• 융합보안논문지
• /
• 제2권2호
• /
• pp.137-142
• /
• 2002

정보보호시스템 공통평가기준이 고시되고 CCRA 가입이 활발하게 추진되면서 평가보증등급(EAL)에 관한 관심이 증대되고 있다. 본 논문에서는 기존의 프로세스 평가 기준들이 취하고 있던 평가 등급과 공통평가기준의 평가보증등급을 비교함으로써 정보보호시스템 평가에 활용되고 있는 평가보증등급이 가지고 있는 특징들을 확인하였다.

• 전자통신동향분석
• /
• 제17권5호통권77호
• /
• pp.89-101
• /
• 2002

이제 공통평가기준(CC)의 도입은 거를 수 없는 대세로 자리 잡고 있으며, 국내에서도 CC를 도입하기 위해 인증기관과 평가기관들이 도입을 위한 준비를 서두르고 있으나 개발자 입장에서는 아직 미흡한 실정이다. 따라서, 본 고에서는 CC를 고려하여 정보보호시스템을 개발하고자 하는 연구기관 및 업체에서 개발전략을 수립하는 데 도움이 될 수 있는 CC 관련 기술동향을 살펴보았다. 먼저, 기존 정보보호시스템 평가기준인 TCSEC과 ITSEC에 대해 간략히 살펴본 후, 국제간에 상호 인증을 받을 수 있는 정보보호시스템 공통평가기준에 대해 CC 출현 배경, CC 표준 규격, PP와 ST 개발동향, CC의 최근 표준화동향 관점에서 살펴본다. 그리고, 연구개발을 추진하는 개발자 입장에서 연구개발체계에 CC를 어떻게 적용할 것인가에 대한 방안을 제시한다. 이를 위해 먼저, CC 관련 주요 이슈에 대해 ICCC’2002를 통해 알게 된 내용을 위주로 살펴보고, 연구개발체계에 CC 도입시 개발자들이 고려해야 할 개발 보증 증거물들에 대해 살펴본다.

• 인터넷정보학회논문지
• /
• 제17권3호
• /
• pp.75-85
• /
• 2016

인터넷을 활용한 정보 공유와 유통의 변화는 우리의 일상생활에 많은 부분을 변화시키고 있으며, IT 기술의 급속한 발전으로 우리의 삶은 인터넷을 활용한 오프라인(off-line)과 온라인(on-line) 생활의 혼재 속에서 살아가고 있으며, 앞으로 온라인의 생활 비중이 더욱 커질 것으로 전망하고 있다. 그러나 인터넷윤리에 대한 현재의 인식 수준을 평가하기 위한 객관적 지표 미비로 인터넷윤리 의식교육을 체계적으로 실시하지 못하고 있는 실정이다. 따라서 본 논문에서는 인터넷윤리 지수 평가를 위한 공통 기준 수립을 위한 개발 절차를 제안한다. 공통 기준 수립을 위한 인터넷윤리 지수 개발 절차는 '평가항목(안) 도출', '설문지 작성', '설문지 분석 및 항목별 가중치 계산', 그리고 공통 기준 확정 단계를 갖는다. 또한 공통 기준에 대한 가중치를 계산하기 위해 46명을 대상으로 한 설문을 실시하였다. 본 논문에서 개발한 공통기준 수립을 통한 인터넷윤리 지수 평가 모델은 시도교육청, 유관기관, 초중등학교 등에서 인터넷윤리 교육 수준을 측정하는 지표로 활용 할 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 추계학술발표논문집 (하)
• /
• pp.1747-1750
• /
• 2003

IT 제품 및 시스템의 보안성 평가를 위한 국제표준(ISO/IEC15408)인 공통평가기준(CC)은 해당 평가 보증등급(EAL, Evaluation Assurance Level)의 요구사항에 따라 평가대상 제품(TOE, Target of Evaluation), 제품의 개발 및 운영 문서를 포함하는 평가제출물을 요구하고 있다. 개발자가 공통평가기준을 적용하여 제품의 보안성을 개선하고 성공적으로 평가인증서를 받기 위해서는 상당한 노력이 요구된다. 대부분의 개발자는 제품 개발 완료 후 제품의 보안성을 검토하고 평가를 준비하므로 리엔지니어링 등 추가적인 비용과 시간을 투입해야 하는 문제가 있다. 본 논문에서는 BSD(Berkeley Software Distributions) 4.4 기반의 운영체제인 MTOS(Mitretek)를 개발한 사례를 통하여 개발과정과 요구사항 및 평가준비를 위한 평가제출물 작성과의 연계성을 제시하였다. 개발자는 본 논문에서 제시한 연계성을 활용하여 소프트웨어 제품의 개발과정에 공통평가기준을 적용하여 제품의 보안성을 제고하고 보안성 평가를 준비하는데 시간과 노력을 절감할 수 있다.

