[2012 ict ] 년도 표준화전략포럼최종연구보고서 [2012 ict ]년도...

년도 표준화전략포럼 최종연구보고서[2012 ICT ]

정보보안산업표준포럼운영

2012. 12.

- 1 -

제 출 문

한국정보통신기술협회 회장 귀하

본 보고서를 “정보보안산업표준포럼 운영에 관한 연구 의 최종결과보고서로”

제출합니다.

년 월 일2012 12 15

포럼 사무국 지식정보보안산업협회:

연구 책임자 신용녀 책임연구원:

참여 연구원 조연호 책임연구원:

황지은 선임연구원

방송통신 연구개발 관리규정 제 조에 따라 보고서 열람35 에 동의합니다.

- 2 -

요 약 문 초 록( )과 제 번 호

과 제 명 국제사실표준화기구 포럼 협력 및 전문가 육성( )

포 럼 명국문 정보보안산업표준포럼( )

영문( ) Korea Information Security Industry Standards Forum

사 무 국 지식정보보안산업협회 연구책임자 신용녀당 해 년 도사 업 기 간 개월2012. 3. 15. 12. 15. ( 9 )～

참 여 기 관 참여기관책임자

포럼의 목적 및 필요성1.

국제 표준화 기구 등 에서는 차세대 기술 클라우드 스마o (ITU-T, ISO/IEC ) IT ( ,

트그리드 스마트폰 보안관리 에 대한 정보보안을 중요한 연구주제로 인식, , )

하고 관련 기술 표준 활동을 활발히 진행하고 있음

정보보안 서비스 사업자 측면에서 관련 장비의 상호연동성 확보 및 연구개o

발 또는 도입제품 평가의 용이성을 확보하고 정보보안 솔루션 공급자 측,

면에서는 생산원가의 절감 및 중복 투자 방지와 이용자 편의 도모를 위하

여 표준의 수요자가 직접 참여하는 실용적인 사실 표준화 추진이 필요함

국내에서도 산학연 간의 협력을 통해 안전한 디지털 관리 기술 개발 및o ID․ ․국내외 표준화 추진 디지털 관리 기술 관련 국제 표준화 및 포럼에서의, ID

공동 대응을 위한 전략 수립 및 활동 지원이 필요함

포럼 핵심 표준화 대상 및 내용2. (ToR)

개인정보보호o

- 개인정보보호 정책 관리 개인정보 보안 온라인 서비스 사용자 실제 사, DB , /

용자 본인 확인 기술

스마트폰 보안o

- 안전한 스마트폰 앱 개발과 사용을 위하여 스마트폰 앱과 앱 마켓에 대한

보안 기준

- 3 -

스마트 그리드 보안o

- 스마트 그리드 보안 위협 분석 및 요구사항 도출을 통한 안전한 스마트 그

리드 인프라 구축을 위한 보안 기술 및 기능 구조 정의

클라우드 서비스 보안o

- 클라우드 환경에서의 보안관리에 대한 원리와 통제 구조를 인증 및 인정 체

계에기반하여 제도화하는 지침 제시

포럼 운영 개발 결3. 과 및 성과

정보보안산업표준포럼은 국내외 표준개발 및 저변확대 등을 위해 총회 운영,

위원회 분과위원회를 운영하여 총 회의 회의를 개최함 또한 각 분과별 이, , 9 . ,

슈를 다룬 워크숍 신규 보안이슈와 보안관리 표준 이라는 주제로 세미나를 개‘ ’

최함 이런 활동을 통해 표준화 과제를 총 건 국제 건 국내 건 제안하여. , 23 ( 19 , 4 )

건 국제 건 국내 건 이 채택됨18 ( 14 , 4 ) .

현재 제도분과에서 표준화 과제 건이 추가로 진행중임1 .

정보보안산업표준포럼 추진실적 요약<2012 >

포럼운영현황 회원사 현황 국내표준화 활동 국외표준화 활동

회의 워크숍 기관 개인표준TTA

제정

표준TTA

과제채택

기고서

제안

기고서

반영

회9 회2 개21 명60 건4 건4 건20 건3

활용방안 및 기대효과4.

본 포럼은 정보보안 전문가들과의 협력을 통해 국제 표준화 및 기술 동향o

을 수집 및 분석하여 도출한 표준 기술을 국내 정보통신단체표준으로 제

정 제정된 표준이 적용된 기술을 솔루션에 적용함으로써 사용자의 편의성,

향상 및 강화된 보안관리시스템 구축이 가능하며 이와 더불어 국내 정보,

보안 기술의 산업 활성화 및 유관 표준화 추진 포럼의 활성화에 기여할

것으로 기대됨

본 포럼에서 포럼 표준으로 추진될 클라우드 서비스 보안 기술 스마트 그o ,

리드 스마트 폰 보안 기술 개인정보보호 표준 프레임워크 등을 등/ , ITU-T

- 4 -

국제 표준화 추진을 위한 발판을 마련할 수 있으며 국내 정보보호기술의,

표준화를 통해 서비스 간 상호연동성 증가로 국내 기술 기반 제품의 세계

시장 진출도 확대될 수 있도록 함

관련 전문가의 국제 표준화 회의 참석을 통해 국제 표준화 및 최신 기술의o

동향 파악을 하여 국내 실정에 적합한 표준화 과제를 도출하며 국제 표, ,

준화 기구 및 사실 표준화를 추진하는 민간 포럼 등에 의견제시 등을 통해

국가 및 산업체의 이익을 도모함

궁극적으로 국가 정보보안 강화 정책 추진의 기술적 지원기반을 마련하고o , ,

국내 정보보안 업계의 기술수준 향상 및 국내기업의 해외진출을 촉진

- 5 -

SUMMARY

1. Purpose of Forum

o International standardization organizations(ITU-T, ISO/IEC, etc) recognize

the importance of the issues on personal information security,

smartphone security, smart grid security, cloud computing security. And

the organizations have been actively studying and developing standards

about the issues.

o Security standards ensure interoperability between security equipments

and facilitate evaluation of security products in information security

service provider perspective. Also it prevents overlapping investments in

information security solution manufactor perspective.

o To develop practical security standards, collaboration with security related

industry, university and institute are needed.

2. Contents and Scope of Forum

o Personal Information Security

- Personal information policy management, personal information database

security, online service user identification technologies

o Smartphone Security

- Security guideline for development secure smartphone application and

criteria for verification the application

o Smart Grid Security

- Smart grid security threats and requirements analysis, security functional

architecture for secure smart grid service

- 6 -

o Cloud Computing Security

- Framework and guideline for security management and controls in cloud

computing environment

3. Results

The forum held total 9 meetings including general meeting, operation

committee and section committee for developing international and domestic

standardization. Additionally, the forum held some workshop, recent security

issue and security management standard, related each committee's issue.

Finally, the forum suggested total 23 subjects(international 19 subjects,

domestic 4 subjects) and was adopted 18 subjects(international 14 subjects,

domestic 4 subjects).

Now, one standard subject has been proceeding by system committee.

4. Expected effects

o The forum has been studied personal information security, smartphone

security, smart grid security and cloud computing security with security

related industry, university and institute.

o As a result of study, many practical standards are developed and those

are used for improving security for smartphone, smart grid and cloud

computing services. It can help developers, service providers,

manufactor, user to achieve and adopt security technologies. It would

contribute to revitalize security services and related business.

o And this forum has been set up a foundation to develop domestic and

international standard and train experts on standardization for information

security.

- 7 -

CONTENTS

영문목차( )

Chapter 1 Introduction ··································································································· 11

Chapter 2 Management of Korea Information Security Industry Standards

Forum ············································································································· 12

Section 1 Domestic and Oversea Trends ····························································· 12

1. Key Standardization Subject ··············································································· 12

2. Market Trends ········································································································· 12

A. Oversea Market Trends ······················································································ 12

B. Domestic Market Trends ··················································································· 14

3. R&D and Standardization Trends ····································································· 16

A. Oversea R&D and Standardization Trends ·················································· 16

B. Domestic R&D and Standardization Trends ··············································· 19

Section 2 Organization and Management of Forum ········································· 21

1. Purpose ····················································································································· 21

2. History ······················································································································· 22

3. Organization and Major Activities ····································································· 22

A. Organization ··········································································································· 22

B. Major Activities in each departments ··························································· 23

C. Member Organization ························································································· 24

D. Standardization Promotion System ································································ 24

Chapter 3 Results of Korea Information Security Industry Standards

Forum in 2012 ···························································································· 26

Section 1 Summary of Major Results ····································································· 26

Section 2 Results of Activities ·················································································· 26

- 8 -

1. Results of Forum Management ········································································· 26

2. Results of Domestic Standardization Activities ············································ 31

A. Contributions ······································································································· 31

B. Major Contributions ··························································································· 32

3. Results of International Standardization Activities ······································· 34

Chapter 4 Major Plans in 2013 ················································································ 35

Section 1 Goals in 2013 ··························································································· 35

Section 2 Subjects ········································································································ 35

Section 3 Methods for Achievement ······································································· 37

Chapter 5 Conclusion ·································································································· 39

Appendix. Summary of Standardization Activities in 2012

1. Results of Domestic Standardization Activities ·································· 40

2. Results of International Standardization Activities ····························· 45

3. Member List ··································································································· 63

4. Abbreviations ······························································································· 65

5. References ··································································································· 65

- 9 -

목 차- -

제 장 서론1 ······················································································································ 11

제 장 정보보안산업표준포럼 운영2 ············································································ 12

제 절 국내외 현황1 ······································································································ 12

핵심 표준화대상 기술1. ·························································································· 12

시장현황 및 전망2. ·································································································· 12

가 국외 시장현황 및 전망. ····················································································· 12

나 국내 시장현황 및 전망. ····················································································· 14

기술개발 및 표준화 현황3. ···················································································· 16

가 국외기술 개발 및 표준화 현황. ······································································· 16

나 국내기술 개발 및 표준화 현황. ······································································· 19

제 절 포럼 구성 및 운영2 ····························································································21

목적 및 필요성1. ······································································································ 21

연혁2. ·························································································································· 22

조직구성 및 주요활동3. ····························································································22

가 조직구성. ·················································································································22

나 분과별 주요활동. ································································································· 23

다 회원사 구성. ········································································································· 24

라 표준화 추진체계도. ····························································································· 24

제 장 년도 정보보안산업표준포럼 활동결과3 2012 ················································· 26

제 절 주요 추진실적 요약1 ························································································ 26

제 절 활동 결과2 ·········································································································· 26

포럼 운영 결과1. ······································································································ 26

국제표준화 활동 결과2. ·························································································· 31

가 기고서 실적. ········································································································· 31

- 10 -

나 대표 기고서 실적. ·································································································32

국내표준화 활동 결과3. ·························································································· 34

가 표준개발 실적. ····································································································· 34

나 대표 표준개발 및 활용실적. ···············································································34

제 장 년도 주요 수행계획4 2013 ················································································· 35

제 절 년도 정보보안산업표준포럼 연구목표1 2013 ··············································· 35

제 절 수행 과제 내용2 ································································································ 35

제 절 수행 과제 방법3 ································································································ 37

제 장 결 론5 ···················································································································· 39

붙임 표준화 추진과제 표준 안 기고서 요약서 작성. ( ( )/ )

년도 국내표준화 활동실적 표준안1. 2012 - ············································· 40

년도 국제표준화 활동실적 기고서2. 2012 - ··············································· 45

회원사 명부 작성3. ··························································································63

약어표4. ············································································································ 65

참고문헌 등5. ·································································································· 65

- 11 -

제 장 서론1

국제 표준화 기구 등 에서는 차세대 기술 클라우드 스마트그리드(ITU-T, ISO/IEC ) IT ( , ,

스마트폰 보안관리 에 대한 정보보안을 중요한 연구주제로 인식하고 관련 기술 표준, )

활동을 활발히 진행하고 있다.

정보보안 서비스 사업자 측면에서 관련 장비의 상호연동성 확보 및 연구개발 또는

도입제품 평가의 용이성을 확보하고 정보보안 솔루션 공급자 측면에서는 생산원가의,

절감 및 중복 투자 방지와 이용자 편의 도모를 위하여 표준의 수요자가 직접 참여하는

실용적인 사실 표준화가 추진되어야 한다.

국내에서도 산학연 간의 협력을 통해 안전한 디지털 관리 기술 개발 및 국내외ID․ ․표준화 추진 디지털 관리 기술 관련 국제 표준화 및 포럼에서의 공동 대응을 위한, ID

전략 수립 및 활동이 지원되어야 한다.

- 12 -

제 장 정보보안산업표준포럼 운영2

제 절 국내외 현황1

핵심 표준화대상 기술1.

개인정보보호o

개인정보보호 정책 관리 개인정보 보안 온라인 서비스 사용자 실제 사용자, DB , /

본인 확인 기술


안전한 스마트폰 앱 개발과 사용을 위하여 스마트폰 앱과 앱 마켓에 대한 보안

기준


스마트 그리드 보안 위협 분석 및 요구사항 도출을 통한 안전한 스마트 그리드

인프라 구축을 위한 보안 기술 및 기능 구조 정의


클라우드 환경에서의 보안관리에 대한 원리와 통제 구조를 인증 및 인정 체계에

기반하여 제도화하는 지침 제시

시장현황 및 전망2.

가 국외 시장현황 및 전망.

