• 정보보호학회지
• /
• 제10권3호
• /
• pp.49-62
• /
• 2000

인터넷을 통한 기업간(B2B) 전자거래 시장규모가 올해 17조원대에 이르고 기업과 소비자간(B2C) 전자상거래 시장규모 또한 1조원을 넘어서는 등 전체 국내 전자상거래 시장 규모가 18조원을 넘어 설 전망이다. 이는 정보통신시스템에 대한 사회 전반의 의존도가 한층 증대하고 있음을 보여주는 단적인 예라 할 수 있다 오늘날 인터넷 사용이 보편화되고 전자상거래의 규모가 커져 갈수록 정보보호시스템에 대한 신뢰성 및 안전성에 대한 입증 노력 또한 더 강하게 요구되고 있는게 사실이다. 특히 안전성이 입증되진 않은 취약한 정보보호시스템을 사용한 시스템 구축은 오히려 그 위험성을 증가시킬 수 있음을 최근의 많은 해킹사례를 통해 경험한바 있다, 향후 예견되는 이러한 엄청난 사회적 손실을 막기 위한 제도적 노력의 일환으로 미국, 영국, 독일, 프랑스 등 선진국에서는 10여년 전부터 자국의 환경에 적합한 평가기준을 마련하여 정보보호시스템을 평가해오고 있다 본고에서는 정보보호시스템 평가제도와 관련하여 최근의 국제동향과 그에 따른 국내 대응방안을 모색해 보고자한다. 특히 정보보호시스템 평가를 위한 국제기준의 CC(Common Criteria)와 이를 기반으로 맺어진 MRA(Mutual Recognition Arrangement)의 전개과정을 살펴보고 유럽의 상호인정협정인 ITSEC-MRA의 출범배경과 올 5월에 새롭게 출범한 CC-RA체제와 특징적인 모습을 고찰해 보고자한다.

• 정보보호학회지
• /
• 제19권4호
• /
• pp.59-64
• /
• 2009

정보보호 인증기술 연구센터는 초경량 저비용의 인증 원천 기술 개발, 통합 인증 시스템 개발, 정보가전 네트워크에서의 인증기술 개발 등 정보보호를 위한 인증기술을 개발하기 위하여 연구 개발을 진행해왔다. 또한, 공통평가기준(CC, Common criteria) 및 CMVP(Cryptographic module verification program)와 같은 보안성 평가에 관한 많은 연구 및 과제수행을 진행하였다. 특히 본 연구센터는 대학기관 중 국내 최초로 정보보호제품에 대한 CC인증 자문을 수행하였으며, 센터에 소속된 연구원들이 대학원생 최초로 수습 평가자 자격증을 취득하였다. 또한 2008년에는 지문인식 시스템 보호프로파일, 개방형 스마트카드 플랫폼 보호파일 등 총 6종의 보호프로파일을 개발하였다. 마지막으로 센터는 우수한 정보보호인력 양성을 목표로 다양한 지원 및 제도를 운영하였다. 그 결과 다수의 우수 연구논문 발표, 국내외 특허 출원 및 등록, 기술이전 및 우수인력 배출 등 당초 목표 이상의 실적으로 달성하였다. 향후 정보보호 인증기술 연구센터는 지금까지 구축된 인증기술 및 보안기술과 산학협력 네트워크 등을 기반으로 우리나라가 인증기술 및 정보보호 산업의 강국으로 자리잡는데 지속적으로 기여할 것으로 기대된다.

• 정보보호학회논문지
• /
• 제17권4호
• /
• pp.61-74
• /
• 2007

공통기준(CC) 평가체계에서 평가신청인과 평가자는 평가프로젝트를 계약할 때 정보보호시스템의 평가비용과 기간을 산정해야한다. 본 논문에서는 2003년과 2005년에 수행한 연구 결과들을 분석하였으며, 연구 결과의 일부분을 활용하여, CC 2.3과 CC 3.1의 평가보증수준($EAL1{\sim}EAL7$)간의 상대적 평가업무량 배율을 실험조사적으로 산정했다. 또한, 각 보증 컴포넌트에 대해 '개발자요구사항', 조정된 '증거요구사항', '평가자요구사항'으로부터 배율을 산정하였고, 특히, 2003년에 KISA 평가 자료로부터 구한 평가자요구사항별 업무량배율을 사용했다. 본 연구의 결과는 새로운 CC 3.1 평가체계에서 특정한 EAL과 제품유형에 대한 평가비용과 기간을 예측해야하는 평가신정인과 평가프로젝트 관리자에게 유용할 것이다.

