- 보안제품 평가 방법 및 기준
- 개요
- 평가 방법
- 보안 제품 평가 종류
- TCSEC — 미국
- ITSEC — 유럽
- CC — ISO
- TCSEC — 오렌지북?
- 개요 — TCB, 참조 모니터, 보안 커널 등의 개념을 도입하고 효과적인 정보 보호 시스템 평가 기준 개발과 제품을 평가하는 데 초점
- 보증 수준과 범주
- 개요
- 단계별 보안 수준
- D — 보안 설정 없음
- C1
- 일반적인 로그인 과정 존재
- 자신이 생성한 파일에 권한 설정 가능. 특정 파일에 대해서만 접근 가능
- 초기 유닉스 시스템
- C2
- 각 계정별 로그인 가능
- 그룹 ID에 따라 통제 가능
- 보안 감사 가능
- 특정 사용자의 접근 거부 가능
- 윈도우 NT 4.0, 대부분의 유닉스 시스템
- B1
- 시스템 내에 보안 정책 적용 가능
- 각 데이터에 대해 보안 레벨 설정 가능
- 시스템 파일, 시스템에 대해 권한 설정 가능
- B2 — 시스템에 정형화된 보안 정책 존재. B1 등급 기능 모두 포함
- B3
- 보안에 불필요한 부분 모두 제거
- 모듈에 따른 분석 및 테스트 가능
- 시스템 파일 및 디렉터리에 대한 접근 방식 지정
- 사용자의 활동에 대해 자동 백업
- A1 — 수학적으로 완벽한 시스템
- 보호 범주
- 항목의 전체 합으로 결정
- 하위 등급의 요구사항 포함
- 문제점
- 운영 시스템에 주목하고 네트워킹, 데이터베이스 등의 논점에 주목하지 않음
- 기밀성에만 집중
- 민간 상업 부문용의 보호 분류와 동작하지 않음
- 운영 시스템에 초점을 맞춰 다른 보안 영역 누락
- 레드북(TNI)
- 네트워크 및 네트워크 구성 요소에 대한 보안 평가 주제
- LAN과 WAN 시스템
- ITSEC
- 개요 — 유렵 4개국이 평가 제품의 상호 인정 및 평가 기준이 상이함에 따른 불합리함을 보완하기 위해 작성한 유럽형 보안 기준
- TCSEC vs ITSEC
- 기능성과 보증성을 묶어 평가
- 무결성, 가용성, 기밀성에 모두 대처
- 네트워크 시스템
- 공통 평가 기준(CC) — ISO/IEC 15408
- 등장 배경 — 효과적이고 유용한 평가 기준 시도
- 제작 과정 — 기존 평가 기준과 새로운 평가 기준 결합 및 조정
- 개요
- 보안 요구 조건을 명세화하고 평가 기준을 정의하기 위한 ISO 표준
- 목적 — IT 제품의 개발, 평가, 운영 과정에서 공식적 행동을 통해 제품의 신뢰성 향상
- 변화에 대응하는 과정과 제품의 재평가 설명
- 보다 나은 유연성
- 제품에 대해 수행
- 등급별 보안 수준
- EAL1(기능적 시험) — 보안 행동을 이해하기 위한 기능, 인터페이스 명세서나 설명서를 통해 보안 기능을 분석하여 기초적인 보증 제공
- EAL2(구조적 시험) — 개발자의 시험, 취약점 분석, 더 상세한 TOE 명세에 기초한 독립적인 시험 요구
- EAL3(방법론적 시험, 검사) — TOE가 개발 과정에서 변경되지 않도록 하는 메커니즘 또는 절차 요구
- EAL4(방법론적 설계, 시험, 검토) — TSF 일부에 대한 구현 표현
- EAL5(준정형적 설계, 시험) — 준정형화된 설계 설명, 완전한 구현, 더 구조화된 구조, 비밀 채널 분석
- EAL6(준정형적 검증된 설계, 시험) — 더 포괄적인 분석, 구조화된 구현의 표현, 더 체계적인 구조, 더 포괄적이고 독립적인 취약점 분석, 체계적인 비밀 채널 식별, 개선된 형상 관리와 개발 환경 통제 요구
- EAL7(정형적 검증된 설계, 시험) — 정형화된 표현, 정형화된 일치성 입증, 포괄적 시험을 이용한 포괄적 분석 요구
- 구성 요소
- 패키지
- 부분적인 보안 목표를 만족하게 하기 위한 컴포넌트 집합으로 구성
- 유용한 요구사항의 모음으로 재사용 가능
- 하나의 패키지는 규모가 더 큰 패키지나 보호 프로파일, 보안 타깃을 구성하는 데 이용 가능
- EAL
- 보증 요구와 관련된 컴포넌트의 집합으로 패키지의 일정
