO/IEC에서는 IDS를 국제표준 형식이 아닌, 기술문서 형식으로 구성하고 있으며, 이들 문서들은 IDS 기본 구조에 대한 것(IT intrusion detection framework)과 기업 등에서 IDS를 선정하고 배치, 운영하는데 도움을 주는 것(Guidelines for the selection, deployment and operation of IDS)의 크게 2 가지로 구성된다.

본 고에서는 ISO/IEC JTC1/SC27에서 만들어졌거나 진행 중인 전자서명 표준에 대해서 살펴본다. 해당되는 표준은 9796의 part 2, 3과 14888의 part 1, 2, 3과 15946의 part 2, 4이다. 각 문서들이 다루고 있는 내용과 개정 방향을 살펴보고, 각각의 알고리즘들을 간단히 설명한다.

지금까지 IETF에서 공개키 기반구조에 대한 표준화 작업은 PKIX 작업반$^{[5]}$에서 주로 수행되었지만, 최근 들어 4개의 새로운 작업반이 만들어졌다. 새로 생성된 작업반은 IPSEC을 위한 공개키 기반구조 표준을 개발하는 PK14IPSEC(PKI for IPSEC) 작업반$^{[36]}$, 장기간 서명 데이터의 존재와 디지털 서명된 데이터의 타당성과 존재성을 증명하기 위한 표준을 개발하고 있는 LTANS(Long-Term Archive and Notary Service) 작업반$^{[32]}$, 공개키/개인키와 인증서 등으로 구성되는 크리덴셜(Credential)을 획득하기 위한 등록 과정에 대한 모델을 표준화하기 위한 ENROLL(Credential and Provisioning) 작업반$^{[41]}$, 그리고 안전하게 크리덴셜을 한 장치에서 다른 장치로 안전하게 전달하기 위한 표준을 개발하는 SACRED(Securely available Credentials) 작업반$^{[28]}$ 등이다. 본 논문에서는 IETF 보안영역에서 수행되고 있는 공개키 기반구조에 바탕을 둔 여러 작업반에서 최근 수행중인 표준화 동향을 분석한다.

본고에서는 IETF IPSEC WG과 IPSEC프로토콜 관련 표준화 작업을 위해 최근 결성되어 관심을 모으고 활발히 활동을 시작한 MOBIKE WG 및 PK14IPSEC WG의 표준화 활동을 소개하고 간략히 요약한다. 또한 멀티캐스트 보안 표준화 작업을 수행하는 MSEC WG기 활동을 소개하고 현재 진행 사항과 최근의 표준화 작업의 내용과 기술 동향을 기술한다.

식별번호를 이용한 본인확인기술(SIM : Subject Identification Method) 표준(안)은 국내 보안분야로는 처음으로 IETF PKIX 워킹그룹에서 논의되고 있는 순수 국내 보안기술로 연내 IETF 공식표준문서(RFC)로 채택될 가능성이 높다. 동 기술은 PKI 기반의 전자서명인증서비스에서 동일한 이름을 갖는 개인 사용자나 유사한 법인명을 갖는 법인사업자가 겪을 수 있는 본인확인의 오류를 원천적으로 방지하여 인증서 소유자의 신원을 유일하게 확인할 수 있는 방안을 제공한다. 본 고에서는 관련 국외 동향을 고려하여 SIM 표준(안)의 보안요구사항, 프로토콜, 표준화 주요 쟁점 및 진행상황을 고찰하고자 한다.

최근, 인터넷의 보급이 일반화되면서 네트워크를 통해 다양한 전자상거래 서비스가 활성화되고 있다. 이러한 서비스는 전송되는 정보의 기밀성(confidentiality), 인증(authentication), 무결성(integrity), 부인봉쇄(non-repudiation)등의 정보보안 서비스를 제공하기 위해 암호기술이 요구된다. 이러한 암호기술의 안전성은 공개되어 있는 암호 알고리즘에 의존하는 것이 아니라, 암호 알고리즘에 사용된 키에 의해 좌우된다. 또한, 암호통신을 이용하는 개체가 증가함에 따라, 효율적인 키 관리의 필요성도 함께 증가하고 있다. 이에 본 고에서는 키 관리의 전반적인 개요와 효율적이고 안전한 키 관리를 위해 2003년도에 NIST에서 발표된 SP(Special Publication) 800-57 키 관리 가이드라인을 분석한다.

정보 통신과 반도체 공정 기술의 급격한 발전으로 나노기술이 가까운 시일 내에 실용화되고, 유비쿼터스 환경이 도래할 것으로 예측된다. 나노기술 환경에서 사용되는 디바이스의 고집적도, 낮은 구동 능력, 배선 제약 특성이 정보 보호 분야에 사용되는 프로세서 구조와 회로 설계 기술을 크게 바꿀 것으로 예측된다. 본 연구에서는 이러한 기술 변혁에 대비하기 위해 나노기술 환경에 적합한 차세대 정보 보호 프로세서 구조와 회로 설계 기술을 분석하였다.

은닉채널에 관한 연구는 1980년대 이전부터 진행되어 왔으며, 최근에는 멀티미디어 데이터에 대한 스테가노그래피에 대한 관심이 집중되고 있다. 하지만, 본 논문에서는 현재 스테가노그래피나 정보은닉에서 다루는 동영상 데이터에 대한 은닉채널이 아닌, 인터넷 환경의 근간을 이루는 TCP/IP 네트워크 트래픽에 존재하는 은닉채널에 대한 연구를 수행하였다. 먼저 은닉채널 개념 및 기존 연구동향을 분석하였으며, 그 후 TCP/IP를 구성하는 각 프로토콜에 생성 가능한 은닉채널을 분석하여 향후 연구 방향을 제시하였다.

최근, 정보통신 기술의 발달로 국가 간의 정보 경쟁이 치열해지고 이와 더불어 개인, 사회 간의 정보경쟁 역시 치열해짐에 따라 정보 보안의 중요성이 더욱 높아져 가고 있다. 이에 선진국들은 정보보호시스템 평가 $.$인증체계를 통해 안전성과 신뢰성을 보증하는 우수한 정보보호시스템 개발을 촉진하여 정보보호산업의 육성에 기여해 왔다. 우리나라의 경우 1998년에 처음으로 정보보호시스템 평가를 위한 기준을 고시했으나, 산업육성의 측면과 안전한 제품을 공급하여 신뢰할 수 있는 정보사회를 구축하기 위해서 국가보안시스템 평가$.$인증체계 모델의 보완 및 개선이 요구된다. 따라서, 본 논문에서는 국내 외 평가인증체계 관련기관 및 스킴, 절차 등을 연구 분석하고, 평가 $.$인증체계의 요구사항을 도출하여 정보보호시스템 평가ㆍ인증체계를 제안한다.