미국, 독일 등 선진국을 중심으로 개발된 공통평가기준(Common Criteria, CC) 3.1이 공식 문서로 등재되어 2009년 9월부터는 기존의 CC v2.3을 완전히 대체할 것으로 예상됨에 따라 현재 우리나라 평가 완료된 CC v2.3 기반 보호프로파일은 CC 3.1 기반 보호프로파일로 개정이 필요하다. 따라서 본 논문은 CC v2.3과 v3.1에서의 보호프로파일 요구사항을 비교 및 분석하고, 보안기능 및 보증요구사항의 평가업무량 및 제출물 작성수준을 분석한다. 이러한 미국, 영국, 캐나다, 프랑스, 네덜란드 등 선진국의 주도하에 개발되고 있는 CC v3.1에 대한 분석을 통하여 국제적으로 새롭게 정립되고 있는 평가기준 및 평가방법에 대한 기술을 확보할 수 있으며, 향후 CC v3.1에 의한 평가 기반을 마련하는데 기여 할 것이다.

정보보호제품의 안전성 및 신뢰성이 검증된 제품의 공급 및 이용 촉진을 위해 운영되고 있는 정보보호제품 CC 인증제도, 암호제품에 대한 암호 검증제도, 공공기관 도입 정보보호제품에 대한 보안적합성 검증제도 등에 대한 현황 및 향후 추진방향을 살펴본다.

공통평가기준 기반으로 정보보호제품 평가를 수행하기 위해 개발자는 해당 평가보증등급에서 요구하는 평가제출물을 작성해야 한다. 본 고에서는 개발자가 실제적으로 평가제출물을 작성하는데 참조할 수 있도록 CC에서 요구되는 평가제출물을 살펴보고, 간략하게 CC V2.3과 CC V3.1간의 평가제출물 차이점을 제시하고자 한다.

최근의 국내 정보보호 인증체계는 암호검증제도의 시행과 CCRA 가입으로 큰 변화를 맞이하였다. 이런 변화는 국가기관의 정보보호제품 도입체계에도 많은 영향을 미치고 있다. 본 고에서는 정보보호제품 인증 체계 변화, 이 후의 개편된 보안적합성 검증제도에 대한 간략히 소개하고, 보안적합성 검증제도와 암호검증제도의 신청을 위한 제출 문서 작성법을 제시하여, 보안적합성 검증제도와 암호검증제도 신청 또는 연 도움을 주고자 한다.

정보시스템의 보호를 위한 정보보호 제품의 경우, CC를 바탕으로 하는 '정보보호시스템 평가제도'를 통해 평가 및 인증하며, 정보보호제품을 구현한 암호모듈의 경우, '암호모듈검증제도'(CMVP)를 통해 시험 및 검증한다. 본 글에서는 사실상의 국제기준인 미국 및 카나다의 CMVP의 새로운 검증기준 후보인 FIPS PUB 140-3의 변화내용을 분석한다. 또한, FIPS 140-1, FIPS 140-2, ISO/IEC 19790(즉, FIPS 140-2의 국제표준)의 내용과도 비교한다.

보호프로파일이란 공통평가기준에서 IT제품에 대한 특정 소비자의 보안요구사항을 담은 문서로써, 소비자 그룹과 이해 집단이 그들의 보안 요구를 표현할 수 있도록 보안목표명세서 작성을 쉽게 하기 위하여 제공한다. 최근 들어 많은 국가기관, 기업에 의해 보호프로파일 개발이 요구되고 있지만, 일관성 있는 보증등급 산정 방법이 제시되어 있지 않아 보호프로 파일 개발에 어려움이 있다. 따라서 본 고에서는 공통평가기준 버전 3.1의 보호프로파일 내용을 분석하고, 미국의 견고성(Robustness)을 이용한 보호프로파일 개발체계를 분석한다. 그리고 국외의 보호프로파일 보증등급 산정기준 동향을 분석한 후, 국내 환경에 맞는 보증등급 산정 방법론을 제안한다.

정보통신과 인터넷 기술의 발전으로 실생활에서 정보의 이용이 용이해 지면서, 쉽게 정보를 얻기 위한 정보에 대한 공유와 검색에 관련한 기술이 발전하게 되었다. 그 결과로 정보는 쉽게 얻을 수 있게 되었지만, 개인정보 유출, 악의적인 시스템 파괴 등 역기능 빠른 속도로 늘어나고 있다. 이에 따라 국제적으로 정보보호의 중요성대 대두 되고 보안에 대한 필요성이 극대화 되었으며, 시스템 보안성의 신뢰도를 일관성 있게 평가하기위하여 공통평가기준이 제정되었다. 특히, 높은 신뢰도를 요구하는 보안기능에 대해서는 수학적, 논리적 기반의 명확한 명세와 엄밀한 증명을 수행하는 정형기법을 사용한 경우에만 고등급을 획득할 수 있다. 본고에서는 공통평가기준과 정형기법의 상관관계를 설명하고, 고등급 평가에 관련된 국외 동향을 기술한 후, 간단한 예를 들어 보안정책모델의 정형화 방법에 대하여 기술하였다.

