국내외 IT제품 도입제도 동향 분석 및 국내 제도 개선방안 도출 Analysis of the Trends of Domestic/International IT Product Introduction Policy and Deduce Improvement Plan of Domestic Policy원문보기
정보통신기술이 발전함에 따라 정부의 행정전산화가 추진되었고, 이의 역기능으로 IT제품을 대상으로 한 사이버 공격이 전 세계적으로 확산되고 있다. 이에 따라 각국의 정부는 정보보호를 위하여 국가 공공기관의 IT제품 도입에 있어 보안성검증을 의무화하기 시작하였으며 도입 과정에서 요구되는 제도를 정립하였다. 본 연구는 현 국내 IT제품 도입제도를 분석하여 보완점을 파악한다. 또한 주요 선진국 미국, 영국, 일본, 캐나다, 호주 5개국의 IT제품 도입제도 동향을 분석하며, 최종적으로 국내 도입제도와의 비교 분석을 통하여 국내 도입제도의 개선방안을 제안한다.
정보통신기술이 발전함에 따라 정부의 행정전산화가 추진되었고, 이의 역기능으로 IT제품을 대상으로 한 사이버 공격이 전 세계적으로 확산되고 있다. 이에 따라 각국의 정부는 정보보호를 위하여 국가 공공기관의 IT제품 도입에 있어 보안성검증을 의무화하기 시작하였으며 도입 과정에서 요구되는 제도를 정립하였다. 본 연구는 현 국내 IT제품 도입제도를 분석하여 보완점을 파악한다. 또한 주요 선진국 미국, 영국, 일본, 캐나다, 호주 5개국의 IT제품 도입제도 동향을 분석하며, 최종적으로 국내 도입제도와의 비교 분석을 통하여 국내 도입제도의 개선방안을 제안한다.
As the Information and Communication Technology developed, the administration computerization of the government was promoted, and cyber attacks targeting IT products are spreading all over the world due to the reverse functions. Accordingly, governments in each country have begun to verify the secur...
As the Information and Communication Technology developed, the administration computerization of the government was promoted, and cyber attacks targeting IT products are spreading all over the world due to the reverse functions. Accordingly, governments in each country have begun to verify the security in the introduction of IT products by national and public institutions in order to protect information, and established the policy required in the introduction process. This research analyzes the introduction policy of domestic IT products to identify the supplement point. In addition, we analyze trends of introduction of IT products in the major developed countries such as USA, UK, Japan, Canada, and Australia. Finally, we propose the improvement method of domestic introduction policy through comparison analysis with domestic introduction policy.
As the Information and Communication Technology developed, the administration computerization of the government was promoted, and cyber attacks targeting IT products are spreading all over the world due to the reverse functions. Accordingly, governments in each country have begun to verify the security in the introduction of IT products by national and public institutions in order to protect information, and established the policy required in the introduction process. This research analyzes the introduction policy of domestic IT products to identify the supplement point. In addition, we analyze trends of introduction of IT products in the major developed countries such as USA, UK, Japan, Canada, and Australia. Finally, we propose the improvement method of domestic introduction policy through comparison analysis with domestic introduction policy.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
호주는 ICT 제품의 암호 모듈 사용 여부에 따라구분하여 검증을 진행하며, 암호 모듈이 탑재된 ICT 제품은 암호의 취약점을 확인하고 검증하는Cyptographic 제도를 수행한다. 본 제도는 ASD주관으로 암호 기능이 포함된 ICT 보안 제품에 사용된 아키텍처 및 암호화 알고리즘의 정상 구현 여부를 검증함으로써 정부기관의 정보보호를 위한 안전성과 암호의 취약점을 확인할 수 있다. 호주는 암호 검증에 있어 Cryptographic 제도가 아닌 다른 국가의 암호화 평가를 인정하지 않으며 다른 암호화 평가제도로 대체할 수 없다.
