• Proceedings of the Korean Information Science Society Conference
• /
• 2006.10c
• /
• pp.427-432
• /
• 2006

소프트웨어의 다양화로 인하여 하드웨어 형태의 보안 제품에서 소프트웨어 형 보안 제품으로 점차 변화하고 있는 중이다. 이러한 변화 속에서 소프트웨어 형 보안 제품의 품질을 평가하는 기준이 없어, 현재 ISO/IEC 9126 의 표준으로 소프트웨어 형 보안 제품을 평가하고 있는 것이 현실이다. 하지만 소프트웨어 형 보안 제품을, 기존 소프트웨어 품질 평가 기준으로 적용하기에는 한계가 있다. 지금까지 소프트웨어 제품의 평가 방법과 요구 사항에 대한 프로세스가 국제 표준으로 제정 및 정의되어 있으나, 소프트웨어 형 보안 제품의 경우, 이러한 국제 표준을 적용하여 제품을 평가하는 데는 어려움이 있다. 이에 본 논문에서는 현재 사용중인 소프트웨어 평가 기준 인ISO/IEC 9126-1에서 규정하고 있는 6개의 소프트웨어 품질특성 중 기능성 의 부 특성인 보안성의 매트릭스를 확인하고 ISO/IEC 15408(공통평가기준)의 내용 중 일부를 발췌 및 보완하여 기존 6가지의 소프트웨어 품질특성 중 기능성의 부특성인 보안성을 보완한, 새로운 보안성 품질 매트릭스를 제안한다.

• Review of KIISC
• /
• v.10 no.3
• /
• pp.37-48
• /
• 2000

국제 공통평가기준(CC)은 정보보호제품의 개발·평가·사용을 위한 ISO 15048 국제 표준이다. 국제 공통평가기준의 제 2부 보안기능 요구사항은 정보보호제품의 보안 기능을 11개 클래스로 분류하였고 13개국 인증제품 상호승인 협정(MRA)에 의하여 교차 사용이 가능한 평가된 보안제품을 해설할 수 있는 공통언어로써 사용할 수 있다 보호프로파일(PP)은 특정형태의 제품군의 지녀야 할 보안 목적을 사용자 그룹에서 요구한 명세서이다. 보호프로파일은 제품군의 운영환영, 위협요소를 분석하고 보안기능 요구사항의 부분 집합들을 모아서 제품군이 목표로 하는 보안 목적들을 주장할 수 있다.

• Convergence Security Journal
• /
• v.8 no.2
• /
• pp.7-13
• /
• 2008

In domestic and international, evaluation of product with Common Criteria(CC) for security product estimation is expanding standard of product estimation. This expansion is due to multi aspects of product versions. However, it is very difficult to approach the most suitable form of security estimation guide in the developer's perspective, because estimation basis presented to developers is indefinite. With this pending dilemma, we are presenting a composition product introduce definite security standard for information security products.

• Proceedings of the Korean Information Science Society Conference
• /
• 1999.10c
• /
• pp.363-365
• /
• 1999

오늘날 전세계를 하나로 잇는 정보화사회는 보다 신뢰성 있는 네트워크 보안제품을 요구하며 이들 제품을 객관적으로 평가하기 위한 평가기준을 필요로 한다. 따라서 본 논문에서는 국내 네트워크 보안제품 관련 평가기준(안) 제정을 위해 국제공통평가기준인 CC(Common Criteria)와 미국의 네트워크 보안제품 관련 평가기준인 TNI(Trusted Network Interpretation of TCSEC)를 비교/분석하여 필요한 보안기능 요구사항을 도출하여 향후 평가기준(안) 제정을 위한 방향성을 제시한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.11a
• /
• pp.731-734
• /
• 2013

클라우드 컴퓨팅이 활성화됨에 따라 다양한 클라우드 서비스가 대중적으로 보급되고, 그에 따른 클라우드 컴퓨팅 관련 제품들을 IT시장에서 쉽게 접할 수 있게 되었다. 일반적으로 IT 제품군에 대해서 보안성평가를 수행하고, 그 결과 값을 통해 소비자에게 객관적인 지침으로 활용될 수 있는 국제 표준인 공통평가기준에서는 보안 제품군에 대한 보안목표명세서인 보호프로파일을 제공하고 있다. 하지만 현재 일반적인 IT제품군에 대한 보호프로파일은 존재하나 클라우드 관련 제품군에 대해서는 보호프로파일이 존재하지 않아 보안성평가를 위한 방법이 없는 실정이다. 따라서 본 논문에서는 공통평가기준을 준수하는 클라우드 환경에 적용 가능한 보안기능요구사항을 도출하고자 한다. 도출한 보안기능요구사항을 통해 클라우드 제품군에 대한 보안성을 적용하기 위한 평가 방법으로 사용될 수 있다.