개인정보보호o

는 기반 개인정보보호 정책- P3P XML 설정 및 협상 규격으로 서비스 이용자가

정보 서비스를 이용할 때 서비스 제 공자와 서비스 이용자의 자동 협상을 통,

해 서비스가 자동 처리되도록 하는 규격이며 년 제정 후 개, 2006 W3C v.1.1

인정보보호정책 협상의 새로운 방법으로 개발을 시작으로AT&T IBM,

등에서 구현되고 있음Microsoft

- 13 -


에 따르면 분기에 스마트폰 판매량이 판매량을 최초로 앞지름- IDC '10 4 PC

스마트폰 플랫폼과 앱에 보안기술을 내장하고 강화하는 기술들이 지속적으로-

개발되고 있음

스마트폰 보안에 대한 관심이 증가하는 만큼 스마트폰 플랫폼과 관련 제품에-

보안 기술의 수준이 시장에 중요한 역할을 할 것으로 기대하고 있음


국제에너지기구 는 년 세계 스마트 그리드 관련 시장이 조- (IEA) 2006~2030 2 9

천억 달러에 이를 것으로 전망

스마트 그리드 기술 시장은 향후 년간 연평균 성장하여 년20 9% 2030※

억 달러 이상 될 것으로 전망1,000

세계 스마트그리드 사이버보안 시장은 년 억 달러에서 연평균 성장률- ‘09 12

로 년 억 달러 년 억 달러에 이를 것으로 전망35% ’13 41 , ‘15 37 (Pike

Research)


국외 클라우드 서비스 시장규모는 매년 의 성장률을 보이며 년에는- 18.9% 2015

억 달러 규모를 형성할 것으로 전망되고 있으며 특히 영역은1,768 , SaaS ’15

년 억 달러 규모까지 성장하며 가장 큰 시장을 형성할 전망 가210 (2011.06,

트너 이 중 약 가 클라우드 보안시장으로 예상) 7%

해외 클라우드 컴퓨팅 기술은 가상화 클러스터관리 분산시스템 보안등- , , , SOA,

의 분야에서 구글 을 선두로 아파치 재단 아마존 야후 등이 앞 다투어S/W , ,

다양한 기술을 개발하여 서비스에 적용

에서는 년 월 클라우드 보안에 관한 분석을 통해 기- Gartner ‘11 7 , Hype Cycle

존 보안 기술의 단순 적용보다는 클라우드 전용 보안기술이 필요하고 또한 이,

들 보다는 클라우드 서비스화 시킨 보안 기술의 개발이 더욱 요구되어지고 있

다는 분석 결과를 보임

- 세계 클라우드 시장 규모는 억불 규모로 개인과 기업 기관 등을 중심으로420 , ,

클라우드 컴퓨팅 도입 및 적용 사례가 급증(IDC, '11.11)

- 14 -

- 서버데스크탑 가상화 및 클라우드 서비스 확산으로 글로벌 데이터센터의 트래픽․급증 전망

년 전세계 데이터 양은 규모로 년 대비 배 증가할 전망'20 35.2ZB ’11 44 (IDC, '11.11)※

- 전세계 가상머신의 수는 년 억대에서 년까지 배 이상 증가할 것으로 전망‘11 2 ’15 5

하여 클라우드 환경 구축을 위한 서버데스크탑 가상화로의 전환 가속화 가, (2011,․트너)

- 가상화 시스템 보안 시장은 연 이상 성장 할 것으로 전망10%

- 전세계 가상화 시스템 보안 시장은 년 억불 년 억불에서 년까‘10 4.3 , '11 6.7 ‘15

지 억불 규모로 연평균 성장할 것으로 전망17.5 27.1%

출처 시장동향 인포매틱스 리서치: 2011 Virtual Security Appliance ,※

- 시장 조사 결과 전세계 메시징 보안 시장에서 가상화 보안제품의 비율이IDC ,

년 만불 에서 년에는 만불 수준을 차지할 것으로‘10 1.8%(5,030 ) ‘15 12.2%(34,092 )

전망

나 국내 시장현황 및 전망.

개인정보보호o

년 개인정보보호법이 발효되면서 소프트포럼 이니텍 펜타시큐리티- 2011 , , ,

이글로벌시스템 등 보안업체를 중 심으로 데이터베이스 보안 솔루션 개KSign,

발이 위너다임 소만사 등 개인정보보호 업체를 중심으로 개인정보 검색 및, ,

암호화 관리 솔루션 개발이 활발함

에서는 년 구글 주민번호 노출 자동점검 시스템을 개발한 바 있으며- KISA 2006 ,

년에는 개년에 걸쳐 개인정보 유 노출 대응시스템을 구축함2009~2011 3 /

년 서비스가 시범 도입되었으며 년 일정 조건 이상의 포털 및- 2005 i-PIN , 2008

웹사이트 서비스 수단 도입을 의무화함i-PIN

년 개인정보보호법 공표 및 시행됨- 2011


년 월 방통위에서는 스마트폰 이용자 대 안전수칙을 발표했음 방통- 2010 2 ' 10 ' .

위에서는 모바일 시큐리티 포럼 을 통해 스마트폰 정보보호 주체별 역할을' '

정립하여 발표

- 년 에서는 대 보안 위협을 제시하였으며 그 중에서 소셜미디어2011 McAfee 8 IT ,

보안위협 모바일 보안위협 애플의 보안위협 어플리케이션 보안 위협과 같이, , ,

- 15 -

스마트폰 관련 보안 위협을 가지 포함하였음4

한국인터넷진흥원에서는 스마트폰 보안성 제공을 위한 폰키퍼 를- (S.S Checker)

개발하여 앱마켓을 통해 배포하고 있으며 공공앱 검증을 수행하고 있음,

안랩과 하우리 등에서 스마트폰용 보안 소프트웨어를 개발하여 보급하고 있음-

국내에서 모바일웹 플랫폼에 대한 개발 또한 진행되고 있고 스마트폰의 순수- ,

플랫폼 인터페이스 앱에 대한 기술 개발이 활성화되고 있으며 보안 기술에, , ,

대한 인식과 관심도 증가하고 있음.

스마트폰의 보안 취약점을 해소하기 위한 여러 가지 기술이 개발되고 있으며-

이를 통하여 스마트 폰 보안 분야의 표준화에 중요한 역할을 할 것으로 기대됨


- 년 한국형 스마트 그리드 비전 발표하여 제주 구좌읍에 제주 스마트그리드2009

실증단지 를 구축함(Test Bed)

확대정상회의 기후변화포럼 에서 스마트그리드 선도국으로 선정- G8 (MEF) (‘09)

지식경제부는 년 스마트 그리드 국가 로드맵 확정 발표함- 2010

년 스마트그리드법 지능형 전력망 구축 및 이용촉진에 관한 법률 제정되- 2011 ( )

었고 년 스마트그리드법 제 조 제 항에 근거하여 지능형전력망 정보의, 2012 26 3 ‘

보호조치에 관한 지침 시행 발표함’

지식경제부의 스마트그리드 국가로드맵 에 의하면 우리나라 스마트 그- ‘ (2010)’ ,

리드 시장은 년까지 조 원 규모로 성장할 것으로 전망2030 73.9


한국인터넷진흥원에서는 안전한 클라우드 서비스 제공이용을 위한 클라우드- 『․서비스 정보보호 안내서 발간하여 배포했으며 안전한 클라우드 서비스 환경을,』

마련하기 위해 중소 규모의 클라우드 업체를 대상으로 보안컨설팅을 진행하고

있음

- 클라우드 컴퓨팅 환경 가상네트워크 침입대응 기술 개발 신뢰 클라우드 컴퓨팅,

플랫폼 개발 등의 국내 클라우드 관련 가상화 시스템 보안을 위한 기술들에 대한

개발이 진행 중에 있음

- 국내 클라우드 컴퓨팅 시장 규모는 년 조 억원에서 연평균‘11 1 3,040 31%

성장하여 년 경에는 조 억원으로 커질 전망 국내 클라우드’14 2 5480 (KISTI,

컴퓨팅전망 되며 이 중에서 정도가 보안인프라 투자에 사용될 전망) 3%

- 16 -

- 국내 가상화 시스템 보안시장은 년 억원에서 연평균 성장하여 년‘12 227 31% `17

에는 억원 수준으로 크게 성장 할 것으로 예상됨877

기술개발 및 표준화 현황3.

가 국외 기술개발 및 표준화 현황.

개인정보보호o

개인정보보호 정책 기술인 기술 개발- P3P

는 해당 웹사이트를 방문하지 않고 검색 프로그램을 이용하여 해당 웹사P3P ,

이트와 자신의 프라이버시 선호 수준을 입력을 하면 정책 선호도 및 해당 웹사

이트의 정책 원문을 확인할 수 있는 에이전트의 새로운 대안 프로그램으로

년에 개발을 시작으로 등에서 구현되고 있음2003 AT&T IBM

등 주요 개발사들이 데이터베이스에 대한 암 복호화- Oracle, Sybase DBMS · ,

전자서명 접근제어 기능을 제공하고 있음,

에서는 개인 선호도 플랫폼 표준 제정 및 개정- W3C (P3P) (‘04) (’06)

국외의 경우 에서 에 대한 표준이 개발되었- , Liberty Alliance Interaction Service

으며 에서 개인정보보호정책에 대한 표준이 제정되었음, OASIS


에 따르면 년 분기에 스마트폰 판매량이 판매량을 최초로 앞지른- IDC ‘10 4 PC

것으로 나타나고 안드로이드 악성코드가 년 월 대비 년 월에 로, ‘10 6 ‘11 1 400%

증가하였으며 이에 따라 보안 소프트웨어의 가치가 증가하고 있음,

스마트폰 세계시장 점유율에서 년 분기에 한국 이 미국 을- 2011 2 (23.1%) (22.5%)

앞지름

스마트폰 플랫폼과 앱에 보안기술을 내장하고 강화하는 기술들이 지속적으로-

개발되고 있으며 스마트폰 보안에 대한 관심이 증가하는 만큼 스마트폰 플랫,

폼과 관련 제품에 보안 기술의 수준이 시장에 중요한 역할을 할 것으로 기대하고

있음

에서 스마트폰 보안 요구사항 멀웨어 감염을 예방하기 위한 스마트폰- ITU-T ,

보안 스마트폰 앱 보안 프레임워크 등에 대한 표준화가 추진 중임,

스마트폰 디바이스 보안 부분에서는 를 중심으로 표준화가 이루어지고- MOTP

있으며 스마트폰에 대한 소프트웨어 기반 공격이나 하드웨어 기반 공격에 대,

- 17 -

하여 보안 위협 사항을 정의하고 사의 처럼 스마트폰 칩셋에, ARM TrustZone

신뢰 구역을 설정하고 감사와 인증 제어를 하도록 하는 기술에 대한 표준화가

논의 중임

에서 전반적인 모바일 폰의 보안 표준화에 대하여 다루고 있음- ITU-T SG17 .

스마트폰 하드웨어와 소프트웨어로 나누어 인증 무결성 등의 보안 요구사항을,

다루고 있음

스마트폰 보안 관련 기술이 점차 나옴에 따라 보안 이슈에 대한 표준화가 추진-

될 예정임


국제에너지기구 는 년 세계 스마트 그리드 관련 시장이 조- (IEA) 2006~2030 2 9

천억 달러에 이를 것으로 전망

스마트 그리드 기술 시장은 향후 년간 연평균 성장하여 년20 9% 2030 1,000※

억 달러 이상 성장할 것으로 전망

- 미국 유럽 일본 등에서 미래 전력산업시장 보안성 강화를 위한 스마트 그리드, ,

보안 원천기술에 대한 를 가속화하고 있음R&D

년 스마트그리드 사이버보안 가이드라인 발표- 2010 NIST (IR 7628)

년 발표- 2010 IEC Smart Grid Standardization Roadmap

미국 의회는 년 년부터 년까지 스마트 그리드 연구개발과 시범- 2007 '2008 2020

사업을 국책사업으로 한다는 내용을 담은 연방법안을 통과시키고 년 월에' , 2009 2

발표된 경기부양 법안에서는 스마트 그리드에 연간 억 달러의 투자계획45 을

수립함

유럽은 년까지 조 유로를 투자할 계획으로 년까지 회원국의 모든- 2030 1 2022

건물에 스마트 계량기 설치 계획

일본은 국가차원의 신 전력 네트워크 시험 시범 단지 약 개 사이트 를 구축- · ( 10 )

하고 분산전원 통합 실증 시험 추진 및 전력중앙연구소는 추진TIPS

- 는 년 민관 협의체인 을NIST 2009 SGIP(Smart Grid Interoperability Panel)

구성하고 산하에 을 통해 보안 표준화, CSWG(Cyber Security Working Group)

추진

는 년 스마트그리드 사이버보안 전략 및 요구사항을 정의한- CSWG 2010

를 발표함‘Guideline for Smart Grid Cyber Security’

는 전력시스템에 대한 보안 표준 시리즈 제정- IEC IEC62351

- 는 변전소 전자장치에 대한 사이버보안 요구사항 등 변전소 관련 표준IEEE

- 18 -

제정

는 년부터 년 동안 운영- ITU-T 2010 2 FG Smart(Focus Group on Smart Grid)

함으로써 관점에서의 스마트그리드 이슈를 연구함ICT

에서는 년 월 정기회의에서 스마트그리드 보안 기능 구조- ITU-T SG17 2012 2 ‘

에 대한 표준화 작업을 시작함(X.sgsec-1)'


클라우드 컴퓨팅 시장은 년 까지 매년 이상 성장하여 억 달러- 2014 20% 1400

이상의 시장으로 확대될 것으로 예측 이 중에서 규모의 클라우드 컴퓨팅7%

관련 보안시장이 창출될 것으로 예상

- 가상화 클러스터관리 분산시스템 보안등의 분야에서 구글을 선두로, , , SOA,

하파치 재단 아미존 야후 등이 앞 다투어 다양한 기술을 개발하여 서비S/W , ,

스에 적용하고 있음

현재 등의 국제 표준화 기구에서 네트워크 기능- ETSI, 3GPP, ISO/IEC, ITU-T

구조 및 서비스 요구사항 등 통신 서비스 지원을 위한 기본 요구사항을M2M

도출하는 과정에 있으며 정보보호 등 서비스 안정화를 위한 다양한 요소기술,

에 대한 표준화가 확대되어 추진될 것으로 예상됨

년 월 에서는 퍼블릭 클라우드 컴퓨팅에서의 보안 및 프라이버시- 2011 12 NIST

를 위한 가이드라인 전 가상화 기술을 위한 보안 가이드 건의 보안 문서를, 2

발간

- 년 에서는 를 운용하여 클라우드2012 ITU-T Focus Group-Cloud Computing WG

보안, “Cloud computing ecosystem, inter-cloud and general requirements“을

포함한 가지 분야의 결과문서를 도출하였으며 클라우드7 , ITU-T SG13 Q.26( ),

정보보호 에서는 클라우드 보안을 위한 보안 요구사항 및 구조 운영보SG17( ) ,

안가이드 등에 관한 표준화를 진행 중에 있음

에서는 클라우드 컴퓨팅 보안 및 프라이버시 관련- 2012 ISO/IEC JTC1 SC27

표준을 개발중에 있으며, SC 38(Distributed application platforms and

과 클라우드 컴퓨팅에 대한 협력 추진services)

- 2 년 등을 중심으로 산업계 표준으로 서비스 및012 DMTF, OGF, SNIA, TMF

자원 관리 표준을 제정 중이며 주로 클라우드용 서버computing , storage,

들을 다루고 있음network ,

년 등에서 기능 요구사항 및 참조 표준을 정의 중이며- 2012 NIST, CSA, DMTF ,

보안 감사 및 프라이버쉬 가이드라인 등은 등에서 주ISO, NIST, CSA, DMTF 로

- 19 -

표준화를 중첩해서 다루고 있음 클라우드 연동 보안은 에서 제정 중, GICIF

- 에서 클라우드 레퍼런스 프레임워크 개발 및 초안IETF CloudAudit API 1.0

개발을 통해 클라우드 서비스 제공 업체의 운영 보안 감사 평가 및 보증, , ,

정보의 수집을 자동화 할 수 있도록 프로토콜을 활용한 프로세스 기술HTTP

및 공통 인터페이스를 제공

나 국내 기술개발 및 표준화 현황.