- 자체적으로 온전한 보증 컴포넌트의 집합
- CC의 체계화된 보증 수준이 보증 등급 형성
- TOE
- 평가 대상
- 요구되는 보안 해결책을 제공하기 위해 제안된 제품
- PP
- 보호 프로파일
- 정보 제품이 갖춰야 할 공통적인 보안 요구사항을 모아놓은 것
- 패키지, EAL, 기능 및 보증 요구 컴포넌트 등의 집합으로 구성
- 검증/등록된 보호 프로파일은 보안 타깃을 구성하는 입력 요소로 사용
- 전세계 프로파일 종류 — 10개 내외. 방화벽, IDS, VPN 등
- EAL 등급별로 작성되어 발표
- ST
- 보안 목표 명세서
- 필요에 따라 CC에 정의되지 않은 보안 요구 포함
- 벤더가 직접 작성
- 벤더는 PP를 참조한 후 ST를 작성하여 제품 개발
- 요구되는 보안 해결책을 충족하는 보안 기능과 보증 메커니즘에 대한 공급 업체의 설명 문서
- PP와 ST
- PP
- 재사용 가능하고, 인지된 목표를 만족하는 데 유용하고 효율적인 것으로 알려진 요구 조건 정의
- 기능적 표준의 정의를 지원하고 구매 명세의 작성에 도움을 주기 위해 개발
- 보안 요구 조건 반영
- ST
- 하나 이상의 PP에 부합할 것을 요구하고 평가의 토대를 만듦
- 업체 또는 개발자가 제공
- PP
- 패키지
- 문서 구성
- ISO/IEC 15408-1
- CC 평가 모델의 일반적 개념과 원칙 설명
- 용어 정의. TOE 핵심 개념 수립. 평가 문맥과 필요한 검토자 기술
- PP의 주요 개념, 보안 요구사항, ST를 위한 지침 제공
- ISO/IEC 15408-2
- 평가 중에 진단될 보안 기능 요구사항 정의
- 요구사항은 클래스, 패밀리, 구성 요소의 계층적 구조로 조직화
- 사전에 정의된 기능적 구성 요소가 존재하지 않는다면 맞춤형 보안 요구사항의 스펙에 대한 지침 제공
- ISO/IEC 15408-3
- 클래스, 패밀리, 구성 요소의 계층적 구조로 조직화
- 평가 보증 수준을 설명하며, PP와 ST의 평가 기준 제공
- ISO/IEC 15408-1
- 국제 상호 인정 협정(CCRA)
- CC 기반의 국제 상호 인정 협정
- CCRA 가입국 간 평가, 인증받은 제품은 협정에 참여한 어떤 국가에서도 다시 평가를 거치지 않고 동일한 효력을 가질 수 있도록 함
- 발행국과 수용국으로 이원화
- EAL4까지만 상호 인정
- 국내 정보 시스템 평가 관련 표준화 현황
- 개요
- 지식경제부 기술표준원 — KS와 관련하여 ISO 한국 대표 기관으로 활동
- 한국정보통신기술협회 — 정보통신단체 표준 관련 업무 담당
- 한국인터넷진흥원 — 국내 정보보호제품 평가기관
- 국가정보원 — 인증서 발행
- 개요
- 개요
- 정보보호관리체계 인증
- 개요
- 기본 개념
- BS7799(ISO/IEC 17799)
- 개요 — 한 조직이 정보보호 관리 체계를 제대로 운영하고 있는지 평가하고 인증하는 표준으로 사용
- 구성
- Part 1 — 통제 목표와 이러한 목표를 충족시키기 위해 사용될 수 있는 다양한 통제 목록 설명
- Part 2 — 어떻게 ISMS가 구성되고 관리, 유지될 수 있는지 설명. 조직이 인증될 수 있는 기준으로써 기능
- 보안 정책, 보안 조직, 자산의 분류 및 통제, 인적 보안, 물리적, 환경적 보안, 통신 및 운영 관리, 접근 통제, 시스템 개발 및 유지보수, 업무 연속성 관리, 준거성
- 개요
- 정보보호 및 개인정보보호 관리체계(ISMS-P 인증)
- 개요
- 기본 개념 — 정보통신망법 제47조와 개인정보보호법 제32조의2에 근거
- 관리 체계 수립 및 운영
- 개요
- 관리 체계 기반 마련
- 경영진의 참여
- 최고 책임자의 지정
- 조직 구성 — 정보보호와 개인정보보호의 효과적 구현을 위한 실무 조직, 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 부셔별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성, 운영해야 함