• 한국철도학회논문집
• /
• 제10권6호
• /
• pp.685-691
• /
• 2007

건설교통부는 2007. 1. 1 (2009.12. 신구좌표병행) 세계측지계 전면 시행 방침에 따라 철도측량의 내실화 그리고 기술력 제고를 위하여 호남고속철도건설 사업수행에 요구되는 수치지도를 항공측량을 통해 제작하였으며 이와 함께 철도기준점(GPS 정밀 3등기준점)측량을 실시, 보다 정밀한 철도 중심선형 좌표값 과 수준값을 획득할 수 있었다. 또한 국토지리정보원은 세계측지계 변환지침에 의거 국가좌표변환계수 및 왜곡량 모델을 고시하였다. 호남고속철도의 경우 좌표변환을 위해 공통기준점을 새로이 설치하지 않고 중심측량 및 종횡단측량을 위해 이미 구축된 철도기준점을 공통기준점으로 가정하여 변환을 실시하고자 한다. 따라서 본 논문은 남북축으로 계획된 호남고속철도 사례를 통해 현재의 계획노선을 선형 중심축으로 가정하고 철도기준점을 이용한 좌표변환을 실시후 결과에 대한 분석을 통해 변환가능성 여부를 판단하고자 한다. 좌표변환 실시 후 분석결과 Y축 왜곡량 값이 최소 21cm에서 최대 40cm까지 완만한 직선축으로 감소함을 확인할 수 있었고, X축은 $14cm\sim29cm$의 왜곡량을 보였으며 이러한 왜곡량을 보정한 결과 좌표간 편차량이 $6mm{\sim}9mm$로 국토지리정보원의 세계측지계 변환 지침에 따른 허용오차 및 지적경계측량 허용오차인 10cm를 만족시켰다. 이러한 결과는 철도기준점을 공통기준점(Common Point)으로 이용한 중심선형좌표 변환이 가능함을 설명할 수 있으며 동시에 공통점의 데이터, 좌표데이터, 수치지도의 변환도 허용오차범위내에서 변환이 가능하다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 봄 학술발표논문집 Vol.30 No.1 (B)
• /
• pp.1-3
• /
• 2003

웹 기반의 응용시스템 개발이 보편화되면서 보안은 특히 인터넷과 같은 네트워크 환경에서 정보처리에서 매우 중요한 요소로 대두되고 있다. 공통평가기준은 보안을 중요시하는 시스템의 명가를 위해서 표준화된 요구사항들의 목록이다. 공통평가기준을 사용하여 시스템 자체와 시스템 개발에 않은 보안 요구사항 정의는 가능하지만, 방법론 지원은 제공하지 않는다. 본 논문에서는 보안 클래스를 중심으로 소프트웨어공학 생명주기에서 보안측면을 분석하고 적용하는 방법을 제시한다. 공통평가기준에서의 행위와 문서는 개발된 시스템의 품질을 개선하여. 높은 보안 요구사항을 만족하기 위해 부가적 비용과 노력을 감소시키는 시스템 개발에서 가장 중요한 요소이다 이를 기반하여 프로세스, 자원. 생명주기 분석 모델과 프레임워크를 정의하고 생명주기 지원 클래스의 적용에 대해서 논한다.

• 정보보호학회지
• /
• 제13권5호
• /
• pp.1-15
• /
• 2003

IT(Information Technology) 제품의 보안 기능을 평가하기 위한 서로 다른 체계를 이용함으로써 평가를 위한 이중의 비용 소요와 추가의 시간 소모 등의 문제점을 해결하기 위하여, 미국, 영국 등의 선진국들은 국제간에 상호 인정이 가능한 공통평가기준(CC : Common Criteria)에 대한 연구를 활발히 수행하고 있고, CCRA(Common Criteria Recognition Agreement)에 가입한 나라에서 평가된 제품은 다른 나라에서 재평가 과정을 거치지 않고 상호 인정하는 CCRA 라는 평가를 위한 국제 조약을 체결하여 시행 중에 있다. 그러나 CC는 다양한 보안 제품에 대하여 시행되고 있고, 표준안의 분량이 매우 많을 뿐만 아니라 복잡하며, 개발자와 평가자, 그리고 이용자 모두가 평가를 위한 기술적, 관리적, 절차적 과정의 이해가 무엇보다도 중요하다. 따라서 CC 주요 주체에 대한 평가 교육의 필요성이 매우 중요하게 대두되고 있다. 또한 우리 나라도 국제공통평가기준 인정 협정인 CCRA로의 가입을 준비중에 있고, 다양한 제품으로 평가제도의 확대를 준비하고 있다. 본 논문에서는 각 나라의 CC 교육 과정을 분석하고, 현재 CC 체제하에서 평가된 정보보호 제품들의 특성을 분석하며, 이를 바탕으로 우리의 평가 교육 현실을 살펴본 후, 국내 CC 교육 프레임워크와 실천 방안을 제시한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 추계학술발표대회
• /
• pp.731-734
• /
• 2013