개인정보보호o

년 개인정보보호법이 발효되면서 소프트포럼 이니텍 펜타시큐리티- 2011 , , ,

이글로벌시스템 등 보안업체를 중심으로 데이터베이스 보안 솔루션KSign,

개발이 활발함

개인정보보호 정책 기술인 기술 개발- P3P

에서 기술과 기술 개발- ETRI XACML Interaction Service

개인정보 암 복호화 및 전자서명 기술을 포함하는 제품이 출시됨- DB ·

년 서비스 프레임워크 메시지 표준 제정- 2007 i-PIN / TTA

년 한국형 개인정보보호정책 설정 및 협상규격 개인정보생명주기별- 2007 P3P( ),

보안관리모델 표준 제정TTA

년 서비스 중복가입 확인정보 전달 메시지 표준 제정- 2008 i-PIN / TTA

년 개인정보보호 수준 정의를 이한 공통 항목 개인정보보호를 위한- 2009 , DB

보안감사 로그 표준 제정TTA

국내의 경우 개인정보보호정책 프라이버시 관리 모델에 대한 표준이 개발되- , ,

었음


스마트폰의 용도가 시장을 위협하고 있으며 안랩과 하우리 등에서 스마트- PC ,

폰용 보안 소프트웨어를 개발하여 보급하고 있음

국내에서 모바일웹 플랫폼에 대한 개발 또한 진행되고 있고 스마트폰의 순수- ,

플랫폼 인터페이스 앱에 대한 기술 개발이 활성화되고 있으며 보안 기술에, , ,

대한 인식과 관심도 증가하고 있음.

스마트폰의 보안 취약점을 해소하기 위한 여러 가지 기술이 개발되고 있으며-

- 20 -

이를 통하여 스마트폰 보안 분야의 표준화에 중요한 역할을 할 것으로 기대됨

스마트폰용 보안 소프트웨어가 개발되어 스마트폰에 장착되어 악성 앱이 설치-

되는 것을 탐지하고 있으나 스마트폰에 많은 부하를 주고 있을 뿐만 아니라,

알려진 악성 앱만을 방지할 수 있는 상황임

또한 스마트폰 앱스토어에서 개인정보에 관한 앱검증 항목을 강화하고 있음- , .

애플의 앱스토어에서는 개인정보 수집 동의여부 위치정보 활용 동의여부, ,

악성코드 포함여부를 검증하고 있음 의 스토어와 의 마켓에서도. SK T KT Olleh

비슷한 내용에 대한 검증을 수행

응용보안 및 평가인증 프로젝트 그룹에서는 스마트폰앱 보안 검증- TTA PG504

가이드라인을 단체표준으로 제정하였음

- 스마트폰 관련 국제 표준화 단체에 국내 기업들이 참여하고 있으며 모바일,

보안 포럼 등에서 스마 트폰 보안에 대한 대책을 발표하고 있음 행안부에서.

모바일 웹과 앱 개발 가이드라인을 추진하고 있으며 금융결재원에서 스마트폰,

뱅킹의 표준화를 추진하고 있음

- 스마트폰 보안 관련 특허가 출원되고 있으므로 보안에 대한 표준화 요구가

점점 증가될 것임


년 년 스마트 그리드 관련 개 기술개발 진행 중- 2005 ~ 2013 2005 ~2013 11

민관공동 억 원 투입( 3,342 )

년 제주 스마트 그리드 실증단지 컨소시엄 표준개발 및 민간표준화 협력- 2010

강화를 위한 스마트 그리드 표준화 포럼 출범

전력 대 국책기술에 대한 기술개발 진행 년 민관공동 억- IT 10 (‘05~’12 , 2,547

원 투입)

- 향후 연평균 억 원을 투입하여 전기차 충전인프라 시설 전력용 대규모350 ,

배터리 등 신규기술에 대한 기술개발 추진

년 제주 구좌읍에 국내 첫 스마트그리드 실증단지 착공- 2009

고려대는 스마트그리드보안연구센터를 개소하여 정보 스마트그리드 보안 기술-

연구 과제 수행 중 년(~2013 )

년까지 조 억 원을 투자하여 전국에 스마트미터를 단계적으로 보급- 2020 1 4,749

지식경제부 스마트그리드 국가 로드맵 에 따라 스마트그리드 핵심기술 개발- ‘ ’ ,

지원 및 조기 국제 표준화 지원을 위한 표준화 가이드라인 설정

년 스마트그리드 핵심기기인 스마트미터에 대한 지능형전력량계 제 부- 2011 ‘ - 1

- 21 -

기능요구사항 에 대한 표준이 제정됨: -’ KS

응용보안 및 평가인증 프로젝트그룹 에서는 스마트 그리드 응용- TTA PG504( )

보안 관련 표준 개발 임무에 따라 표준화 추진 중


- 삼성 등이 서비스 런칭을 위하여 서버 가상화 기술 데스크탑KT, SDS, LG CNS ,

가상화 기술 등을 개발하여 서비스에 적용함

- 년부터 클라우드 신뢰 가상화 플랫폼 기술 개발 클라우드 환경에서 모바일2009 ,

인증 및 권한관리 기술 개발 가상네트워크 침입대응 기술 개발 등이 수행되고,

있음

에서 클라우드 보안에 대한 표준을 제정하고 지속- TTA PG204, PG503, PG504

추진 중에 있음

중소기업을 위한 기술 개발 멀티 테넌트 접근 제어 및 고객- SaaS Platform ,

관리 기술 기반 원산지 관리 시스템 기술 개발, SaaS

클라우드 환경에서의 관리 강화를 위해 형 기술- ID SaaS Security as a Service

개발

클라우드 환경을 활용한 재난 방지 및 신속한 복구 기술 연구 중-

클라우드 사업자 중심으로 다중 클라우드 환경에서 클라우드 연동 보안 기술-

개발 중

제 절 포럼 구성 및 운영2

목적 및 필요성1.

가 포럼의 목적.

정보보안산업표준포럼은 국제 표준화 기구 등 에서는 차세대(ITU-T, ISO/IEC ) IT

기술에 대한 정보보안을 중요한 연구주제로 인식하고 관련 기술 표준 활동을

활발히 진행하고 있어 이에 대응하기 위함

나 포럼의 필요성.

정보보안 서비스 사업자 측면에서 관련 장비의 상호연동성 확보 및 연구개발

또는 도입제품 평가의 용이성을 확보하고 정보보안 솔루션 공급자 측면에서는,

생산원가의 절감 및 중복 투자 방지와 이용자 편의 도모를 위하여 표준의 수요

자가 직접 참여하는 실용적인 사실 표준화 추진

- 22 -

정보보안 기술 관련 최신 기술정보 수집 분석 및 워크숍 등을 통한 기술 교류,

및 표준 보급

포럼 내 정보보안 기술개발 표준화 대책 및 정책 대안을 마련하여 정보보안,

기술의 이용 및 국내 산업 활성화 장려 국내 개인정보보호 제도정책의 실효성, ․확보

연혁2.

년<2012 >

정보보안산업표준포럼 운영분과회의2012. 05 :

정보보안산업표준포럼 총회2012. 06 :

정보보안산업표준포럼 워크숍2012. 06 :

기술분과 차 회의2012. 06 : 1

제도분과 차 회의2012. 07 : 1

운영분과 차 회의2012. 08 : 1

기술분과 차 회의2012. 10 : 2

제도분과 차 회의2012. 10 : 2

기술분과 차 회의2012. 11 : 3

제도분과 차 회의2012. 11 : 3

정보보안산업표준포럼 워크숍 차2012. 12 : (2 )

조직구성 및 주요활동3.

가 조직구성 조직도 포함. ( )

포럼은 의장과 운영위원회를 두고 산하에 개 분과 위원회 설치o 3

분과위원회는 운영 분과 서비스 분과 제도 분과 및 기술 분과로 구분o , ,

- 23 -

정보보안산업표준포럼 조직도< >

나 분과별 주요활동.

운영위원회1)

포럼 운영에 관한 전반적인 사항 의결 및 포럼 활동 지원o

포럼 운영 규정의 제개정 포럼 사업계획 및 예산결산 승인- ,․ ․최신 기술정보의 수집 분석 보급 및 활용 촉진- , ,

정보보안 서비스의 활성화 정책제도 제안 및 가이드 제시- ․분과위원회 존속여부 및 포럼 표준 검토승인- ․의장 염흥열교수 순천향대학교- : ( )

기술분과2)

클라우드보안 스마트그리드 스마트폰 보안 등 정보보호기술 연구 및o , / , IETF

표준개발 대책 마련

분과위원장 나재훈전문위원- : (ETRI)

분과 위원 등 총 개 기업 및 기관- : KISA 10

제도분과3)

개인정보보호표준 및 제도 개발 등 산업 활성화 방안 마련o

분과위원장 김정덕교수 중앙대학교- : ( )

- 24 -

분과 위원 윈스테크넷 등 총 개 기업 및 기관- : 33

운영분과4)

정보보안 표준 세미나 홍보 인식제고 및 유관기관 협력o , ,

분과위원장 정길원부장 지식정보보안산업협회- : ( )

분과 위원 닉스테크 등 총 개 기업 및 기관- : 9

다 회원사 구성.

산업체연구소 학계 총계

대기업 중소벤처 기업

갯수 3 9 4 5 21

백분율(%) 14.3 42.9 19.0 23.8 100%

라 표준화 추진체계도.

o 산 학・ 연을 기반으로 전략적인 포럼 활동을 통해 정부의 정보보안 정책 지원 방안・ 마련

정보보안 유관- 기관 등 관련 분야별 보안 요구사항을 도출하여 정부의 정보보안

관련 표준화 정책에 의견 제시

o 등 국제표준화 회의에 지속적으로 참석 활발한 기고 활동을 통해ITU-T, IETF ,

제안한 국제 표준 안 에 대한 각국의 검토의견을 적극적으로 수용함으로써 효과적인( )

국제 표준화 추진

o 및 정보보안산업표준포럼 활동을 통해 국내 표준 개발 및 효과적인 표준화TTA

추진을 위한 인적 네트워크 구축

- 25 -

정보보안산업표준포럼 표준화 추진체계< >

정보보호 기술 관련 국제 표준화 동향 분석o

국외 정보보호 기술 관련 포럼 및 표준 기구의 기술 동향 파악-

국제 기술 동향 파악을 통해 국내에서 개발 가능한 항목 발굴 및 연구-

관련 학회지 컨퍼런스 참석 등을 통해 지속적인 동향 정보 제공- ,

산 학 연 전문가들과의 지속적인 협력을 통해 동향지 발간 예정- ・・

정보보안 기술 관련 업체 중심의 표준화 항목 도출 및 표준 개발o

산업체에서 필요로 하는 것을 기반으로 표준화 항목 도출 및 기술 개발-

학계의 정보보호 기술 전문가들의 검토를 통한 의견 수렴 및 반영-

스마트 그리드 클라우드 컴퓨팅 표준화 포럼 등 민간 포럼과의 협력 체계 구축- /

하여 국내 기술 개발

개발된 표준 안 의 포럼 표준 및 정보통신단체표준 제정 추진- ( )

포럼 분과들의 포럼 활동 워크샵 개최를 통해 표준화 동향 교류 및 업체들의o ,

기술 교류를 통해 서비스 상호연동성 확보를 위한 기반 마련

국제 표준화 회의 기술 동향 및 표준화 기구 회의 참석 결과 공유-

- 정보보호 기술 제공 기관간의 서비스 간 상호연동성 확보를 위한 요구사항 발굴

기타 연구회 등에서의 기술 세미나 지원-

- 26 -

제 장 년도 정보보안산업표준포럼 활동결과3 2012

제 절 주요 추진실적 요약1월 일 기준(12 15 )

구분계획

건수 계량치( )실적

건수 계량치( )대표 결과물

국제활동

공적표준

기고서 제안 2 20개인정보보호 프레임워크O스마트그리드 스마트폰O /

보안기술기고서 반영 1 3

기고서 제정 - -

사실상표준

기고서 제안 - -

기고서 반영 - -

기고서 제정 - -

국내활동

단체표준

표준 과제채택TTA 2 4 스마트그리드 스마트폰O /보안기술

클라우드 서비스 보안 기술O표준 제정TTA 1 4

포럼표준

포럼 표준제정 3 -클라우드 서비스 보안 기술O

포럼 표준개정 - -

기타성과 지표-1 - -

기타성과 지표-2 - -

포럼운영포럼 회의 총회 운영위원회 분과회의( / / ) 회9

총회 회 운영위원회 회1 / 1기술분과 회 제도분과 회3 , 3

운영분과 회1

포럼 세미나 워크숍 개최/ 회2 워크숍 회2

제 절 활동 결과2

포럼 운영 결과1.

운영위원회1)

가 개요.

일 시o : 2012. 5. 29

장 소 한국정보보호학회o :

참석자 신용녀 교수 등 명o : 7

- 27 -

나 주요내용.

년 정보보안산업표준포럼 운영 안 검토o 2012 ( )

년 정보보안산업표준포럼 신임 의장으로 염흥열 교수 추천 및 총회 선임o 2012

총회 개최 계획 및 일정 확인o

분과장 확정 및 역활분담o

총 회2)

가 개요.

일 시 수o : 2012. 6. 13( )

장 소 코엑스 컨퍼런스센터 호o : (308 )

참석자 염흥열 의장 등 총 명o : 105

나 주요내용.

년도 사업계획 안 검토 및 승인o 2012 ( )

임원개선 신임 의장에 염흥열 교수 순천향대학교 선임o : ( )

분과위원회 관련 변동사항 승인o

서비스 분과 삭제-

다 총회 전경.

정보보안산업표준포럼 워크숍 차3) (1 )

가 개요.

일 시 수o : 2012. 6. 13( )

장 소 코엑스 컨퍼런스센터 호o : (308 )

참석자 염흥열 의장 등 총 명o : 105

- 28 -

나 주요내용.

정보보안산업표준 포럼 목적과 비전 소개o

프라이버시 표준화 동향o

운영현황 및 표준화 동향o JTC 1 SC27

정보보호 표준화 동향o ITU-T SG17

국내 정보보호표준 동향 및 현황o

다 워크숍 전경.