• Review of KIISC
• /
• v.19 no.2
• /
• pp.87-98
• /
• 2009

국내 외 IT 제품은 그 제품이 가지고 있는 안전성 및 신뢰성에 대한 검증을 통해 국가 및 공공기관에 제품 공급 및 이용 촉진을 도모하고 있다. 또한 각 국가마다 보안제품 특징과 성격에 맞는 평가라 인증을 수행하기 위한 보안성 평가 서비스를 제공하고 있으며, 시스템 평가 기준과 방법론이 개발 및 운영되고 이에 따라 캐나다에서는 정보기술보안 제품의 안전성을 사전에 검증하기 위한 제도를 시행하고 있다. 본 고에서는 캐나다의 정보기술보안 제품 사전 검증 제도에 대한 분석을 통해 국내 적용가능성에 대하여 분석한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.11c
• /
• pp.1747-1750
• /
• 2003

IT 제품 및 시스템의 보안성 평가를 위한 국제표준(ISO/IEC15408)인 공통평가기준(CC)은 해당 평가 보증등급(EAL, Evaluation Assurance Level)의 요구사항에 따라 평가대상 제품(TOE, Target of Evaluation), 제품의 개발 및 운영 문서를 포함하는 평가제출물을 요구하고 있다. 개발자가 공통평가기준을 적용하여 제품의 보안성을 개선하고 성공적으로 평가인증서를 받기 위해서는 상당한 노력이 요구된다. 대부분의 개발자는 제품 개발 완료 후 제품의 보안성을 검토하고 평가를 준비하므로 리엔지니어링 등 추가적인 비용과 시간을 투입해야 하는 문제가 있다. 본 논문에서는 BSD(Berkeley Software Distributions) 4.4 기반의 운영체제인 MTOS(Mitretek)를 개발한 사례를 통하여 개발과정과 요구사항 및 평가준비를 위한 평가제출물 작성과의 연계성을 제시하였다. 개발자는 본 논문에서 제시한 연계성을 활용하여 소프트웨어 제품의 개발과정에 공통평가기준을 적용하여 제품의 보안성을 제고하고 보안성 평가를 준비하는데 시간과 노력을 절감할 수 있다.

• Journal of KIISE:Computing Practices and Letters
• /
• v.11 no.2
• /
• pp.192-207
• /
• 2005

As the evaluation for the information security has been an important issue, numerous security evaluation methods have been proposed. Those security evaluation methods can be categorized into three different aspects in large including product, process and control. In this paper we identify the possible problems that may occur when one-sided security evaluation is conducted that is on the aspect of product, process or control alone, present with the actual example of threat, and propose an approach to resolve each problem. Based on these approaches, we propose the security evaluation model, which incorporates these three aspects of product, process and control.

• Journal of the Korea Safety Management & Science
• /
• v.2 no.4
• /
• pp.45-57
• /
• 2000

국제 공통평가기준(CC)은 정보보호제품의 개발. 평가. 사용을 위한 ISO 15048 국제 표준이다. 국제 공통평가기준의 제 2 부 보안기능 요구사항은 정보보호제품의 보안 기능을 11개 클래스로 분류하였고, 13개국 인증제품 상호승인 협정(MRA)에 의하여 교차 사용이 가능한 평가된 보안제품을 해설할 수 있는 공통 언어로써 사용할 수 있다. 보호프로파일(PP)은 특정형태의 제품군이 지녀야 할 보안 목적을 사용자 그룹에서 요구한 명세서이다. 보호프로파일은 제품군의 운영환경, 위협요소를 분석하고 보안기능 요구사항의 부분 집합들을 모아서 제품군이 목표로 하는 보안 목적들을 주장할 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.04a
• /
• pp.702-705
• /
• 2012

공통평가 기준(CC, Common Criteria)은 정보 보호 제품, 즉 IT제품에 대한 보안성을 평가하기 위한 국제 평가 기준이다. 그러나 개발자 측면에서는 CC 에서 정의된 보안 기능 사항 중 IT제품 개발에 있어서 어떤 보안기능을 요구하며, 적용 가능한 IT기술에는 무엇이 있는지 알기 어렵다. 이 때문에 평가를 받고자 할 때 제출물을 작성하거나 IT제품 개발에 있어서 많은 시간과 인력이 필요하게 된다. 본 논문은 IT제품 개발자를 위해 공통평가 기준에서 정의하여 서술된 보안기능항목을 이해하고 적용 가능한 IT기술에는 어떤 것 들이 있는지 제시하기 위한 도구를 개발하기 위해 CC(Ver3.1)2부 보안기능 요구사항 중 프라이버시 클래스만을 해결할 수 있는 S/W를 개발 및 프로토타이핑 하였다.