클라우드 컴퓨팅이 활성화됨에 따라 다양한 클라우드 서비스가 대중적으로 보급되고, 그에 따른 클라우드 컴퓨팅 관련 제품들을 IT시장에서 쉽게 접할 수 있게 되었다. 일반적으로 IT 제품군에 대해서 보안성평가를 수행하고, 그 결과 값을 통해 소비자에게 객관적인 지침으로 활용될 수 있는 국제 표준인 공통평가기준에서는 보안 제품군에 대한 보안목표명세서인 보호프로파일을 제공하고 있다. 하지만 현재 일반적인 IT제품군에 대한 보호프로파일은 존재하나 클라우드 관련 제품군에 대해서는 보호프로파일이 존재하지 않아 보안성평가를 위한 방법이 없는 실정이다. 따라서 본 논문에서는 공통평가기준을 준수하는 클라우드 환경에 적용 가능한 보안기능요구사항을 도출하고자 한다. 도출한 보안기능요구사항을 통해 클라우드 제품군에 대한 보안성을 적용하기 위한 평가 방법으로 사용될 수 있다.

• 한국IT서비스학회:학술대회논문집
• /
• 한국IT서비스학회 2003년도 추계학술대회
• /
• pp.467-478
• /
• 2003

국제공통평가기준(Common Criteria)2.1을 기반으로 한 국제공통평가인정협정(Common Criteria Recognition Arrangement)은 21세기 정보보호 산업 전반에 수출입 장벽 및 국제적 표준으로 자리매김 할 것이다. 이미 국제공통평가상호인정협정(CC-MRA)에서부터 적극적으로 기술을 축적하고 세계적 표준을 선도한 미국, 캐나다, 영국, 독일, 프랑스 등의 주요 선진국들은 국제공통평가인정협정 인증서발행국(CCRA-CAP)으로서의 우월적 지위를 확보한 상태이다. 이에 본 연구는 CCRA-CAP국가들에 대한 스킴(Skim) 분석을 통하여 우리나라 의 스킴 개발이 국제적인 선도국과 비교하여 어떤 차이를 보이는지와 우리나라의 문제점을 도출해보고자 한다. 이를 통하여 향후, CCRA-CAP국가로 세계적 평가, 인증체계의 선도국이 되기 위한 준비과정에서 얻을 수 있는 통찰력과 시사점을 제공하고자 한다. 본 연구에서는 여러 스킴 중 정보보호시스템 평가, 인증 제도 관련 기관 책임 및 임무에 관한 1번 스킴을 주요 논의의 대상으로 하여 분석 연구한다.

• 정보보호학회지
• /
• 제14권4호
• /
• pp.68-77
• /
• 2004

국가 사회 각 분야(정부, 공공기관 및 민간기관)의 정보보호시스템에 의한 정보처리 의존도가 증가하고 있으며 정보보호 수준강화를 위한 평가업무의 수요 또한 늘어가고 있다. 이에 발맞추어 현재 정보보호시스템 평가에 대한 상호인증을 위해 공통평가기준(CC : Common Criteria)과 공통평가방법론(CEM : Common Evaluation Methodology)을 사용하고 있다. 본 논문에서는 정보보호시스템의 신뢰성의 확보와 상호인증을 위한 지침으로써 CC와 CEM에 대한 변화과정 및 특징을 분석하였으며 앞으로 이를 반영한 국제동향에 능동적인 대처와 효율적인 평가에 기여할 것으로 기대된다. 또한, 평가참여자(평가신청자, 개발자, 평가자, 감독자 등)의 역할도 변화의 흐름에 유연하게 대응해야 하며 이러한 지식을 토대로 객관적이며 체계적인 평가계획을 수립하는데 이용할 수 있을 것이다.