기술분과 위원회4)

가 주요 활동 현황.

분과회의 총 회o 3

표준개발실적 기고서 채택 건 기고서 제안 건o : 3 , 14

나 년도 회의 개최 현황. 2012

차수 일시 장소/ 참석자 주요내용

12012-6-27

분당 TTA명10

년도 사업계획 검토1) 2012

정보보안산업표준포럼 기술분과 소개-

분과위원 구성 및 향후 진행방향 등 협의-

기타 논의사항-

22012-10-12

분당 TTA명16

표준화현황 발표 및 포럼과제 결과보고 준비1)

스마트그리드 표준화 계획 등 표준화현황 발표- ITU-T SG17

포럼과제 결과보고 준비작업 등 협의-

기타 의견수렴-

32012-11-08

가락동 KISIA명12

보안 표준동향 발표1)

인터넷 보안경보 프로토콜 발표- (ALERT)

클라우드 컴퓨팅 보안 표준동향 발표-

결과보고 관련 추가자료 요청-

- 29 -

제도분과 위원회5)



표준개발실적 기고서 채택 건 기고서 제안 건o : 1 , 14



12012-7-3


표준화 과제별 추진계획 수립1)

제도분과 회원 소개-

표준화 과제 확정-

과제별 참여인력 확정-

차기 회의 일정 결정-

22012-10-11


포럼 표준안 검토 및 협의1)

번역 감수와 국내표준화 계획- ISO/IEC 27014

개인정보보호 기고서 발표와 향후 계획- (PIMS)

번역감수와 표준화 계획- ISO/IEC 29100

정보보호관리 전문가 인증 기고서 발표-

32012-11-29


국제표준 동향소개 및 신규 표준안 검토1)

제도분과 관련 국제표준 동향소개-

표준화 프로젝트별 작업팀 구성-

신규 국내 국제 표준 제안 검토- /

년 제도분과 활동 정리- 2012

포럼 과제 향후 계획-

운영분과 위원회6)





12012-7-3


표준화포럼 활성방안1)

포럼 소개 및 분과위 구성 등 협의-

분과장 선출 및 의장 추천-

포럼 총회 개최 계획 안- ( )

규정 재정비-

- 30 -

정보보안산업표준포럼 워크숍7)

가 행사명 정보보안산업표준포럼 워크숍 신규 보안이슈와 보안관리 표준. : - -

나 일시 화. : 2012. 12. 11( )

다 장소 회의실. : TTA (9F)

라 주관 지식정보보안산업협회. : (KISIA)

마 참가자 김정덕 교수 등 명. : 19

바 일정.

시간 내 용 비고

13:40 ~ 14:00 행사 준비 및 등록

14:00 ~ 14:10환영사 순천향대학교- ( ) 염흥열 교수

축사 한국정보통신기술협회 표준화본부- ( ) 위규진 본부장

14:20 ~ 14:50 정보보호 국제표준화 현황 및 클라우드 표준화 동향- 오흥룡 선임TTA/

14:50 ~ 15:20 금융보안표준화 동향- 금보연 김근옥 주임/

15:20 ~ 15:50 기업 개인정보보호 표준 추진전략- 김창오 팀장NC Soft/

15:50 ~ 16:00 휴 식

16:00 ~ 16:30 개인정보보호 관리체계 동향- 순천향대 염흥열 교수/

16:30 ~ 17:00 표준화 변경사항- ISMS 중앙대 김정덕 교수/

17:30 ~ 18:30 석 식

사 세미나 전경.

- 31 -

국제표준화 활동 결과2.

가 기고서 실적 제안 반영 채택. ( / / )

번호

표준구분 기고서명 기구명

표준화회의명

기고자표준화

단계

연월일 문서번호

기고 반영 기고 반영

1 기술반영

Proposed dispositionsof comments ondraft Rec. ITU-T

ISO

13th Meetingof ISO/IECJTC 1/SC27/WG 5

KR기고서

제안20120504 -

SC 27N11084

-

2 기술반영

Disposition ofcomments on SC 27N10162 ISO/IEC 1st

CD

ISO/IECJTC1

ISO/IEC JTC1/SC 27/WG

4KR NB

신규과제채택

20120504 20120525SC 27

N11001SC 27

N11001

3 정책기고

Introduction of aKorea Information

SecurityStandardization

Forum

CJK ICTmeeting

Informationsecurity WG 염흥열

기고서제안

20120806 20120816Tokyo-Security WG-Doc

03

Tokyo-Security

WG-Doc08

4 정책기고

Review of agreementof the April 2012CJK IT Standards

Meeting

CJK ICTmeeting

Informationsecurity WG 염흥열

기고서제안

20120806 20120816Tokyo-Security WG-Doc

01

Tokyo-Security

WG-Doc08

5 정책기고

Introduction of theKorea Information

SecurityStandardization

Forum

RAISE2012

RAISE2012meeting 염흥열

기고서제안

20120807 20120807첨부파일(

참조)첨부파일(

참조)

6 기술반영

DraftRecommendationITU-T X.websec-4:

Threats and securityrequirements for

enhanced web basedtelecommunication

service

ITU-T Q6Q7rapporteur 나재훈

기고서제안

20120621 20120621Seoul-Q6Q7

-Doc02TD3001

7 기술반영

Threats forenhcanced

web-based servicesAPT ASTAP 나재훈

기고서제안

20120730 20120804ASTAP20/IN

P-05ASTAP20/

OUT-23

8 기술반영

SecurityRequirements of

enhanced web-basedservices

APT ASTAP 나재훈기고서

제안20120730 20120804

ASTAP20/INP-06

ASTAP20/OUT-23

9 기술반영

Proposal for CJKcollaboration on Web

Service securitystandardization

CJK ICTmeeting

Informationsecurity WG

나재훈기고서

제안20120806 20120816

Toyo-security WG-doc

07

Tokyo-Security

WG-Doc08

10 기술반영

The 9th revised textof draft

RecommendationITU-T X.websec-4:

Threats and securityrequirements for

enhanced web-basedtelecommunicationservice for consent

ITU-T SG17 나재훈기고서

제안20120830 20120907 C732 TD3166

11 기술반영

Proposal for newwork item on

security frameworkfor smart grid

ITU-T SG17 김미주신규과제

채택20120220 20120302 C613 TD2796R3

12 기술반영

Proposal for newwork item on

guideline for secureapplications onmobile phone

ITU-T SG17 김미주신규과제

채택20120220 20120302 C614 TD2745R3

13 기술반영

Proposal for revisedtext on draft

RecommendationITU-T SG17 김미주

기고서제안

20120220 20120302 C615 TD2736

- 32 -

나 대표 기고서 실적.

스마트 그리드 보안 프레임워크 국제표준화 신규아이템 제안o ITU-T

(No.11, Proposal for new work item on security framework for smart grid)

과금 우회 개인정보 수집 원격 제어 등 스마트 그리드 보안 위협을 소개함으- , ,

X.usnsec-3: Securityrequirements forwireless sensor

network routing

14 기술반영

Proposed draft textof X.sgsec-1 –

Security functionalarchitecture for smart

grid services usingtelecommunication

network

ITU-T SG17 김미주기고서

제안20120829 20120907 C730 TD3189R1

15 기술반영

Telebiomtricauthentication

framework usingbiometric hardware

security module

ITU-T SG17 신용녀기고서

제안20120220 20120302 C621 TD2735

16 기술반영

First draft of aguideline to technical

and operationalcountermeasure for

telebiometricapplications using

mobile devices.


제안20120830 20120907 C740 TD3161

17 기술반영

Proposal for reviseddraft text of X.bhsm:

Telebiometricauthentication

framework usingbiometric hardware

security module.


제안20120830 20120907 C739 TD3171

18 기술반영

Information securitymanagement

guidelines for smalland medium-sizedtelecommunication

organizations

ITU-T SG17 김정덕기고서

제안20120830 20120907 C720

TD3216R2

19 기술반영

KR Comments onISO/IEC 2nd CD27001 (revision)

ISO/IECJTC1 SC27/WG1 오경희

기고서제안

20120227 20120229 N10641SC 27

N10821

20 정책기고

KR Contribution onInternational

certification ofinformation security

managementspecialists


기고서제안

20120712 20121026 번호없음SC 27

N11393

21 정책기고

Rapporteurs' reportto Internationalcertification of

information securitymanagement

specialists


기고서제안

20120917 20121026 N11478SC 27

N11922

22 기술반영

NB Comments onISO/IEC 3rd CD27001 (revision)


기고서제안

20120920 20121026 번호없음SC 27

N11462

23 정책기고

Meeting report –Study Period on

InternationalCertification of

Information SecurityManagement

Specialists


기고서제안

20121026 20121105 번호없음SC 27

N11922

- 33 -

로써 스마트 그리드 보안 기술에 대한 표준화 필요성으로 주장하여 국ITU-T

제표준화 신규아이템으로 채택됨

스마트그리드 보안 위협 보안 요구사항 보안 기능 구조 등 제시- , ,

스마트그리드 서비스 확산에 대비하여 시스템 설계 및 구현 시 활용되어 안전-

한 스마트그리드 서비스 이용 환경 마련에 기여하며 스마트그리드 관련 장비,

개발 시 보안 지침으로 활용되어 산업 활성화에 기여할 것으로 예상됨

스마트폰 앱 보안 검증 가이드라인 국제표준화 신규아이템 제안o ITU-T

(No.12, Proposal for new work item on guideline for secure applications

on mobile phone)

개인정보위치정보 수집 및 활용 악성코드 유포 등 스마트폰 앱의 악성행위를- ,․소개함으로써 앱 보안 검증 표준화의 필요성을 주장하여 국제표준화 신ITU-T

규아이템으로 채택됨

스마트폰 앱 보안을 위한 보안성 검증 절차 및 기준 제시-

향후 국내외 앱스토어 등 앱 배포 사이트에서 앱 검증을 위한 기준으로 활용되-

어 악성앱 유포에 따른 피해를 예방함으로써 안전한 스마트폰 사용 환경마련에

기여할 것으로 예상됨

- 34 -

국내표준화 활동 결과3.

가 표준개발 실적 포럼 단체 국가. ( / / )

나 대표 표준개발 및 활용 실적.

스마트그리드 서비스 보안기능 구조 표준 제정o TTA

- 정보통신망을 기반으로 제공되는 스마트그리드 서비스 환경에서 발생할 수 있는

보안 위협을 식별하고 이를 기반으로 스마트그리드 시스템 구축을 위한 보안,

기능 요구사항을 제시함

- 스마트그리드 시스템을 운영하는 사업자 및 관련 장비 개발자들에게 참고 자료로

활용될 수 있을 것으로 예상되며 이는 스마트그리드 서비스의 안전성 및 신뢰,

성을 확보함으로써 스마트그리드 및 관련 사업 활성화에 기여할 것으로 예상됨

무선 센서 네트워크 라우팅 보안 요구사항 표준 제정o TTA

무선 센서 네트워크 라우팅 토폴로지 및 라우팅 프로토콜의 특징을 보안 관점-

에서 분석하고 이를 기반으로 무선 센서 네트워크 라우팅 보안 요구사항을,

제시함

무선 센서 네트워크 기술 기반의 서비스 사업자 및 관련 장비 개발자들- USN

에게 보안을 위한 참고자료로 활용될 수 있을 것으로 예상되며 이는 무선 센서,

네트워크 기술 기반의 서비스의 안전성 및 신뢰성을 확보함으로써 관련 사업

활성화에 기여할 것으로 예상됨

번호 제개정 표준 초안 명( )표준화

기구회의명 구분

과제채택연월일

표준제정연월일

과제채택번호

표준제정번호

1 제정스마트그리드 시스템 보안

기능 요구사항TTA PG504 표준제정 20120614 20121221 2012-893 TTAK.KO-

12.0209

2 제정무선 센서 네트워크 라우팅

보안 요구사항TTA PG504 표준제정 20120614 20121221 2012-894 TTAK.IT-

X.1313

3 제정 정보보호 거버넌스 KS 전문위원회 표준제정 - - - -

4 제정정보보호조직 구성 및 운영

지침TTA PG504 표준제정 - 20121221 2010-142 'TTAK.KO-

12.0204

5 제정정보보호 관리체계 범위 설정

지침TTA PG504 표준제정 - 20121221 2010-143 'TTAK.KO-

12.0205

- 35 -

제 장 년도 주요 수행계획4 2013

제 절 년도 정보보안산업표준포럼 연구목표1 2013

유비쿼터스 사회에서 사용자 네트워크 및 응용 레벨에서 정보보안 요구가 증가o ,

함에 따라 정보보안 강화를 위한 기술 개발 및 포럼 표준 제정,

포럼 내 정보보안 기술 개발 표준화 대책 및 정책 대안을 마련하여 정보보안o ,

기술의 이용 및 국내 산업 활성화 장려 국내 개인정보보호 제도정책의 실효성, ․확보

정보보안 기술 관련 최신 기술정보 수집 분석 및 워크샵 등을 통한 기술 교류o ,

및 표준 보급

정보보안 기술에 대한 국제 표준화 활동에 적극 참여하여 국내 정보보안 산업의o

위상 및 경쟁력 제고

제 절 수행 과제 내용2

정보보호 기술 관련 국내 국제 표준 개발 및 제개정o / ․개인정보보호 표준 프레임워크 국제표준화 추진-

세계 스마트폰 시장 확대와 국산제품 경쟁력이 강화되고 있으나 국산 스마트- ,

폰 운영체제 플랫폼 기술은 약세임으로 국내 스마트폰 시장의 경쟁력을 바탕,

으로 스마트폰 앱과 위치정보 자가제어 기준에 대한 표준화 추진

클라우드 환경에서의 보안관리에 대한 원리와 통제 구조를 인증 및 인정 체계-

에기반하여 제도화하는 지침 제시

클라우드 환경의 상황인지형 인증기술을 표준화 하기위해 국내 사이버보안포-

럼 유관기관과 협력하여 표준안건을 만들고 을 통해 국내표준화, , TTA PG503

를 진행하며 향후 을 통해 신규 국제표준 제안ISO/IEC SC27

스마트 그리드 서비스의 핵심 기술인 스마트 미터 보안 프로토콜에 대한 국제-

표준화 추진을 위해 스마트 그리드 및 정보보호 관련 산 학 연 의견 수렴을· ·

기반으로 표준안을 만들고 스마트 그리드 표준화 포럼 및 를 통해TTA PG504

국내 표준화를 진행하며 향후 을 통해 국제표준 개발, ITU-T SG17

- 36 -

- 스마트 그리드 보안 프레임워크 국제 표준화 추진을 위해 스마트 그리드 및

정보보호 관련 산 학 연 의견 수렴을 기반으로 표준안을 만들고 스마트 그리드· ·

표준화 포럼 및 를 통해 국내표준화를 진행하며 향후TTA PG504 , ITU-T

을 통해 국제표준 개발SG17

스마트 그리드에서의 개인정보보호 국제 표준화 추진을 위해 스마트 그리드 및-

정보보호 관련 산 학 연 의견 수렴을 기반으로 표준안을 만들고 스마트 그리드· ·

표준화 포럼 및 를 통해 국내표준화를 진행하며 향후TTA PG504 , ITU-T

을 통해 국제표준 개발SG17

정보보호 기술 관련 최신 기술정보의 수집 분석 보급 및 활용 촉진o , ,

기술 표준화 동향- ITU-T SG 17

기술 표준화 동향- ISO/IEC JTC1 SC27 WG5

및 의 기술 표준화 동향- OASIS Liberty Alliance

및 에서의 정보보호 관련 표준 기술 동향- IETF OMA

의 등의 의 관련 프로젝트 동향 파악- EU PrimeLife FP7

동향 파악- OECD WPISP(Working Party on Information Security and Privacy)

