[논문]무기 시스템의 기술 보호를 위한 CMVP 표준 기반의 Anti-Tamper 시스템 요구사항 도출

이민우; 이재천

doi:10.5762/kais.2019.20.4.470

[국내논문] 무기 시스템의 기술 보호를 위한 CMVP 표준 기반의 Anti-Tamper 시스템 요구사항 도출
Derivation of Anti-Tamper System Requirements Based on CMVP Standard for Technology Protection of Weapon Systems 원문보기

한국산학기술학회논문지 = Journal of the Korea Academia-Industrial cooperation Society, v.20 no.4, 2019년, pp.470 - 478

초록
AI-Helper

국내 방산분야의 기술적 성장과 수출 증대가 괄목함에 따라, 국가안보적 위협을 방지하기 위한 방위산업 분야 기술보호의 중요성이 강조되고 있으므로 기술보호 제도의 확립 및 수행이 필요하다. 특히 무기 시스템으로부터 중요기술을 불법으로 탈취하는 Tampering 시도에 대응하기 위한 Anti-Tampering 기법의 도입 필요성이 대두되고 있으나, 아직까지는 관련제도가 갖춰지지 않았고 기술자료 유출 예방 위주 수준의 활동이 이루어지고 있다. 선행연구로서 특정 기술 보호기법에 대한 기술적 연구와 동향 분석, 일부 절차를 적용한 Anti-Tampering 적용방안 등이 발표되었으며, 최근에는 위험관리 절차를 기반으로 보호대상 기술을 선정하는 방법이 연구되었다. 하지만 기존 연구들은 무기 시스템의 Life-cycle 차원에서 획득 프로세스와 연계하기에 용이하지 않거나, 실제로 개발 및 평가에서 활용하기는 어려운 것으로 판단된다. 이러한 문제를 해결하는 한 방법으로, 본 논문에서는 Anti-Tampering 적용이 결정된 무기 시스템의 개발에 직접적으로 활용될 수 있는 Anti-Tampering 요구사항의 도출에 대하여 연구하였다. 구체적으로, 암호 모듈의 개발 및 검증에 적용되는 CMVP 표준인 ISO/IEC 19790을 기반으로 무기 시스템 개발에 필요한 요구사항 항목들을 도출하였으며, 기술검토회의 및 시험평가 등에서의 활용방안을 제시하였다. 귀납적 추론 및 비교평가를 통해 연구결과의 유용성을 확인하였다. 본 연구의 결과들을 활용하면, 국내개발 무기 시스템의 본격적인 기술보호 활동 수행에 도움이 될 것으로 기대된다.

Abstract ▼ AI-Helper

As the growth of the domestic defense industry is remarkable regarding technology level and export size, technology protection is necessary. Particularly, there is a need to apply anti-tamper measures to prevent critical technologies from illegally being taken out of weapon systems. However, there is no security protection strategy and system built yet in ROK. Precedent studies discussed the trend analysis and technical research for specific protective techniques, and the application of anti-tamper using limited procedures was provided. Recently, methods of how to select the technology for protection were studied based on risk management. Nonetheless, these studies cannot be associated with the acquisition process for the whole life-cycle, having difficulty with actual development and evaluation of the weapon systems. The objective of our study is to derive the system requirements of the weapon system for which anti-tamper measures have been determined to apply. Specifically, requirements items suitable for the development of anti-tamper weapon systems were derived based on ISO/IEC 19790, the CMVP standard for the development and verification of cryptographic modules. Also, its utilization in technical reviews and test & evaluations was presented. The usefulness of the research results was confirmed through inductive inference and comparative evaluation. The result can be expected to play a role in initiating extensive activities needed for technology protection of the weapon systems.