• 정보보호학회논문지
• /
• 제12권3호
• /
• pp.61-76
• /
• 2002

정보보호 기술의 운용에 있어서 기반기술로 작용하는 PKI 시스템의 신뢰성 확보를 위해서는 PKI 시스템에 대한평가가 반드시 필요하나, 국제적으로 아직까지 체계적인 평가 및 인증체계가 갖춰지지 않은 것이 사실이다. 국내의 경우에도 침입차단시스템과 침입탐지시스템에 대한 평가 및 인증은 이루어지고 있으나, PKI 시스템 평가에 대한 연구는 미비한 실정이다. 이에 따라 본 논문에서는 국내 PKI 시스템에 적용할 수 있는 PKI 시스템 평가기준을 제안하고자 한다. 평가기준은 최근 정보보호 시스템 평가에 있어서 국제적인 조류에 맞춰 국제 공통 평가기준(CC)와 호환가능성을 고려하고, 현재 진행되고 있는 국내 평가제도를 고려하여 작성하였다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2001년도 종합학술발표회논문집
• /
• pp.335-339
• /
• 2001

국외의 경우엔 일찍부터 컴퓨터 시스템 평가기준이 제정되어 활용중이나 국내의 경우엔 아직 평가기준이 없는 상태이다. 본 논문에서는 국내외 정보시스템의 보안 요구사항과 보증 요구사항을 바탕으로 리눅스 기반 PC의 보안성 평가기준을 제안하고자 한다. 평가등급은 KL(Korea Linux)1, KL2, KL3 등의 3등급으로 분류하였다. 제안된 평가기준은 오픈 소스기반의 리눅스를 이용하여 보안기능을 강화한 운영체제 개발방향을 제시하였고, 보안 시스템 구축의 방향 및 보안표준에 대한 복잡한 문제를 줄였다. 또한 국제공통평가기준(CC : Common Criteria)의 보안기능부분과 보증부분을 거의 수용함으로써, 외국의 보안성 평가기준과 상호 운용이 가능하다.

• 정보처리학회논문지C
• /
• 제12C권2호
• /
• pp.207-216
• /
• 2005

CC내의 보안기능(클래스-패밀리-컴포넌트)을 실제 정보보호 제품이나 PP에서 사용하는 빈도에 대한 연구결과가 없으므로, 어떤 보안기능이 중요한지를 판단하기가 어렵다. 본 논문에서는 기존의 33종의 제품유형별 PP들이 CC내의 어떤 보안기능을 사용했는지를 조사하여, CC내의 보안기능들의 사용율과 제품유형별 보안기능의 사용율을 구하였다. 이 결과는 제품의 새로운 분류, 제품유형별 개발 및 평가비 산정 등에 활용할 수 있을 것이다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1159-1174
• /
• 2014