정보보호 서비스의 활성화 정책제도 제안 및 가이드 제시o ․강화된 개인정보보호 정책에 따라 온라인상에서 개인정보 수집을 최소화 하는-

기술을 적극 활용할 수 있도록 정책 제안

제한적 본인확인제도에 따라 사용하고 있는 민간공공 서비스 등 개인i-PIN․ ․정보 보호 강화 정책 제안

- 개정 정보통신망 이용촉진 및 정보보호 등에 관한법률에 적용되는 개인정보

관리 기관에 대한 기술능력 시설 및 장비 보유 보호조치 등의 요건 제공서비스, , ,

제안

클라우드 서비스 및 스마트 그리드에 대한 사전 보안대책을 강구할 수 있도록-

하는 구체적 정책 도입 제안

정보보호 기술 관련 세미나 워크샵 등 행사 개최o ,

포럼 정기 총회-

운영위원회 및 분과위원회 회의 정기 개최-

기술 제도 서비스 분과별 워크샵 개최- , ,

- 37 -

정보보호 기술 관련 국제 표준화 회의 국제 포럼 등의 참석 및 동향 발표o ,

등 참석- ITU-T, ISO/IEC JTC1

정보보호 기술 최신 표준화 동향 분석․정보보호 기술의 국내 표준화 요구사항 도출․국내 정보보호 기술 및 포럼 기술의 국제 표준화 추진․

제 절 수행 과제 방법3

정보보호 기술 관련 국제 표준화 동향 분석o

국외 정보보호 기술 관련 포럼 및 표준 기구의 기술 동향 파악-

국제 기술 동향 파악을 통해 국내에서 개발 가능한 항목 발굴 및 연구-

관련 학회지 컨퍼런스 참석 등을 통해 지속적인 동향 정보 제공- ,

산 학 연 전문가들과의 지속적인 협력을 통해 동향지 발간 예정- ・・

정보보안 기술 관련 업체 중심의 표준화 항목 도출 및 표준 개발o

산업체에서 필요로 하는 것을 기반으로 표준화 항목 도출 및 기술 개발-

학계의 정보보호 기술 전문가들의 검토를 통한 의견 수렴 및 반영-

스마트 그리드 클라우드 컴퓨팅 표준화 포럼 등 민간 포럼과의 협력 체계 구축- /

하여 국내 기술 개발

개발된 표준 안 의 포럼 표준 및 정보통신단체표준 제정 추진- ( )

포럼 분과들의 포럼 활동 워크샵 개최를 통해 표준화 동향 교류 및 업체들의o ,

기술 교류를 통해 서비스 상호연동성 확보를 위한 기반 마련

국제 표준화 회의 기술 동향 및 표준화 기구 회의 참석 결과 공유-

- 정보보호 기술 제공 기관간의 서비스 간 상호연동성 확보를 위한 요구사항 발굴

기타 연구회 등에서의 기술 세미나 지원-

- 38 -

정보보안산업표준포럼 조직도< >

산 학 연을 기반으로 전략적인 포럼 활동을 통해 정부의 정보보안 정책 지원o ・・방안 마련

정보보안 유관기관 등 관련 분야별 보안 요구사항을 도출하여 정부의 정보보안-

관련 표준화 정책에 의견 제시

정보보안산업표준포럼 표준화 추진체계< >

- 39 -

제 장 결 론5

정보보안산업표준포럼은 개인정보보호 스마트폰 보안 스마트그리드 보안 클라우드, , ,

서비스 보안 연구 및 표준 개발을 목적으로 년 설립되었다2012 .

정보보안산업표준포럼은 기술분과 제도분과 운영분과 등 개 분과로 활동하였으며, , 3 ,

각 분과별 활동은 다음과 같다 기술분과는 총 회 회의를 개최하였으며 기고서는. 3 , 14

건을 제안하였고 건이 채택되었다 제도분과는 총 회 회의를 개최하였으며 기고서는, 4 . 3 ,

건을 제안하였고 건이 채택되었다 운영분과는 회 회의를 개최하였으며 총회14 , 1 . 1 , ,

워크숍 등 개최준비를 진행하였고 분과장은 월 스마트워크 구축사례 및 보안기술, 9 ‘

수요전망 세미나시 포럼을 소개 하였다’ .

이러한 활동을 통해 산업에서 필요로하는 정보보안 표준화 아이템을 발굴하고 산학,

연 전문가 검토 및 의견수렴을 기반으로 표준을 개발하였다 이렇게 개발된 표준들은.

정보통신단체표준으로 추진하였으며 국제표준화 추진을 위한 발판을 마련하는 계기가,

되었다 국내 정보보호기술의 표준화를 통해 서비스 간 상호운용성을 확보로 국내.

기술 기반 제품의 세계 시장 진출도 확대될 것으로 기대된다.

실용성있는 핵심 보안 기술에 대한 표준을 개발하기 위해서는 신규 융합서비스에IT

대한 분석 및 산업체 수요를 바탕으로 표준화 아이템이 발굴되어야 하고 산학연 협력,

을 통해 표준 개발 및 의견수렴이 진행되어야 한다 이를 위해 정보보안산업표준포럼.

은 산학연 전문가 구성하였고 협력을 통하여 표준안들을 개발하였다 이는 향후 정보, .

보안 핵심기술 표준 개발 및 정보보안산업 활성화에 기여할 것이다.

관련 전문가의 국제 표준화 회의 참석을 통해 국제 표준화 및 최신 기술의 동향

파악을 하여 국내 실정에 적합한 표준화 과제를 도출하며 국제 표준화 기구 및 사실, ,

표준화를 추진하는 민간 포럼 등에 의견제시 등을 통해 국가 및 산업체의 이익을 도모

할 것으로 예상된다.

- 40 -

표준화 추진과제 표준 안 기고서 요약서 작성( ( )/ )

년도 국내표준화 활동실적 표준안1. 2012 -

포럼 명 정보보안산업표준포럼표준 안 명( ) 국문 스마트그리드 시스템 보안 기능 요구사항- :

영문- : Security Functional Requirements for Smart Grid System표준 상태 포럼표준 개발중① □ 포럼표준 제정완료 표준 과제채택, , TTA ,② ■ ③ ■

표준 완료TTA④ ■, 국가표준 제안 채택/⑤ □표준화 내용요약 주요 표준화 대상 및 범위( )표준의 목적1.본 표준은 스마트그리드 시스템에서의 보안 기능 요구사항을 정의한다.

추진 경위2.포럼표준개발 시작일 : 2012-04-01①종료일 : 2012-11-30②표준 제안일TTA : 2012-05-10③표준 과제채택일TTA : 2012-06-14④표준 완료일 심의중TTA :⑤

대상 및 범위3.본 표준은 스마트그리드 시스템 보안 기능 요구사항을 정의하고 있으며 크게 세 개의 장으로,구성되어 있다.스마트그리드 참조모델-스마트그리드 보안 위협-스마트그리드 시스템 보안 요구사항-

내용요약4.주요 내용으로는 관점에서의 스마트그리드 참조모델을 기준으로 스마트그리드 보안 위협을ICT식별하고 이를 기반으로 스마트그리드 시스템 보안 기능 요구사항을 도출한다, .

기대효과5.본 표준은 스마트그리드 시스템을 운영하는 사업자 및 관련 장비 개발자들에게 참고 자료로 활용될수 있을 것으로 예상된다 이는 스마트그리드 서비스의 안전성 및 신뢰성을 확보함으로써.스마트그리드 및 관련 사업 활성화에 기여할 것이다

Reference 참고자료없음

국내외 표준과 관련성ITU-T Smart-O-33Rev.6, "ITU-T FG-Smart Deliverable Smart Grid Architecture", 2011본 표준은 에서 정의한 스마트그리드 참조모델을 기반으로 스마트그리드 시스템( ITU-T Smart-O-33Rev.6보안 기능 요구사항을 도출함)

붙임

- 41 -

포럼 명 정보보안산업표준포럼표준 안 명( ) 국문 무선 센서 네트워크 라우팅 보안 요구사항- :

영문- : Security requirements for wireless sensor network routing표준 상태 포럼표준 개발중① □ 포럼표준 제정완료 표준 과제채택, , TTA ,② ■ ③ ■

표준 완료TTA④ ■, 국가표준 제안 채택/⑤ □표준화 내용요약 주요 표준화 대상 및 범위( )

표준의 목적1.본 표준은 안전한 무선 센서 네트워크 라우팅을 위한 보안 요구사항을 정의한다.

추진 경위2.포럼표준개발 시작일 : 2012-04-01①종료일 : 2012-11-30②표준 제안일TTA : 2012-05-10③표준 과제채택일TTA : 2012-06-14④표준 완료일 심의중TTA :⑤

대상 및 범위3.본 표준은 안전한 무선 센서 네트워크 라우팅을 위한 보안 요구사항을 정의하고 있으며 크게 두,개의 장으로 구성되어 있다.무선 센서 네트워크 토폴로지 및 라우팅 프로토콜 보안 고려사항-무선 센서 네트워크 라우팅 보안 요구사항-

내용요약4.주요 내용으로는 무선 센서 네트워크의 라우팅 토폴로지 및 라우팅 프로토콜의 특징을 보안관점에서 분석하고 이를 기반으로 보안 요구사항을 도출한다, .

기대효과5.본 표준은 무선 센서 네트워크 기술 기반의 서비스 사업자 및 관련 장비 개발자들에게 보안을USN위한 참고자료로 활용될 수 있을 것으로 예상된다 이는 무선 센서 네트워크 기술 기반의 서비스의.안전성 및 신뢰성을 확보함으로써 관련 사업 활성화에 기여할 것이다.

Reference 참고자료없음

국내외 표준과 관련성ITU-T X.1313, "Security requirements for wireless sensor network routing", 2012본 표준은 에 대한 국문표준임( ITU-T X.1313 )

- 42 -

포럼 명 정보보안산업표준포럼표준 안 명( ) 국문 정보보호 거버넌스- :

영문- : Governance of information security

표준 상태 ①포럼표준 개발중 ,■ 포럼표준 제정완료② □ 표준 과제채택, TTA③ □,표준 완료TTA④ ,□ 국가표준 제안 채택/⑤ ,□

표준화 내용요약 주요 표준화 대상 및 범위( )

표준의 목적1.과 이 로 개발한 정보보호- JTC 1 SC 27 ITU-T SG 17 common text ISO/IEC 27014 (X.1054,

거버넌스 년 월 국제표준 발간 예정 를 국가 표준화함으로써 국내 정보보호 거버넌스 개, 2013 1 )

념을 소개하고 거버넌스 구현 시 주요 참고자료로 사용하고자 함

추진 경위2.포럼표준개발 시작일: 2012. 9. 20①

국가표준으로 추진하기로 결정하고 현재 표준개발 중KS②

대상 및 범위3.정보보호에 대한 이사회 및 최고경영층의 역할과 책임을 규명한 문서로서 정보보호를 수행하는-

모든 조직을 적용대상으로 함

내용요4. 약

정보보호에 대한 이사회 및 최고경영층의 역할과 책임을 규명한 문서-

정보보호 거버넌스 정의 목표 효과 기타 거버넌스와의 관계 와의 관계 등 기본적 개념- , , , , ISMS

소개

- 정보보호 거버넌스를 수행하기 위한 가지 원칙 제시6

- 정보보호 거버넌스 수행을 위한 가지 프로세스 평가 지시 모니터링 소통 보증 제시5 ( , , , , )

- 정보보호 거버넌스 개 프로세스 별 거버넌스 주체 및 경영층이 수행할 과제 제시5

- 외부 이해관계자와 소통시 사용할 수 있는 정보보호 현황보고서 샘플을 부록에 포함

기대효과5.정보보호와 비즈니스와의 연계 가치 전달 및 책임성 보장 등이 개선될 것으로 기대- ,

Reference 참고자료초안ISO/IEC 27014 (FDIS), KS

국내외 표준과 관련성

- 43 -

포럼 명 정보보안산업표준포럼

표준 안 명( )국문 정보보호관리체계 범위 설정 지침- :영문- : A Guide for Establishing the Scope of Information Security

Management System표준 상태 포럼표준 개발중① □ 포럼표준 제정완료 표준 과제채택, , TTA ,② ■ ③ ■

표준 완료TTA④ ■, 국가표준 제안 채택/⑤ □표준화 내용요약 조직에서 정보 보호 관리 체계의 범위를 결정할 때 유의해야 할 사항을 설명하고,

조직적 기술적 물리적 측면을 검토하여 범위를 정의하는 방법을 제시한다, , .

표준의 목적1.조직에서는 다양한 정보 보호 활동과 업무를 체계적이고 효율적으로 수행하기 위해 정보 보호 관리체계를 수립 운영하는데 이를 위해서는 가장 먼저 정보 보호 관리 체계의 범위를 설정해야 한다 본· , .표준은 조직에서 정보 보호 관리 체계 를 수립하기 위한 범위를 적절하게 설정하기 위한(ISMS)지침을 제시한다.