- 범위 설정
- 정책 수립
- 경영진의 의지 및 방향
- 역할과 책임 및 대상과 범위
- 정보보호 활동 근거
- 자원 할당
- 위험 관리
- 정보자산 식별
- 현황 및 흐름 분석 — 연 1회
- 위험 평가 — 연 1회
- 보호 대책 선정
- 관리 체계 운영
- 보호 대책 구현
- 보호 대책 공유 — 제/개정 사항, 이행 계획 및 구현 결과, 신규 도입 및 개선 사항 등
- 운영 현황 관리
- 관리 체계 점검 및 개선
- 법적 요구사항 준수 검토 — 연 1회
- 관리 체계 점검 — 연 1회
- 관리 체계 개선
- 정보보호 보호 대책 요구사항
- 개요
- 정책, 조직, 자산 관리
- 정책의 유지 관리
- 조직의 유지 관리
- 정보 자산 관리
- 인적 보안
- 주요 직무자 지정 및 관리
- 직무 분리
- 보안 서약
- 인식 제고 및 교육 훈련 — 연 1회
- 퇴직 및 직무 변경 관리
- 보안 위반 시 조치
- 외부자 보안
- 외부자 현황 관리
- 외부자 계약 시 보안
- 외부자 보안 이행 관리
- 외부자 계약 변경 및 만료 시 보안
- 물리 보안
- 보호 구역 지정
- 접견 구역 — 외부인이 출입증 없이 출입 가능한 구역
- 제한 구역 — 출입증 필요
- 통제 구역 — 출입을 위해 추가적인 절차 필요
- 출입 통제
- 정보 시스템 보호
- 보호 설비 운영
- 보호 구역 내 작업
- 반출입 기기 통제
- 업무 환경 보안
- 보호 구역 지정
- 인증 및 권한 관리
- 사용자 계정 관리
- 사용자 식별
- 사용자 인증
- 비밀번호 관리
- 특수 계정 및 권한 관리
- 접근 권한 검토
- 접근 통제
- 네트워크 접근
- 정보 시스템 접근
- 응용프로그램 접근
- 데이터베이스 접근
- 무선 네트워크 접근
- 원격 접근 통제
- 인터넷 접속 통제
- 암호화 적용
- 암호 정책 적용
- 암호키 관리
- 정보 시스템 도입 및 개발 보안
- 보안 요구사항 정의
- 보안 요구사항 검토 및 시험
- 시험과 운영 환경 분리
- 시험 데이터 보안
- 소스 프로그램 관리
- 운영 환경 이관
- 시스템 및 서비스 운영 관리
- 변경 관리
- 성능 및 장애 관리
- 백업 및 복구 관리
- 로그 및 접속 기록 관리
- 로그 및 접속 기록 점검 — 월 1회
- 시간 동기화
- 정보 자산의 재사용 및 폐기
- 시스템 및 서비스 보안 관리
- 보안 시스템 운영
- 클라우드 보안
- 공개 서버 보안
- 전자 거래 및 핀테크 보안
- 정보 전송 보안
- 업무용 단말 기기 보안
- 보조 저장 매체 관리
- 패치 관리
- 악성코드 통제
- 사고 예방 및 대응
- 사고 예방 및 대응 체계 구축
- 취약점 점검 및 조치
- 이상 행위 분석 및 모니터링
- 사고 대응 훈련 및 개선
- 사고 대응 및 복구
- 재해 복구
- 재해, 재난 대비 안전 조치
- 재해 복구 시험 및 개선
- 개인정보 처리 단계별 요구사항
- 개요
- 개요
- 기타 인증 제도 및 정보보호 활동
- 일반 개인정보보호법(GDPR)
- 제정 목적 — 자연인에 관한 기본권과 자유를 보호하고, EU 역내에서 개인정보의 자유로운 이동 보장
- 법적 효력
- 구속력. EU 회원국에 직접 적용
- 일부 규정에 대해 별도 입법이 요구되어 GDPR 이외에 각 회원국의 개인정보보호 관련 입법 동향에 대해 지속적으로 모니터링 필요
- 기대 효과
- one-stop-shop 메커니즘 — 개인정보 주체가 여러 국가에 흩어져 있는 경우 사업장이 소속된 국가의 감독기구가 선임 감독 기구의 역할 수행
- 법적 구속력 있는 단일한 규칙 수행
- 필요 비용 절약
- 시장 기능 활성화
- 사업 규제 환경 개선으로 경제 효과
- 적용 대상
- 개인정보 — 개인과의 연결성이 있는 가명처리된 정보
- 민감정보 — 명시적 동의 획득 등의 경우를 제외하고 원칙적으로 처리 금지
- 적용 범위
- 컨트롤러 또는 프로세서가 EU에 사업장을 가지고 있고 해당 사업장에서의 활동이 개인정보의 처리를 포함하는 경우