스마트폰, 태블릿 PC와 같은 스마트 기기들의 사용이 증가하면서 애플리케이션을 이용한 금융 업무 등 중요 업무를 해당 스마트 기기를 이용하여 처리하는 경우가 많아지고 있으며, 이러한 정보를 획득 할 수 있는 여러 공격들이 존재하고 있다. 그 중 사회공학기법인 어깨너머공격은 해킹 기술과 같은 특정 컴퓨터 기술 없이도 직접적으로 정보를 획득할 수 있어 강력한 공격 방법으로 꼽힐 수 있다. 그러나 지금까지의 어깨너머공격은 사용자 모르게 정보를 엿보는 행위라는 단순한 정의밖에 존재하지 않았다. 또한, 국제표준인 공통평가기준(CC)의 공통평가방법론(CEM)에서 제공하는 attack potential 방법론은 어깨너머공격에 대한 내성을 정량적으로 나타내지 못하는 한계를 가지고 있다. 이에 본 연구에서는 어깨너머공격에 필요한 공격조건들을 나열하고 공통평가기준에서 제공하는 공격 성공 가능성(attack potential)의 방법론을 차용하여 어깨너머공격까지 공격 성공 가능성을 계산할 수 있도록 이를 포함할 수 있는 공격성공 가능성을 제안한다. 더불어, 현재 스마트 기기들에 제공되고 있는 모바일뱅킹 애플리케이션의 보안 키패드인 쿼티키패드와 숫자 키패드의 안전성을 분석하고 공격 시나리오를 기반으로 하여 현재 제공되고 있는 모바일뱅킹 애플리케이션들의 어깨너머공격에 대한 공격 성공 가능성을 알아본다.

• 정보보호학회논문지
• /
• 제24권5호
• /
• pp.969-974
• /
• 2014

국제표준인 공통평가기준에서는 취약성 정보를 수집하고 침투시험을 수행하는 과정을 요구하고 있다. 하지만 촉박한 개발 및 평가 기간에 따라 임시방편의 취약성 점검 및 분석이 이뤄지며 취약성 분석에 대한 체계의 부재로 개발자의 역량에 따라 취약성 분석 및 적용이 제각각 이루어지고 있다. 이에 동일한 평가등급을 획득한 제품임에도 불구하고 보안성 품질이 상이하다. 본 논문에서는 방대한 취약성 정보를 직관적으로 이해하고 적용할 수 있는 취약성 분류체계 및 적용 방안을 제시한다. 뿐만 아니라, 보안성 평가 대상 여부와 무관하게 정보보호제품 개발 시 정보보호제품 개발 및 평가에 실용적으로 적용할 수 있는 정보보호제품의 보안성 품질 관리 방안을 제안하고자 한다.

• 한국전자거래학회지
• /
• 제8권3호
• /
• pp.69-86
• /
• 2003

보호프로파일(Protection Profile PP)은 방화벽과 스마트카드와 같은 정보보호제품의 특정제품군에 대한 공통 보안기능 및 보증 요구사항 명세서라 할 수 있다. 특히, PP내의 평가대상물(Target of Evaluation : TOE) 보안환경 부분은 TOE의 물리적 환경, 보호해야할 자산 및TOE의 용도를 분석하여 가정사항, 위협 및 보안정책을 기술해야한다. 본 논문에서는 PP내의 보안환경 부분 중 위협 문장을 개발 또는 작성하는 방법을 제시한다. CC(Common Criteria)의 위협문장 작성지침과 기존의 위협관련 요구사항. 26종의 실제 PP들과 CC Tool BOX/PKB의 위협문장들을 조사 분석하였다. 이를 토대로 하여 새로운 자산의 분류체계와 위협문장 생성을 위한 잘 정의된 위협문장의 판단규칙을 제시하였다.

• 정보보호학회논문지
• /
• 제15권4호
• /
• pp.39-50
• /
• 2005

정보화 역기능을 해결하기 위한 정보보호의 중요성이 높아짐에 따라 정보보호제품 및 시스템의 평가인증 수요가 증가하고 있으며 비용-효과적인 평가관리가 필요하다. 따라서, 본 논문은 평가자가 정보보호시스템에 대한 평가를 수행할 때 일련의 절차에 따라 평가업무를 수행 및 관리할 수 있는 CC(Common Criteria :공통평가기준)기반의 반자동화 평가워크플로우 관리 시스템(Sa-EWMS : Semi-automated Evaluation Workflow Management System)을 제시하였다. 본 시스템은 종래 수동적인 평가업무로 인한 시간과 노력의 소비 문제점을 해결하고 효율적인 평가수행을 위한 것으로, 각 엔진별 업무에 대한 워크플로우 프로세스를 추적하고 수행을 조정하는 역할을 하며 평가수요 및 시장창출에 대응하는 민간평가기관에서 유용하게 이용할 수 있을 것이다.