추진 경위2.포럼표준개발 시작일 종료일, : 2012. 6. 30, 2012. 11. 30①표준 제안일 표준 과제채택일 표준 완료일 미상 미상TTA , TTA , TTA : , , 2012. 12. 21②

국가표준 채택일 해당사항 없음:③

대상 및 범위3.대상 정보 보호 관리 체계 를 구축하고자 하는 일반 기업 및 기관: (ISMS)범위 정보 보호 관리 체계 범위 정의에 관한 요구 사항과 일반적으로 고려해야 할 요소: (ISMS) ,

이를 만족하기 위한 업무 및 조직 주요 기술 요소 물리적 위치 측면에서 범위와 경계의 정의, ,방법 및 이를 통합하여 정보 보호 관리 체계 범위를 정의하는 방법(ISMS)

내용요약4.관리 체계 범위 설정 시 중요 요소의 누락을 방지하고 범위와 경계를 명확히 하기 위해서는 조직의핵심 정보 자산을 기본으로 하여 범위를 정의하여야 한다 범위 정의 시에는 핵심 정보 자산의 관련.요소를 조직적 측면 기술적 측면 물리적 측면의 가지 측면에서 검토하여 각각 범위와 경계를, , 3정의하고 이를 통합하여 최종적으로 정보 보호 관리 체계 의 범위와 경계를 정의한다(ISMS) .

기대효과5.일반 기업 및 기관에서 주요 정보 자산을 보호하기 위한 정보 보호 활동 및 업무를 효율적으로수행할 수 있도록 지원한다 또한 기업의 정보 보호 관리 체계를 적절한 범위에 대하여 수립운영할. ․수 있도록 함으로써 보안 수준을 향상시키고 인증 취득을 준비하는 기업을 지원하며 인증 제도,활성화에 기여할 것이다.

Reference 참고자료

국내외 표준과 관련성 ISO/IEC 27003, ‘Information technology - Security techniques - Informationsecurity management systems implementation guidance’, 2010.

상기 표준의 범위 부분을 추가 설명 및 예제 제공

- 44 -


표준 안 명( )국문 정보보호조직 구성 및 운영 지침- :영문- : A Guide for Constitution and Operation of Information Security

Organization표준 상태 포럼표준 개발중① □ 포럼표준 제정완료 표준 과제채택, , TTA ,② ■ ③ ■

표준 완료TTA④ ■, 국가표준 제안 채택/⑤ □표준화 내용요약 정보 보호 활동 및 업무를 체계적이고 효율적으로 수행하기 위하여 조직 내에 정보

보호 책임을 할당하고 전담 조직을 구성하기 위해 필요한 지침을 제공한다.표준의 목적1.조직에서 정보 보호 관리 체계를 수립운영하기 위해서는 이에 관련된 업무를 수행할 조직과 책임의․규정이 필요하다 조직이 보안 목표를 달성하고 정보 보호 정책 방향에 따라 다양한 정보 보호 활동.및 업무를 체계적이고 효율적으로 수행하기 위하여 조직 내에 정보 보호 책임을 할당하고 전담조직을 구성하기 위해 필요한 지침을 제공한다.

추진 경위2.포럼표준개발 시작일 종료일, : 2012. 6. 30, 2012. 11. 30①표준 제안일 표준 과제채택일 표준 완료일 미상 미상TTA , TTA , TTA : , , 2012. 12. 21②

국가표준 채택일 해당사항 없음:③

대상 및 범위3.대상 정보 보호 관리 체계 를 구축하고자 하는 일반 기업 및 기관: (ISMS)범위 정보 보호 활동 및 업무를 수행하기 위하여 조직 내에 정보 보호 책임을 할당하고 정보 보호:

전담조직을 구성하기 위한 고려 사항과 책임 명시

내용요약4.조직의 정보 보호 관리 업무를 체계적이고 효율적으로 수행하기 위한 책임 할당 및 정보 보호 전담조직의 구성과 운영에 있어 고려해야 할 사항을 제시하고 전체 조직에 걸친 정보 보호 책임 할당과,정보 보호 심의위원회 등 정보 보호 조직이 수행해야 할 역할 및 주요 활동을 정의하기 위한 지침을제공한다 정보 보호 활동을 수행하는 정보 보호 조직 구성원 인력 에 대한 책임과 역할. ( ) (R&R, Role

을 기술한다 또한 정보 보호 조직의 책임자 및 실무 담당자 등 구성원의 자격& Responsibility) .요건 역할 및 책임을 정의하기 위한 지침을 제공한다, .

기대효과5.본 표준은 모든 산업 분야에 대하여 조직 내 정보 보호 책임을 적절히 할당하고 전담 조직을 구성할수 있도록 지침을 제공함으로써 정보 보호 관리 체계 수립 및 운영에 필요한 다양한 정보 보호 활동및 업무 수행을 체계적이고 효율적으로 수행할 수 있게 한다 정보 보호는 기본적으로 기술적.문제이기 전에 인적 현안이므로 특히 기밀 정보나 고객 정보를 다루는 산업 분야에서 이 표준의,적용은 대상 조직의 정보 보호 수준 제고에 중요한 역할을 할 것이다.


국내외 표준과 관련성 ISO/IEC 27003, ‘Information technology - Security techniques - Informationsecurity management systems implementation guidance’, 2010.

상기 표준의 범위 부분을 추가 설명 및 예제 제공

- 45 -

년도 국제표준화 활동실적 기고서2. 2012 -

포럼 명 정보보안산업표준포럼기고서 명 국문 명 스마트 그리드 보안 프레임워크 신규 표준화 아이템 제안- :

영문 명- : Proposal for new work item on security framework for smart grid작성자 인적사항 성명 김미주 소속 한국인터넷진흥원

직급 주임연구원 연락처 02-405-5207

제출 표준화 기구기구명 ITU-T SG17 관련기술위원회 Q.6/WP2회의명 정기회의SG17 회의기간 2012.2.20 ~ 2012.3.2장소 스위스 제네바

기고서 상태 기고서 제안 기고서 채택,① ■ ② ■표준화 내용요약 주요 표준화 대상 및 범위( )

작성배경 및 목적1.에서 스마트 그리드 홈 영역에 해당하는 홈네트워크보안 표준화를 진행한 바 있음o ITU-T Q.6/17

지난 월 회의 스마트 그리드 보안 프레임워크 신규 아이템 제안을 하였으나o 9 ITU-T FG스마트그리드 포커스그룹 활동 존중을 위해 신규 아이템 채택 여부 판단을 가Smart( ) FG Smart

활동을 종료하는 년 월 이후로 연기함2011 12

기고서 내용2.스마트 그리드 보안 필요성o

활동 결과o FG Smart신규 표준화아이템 제안 요약서o표준안 목차 제안o

중요도3.신규아이템 제안


국내표준화 여부

- 46 -


기고서 명국문 명 모바일폰 어플리케이션 보안 가이드라인 신규 표준화아이템 제안- :영문 명- : Proposal for new work item on guideline for secure applications

on mobile phone작성자 인적사항 성명 김미주 소속 한국인터넷진흥원




작성배경 및 목적1.에서는 모바일 보안 표준화를 진행 중에 잇음o ITU-T Q.6/17

안전한 스마트폰 환경을 마련하기 위한 모바일폰 어플리케이션 보안성 체크를 위한 가이드라인o제안

기고서 내용2.모바일 어플리케이션 보안 필요성o모바일 어플리케이션 보안성 체크 절차o모바일 어플리케이션 보안성 체크 지침o신규 표준화아이템 제안 요약서o표준안 목차 제안o

중요도3.신규아이템 제안



- 47 -


기고서 명국문 명 라우팅 보안 요구사항 수정 권고안 제안- : WSN영문 명- : Proposal for revised text on draft Recommendation X.usnsec-3:

Security requirements for wireless sensor network routing작성자 인적사항 성명 김미주 소속 한국인터넷진흥원




작성배경 및 목적1.에서 보안 표준화 추진 중o ITU-T Q.6/17 USN

에서 무선 센서 네트워크 보안 라우팅 메커니즘 신규 표준화 아이템 채택o Q.6/17 (X.usnsec-3)월 정기회의 예정된 추진을 위한 수정 권고안 제출o ITU-T SG17 2 Consent

기고서 내용2.라우팅 보안에 영향을 미치는 토폴로지 및 메시지 교환을 위한 절차 정의o WSN

기존의 라우팅 프로토콜 정리o토폴로지 및 메시지 교환 속성에 따른 보안 요소 정의o

중요도3.Base Document



- 48 -


기고서 명국문 명 에 대한 드래프트 텍스트 제안- : X.sgsec-1영문 명- : Proposed draft text of X.sgsec-1 Security functional architecture–

for smart grid services using telecommunication network작성자 인적사항 성명 김미주 소속 한국인터넷진흥원




작성배경 및 목적1.에서 스마트 그리드 홈 영역에 해당하는 홈네트워크보안 표준화를 진행한 바 있음o ITU-T Q.6/17

년 월 회의 스마트 그리드 보안 프레임워크 신규 아이템 제안을 하였으나o 2011 9 ITU-T FG스마트그리드 포커스그룹 활동 존중을 위해 신규 아이템 채택 여부 판단을 가Smart( ) FG Smart

활동을 종료하는 년 월 이후로 연기함2011 12년 월 회의 스마트 그리드 보안 프레임워크 신규 아이템을 제안하여 채택됨o 2012 2

기고서 내용2.표준안의 주요 구성 및 에서 정의한 스마트그리드 참조모델 분석 용어 정의 배경 등o FG Smart , ,제안주요국 입장 일본대표가 로 참여하고 있음o : co-editor




- 49 -


기고서 명국문 명 바이오보안 토큰을 이용한 바이오인증 프레임워크- :영문 명- : Proposal for revised draft text of X.bhsm: Telebiomtric

authentication framework using biometric hardware security module작성자 인적사항 성명 신용녀 소속 한양사이버대학교

직급 조교수 연락처 02-2290-0303

제출 표준화 기구기구명 ITU-T SG17 관련기술위원회 Question 9회의명 ITU-T SG17 회의기간 2012.2.20 ~ 2012.3.2장소

기고서 상태 기고서 제안 기고서 반영 기고서 채택, ,① ■ ② ■ ③ □표준화 내용요약 주요 표준화 대상 및 범위( )

작성배경 및 목적1.공인인증서가 사용되는 부분은 인터넷 뱅킹이나 증권과 같은 금융분야에서 조세행정 정부조달같은,공공분야 및 원격진료 의료상담 및 진료자료 조회와 같은 민감한 개인 정보를 다루는 영역에 까지 그,적용 범위를 넓혀가고 있다 공인인증서의 해킹과 같이 본인이 원하지 않는 상황에서 노출된.공인인증서로 말미암아 금전적 피해를 입는 것도 문제지만 정부 조달과 같은 분야에서 사용자의,고의에 의해서 담합을 위하여 공인 인증서를 대여함으로서 선의의 피해자를 양산하는 문제를해결하고 바이오 보안 토큰 제품의 시장 확대와 더불어 확실한 개인인증으로 안전한 인터넷 사용,환경을 만드는데 기여한다 바이오인식 정보 중에서 임베디드화가 가장 용이하고 가장 널리 사용되고.있는 지문인식이 채택되고 있다 그러나 이와 더불어 보안토큰에서의 취약한 개인인증 기법에 대한.취약점이 노출되고 있으며 바이오인식과 같은 확실하고 안전한 개인인증 기법을 활용하여, ,바이오보안토큰과 공인인증서의 연계 모델을 제시하고 모델 별 발생할 수 있는 다양한,보안위협으로부터 민감한 개인 프라이버시 정보인 바이오정보를 보호하기 위한 통합 보안프레임워크를 제시하고자 한다.

기고서 내용2.바이오보안토큰은 바이오인식 센서와 바이오인식 정보를 처리할 수 있는 MCU(MicroController

스마트카드로 구성된 형태의 하드웨어 기기로서 기기 내부에서 바이오인식 센서로Unit), USB ,가입자의 바이오인식 정보를 추출하여 보안토큰에 안전하게 저장하며 사용자 인증 시 바이오인식,센서로부터 취득된 바이오인식 정보와 저장되어 있는 바이오인식 정보를 기기내부 에서 매칭하여MCU사용자를 인증하는 독립된 하드웨어 보안모듈이다 바이오보안토큰과 공인인증서의 연계 모델을.제시하고 모델 별 발생할 수 있는 다양한 보안위협으로부터 민감한 개인 프라이버시 정보인,바이오정보를 보호하기 위한 통합 보안 프레임워크를 제시한다.바이오 보안 토큰을 이용한 개인인증 프레임 워크에 관한 지난 년 월 회의 및 의 의견을2011 8 TSB수렴하여 수정 추가 과 간 정보흐름 등을 수정 하였다Summary , Fig 4 (BHSM Service Provider ) .

중요도3.Base DocumentReference 참고자료

국내표준화 여부 해당사항 없음

- 50 -


기고서 명국문 명 모바일 디바이스 기반 바이오 정보보호를 위한 기술적 관리적- : ,

가이드라인 초안영문 명- : First draft of a guideline to technical and operational

countermeasure for telebiometric applications using mobile devices.작성자 인적사항 성명 신용녀 소속 한양사이버대학교

직급 조교수 연락처 02-2290-0303



작성배경 및 목적1.현재 스마트폰은 많은 센서들(proximity sensor, light sensor, accelerometer, bluetooth,

등 을 포함하고 있으며 최근 출시되는 제품에는 지문인식 센서나microphone, GPS ) , NFC(Near Field센서와 같은 새로운 센서들이 추가적으로 포함되고 있다 이들 센서들 중에서는Communication) .

보안과 상관없는 것들도 있지만 보안 위협에 이용되거나 또는 보안 위협에 대응하는 수단으로서의, ,기능을 담당할 수도 있다.개방형 플랫폼을 탑재하고 바이오인식 센서를 가진 스마트폰은 이동성과 편의성이 뛰어난 반면 각종침해위협에 쉽게 노출될 수 있어 철저한 보안대책을 마련하는 것이 무엇보다 중요하다 특히 높은.신뢰성을 기반으로 하는 금융서비스 분야 및 조달 서비스에 바이오인식기반 스마트폰이 사용되는 경우잠재적인 보안위협에 선제적으로 대응할 수 있는 보안체계를 갖추려는 노력이 필요하다.

기고서 내용2.제안된 은 바이오인식 기반 스마트폰 서비스에 관한 체계적인- Mobile Security Reference Model

정보보안 위협 분석 및 대응책 마련에 대한 가이드를 시스템 개발자에게 제시함으로써 시스템의보안성을 향상시키는데 도움이 된다.

스마트폰 기반 바이오인식기술 사용 서비스에서 발생할 수 있는 위협과 대처방안에 대한 초기-모델을 제시함으로써 더 많은 위협 요인들과 대응방안들을 찾아내어 축적할 수 있는 토대를 제공한다.