- EU에 사업장이 없다면
- EU 내 정보 주체에게 재화나 서비스를 제공하는 경우
- EU 내 정보 주체에 대해 EU 내에서의 행동을 모니터링하는 경우
- GDPR 시행에 따른 주요 변화
- 아동 개인정보 동의 원칙 확립 — 만 16세 미만 아동. 회원국은 만 13세까지 가능
- one-stop-shop 메커니즘 도입
- GDPR 위반이 정보 주체에 중대한 영향을 미치는 경우 감독 기구는 선임 감독 기구에 관련 사항 통지
- 선임 감독 기구는 해당 감독 기구가 자체적으로 처리할지 선임 감독 기구에서 처리할지 결정 → 선임 감독 기구가 처리하는 경우 one-stop-shop
- DPO(Data Protection Officer) 의무 지정
- DPO를 의무로 지정해야 하는 경우
- 정부 부처 또는 관련 기관이 개인정보를 처리하는 경우
- 컨트롤러나 프로세서의 핵심 활동이 다음에 해당하는 경우
- 정보 주체에 대한 대규모의 정기적이고 체계적인 모니터링에 해당하는 활동
- 민감 정보나 범죄 경력 및 범죄 행위에 대한 대규모 처리 활동
- 개인정보보호 관련 법률을 준수하고 개인정보보호 의무를 다하도록 조언 및 도움을 주는 역할
- 내부 직원 또는 외부 인사로 지정 가능
- DPO를 의무로 지정해야 하는 경우
- 제재 규정 강화
- 일반적 위반 — 전세계 매출액 2% 또는 1천만 유로 중 큰 금액
- 심각한 위반 — 4% 또는 2천만
- 정보 주체의 권리 보장
- 정보를 제공받을 권리
- 정보 주체의 접근권
- 정정권
- 삭제권
- 처리 제한권
- 개인정보 이동권
- 반대권 — 직접 마케팅, 컨트롤러의 적법한 이익 또는 공적 업무 수행에 근거한 개인정보의 처리, 과학적/역사적 연구 및 통계 목적 처리
- 프로파일링을 포함한 자동화된 의사 결정 — 자동화된 의사 결정의 대상이 되지 않을 권리
- OECD 정보보호 가이드라인(2002)
- 개요
- 9가지 보안 원칙
- 인식 — 보안을 위해 뭘 할 수 있는지 인지
- 책임
- 대응
- 윤리
- 민주주의
- 위험 평가
- 보안 설계와 이행
- 보안 관리
- 재평가
- 사이버 위기 경보
- 정의 — 사이버 공격에 대한 체계적인 대비 및 대응을 사전에 준비할 수 있도록 발령하는 경보
- 단계
- 심각
- 국가적 차원에서 네트워크 및 정보 시스템 사용 불가능
- 침해 사고가 전국적으로 발생했거나 피해 범위가 대규모인 사고 발생
- 시스템 자료 유출 사고 발생
- 국가적 차원에서 공동 대처 필요
- 경계
- 복수 정보통신서비스 제공자(ISP)망/기간망의 장애 또는 마비
- 침해 사고가 국지적으로 발생했거나 대규모 피해로 발전될 가능성 증가
- 다수 기관의 공조 대응 필요
- 주의
- 일부 네트워크 및 정보 시스템 장애
- 침해 사고가 일부 기관에서 발생했거나 다수 기관으로 확산될 가능성 증가
- 국가 정보 시스템 전반에 보안 태세 강화 필요
- 관심
- 피해 발생 가능성 증가
- 해외 사이버 공격 피해가 확산되어 국내 유입 우려
- 사이버 위협 징후 탐지 활동 강화 필요
- 심각
- 일반 개인정보보호법(GDPR)
- 정보보호 사전점검 — 정보통신망의 구축 또는 정보통신 서비스의 제공 이전에 계획 또는 설계 등의 과정에서 정보보호를 고려하여 필요한 조치를 하거나 계획을 마련하는 것
'정보보안기사' 카테고리의 다른 글
| [정보보안기사(실기)] SECTION 01 시스템 기본 학습 (1) (0) | 2026.03.24 |
|---|---|
| [정보보안기사] SECTION 43 정보보호 관련 법규 (1) | 2026.03.09 |
| [정보보안기사] SECTION 41 BCP/DRP (0) | 2026.03.06 |
| [정보보안기사] SECTION 40 정보보호 위험 관리 (1) | 2026.03.04 |
| [정보보안기사] SECTION 39 정보보호 거버넌스와 관리 체계 수립 (0) | 2026.03.02 |