정보보호 시스템 평가 인증 제도는 정보보호 시스템의 객관적이고 공정한 평가를 통하여 공신력 있는 제 3자로부터 안전성과 신뢰성이 검증된 정보보호 시스템 사용을 권장하고, 이를 통하여 우수한 정보보호 제품 개발을 유도하고 국내 정보보호 산업 육성에 기여하기 위한 것이다. 우리나라는 2006년 5월 CCRA에 인증서 발행국(CAP)으로 가입함으로써 국내에도 IT 제품의 보안성 평가를 위한 평가자 자격기준 개발이 필요한 실정이다. 따라서 본 고에서는 해외 CCRA CAP국의 평가자 자격기준을 비교 분석하여 국내 실정에 맞는 평가자 자격기준을 제안하고자 한다. 본 고에서 제안하는 자격 기준은 국제적으로 인정받을 수 있는 평가자 자격기준 도출 및 평가기관 설립에 요구되는 평가자 선발에 활용할 수 있을 것으로 기대한다.

오픈웹(OpenWeb)으로 인하여 운영체제나 브라우저에 독립적인 클라이언트 PKI툴킷 지원에 대해 짧은 기간 동안 다양한 관계 기관에서 검토가 이루어졌다. 그러나 PKI 툴킷은 개인 정보 보호에 따른 보안과 밀접한 관계가 있으므로 단순히 소비자 권익만을 생각하거나 서비스 제공업체의 입장만을 고려하여 제공할 수 없다. 즉 보안 요구 사항 및 제한된 인적, 시간적, 재정적 환경을 고려를 할 경우 지원해야 할 대상 환경과 기술에도 제약이 따를 수 있다. 본고에서는 웹 브라우저의 확장 기능으로 제공되고 있는 PKI 툴킷에 대해 다양한 운영체제 및 브라우저 환경에서의 서비스 지원에 대해 살펴보고 제약 요소를 고려한 적절한 대응방안을 고려한다.

정보보호 분야의 국제표준화는 각 기술들의 특성 및 사용자들의 관점 등을 고려하여, 다양한 국제표준화기구에서 국제 표준개발 및 관련 연구가 이루어지고 있다. 즉, ITU-T SG17에서는 전기통신(Telecommunication) 관점에서 정보보호 응용기술들에 대한 국제표준화가 추진되고 있으며, ISO/IEC JTC1/SC27(정보보호), SC37(바이오인식)에서는 정보보호 원천 기술들에 대한 국제표준화와 IETF Security Area에서는 인터넷 서비스의 품질 보장 및 향상된 인터넷 환경 구축을 위해 실제적 구현 관점에서 국제표준화를 추진하고 있다. 또한, 아시아 지역에서는 각 국가 간에 정보보호 표준화 활동에 대한 정보공유 및 국제표준화 기구들에 대한 공동 대응을 위해 ASTAP, RAISS 포럼, CJK SWIS 등의 소규모 표준화 활동들이 이루어지고 있다. 본 논문에서는 대표적인 국제표준화 기구에서 이루어지고 있는 정보보호 표준화 현황 및 주요 이슈들에 대해 소개하고, 향후 추진방향 등을 제시하여, 국내에서 국제표준화기구에 활동하고자 하는 전문가들에 유용한 자료로 활용하고자 한다.

인터넷이 발달되고 널리 보급됨에 따라 안전한 통신과 인증 수단이 필요하게 되었다. 이러한 수단으로 PKI가 등장하였으며, 현재 전자상거래 및 여러 인증과 관련한 분야에 널리 사용되고 있다. 하지만, 더 향상된 통신 기술과 온라인 서비스의 확대로 인해 인증 대상이 확대되고, 서비스 환경이 변화되어 PKI를 이용한 인증체계는 한계에 이르렀다. 따라서 앞으로 계속 변화될 인터넷 환경에 대비하여 현재의 인증체계를 고도화하기 위한 방안이 필요하다. PKI를 기반으로 한 인증 시스템의 고도화 기능을 연구하기 위해서는 현재 국내외 PKI 구축 현황 분석이 선행되어야 한다. 본 논문에서는 국외 PKI 구축 현황을 분석하여 차세대 인증체계의 요구사항을 도출하기 위한 기반 정보를 제시한다.

정보화 시대로써 정보의 가치가 높아지면서 이를 불법적으로 취득하려는 공격에 대응하고자 정보보호에 대한 이슈가 대두되고 있다. 이러한 정보보호 기술 중 공개키 기반구조의 암호시스템을 사용하는데 필요한 모든 서비스를 안전하게 제공할 수 있도록 하기위한 인프라를 Public Key Infrastructure 라고(이하 PKI) 한다. 이러한 PKI는 정부나 다수 기업의 공동 연합체에서 주도적인 역할을 수행해야 의미가 있다고 볼 수 있는데, 이미 선진 각국에서는 PKI 개발 및 구축 노력을 하고 있으며 이는 21세기 새로운 국가 경쟁력으로서의 중요성이 인식되어 있는 상태다. 결국 PKI를 통한 정보보호 문제의 해결은 한 차원 높은 전자 경제 활성화의 경쟁력을 갖는 주요 포인트라고 할 수 있겠고, 범 국가 적인 PKI의 구축은 세계화의 경제를 이끌 수 있는 전자 경제의 중요한 기반 기술로서 그 영향력이 매우 크다고 할 수 있으므로 본 논문에서는 이러한 PKI의 국내 구축현황 및 기술에 대하여 살펴본다.