바이오인식기반 보안성에 있어서 개인 컴퓨터와 스마트폰간의 차이점을 명시적으로 제시하였으며- ,스마트폰 침해사고 유형을 분류하고 모바일 악성코드 피해 사례 및 감염 경로를 분석한다, .바이오인식기반 스마트폰 서비스 구성요소 및 침해위협들과 이에 대한 대처방안을 모델화하여바이오인식기반 스마트폰 서비스 보안 참조모델을 제시한다.



- 51 -


기고서 명국문 명 바이오메트릭 하드웨어 보안 모듈을 이용한- : X.1085(X.bhsm)(

텔레바이오메트릭 인증 프레임워크 의 텍스트)영문 명- : Proposal for revised draft text of X.bhsm: Telebiometric

authentication framework using biometric hardware security module.작성자 인적사항 성명 신용녀 소속 한양사이버대학교

직급 조교수 연락처 02-2290-0303



작성배경 및 목적1.공인인증서가 사용되는 부분은 인터넷 뱅킹이나 증권과 같은 금융분야에서 조세행정 정부조달같은,공공분야 및 원격진료 의료상담 및 진료자료 조회와 같은 민감한 개인 정보를 다루는 영역에 까지 그,적용 범위를 넓혀가고 있다 공인인증서의 해킹과 같이 본인이 원하지 않는 상황에서 노출된.공인인증서로 말미암아 금전적 피해를 입는 것도 문제지만 정부 조달과 같은 분야에서 사용자의,고의에 의해서 담합을 위하여 공인 인증서를 대여함으로서 선의의 피해자를 양산하는 문제를해결하고 바이오 보안 토큰 제품의 시장 확대와 더불어 확실한 개인인증으로 안전한 인터넷 사용,환경을 만드는데 기여한다 바이오인식 정보 중에서 임베디드화가 가장 용이하고 가장 널리 사용되고.있는 지문인식이 채택되고 있다 그러나 이와 더불어 보안토큰에서의 취약한 개인인증 기법에 대한.취약점이 노출되고 있으며 바이오인식과 같은 확실하고 안전한 개인인증 기법을 활용하여, ,바이오보안토큰과 공인인증서의 연계 모델을 제시하고 모델 별 발생할 수 있는 다양한,보안위협으로부터 민감한 개인 프라이버시 정보인 바이오정보를 보호하기 위한 통합 보안프레임워크를 제시하고자 한다.

기고서 내용2.바이오보안토큰은 바이오인식 센서와 바이오인식 정보를 처리할 수 있는 MCU(MicroController

스마트카드로 구성된 형태의 하드웨어 기기로서 기기 내부에서 바이오인식 센서로Unit), USB ,가입자의 바이오인식 정보를 추출하여 보안토큰에 안전하게 저장하며 사용자 인증 시 바이오인식,센서로부터 취득된 바이오인식 정보와 저장되어 있는 바이오인식 정보를 기기내부 에서 매칭하여MCU사용자를 인증하는 독립된 하드웨어 보안모듈이다 바이오보안토큰과 공인인증서의 연계 모델을.제시하고 모델 별 발생할 수 있는 다양한 보안위협으로부터 민감한 개인 프라이버시 정보인,바이오정보를 보호하기 위한 통합 보안 프레임워크를 제시한다.

년 월 채택 한국 제안o '10 04 New work Item ( )년 월 의 초안 제출o '11 04 X.bhsm년 월 로 채택o '12 05 ISO/IEC JTC1 SC27 WG5 common text

현재 의 제출o X.bhsm common text본 권고안은 한국에서 제안하였으므로 찬성입장 또한 본 권고안은 와o . ISO/IEC JTC1 SC27 WG5

의 로써 전폭적 지원을 받고 있으므로 특별한 이견 없음ITU-T SG17 common text



- 52 -


기고서 명국문 명- : 정보통신 중소기업을 위한 정보보호관리 지침,영문 명- : X.sgsm, Information security management guidelines for small

and medium-sized telecommunication organizations

작성자 인적사항 성명 김정덕 소속 중앙대학교직급 교수 연락처 010-2006-6380

제출 표준화 기구기구명 ITU-T 관련기술위원회 Q. 3

회의명 SG 17 회의기간 2012.08 . ~ 2012.11.장소 제네바 정기회의 서울 임시회의(12.08), (12.11)

기고서 상태 기고서 제안① ,■ 기고서 반영② 기고서 채택,■ ③ □표준화 내용요약 주요 표준화 대상 및 범위( )

작성배경 및 목적1.정보통신 중소기업을 위한 정보보호관리 지침으로 과 를 기반으로 중소기- X.1051 ISO/IEC 27002업에 적합한 지침을 개발하는 문서로서 한국과 일본이 공동 개발하고 있음

년 월부터 시작된 본 프로젝트는 년 월 회의 시 를 목표로 최종 작업 중에- 2010 4 2013 4 consent있음

기고서 내용2.

의 내용 중 한국이 맡은 장에 해당되는 보안통제에서 중소기업이 수행할 수- 27002 6, 7, 8, 9, 10있는 구현지침을 선택 또는 새롭게 개발해서 제안하였음지난 월 제네바 정기회의와 월 서울 임시회의에서 이에 대한 검토를 진행하였음- 9 11

- 년 월 일 서울에서의 임시회의에 에디터에 의해 계속적으로 검토하기로 함2013 1 14 .월 콘센트를 위해 일본 에디터와 상의하여 표준문건 완성 목표- 2013. 4

중요도3.Comment

Reference 참고자료C720, Q3-Nov 2012-Doc-005


- 53 -

포럼 명 지식정보보안산업표준포럼

기고서 명국문 명 정보보호 전문가의 국제 인증에 대한 조사 보고서- :영문 명- :Rapporteurs’' report to International certification of information security

management specialists작성자 인적사항 성명 오경희 소속 티씨에이서비스

직급 대표 연락처 050-2107-0000

제출 표준화 기구기구명 ISO/IEC JTC1 관련기술위원회 SC27 WG1회의명 IC-ISMS 회의기간 2012.10.23 ~ 2012.10.23장소

기고서 상태 기고서 제안 기고서 반영 기고서 제정, ,① ■ ② ■ ③� □표준화 내용요약 정보보호 전문가의 국제 인증 필요성에 대한 조사

작성배경 및 목적1.정보보호 전문가의 국제 인증 필요성 및 타당성을 조사하고 필요시 표준 항목을 도출 및 제안

기고서 내용2.Background : Terms of reference, Contributions (Korea, Japan, Sweden, ISACA, ISC2,①

CASCO, etc)State of the art②- Existing certifications : CISA, CISM, CISSP, Security+, GSEC, SIS(KR), APCS(SW),ISSE(JP), etc- Existing standards : ISO 17024 for bodies operating personal certification, ISO 19011 forauditing MS, ISO 27007 for auditing ISMS, ISO 24773 for certification of SE professionals,ISO TR 19759 to SEBOK, ISO TR 29154 for the application 24773Survey and need③- Survey of potential need on personal certification for ISM in Japan- Potential users and objectives of useSurvey conclusion④- Certification/qualification on Information Security is very popular around the world but theyare not explicitly met the requirements for ISM in market- Comparing between certifications or certification against competency requirements is difficult.Discussion on potential project and Conclusion⑤- Potential project : Body of knowledge, standard for certification of bodies operatingpersonal certification- Needs of extended study period for developing contents and analysis of interested parties

중요도3.Base document

Reference 참고자료해당사항 없음


- 54 -

포럼 명 정보보안산업표준포럼기고서 명 국문 명 버전 에 대한 한국 의견- : ISO/IEC 27001 CD 2

영문 명- :KR Comments on ISO/IEC 2nd CD 27001 (revision)작성자 인적사항 성명 오경희 소속 티씨에이서비스

직급 대표 연락처 050-2107-0000


기고서 상태 기고서 제안 기고서 반영 기고서 제정, ,① ■ ② ■ ③ □표준화 내용요약 버전 에 대한 한국 의견 가지 중 가지 반영ISO/IEC 27001 CD 2 8 6

작성배경 및 목적1.정보보호관리체계 인증을 위한 국제 표준 개정안에 대한 한국 의견 제시 및 반영

기고서 내용2.The requirements of interested parties are on ISMS including the management system itself①and information security.Resources are almost always insufficient in any organization and squeezing budget occurs②

frequently.If providing sufficient resources is a requirement, managers should check the sufficiency③and appropriately react to any change.Even the information security risk assessment and treatment processes are reliable; the④results could contain errors and omissions if the input doesn't reflects the real situation.Determining the reliability of the result could be very difficult because it relates withprobability, not an exact prediction. You can say just it’s reasonable or not rather thansaying it’s correct or wrong (except simple and clear errors). In b), there is any mentionabout control objectives but risk treatment options. Thus the first sentence of NOTE 2should be changed to about treatment options.After the implementation of controls, management should review the controls work⑤effectively as expected.Note 1 is not necessary.⑥Justification for a control is a reference to risk⑦The information security risk treatment plan and the residual risks are approved by risk⑧owner. But the level of acceptable risk and the residual risk over the level should beapproved by top management. Add sentence as follows: “Risk owners should review thecontrols implemented as planed and the risk is changed as expected.”

중요도3.Comment



- 55 -


기고서 명국문 명 정보보호 전문가의 국제 인증에 대한 한국 의견- :영문 명- :KR Contribution on International certification of information security

management specialists작성자 인적사항 성명 오경희 소속 티씨에이서비스

직급 대표 연락처 050-2107-0000


기고서 상태 기고서 제안 기고서 반영 기고서 제정, ,① ■ ② ■ ③ □표준화 내용요약 정보보호 전문가의 국제 인증 필요성에 대한 한국 입장 설명

작성배경 및 목적1.정보보호 전문가의 국제 인증 표준에 대한 한국 입장에서의 필요성 및 기여 의사 설명

기고서 내용2.Korea strongly supports ICIS to commence a formal project.Korea has developed different schemes to certify information security professionals to meetthe needs for qualifying personnel for implementing and operating organizational ISMS as wellas auditing. These include certification schemes for K-ISMS auditors, SIS (specialist forinformation security) for implementing and operating information security, and CPPG (CertifiedPrivacy Protection General) for protecting personal data. K-ISMS auditor and SIS schemes arerun by KISA (Korean Internet Security Agency) and have been on courses forstate-authorization. CPPG is certified by an private association, Korea CPO(Chief PrivacyOfficer) forum, but owed by Personal Information Protection (PIP) Act went into effect on lastSeptember, has enhanced its reputation.According to the PIP act, the organizations which manage personal information should appointChief Privacy Officer (CPO) , a member of senior management or having specialty on privacy.The law also mandates Personal Information Impact Analysis to public institutions andrecommends to private. Ministry of Public Administration and Security started study project onqualification scheme for Personal Information Impact Analysis Professionals to support theneeds. Moreover, Financial Supervisory Service mandates financial institutions appoint ChiefSecurity Officer, and the CSO qualification becomes one of hot issues.Korea is willing to share its experience on this area and refer global view to establishqualification schemes for new needs. This international standard would be helpful other NBs ina similar situation.

중요도3.Base documentReference 참고자료

해당사항 없음국내표준화 여부 해당사항 없음

- 56 -

포럼 명 정보보안산업표준포럼기고서 명 국문 명 버전 에 대한 한국 의견- : ISO/IEC 27001 CD 3

영문 명- :KR Comments on ISO/IEC 3nd CD 27001 (revision)작성자 인적사항 성명 오경희 소속 티씨에이서비스

직급 대표 연락처 050-2107-0000


기고서 상태 기고서 제안 기고서 반영 기고서 제정, ,① ■ ② ■ ③ □표준화 내용요약 버전 에 대한 한국 의견 개 중 개 반영ISO/IEC 27001 CD 3 6 3

작성배경 및 목적1.정보보호관리체계 인증을 위한 국제 표준 개정안에 대한 한국 의견 제시 및 반영

기고서 내용2.Information security risk assessment is the process to evaluate the gap between the reality①and objectives in information security. Information security risk treatment is the planningprocess to achieve information security objectives.Organization is defined as person or group of people. If management system is a set of②interrelated or interacting elements of an organization, it should be a set of interrelated orinteracting elements of a person or group of people. But management system is not aperson or group of people. It includes structure, roles and responsibilities, planning,operation, etc.If something is referred by a and b, it means it referred by a combination of them.③Regardless of the scope of the information security management system covers entire④organization or not, the top management refers to those who direct and control the ISMSscope.If the maintenance of information management system includes implementation and⑤operation of information security controls, then there is no more resources needed, and theidentical text is enough. If not, the organization should provide the resources needed forinformation security controls to make ISMS effective. Ensuring that information securityprocedures support the business requirements doesn’t depend on sufficiency of resourcesbut extent of how well the procedures is designedQuality and/or environmental management system is less related with information security.⑥

중요도3.Comment



- 57 -


기고서 명국문 명 정보보호 전문가의 국제 인증에 대한 연구 회의 보고서- :영문 명- :Meeting report Study Period on International Certification of Information–

Security Management Specialists작성자 인적사항 성명 오경희 소속 티씨에이서비스

직급 대표 연락처 050-2107-0000


기고서 상태 기고서 제안 기고서 반영 기고서 제정, ,① ■ ② ■ ③ □표준화 내용요약 정보보호 전문가의 국제 인증 필요성에 대한 연구 회의 보고서

작성배경 및 목적1.정보보호 전문가의 국제 인증 필요성 및 타당성을 조사하고 필요시 표준 항목을 도출 및 제안

기고서 내용2.The rapporteurs presented the study report N11478 including the state of the art concerningexistingcertification schemes and standards as well as a market survey. During the meeting, ISOspotential role and contribution to the area was discussed. Some concerns were raised withregards to how a potential ISO contribution would work in relation to existing schemes.The meeting voted unanimously to extend the study period with the following activities:1) Investigating the need and feasibility to tailor ISO 17024 into something ISMS specific2) Investigating the need of an ISMS specific Body of Knowledge (BOK),3) Analysis of potential certification candidates4) Analysis of interested parties (other than those identified in 3) above)Activities 1 and 3 will be lead by Yonosuke Harada (JP), activity 2 by Kyeong Hee Oh (KR),activity 4 and coordination by Fredrik Björck (SE).The meeting was successful and it was noted that accreditation bodies as well as certificationbodies were represented at the meeting and actively involved in the discussion.Given the importance of participation by certification organisations as well as CASCO (the ISOgroup that owns the ISO/IEC 17000-series) and SC7 WG20 (Software and systems bodies ofknowledge and professionalization that owns ISO TR 19759 and ISO 24773), the meeting willalso result in liaison statements being sent.The rapporteurs were thanked for their work by the meeting delegates. Meeting was closed.