암호화 검증이 완료된 제품 및 암호 모듈을 사용하지 않은 ICT 제품 모두 AISEP 평가 · 인증 제도를 통하여 호주 정부의 보안요구사항을 충족시키는지 검증받아야 한다. 본 제도는 ICT 제품에 대한 보안 평가를 수행함으로써 시스템에 대한 안전성 및 신뢰성을 높인다. AISEP 평가․인증은 ASD가 인정한 PP 또는 CCRA가 인정한 PP를 평가기준으로 수행한다[21].
이후 인증된 IT제품 및 암호 모듈이 탑재 되지 않은IT제품 모두에 대하여 2차적으로 평가·인증을 수행한다. 암호 모듈에 대한 검증이 완료된 제품일지라도 해당 IT제품이 각 국가 정부가 요구하는 보안요구사항의 충족 여부를 판단하고 평가한다. 마지막으로는 기밀정보 취급 여부에 따라 국가별 고유 제도를 통하여 최종 검증 및 국가․공공기관에 도입 운용을 가능하게 한다.
CSfC 프로그램을 통하여 검증 완료된 IT제품은 NSA와 개발업체가 합의각서(MOA)를 체결한 후 CSfC 구성 요소 목록에 등재 가능하다[12]. 이 목록은 공급업체가 정부에 IT제품을 제공하고자 할 때, 시스템 군별로 분류된 제품 중 적합한 기능을 가진 제품을 선택하여 도입 및 운용 가능토록 함에 목적을 가진다.
하지만 지난 10년간의 관련 연구를 파악한 결과 단순히 국내의 CC 평가·인증 제도에 대하여 소개하거나 CCRA(Common Criteria Recognition Arrangement) 발행국을 중심으로 평가·인증 체계를 분석한 연구, 그리고 암호 모듈검증 제도에 대한 소개 및 CMVP 사용 국가와 제도 비교 수준의 연구에 그치고 있다[3,4,5,6,7,8]. 이에 따라 본 논문에서는 국내 및 주요 선진국들에서 시행하고 있는 CC 평가․인증 및 암호 모듈 검증제도 등 정부 기관에 정보보호제품을 도입하기 위한 도입절차 및 제도에 대해 종합적으로 소개한 후 국가 간 상호 비교 분석을 통하여 국내 도입제도의 개선방안을 도출한다.
제안 방법
본 논문은 한국과 주요 선진국 5개 국가 미국, 영국, 일본, 캐나다, 호주의 IT제품 도입제도의 동향을 파악하고, 운영 중인 보안성 검증 프로그램을 분석하여 국내외 도입제도의 전체적 흐름 및 특성에 대하여 비교하였다.
CMVP는 NIST(National Institute of Standards and Technology)에서 주관하며, 해당 기관에서 개발한 FIPS 140-2와 FIPS 140-3을 보안규격으로 적용하여 암호 모듈에 대한 암호학적 안전성을 검증하는 프로그램이다. 또한, 암호 모듈에 사용되는 암호 알고리즘은 CAVP를 통해 적합하지 않은 알고리즘 및 비승인 FIPS 알고리즘 사용 여부에 대하여 확인한다.
이후 인증된 IT제품 및 암호 모듈이 탑재 되지 않은IT제품 모두에 대하여 2차적으로 평가·인증을 수행한다.
호주는 ICT 제품의 암호 모듈 사용 여부에 따라구분하여 검증을 진행하며, 암호 모듈이 탑재된 ICT 제품은 암호의 취약점을 확인하고 검증하는Cyptographic 제도를 수행한다. 본 제도는 ASD주관으로 암호 기능이 포함된 ICT 보안 제품에 사용된 아키텍처 및 암호화 알고리즘의 정상 구현 여부를 검증함으로써 정부기관의 정보보호를 위한 안전성과 암호의 취약점을 확인할 수 있다.