주제어

표/그림 (5)

그림 Fig. 1. Tech. leakage cases in ‘Total life-cycle’ viewpoint
그림 Fig. 2. Anti-Tamper Implementation Decision Process[15]
표 Table 1. Categories of FIPS 140-2 & ISO/IEC 19790[9-10]
표 Table 2. AT Requirement apply(From ISO/IEC 19790)
표 Table 3. Results of Comparative Evaluation

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 무기 시스템 획득 프로세스에서 효율적인 Anti-Tamper 적용을 위해 개발 및 검증 요구사항을 도출하였다. 요구사항 도출에 활용된 CMVP 표준은 암호모듈이 정보시스템의 보안성을 확보할 수 있도록 하는 데에 필요한 개발 및 검증 요구사항이며, 국제표준인 ISO/IEC 19790의 11개 Category 중에서 무기 시스템과의 공통점 및 차이점을 고려하여 Anti-Tamper 개발 요구사항으로서 활용할 수 있는 항목들을 도출하였다.
본 논문에서는 보다 구체적으로 Anti-Tamper를 적용하기 위해 무기 시스템 개발 요구사항을 도출하였다. 이를 위해 정보보호체계에 사용되는 암호모듈의 검증을 위한 CMVP(Cryptographic Module Validation Program) 관련 국제표준을 적용하였다.

제안 방법

Anti-Tamper 적용이 결정된 모든 무기 시스템에 적용되어야 할 2가지 Category를 도출하였다.
Anti-Tamper와 관련하여 도출한 개발 요구사항들을 정리하면, ISO/IEC 19790:2012 표준으로부터 2가지의 필수적용 항목과 5가지의 선택적용 항목, 4가지의 비적용 항목을 도출하였으며 추가적으로 ILS 요소 3가지를 도출하였다. 해당사항을 Table 2에 요약하였다.
이에 무기 시스템의 Anti-Tamper 요구사항으로 적용이 불필요한 Category를 먼저 도출하고, 필수 또는 선택적으로 적용될 Category를 도출하였다. 그리고 CMVP 표준의 Category에 존재하지 않지만 무기 시스템에 필요한 요구사항을 추가 도출했다. 여기에는 한국산업표준으로 활용되고 있는 국제표준인 ISO/IEC 19790:2012(E)[9]을 활용하였다.
3절에서 도출한 Anti-Tamper 개발 요구사항들을 적절하게 활용하여 시스템 개발활동을 수행할 수 있다. 또한 방위사업청의 지침에 따라 무기 시스템 연구개발사업은 시스템공학 절차에 따라 관리되고 있으므로 각 기술검토회의를 통해 무기 시스템에 적용될 Anti-Tamper 기법들이 기술유출을 방지하는 데에 충분한지, 혹 무기 시스템의 운용성을 저해하지는 않는지 등을 검토할 수 있다.
무기 시스템의 8대 분류유형 또는 기타 특성에 따라 Category 적용 필요성이 달라지므로, 아래와 같이 선택적으로 적용할 5가지의 Category와 함께 그 적용조건을 도출하였다.
연구수행 결과의 타당성을 강화하기 위해 무기 시스템의 수명주기적 관점에서 기술보호 활동의 효율성에 대한 비교평가를 수행하였다. 평가대상은 아래의 3가지이다.
본 논문에서는 무기 시스템 획득 프로세스에서 효율적인 Anti-Tamper 적용을 위해 개발 및 검증 요구사항을 도출하였다. 요구사항 도출에 활용된 CMVP 표준은 암호모듈이 정보시스템의 보안성을 확보할 수 있도록 하는 데에 필요한 개발 및 검증 요구사항이며, 국제표준인 ISO/IEC 19790의 11개 Category 중에서 무기 시스템과의 공통점 및 차이점을 고려하여 Anti-Tamper 개발 요구사항으로서 활용할 수 있는 항목들을 도출하였다. 이와 더불어 종합군수지원(ILS)요소 중 Anti-Tamper의 적용에 따라 특별히 개발해야 할 요소들을 도출하였다.
이에 무기 시스템의 Anti-Tamper 요구사항으로 적용이 불필요한 Category를 먼저 도출하고, 필수 또는 선택적으로 적용될 Category를 도출하였다. 그리고 CMVP 표준의 Category에 존재하지 않지만 무기 시스템에 필요한 요구사항을 추가 도출했다.