중요도3.Base documentReference 참고자료

해당사항 없음국내표준화 여부 해당사항 없음

- 58 -


기고서 명국문 명- :영문 명- : Draft Recommendation ITU-T X.1144(websec-4): Threats and security

requirements for enhanced web based telecommunication service작성자 인적사항 성명 나재훈 소속 ETRI

직급 전문위원 연락처 042 860 6749

제출 표준화 기구기구명 ITU-T 관련기술위원회 Question 7회의명 래포처Q6Q7 회의기간 2011.06.21~ 2011.06.22장소 서울

기고서 상태 기고서 제안 기고서 반영,① ■ ② □ 기고서 채택, ③ □표준화 내용요약 주요 표준화 대상 및 범위( )

작성배경 및 목적1.월 회의에서 승인받고자 작성된 표준안으로 내에서 문서를 사전ITU-T SG17 8 Question 7

검토하고자 함.

기고서 내용2.웹 및 매쉬업 등의 향상된 웹 기술은 월드 와이드 웹 기술과 사용자들에게 창의성2.0 (WWW) ,

정보 공유 및 협력을 촉진하는 것을 목적하는 웹 디자인의 새로운 경향이다 개발자가 효율적으로.사용할 수 있도록 하고 비용면에서 효율적으로 새로운 서비스를 개발 및 배포하고 쉽고 빠르게 복합, ,서비스를 형성하는 다양한 소스의 콘텐츠를 통합 할 수 있기 때문에 향상된 웹 기술을 통신 서비스에적용하고 있다.향상된 웹 기반 응용 프로그램 뿐만 아니라 전통적인 웹 애플리케이션과 같은 보안 문제를 가지고

있으며 그 위험들은 자신의 특정 형태를 갖추고 있습니다 이러한 기술로 보안 위협이.식별되어야하고 다양한 서비스에 대한 보안 요구 사항 및 기능을 제공하여야 한다, .이 표준은 향상된 웹 기술들을 웹 응용 프로그램 프로그래밍 인터페이스 와 매쉬업 사용함에( (API) )

있어서 발생되는 위협과 이를 대응하기 위한 보안 요구사항과 기능들에 대하여 정의한다.

중요도3.웹 기술 기반의 서비스들에 대한 보안 위협을 인식시키고 그에 상응하는 보안 요구사항을,

정의하여 산업에 활용하도록 제시


국내표준화 여부에서 전년도 에 단체표준으로 제정TTA PG504 (2011) (TTAK.KO-12.0184,TTAK.KO-12.0185)

- 59 -

포럼 명 정보보안산업표준포럼기고서 명 국문 명- :

영문 명- : Threats for enhcanced web-based services작성자 인적사항 성명 나재훈 소속 ETRI

직급 전문위원 연락처 042 860 6749

제출 표준화 기구기구명 APT 관련기술위원회 IS EG회의명 월ASTAP 7 회의기간 2011.07.30~ 2011.08.04장소 방콕


작성배경 및 목적1.환태평양 국가들 간의 웹 서비스 위협에 대한 의견을 상호교환

기고서 내용2.공통적 위협인 도청 맨인더브라우저 맨인더미들 위장 메시지 위변조 부인 재전송과 같은DOS, , , , , , ,종을 위협을 구분하고 비동기 서비스에 대한8 , Exploiting silent transactions, Cross-site requestforgery (CSRF), Cross-site scripting (XSS), JSON hijacking, Malformed scripting languageobject serialization, Script injection in a 위협과 웹 공개 에 대한Document Object Model , APIInjection flaws, Se 위협과 데이터 신디케이션에 대한ssion hijacking and theft , Masquerade ofanonymous user, RSS injection, XML message injection and manipulation 위협과 매쉬업에 대한,Scalable mashup 위협을 분석

중요도3.웹 서비스에 대한 위협 분석으로 환태평양 국가간의 정보공유(Comment)



- 60 -


영문 명- : Security Requirements of enhanced web-based services작성자 인적사항 성명 나재훈 소속 ETRI

직급 전문위원 연락처 042 860 6749

제출 표준화 기구기구명 APT 관련기술위원회 IS EG회의명 월ASTAP 7 회의기간 2011.07.30~ 2011.08.04장소 방콕


작성배경 및 목적1.환태평양 국가들 간의 웹 서비스 위협에 대응을 위한 보안 요구사항에 대한 의견을 상호교환

기고서 내용2.웹 과 같은 향상된 웹서비스 환경에서 위협 요인들에 대응하기 위한 보안 요구사항으로2.0

접근제어 인증 인가 가용성 통신보안 데이터 기밀성 데이터 무결성 효율성보장 부인봉쇄, , , , , , , , ,프라이버시 안전한 단말 원격백업 키분리 신뢰서비스 사용자 인증 등을 정의, , , ,

중요도3.웹 서비스에 위협에 대한 대응 보안 요구사항을 환태평양 국가 간의 정보공유(Comment)



- 61 -


영문 명- : Proposal for CJK collaboration on Web Service security standardization작성자 인적사항 성명 나재훈 소속 ETRI

직급 전문위원 연락처 042 860 6749

제출 표준화 기구기구명 CJK 관련기술위원회 IS WG회의명 월CJK-11 8 회의기간 2011.08.06장소 동경


작성배경 및 목적1.한중일 국가간의 웹서비스 정보보호에 대하여 에서 표준 공동개발 제의ITU-T SG17

기고서 내용2.에서 웹서비스 정보보호에 대한 표준화가 진행중에 있는 가운데 표준아이템 발굴과ITU-T SG17 ,

협력을 위하여 다른 들의 표준화 진행을 살펴봄SDO .는 관련 표준개발에 주력 는 표준안 개발을 하지 않으며 대 웹 응용 보안W3C XML , OWASP , 10

위협을 발표하며 는 웹서비스에 있어서 안전한 전송프로토콜 표준화에 주력 는 웹, IETF , OASIS관련하여서는 과 표준개발 하였으며 는 웹 관련 직접표준을 개발하지 않으며 단지SAML XACML , 3GPP게이트웨이를 통한 웹 서비스 전달을 위한 표준을 수용하는 활동을 한다Parlay .




- 62 -


기고서 명국문 명- :영문 명- : The 9th revised text of draft Recommendation ITU-T

X.websec-4: Threats and security requirements for enhanced web-basedtelecommunication service for consent

작성자 인적사항 성명 나재훈 소속 ETRI직급 전문위원 연락처 042 860 6749

제출 표준화 기구기구명 ITU-T 관련기술위원회 Question 7회의명 월SG17 8 회의기간 2011.08.27~ 2011.09.07장소 제네바

기고서 상태 기고서 제안 기고서 반영 기고서 채택, ,① ■ ② ■ ③ ■표준화 내용요약 주요 표준화 대상 및 범위( )

작성배경 및 목적1.월 회의에서 승인받고자 제안된 표준ITU-T SG17 8 .

기고서 내용2.월 래포처 회의에서 거론된 코멘트를 반영하여 승인 를 위하여 월 회의에6 (Consent) ITU-T SG17 8

제출함 회기중 토론을 거쳐 절차로 전환되었으나 표준에 부속서로 전환하여 로. TAP , X.1143 X.Sup17승인됨 (Agreement).

웹 및 매쉬업 등의 향상된 웹 기술은 월드 와이드 웹 기술과 사용자들에게 창의성2.0 (WWW) ,정보 공유 및 협력을 촉진하는 것을 목적하는 웹 디자인의 새로운 경향이다 개발자가 효율적으로.사용할 수 있도록 하고 비용면에서 효율적으로 새로운 서비스를 개발 및 배포하고 쉽고 빠르게 복합, ,서비스를 형성하는 다양한 소스의 콘텐츠를 통합 할 수 있기 때문에 향상된 웹 기술을 통신 서비스에적용하고 있다.향상된 웹 기반 응용 프로그램 뿐만 아니라 전통적인 웹 애플리케이션과 같은 보안 문제를 가지고

있으며 그 위험들은 자신의 특정 형태를 갖추고 있습니다 이러한 기술로 보안 위협이.식별되어야하고 다양한 서비스에 대한 보안 요구 사항 및 기능을 제공하여야 한다, .이 표준은 향상된 웹 기술들을 웹 응용 프로그램 프로그래밍 인터페이스 와 매쉬업 사용함에( (API) )

있어서 발생되는 위협과 이를 대응하기 위한 보안 요구사항과 기능들에 대하여 정의한다.

중요도3.웹 기술 기반의 서비스들에 대한 보안 위협을 인식시키고 그에 상응하는 보안 요구사항을,

정의하여 산업에 활용하도록 제시


국내표준화 여부에서 전년도 에 단체표준으로 제정TTA PG504 (2011) (TTAK.KO-12.0184,TTAK.KO-12.0185)

- 63 -

회원사 명부 작성3.

기관 회원 개사o : 21

구분 NO 회원사 명 비고

산업체

대기업( )

1 마이크로소프트

2 시큐아이닷컴

3 컴즈SK 부의장사

산업체

중소 벤처( )・

4 윈스테크넷

5 펜타시큐리티시스템

6 닉스테크

7 디에스멘토링

8 더존정보보호서비스

9 이글루시큐리티

10 소프트포럼

11 모니터랩

12 아란타

연구 기관

13 한국교육학술정보원

14 금융보안연구원

15 한국 감리컨설팅IT

16 한국인터넷진흥원 부의장사

학 계

17 순천향대학교 의장사

18 중앙대학교

19 충남대학교

20 충북대학교

21 포항공대

개인회원 명o : 60

NO 성명 소속 직책 비고

1 강승호 씨에이에스 전문위원2 강신혁 콤텍정보통신 차장3 고갑승 한국시스템보증 팀장4 고승철 수원대학교 교수5 고재남 순천향대학교 연구원6 구태언 법률사무소 행복마루 변호사7 김 종 포항공대 정교수8 김근옥 금융보안연구원 선임연구원9 김동우 이글루시큐리티 수석부장

10 김만이 3&3 대표11 김미주 한국인터넷진흥원 주임연구원12 김석우 한세대학교 교수13 김성운 아란타 팀장

- 64 -

14 김영철 국가안보전략연구소 연구위원15 김재성 한국인터넷진흥원 수석연구원16 김재엽 한국통신인터넷기술(KTIS) 과장17 김정덕 중앙대학교 교수18 김종혁 두산인프라코어 대리19 김지용 윈스테크넷 주임연구원20 김창오 엔씨소프트㈜ 팀장21 김현국 유플러스 기술연구원LG 책임연구원22 나재훈 ETRI 전문의원23 남기효 유엠로직스㈜ 전무이사24 류재철 충남대학교 교수25 박대하 고려사이버대학교 부교수26 박준일 Kim&Chang 　27 박천용 정보보호기술 전무이사28 박철정 윈스테크넷 팀장29 배범규 ADT Korea Supervisor30 변순정 한국인터넷진흥원 책임연구원31 송승헌 채울㈜ 차장32 신경아 시스템IBK 차장33 신명철 윈스테크넷 상무34 신용녀 한양사이버대학교 조교수35 신종회 마이크로소프트 이사36 신창권 엘에스웨어 연구소장37 염흥열 순천향대학교 교수38 오경희 서비스TCA 대표39 오흥룡 TTA 과장40 원유재 한국인터넷진흥원 본부장41 유우영 NBP 수석42 유지호 건국대 정보통신대학원 교수43 윤두식 지란지교소프트 연구소장44 이성중 하나 카드SK 　45 이수현 윈스테크넷 팀장46 이승훈 East Sun 이사47 이용균 이글루시큐리티 연구소장48 이원백 컴넷시스템 대표49 이필중 포항공대 교수50 전진환 개인정보보호협회 과장51 정윤정 김앤장법률사무소 위원52 정태선 닉스테크 상무이사53 정현철 한국인터넷진흥원 팀장54 조태희 NHN 　55 조학수 윈스테크넷 상무56 조한선 한국해킹보안연구소 본부장57 채수영 국가보안기술연구소 책임연구원58 최광희 한국인터넷진흥원 팀장59 한근희 드림시큐리티 부사장60 함재춘 닉스테크 부장

- 65 -

약어표4.

CSWG Cybersecurity Working Group

DB Database

FG Smart Focus Group on Smart Grid

ID IDentity

IEA International Energy Agency

IEC International Electrotechnical Commission

IEEE Institute of Electrical and Electronics Engineers

ISO International Organization for Standardization

ITU-T International Telecommunications Union - Telecommunication

Standardization Sector

NIST National Institute of Standards and Technology

OASIS Organization for the Advancement of Structured Information

Standards

P3P Platform for Privacy Preferences

SG17 Study Group 17

SGIP Smart Grid Interoperability Panel

W3C World Wide Web Consortium

XML eXtensible Markup Language

참고문헌 등5. .

[1] CSA, “"Security Guidance for Critical Areas of Focus in Cloud Computing

V2.1”", CSA 2009.12

박춘식 클라우드 컴퓨팅의 최근 보안 동향 서울여자대학교[2] , “ ” , 2009.11

씨큐어넷 인터넷정보보호 동향[3] , " ", 2010

은성경 클라우드 컴퓨팅 보안 기술[4] , “ ” ETRI, 2009外

이미영 클라우드 기반 대규모 데이터 처리 및 관리 기술[5] , “ ” ETRI, 2009

지경부 스마트그리드 국가로드맵[6] , “ ” 2010

지능형전력망의 구축 및 이용촉진에 관한 법률[7] “ ” 2011

지능형전력망 정보의 보호조치에 관한 지침[8] “ ” 2012

[9] ISO, http://www.iso.org

[10] ITU, http://www.itu.int

- 66 -

[11] IETF, http://www.ietf.org

[12] NIST, http://www.nist.gov

제주스마트그리드실증단지[13] , http://smartgrid.jeju.go.kr

스마트그리드표준화포럼[14] , http://www.sgstandard.org

지능형전력망협회[15] , http://www.ksmartgrid.org

정보통신표준화위원회[16] TTA , http://committee.tta.or.kr

- 67 -

주의

1. 본 연구보고서는 방송통신발전기금으로 수행한 방송통신표

준기술력향상사업의 연구결과입니다.

본 연구보고서의2. 내용을 발표할 때에는 반드시 방송통신표준

기술력향상사업의 연구결과임을 밝혀야 합니다.

년도 표준화전략포럼2012 ICT

최종연구보고서

편집 및 발행인 이근협:

발행처 한국정보통신기술협회:

463-824

경기도 성남시 분당구 서현동 267-2

TEL : +82-31-724-0114

FAX : +82-31-724-0009

[2012 ict ] 년도 표준화전략포럼최종연구보고서 [2012 ict ]년도...

Documents