성능/효과
그 결과 해외의 도입제도 모두 IT제품을 도입하기 이전에 인증 제도를 수행함을 확인하였다. 현재 국내의 보안적합성 검증 제도의 경우 제품을 도입한 이후 보안적합성 검증을 신청하여 진행하고 있다.
또한, 암호 모듈 검증이 완료된 제품과 암호 모듈이 탑재되지 않은 제품 모두 JISEC 평가·인증을 받음으로써 IT제품 보안 기능의 적합성 및 신뢰성을 보장한다.
마지막으로 기밀자료를 다루는 IT제품이 아닐 경우 바로 도입 가능하며, 반대로 기밀자료를 다루는IT제품은 캐나다의 독립적 제도인 COMSEC에 따라 높은 보증 평가를 받은 후 정부기관에 도입 가능하다. CSE가 주관하는 COMSEC 제도는COMSEC Products 목록을 통하여 IT제품의 선택 및 도입이 가능하며, 해당 목록에 등재된 IT제품은 COMSEC Solution을 거쳐 인증된 제품이다[22].
먼저 해당 정보보호제품에 대한 보안기능 시험결과서를 발급받았다면 추가 검증 없이 제품 도입이 가능하다. 보안기능 시험결과서 발급제도는 국가용 및 네트워크 보안기능 요구사항에 따라 제품을 검증하며, 보안적합성 검증 제도의 일부이다. 또한, 본 제도는 국가정보원에서 주관하여 발급에 대한 정책업무를 진행하고 있으며, 보안적합성 검증기관으로 국가보안기술연구소에서 실무 업무를 담당한다[10].
이를 보완하기 위해 본 연구에서는 해외 도입제도와 같이 제품을 도입하기 이전에 보안적합성 검증 제도를 신청하도록 변경하고, 또한 보안기능 시험결과서 제도 확대를 통해 사전에 인증을 획득한 제품 사용을 권장하는 것이 바람직한 것으로 판단된다. 이로써, 보다 빠르고 체계적으로 정보보호제품을 검증할 수 있을 것으로 예상되며, 최종적으로 국가․공공기관의 정보보안 수준이 크게 향상 가능할 것으로 기대된다.
현재 국내의 보안적합성 검증 제도의 경우 제품을 도입한 이후 보안적합성 검증을 신청하여 진행하고 있다. 이에 따라 검증 결과에 따른 운영 권고 사항을 신청 기관에 전달하더라도 강제할 방안이 마련되어 있지 않음을 확인할 수 있었다. 이로 인해 IT제품은 보안성이 취약한 상태로 도입되어 운영될 가능성이 존재하며 이는 차후 보안사고로도 이어질 수 있다.
CESG는 CAPS 평가를 위해 평가 신청받은 제품에 대한 기밀정보를 요구하지만, 이에 대한 평가기준 및 상세한 자료는 외부에 공개하지 않는다. 평가 완료된 제품은 암호화 등급 및 범주에 따라 OFFICIAL Grade,Enhanced Grade, High Grade 3단계 중 하나의 보안등급을 부여받게 되며, 기밀자료 취급 기관은 Enhanced Grade 이상을 받은 제품만 도입 및 운용 가능하다.
후속연구
즉, 국내의 IT제품 도입제도는 제품 운영기관의 실천 여부에 따라 보안의 수준이 결정되므로 운영기관의 인식 및 전문성 부족으로 인한 보안 사고를 미연에 막기에 어려운 점이 있다. 따라서 국외의 IT도입 제도처럼 우리나라 또한 모든 정보보호제품에 대하여 보안적합성 검증 후 보안요구사항(국가용 PP)을 만족하지 못한 부분을 개선 또는 제거하여, 안전성이 검증된 제품에 한해 기관에 도입하도록 한다면 보다 높은 보안성을 제공할 수 있을 것으로 판단된다.