이론/모형

그리고 CMVP 표준의 Category에 존재하지 않지만 무기 시스템에 필요한 요구사항을 추가 도출했다. 여기에는 한국산업표준으로 활용되고 있는 국제표준인 ISO/IEC 19790:2012(E)[9]을 활용하였다.
본 논문에서는 보다 구체적으로 Anti-Tamper를 적용하기 위해 무기 시스템 개발 요구사항을 도출하였다. 이를 위해 정보보호체계에 사용되는 암호모듈의 검증을 위한 CMVP(Cryptographic Module Validation Program) 관련 국제표준을 적용하였다. CMVP는 보안등급별로 개발 및 검증 요구사항이 차등화되어 있으며[9-10] 이를 바탕으로 시스템 개발 수행 간 손쉽게 활용이 가능한 무기 시스템 개발 요구사항을 도출할 수 있었다.

성능/효과

3.1절에서 암호모듈 및 무기 시스템의 공통점을 제시하였지만, 기본적으로는 두 시스템이 다르기 때문에 CMVP 표준에서 제시된 11가지 Category를 Anti-Tamper의 개발 요구사항으로서 그대로 적용하는 것은 적절하지 않다고 판단된다.
Anti-Tamper 적용을 위한 시스템 개발 요구사항 도출에는 암호 모듈의 개발 및 검증을 위한 CMVP표준을 적용하는 것이 타당한 것으로 판단하였다.
귀납추론 및 비교평가를 통해 논문에서 제시한 방안이 연구목표를 달성하였으며 본 연구결과가 유용한 것으로 판단하였다. 이로서 국내개발 무기 시스템의 수명주기 관점의 기술보호에 도움이 될 것으로 판단된다.

후속연구

CMVP의 국제표준인 ISO/IEC 24759:2017(E)는 개발하려는 암호모듈이 ISO/IEC 19790:2012(E)의 11가지 Category의 요구사항을 만족하는지에 대한 시험항목과 절차 등을 다루는데, Anti-Tamper 개발 요구사항과 동일하게 시험평가를 위한 검증 요구사항으로 활용이 가능할 것으로 판단된다.
귀납추론 및 비교평가를 통해 논문에서 제시한 방안이 연구목표를 달성하였으며 본 연구결과가 유용한 것으로 판단하였다. 이로서 국내개발 무기 시스템의 수명주기 관점의 기술보호에 도움이 될 것으로 판단된다.
이를 통해 보다 효율적으로 무기 시스템에 Anti-Tamper를 적용할 수 있을 것으로 판단한다.
향후에는 이러한 Anti-Tamper 개발 요구사항을 바탕으로 무기 시스템 개발과정에서 시범적용 등 추가적인 연구 수행을 통해 더욱 효율적인 무기 시스템 기술보호 방안이 마련되어야 하겠다.

질의응답

핵심어	질문	논문에서 추출한 답변
	Anti-Tampering이란 무엇인가?	국내 방산분야의 기술적 성장과 수출 증대가 괄목함에 따라, 국가안보적 위협을 방지하기 위한 방위산업 분야 기술보호의 중요성이 강조되고 있으므로 기술보호 제도의 확립 및 수행이 필요하다. 특히 무기 시스템으로부터 중요기술을 불법으로 탈취하는 Tampering 시도에 대응하기 위한 Anti-Tampering 기법의 도입 필요성이 대두되고 있으나, 아직까지는 관련제도가 갖춰지지 않았고 기술자료 유출 예방 위주 수준의 활동이 이루어지고 있다. 선행연구로서 특정 기술 보호기법에 대한 기술적 연구와 동향 분석, 일부 절차를 적용한 Anti-Tampering 적용방안 등이 발표되었으며, 최근에는 위험관리 절차를 기반으로 보호대상 기술을 선정하는 방법이 연구되었다.
	CMVP의 특징은 무엇인가?	이를 위해 정보보호체계에 사용되는 암호모듈의 검증을 위한 CMVP(Cryptographic Module Validation Program) 관련 국제표준을 적용하였다. CMVP는 보안등급별로 개발 및 검증 요구사항이 차등화되어 있으며[9-10] 이를 바탕으로 시스템 개발 수행 간 손쉽게 활용이 가능한 무기 시스템 개발 요구사항을 도출할 수 있었다. 이어지는 2장에서 Anti-Tamper 적용의 필요성과 현실태, 선행연구 동향 및 연구목표를 제시하였다.
	정비계획 수립 시 Anti-Tamper가 적용된 Subsystem 또는 Component 등에 대한 정비단계별 적절한 수행범위를 반영해야하는 이유는 무엇인가?	- 정비계획 : 무기 시스템에 적용된 Anti-Tamper 기법은 자칫 운영주체인 군의 정비과정에서 정비인력의 실수에 따라 발동되어 시스템의 일부 또는 전체기능이 사용불능 상태로 전환되거나 훼손될 우려가 있다. 따라서 정비계획 수립 시 Anti-Tamper가 적용된 Subsystem 또는 Component 등에 대한 정비단계별 적절한 수행범위를 반영하여야 한다.