한편, 대부분의 국외제도들은 검증된 제품 목록을 인터넷에 공개하고 정부기관의 IT제품 선택 시 검증된 제품을 도입하게 함으로써 도입 및 운영의 편리성을 제공하고 있다. 우리나라에서도 보안기능 시험결과서 발급 현황을 공개하고 보안기능 시험결과서가 있는 제품을 도입하도록 제도를 수정한다면 보안 적합성 검증 기간을 크게 단축시키고 전체 절차가 매우 간소해질 것으로 사료된다.
평가·인증을 모두 완료한 제품은 정부기관에 도입이 가능하지만, 정보보호제품 평가·인증을 받지 않은 제품은 보안적합성 검증을 실시 후 도입 및 운용 가능하다. 이때 시험결과서 발급 현황을 미리 공개하여 사전 검증된 제품을 선택하도록 유도하면 보다 빠른 검증이 이루어질 것으로 기대된다.
이를 보완하기 위해 본 연구에서는 해외 도입제도와 같이 제품을 도입하기 이전에 보안적합성 검증 제도를 신청하도록 변경하고, 또한 보안기능 시험결과서 제도 확대를 통해 사전에 인증을 획득한 제품 사용을 권장하는 것이 바람직한 것으로 판단된다. 이로써, 보다 빠르고 체계적으로 정보보호제품을 검증할 수 있을 것으로 예상되며, 최종적으로 국가․공공기관의 정보보안 수준이 크게 향상 가능할 것으로 기대된다.
또한, IT제품 도입과정에 있어 공급망 공격 사례가 증가하고 있음에 따라 공급 과정에서 발생 가능한 보안 사고를 예방하기 위한 제도의 필요성이 강조되고 있다. 이에 따라 정보보호제품 도입제도와 관련하여 공급망 위험 관리 체계에 대한 연구를 수행할 예정이다.
향후 연구를 통하여 국외 CCRA 주요국을 중심으로 도입제도의 지속적인 동향 분석이 필요하며, 이를 통해 국내 제도의 간소화 및 체계적인 개선방안 확립이 요구된다. 또한, IT제품 도입과정에 있어 공급망 공격 사례가 증가하고 있음에 따라 공급 과정에서 발생 가능한 보안 사고를 예방하기 위한 제도의 필요성이 강조되고 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
정부의 행정전산화의 역기능으로 발생한 것은 무엇인가?
정보통신기술이 발전함에 따라 정부의 행정전산화가 추진되었고, 이의 역기능으로 IT제품을 대상으로 한 사이버 공격이 전 세계적으로 확산되고 있다. 이에 따라 각국의 정부는 정보보호를 위하여 국가 공공기관의 IT제품 도입에 있어 보안성검증을 의무화하기 시작하였으며 도입 과정에서 요구되는 제도를 정립하였다.
공통평가기준의 역할은?
각국의 정부는 공통평가기준(CC, Common Criteria)을 통하여 기관에 도입하고자 하는 제품의 안전성을 평가하고, 각국의 환경에 맞는 평가 및 인증을 통해 국가․공공기관에서 사용할 IT제품의 신뢰성을 확보함으로써 국가의 정보보호 수준을 제고하고 있다. 따라서 발전하는 정보통신기술과 함께 그 제품을 평가․인증하는 제도 역시 지속적으로 미비한 부분을 파악하고 개선해야 할 방안을 도출할 필요성이 있다.
IT제품을 대상으로 한 사이버 공격에 대한 정책적 대응은 무엇이 있는가?
정보통신기술이 발전함에 따라 정부의 행정전산화가 추진되었고, 이의 역기능으로 IT제품을 대상으로 한 사이버 공격이 전 세계적으로 확산되고 있다. 이에 따라 각국의 정부는 정보보호를 위하여 국가 공공기관의 IT제품 도입에 있어 보안성검증을 의무화하기 시작하였으며 도입 과정에서 요구되는 제도를 정립하였다. 본 연구는 현 국내 IT제품 도입제도를 분석하여 보완점을 파악한다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.