참고문헌 (17)

H. J. Lee, "On the development of an Effective Defense Technology Security System," Defense & Technology, Korea Defense Industry Association, Nov. 2017, vol. 465.
Department of Defense DIRECTIVE : Anti-Tamper(AT), DoD Directive 5200.47E, 2015.
M. C. Park, W. K. Koo, D. G. Suh, I. S. Kim, D. H. Lee, “Two-stage tamper response in tamper-resistant software,” IET Software, Vol. 10, No. 3, pp. 81-88, 2016. DOI : http://dx.doi.org/10.1049/iet-sen.2014.0231

상세보기
M. H. Jang, Y. S. Ryu, H. K. Park, "A FPGA-Based scheme for protecting weapon system software technology," in Proc. ICCSA 2018, Melbourne, VIC, Austrailia, Jul. 2-5, 2018, pp. 148-157. DOI : https://doi.org/10.1007/978-3-319-95174-4_12
Mikhail J. Atallah, Eric D. Bryant, and Martin R. Stytz, "A survey of anti-tamper technologies," CROSSTALK : The Journal of Defense Software Engineering, vol. 17, no. 11, pp. 12-16, 2004.
H. K. Lee, W. S. Lee, Y. J. Oh, S. S. Park, “A Trend Analysis and Technology Application of Defense Technology Protection,” Journal of the KIMST, Vol. 20, No. 4, pp. 579-586, 2017. DOI : http://dx.doi.org/10.9766/KIMST.2017.20.4.579
H. S. Chae, C. S. Lee, T. R. Kim, T. H. Kim, "The Design of the Response Method in Anti-tampering for UGV," in Proc. 2017 KIMST Fall Symposium, Daejeon, Republic of Korea, Nov. 14-15, 2017, pp. 819-820.
M. W. Lee, J. C. Lee, "Risk Management-Based Application of Anti-Tampering Methods in Weapon Systems Development," Journal of KAIS, Vol. 19, No. 12, pp. 99-109, 2018. DOI : https://doi.org/10.5762/KAIS.2018.19.12.99
Information technology - Security techniques - Security requirements for cryptographic modules, ISO/IEC Standard, 19790, 2012.
Security requirements for cryptographic modules, FIPS PUB 140-2, 2001
S. J. Ahn, C. K. Jung, K. S. Oh, J. Y. Lee, "A Study on the Development of Defence Technology Protection System," Sungkyunkwan Univ. Univ-Industry Collabo, Director General for Defense Technology Control of DAPA, Oct. 2016.
Department of Defense Instruction : Critical Program Information(CPI) Protection Within the Department of Defense, DoD Instruction 5200.39, 2008.
United States Government Accountability Office, "DoD Needs to Better support program managers' implementation of AT protection," GAO-04-302, Mar. 2004.
United States Government Accountability Office, "Department-wide Direction Is Needed for Implementation of the Anti-tamper Policy," GAO-08-91, Jan. 2008.
Statement of Anti-Tamper(AT) Measures in the Letter of Offer and Acceptance(LOA), DSCA 00-07, 2000.
M. G. Choi, J. H. Jeong, “A Study on the Policy of Cryptographic Module Verification Program,” Journal of KAIS, Vol. 12, No. 1, pp. 255-262, 2011. DOI: https://doi.org/10.5762/KAIS.2011.12.1.255
K. S. Kou, I. W. Bae, S. J. Choi, G. S. Lee, “Analysis on New Cryptographic Module Validation Standard FIPS PUB 140-3 Changes,” Review of KIISC, Vol. 17, No. 6, pp. 41-56, 2007.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증