<![CDATA[표준화 게시판]]> Copyright(c) ko kotranews Fri Dec 13 08:38:48 KST 2019 <![CDATA[상호호환성 확보하는 ‘스마트공장 표준전략’ 내년 마련]]> 스마트공장을 구축함에 있어 가장 기본적인 개념은 바로 사물인터넷이라고 할 수 있다. 산업현장의 각종 디바이스의 원활한 커뮤니케이션을 통해 생산성을 높이는 스마트공장은 결국 각 디바이스간의 커뮤니케이션이 얼마나 자연스럽게 이뤄지느냐 하는 지점에서 성패를 가늠할 수 있다.

이러한 관점에서 볼 때 스마트공장의 ‘표준화’의 중요성이 급부상되는 것은 당연하다고 할 수 있다.


독일·미국이 주도하는 국제표준화기구(IEC)에서 전세계적으로 상호 호환성이 확보되는 스마트공장의 표준전략을 내년 하반기에 마련할 예정이다.


우리나라는 국가기술표준원 내 스마트공장 표준기술연구회를 올해 2월 구성해 국제 표준화 활동 참여 및 표준화 로드맵 수립을 연말까지 마무리 지을 계획이다. 아울러 국내 기기 및 솔루션 기업의 생산 제품이 스마트공장 확산에 참여 시 상호호환성을 지원하기 위한 상호호환성 센터 및 테스트베드 건립을 추진 중이다.


현재 전자부품연구원 및 생산기술연구원이 주관하고 요소기술 생산 기업들이 참여하는 상호호환성 센터 설립을 기획 중이다. 이 센터에는 올해 상반기에만 두산인프라코어(PLM), LG CNS(ERP/MES), 두산(CNC), 로보스타, 한신파워텍(로봇, 포장), 삼성테크윈(SMT), LS산전(자동화) 등 유수의 국내 대기업들이 참가하겠다는 의사를 밝힌 것으로 알려졌다.


스마트공장 관련 사업의 조정을 통한 스마트공장 정책 전체 테두리 내에서 부처 간 유기적 연계의 중요성도 부각되고 있다.


이미 150억 원 이상의 규모로 진행되는 중기청 4개 사업을 2·3차 협력 중소기업 대상 맞춤형 스마트공장 구축지원에 활용할 수 있도록 사업내용이 조정됐다. 또한, R&D에 있어 산업부는 플랫폼, 범용어플리케이션 등을 집중개발하고, 중기청은 현장 직접 적용이 가능한 단기 R&D 과제를 수행하는 것으로 조정됐다. 아울러 미래부의 커넥티드 스마트 팩토리 사업도 산업부 사업으로 이관 추진키로 결정됐다.


아울러 현행 분산적 추진체계를 일원화하고 정책수요자 중심의 사업전개를 위해 올해 7월 ‘스마트공장 추진단’을 설립했다.


이에 대해 추진단 관계자는 “국제표준 등 국가 간 경쟁에 대응하고 인증제, 상호호환성센터 운영 등 사업 규모의 확대가 예상돼 이러한 업무를 총괄할 전담기구의 필요성이 확대됐다”며, “추진단은 스마트공장 추진전략 수립, 보급사업 총괄, 표준·인증 개발·운영, 인력 양성, 고도화 기술개발 기획, 공급산업 경쟁력 강화 지원 등의 업무를 도맡아 하게 될 것”이라고 밝혔다.


출처 : 산업일보

]]>
2015-11-05 00:00:00
<![CDATA[대한민국, 정보보호 분야 국제표준화 주도]]>         

표준제목

표준 번호

에디터

웹 기반 공격 예방 기술

X.1211

염흥열(순천향대)

스마트폰 앱 배포 프레임워크(X.1121-X.1149)

부속서 24

김미주(KISA), 염흥열(순천향대)



※ ITU-T : 전기통신관련 기술·운용·요금 문제를 연구하고 그 결과를 국제표준화 하는 국제전기통신연합(ITU)의 전기통신표준화 부문
o 「웹 기반 공격 예방 기술」은 사용자가 단순히 웹 사이트에 방문만 해도 악성코드에 감염되는 웹 기반 공격에 대응하기 위한 표준으로,
- 웹 기반 공격 대응 시스템이 가져야 할 세부 기술과 구조를 제시하고 있으며, 웹 공격 대응 시스템 설계와 운영 시 널리 활용될 수 있다.
o 「스마트폰 앱 배포 프레임워크 부속서」는 스마트폰을 위한 안전한 앱 배포 프레임워크에 대한 국제표준으로, 앱 배포 사이트의 보안성을 향상시키고자 할 때 가이드라인으로 활용 가능하다.


출처 : 산업연구원

]]>
2015-11-05 00:00:00
<![CDATA[ETRI, RFID 보안기술 국제표준 선도]]> ETRI, RFID 보안기술 국제표준 선도
- ITU-T, ISO에 RFID보안 에디터 2명 선정
- 수출용 컨테이너 활용계획..국제표준추진



IT기술의 발전으로 대두되고 있는 큰 문제중의 하나가 바로 개인 정보보호인데 국내 연구진에 의해 개발된 RFID와 관련한 체계적인 보안기술이 국제표준에 주도적으로 반영될 전망이다.


ETRI(한국전자통신연구원, 원장 임주환)는 지난 14일, 미국과 캐나다에서 각각 열린 국제표준회의에서 2명의 연구원이 ‘RFID 소프트웨어 시스템 인프라구조’와 ‘응용서비스를 위한 보안 및 프라이버시 보호’ 관련 에디터에 각각 선정되었다고 밝혔다.


이번에 정보보호 관련 국제표준 전문가에 선정된 ETRI의 연구원은 정보보호연구단 정보보호기반그룹의 김호원 팀장이 코-에디터(ISO)에, 최두호 박사가 에디터(ITU-T)에 각각 선임되었다.


따라서 ETRI에서 개발된 ‘RFID 보안기술과 프라이버시 보호기술’ 등은 향후 ITU-T 등과 같은 국제 표준화 기구를 통해 국제표준으로 반영될 수 있는 좋은 계기를 마련했다고 ETRI측은 설명했다.


ETRI 정보보호연구단 정보보호기반그룹 정교일 그룹장은 “항만/물류형 eSeal RFID 기술(e-Seal)은 향후 미국으로 입항하는 모든 컨테이너에 사용될 수도 있는 기술로 미국의 보안강화 정책에 맞춰 표준화 가능성이 매우 높다. 따라서 이미 ETRI가 개발한 보안기술로 산자부의 기술표준원과 협의하여 국제표준화를 추진할 방침이다.”고 말했다.


아울러 ETRI는 그동안 개발한 유통/물류형 RFID 소프트웨어 보안 기술과 모바일 RFID 보안 플랫폼 기술 등도 기술이전을 통해 상용화를 활발히 추진중에 있다고 밝혔다.


ETRI는 자체 개발한 RFID 보안 관련기술이 높은 보안성과 확장성, 호환성으로 업체에 기술이전시 상용화가 쉽다고 설명했다.


ETRI는 RFID 응용서비스 활성화에 필수적인 RFID 보안기술과 프라이버시 보호 기술을 정보통신부 선도기반 기술개발사업을 통해 연구했다.

ETRI의 정보보호연구단의 손승원 단장은 “ETRI는 RFID 기술과 보안 기술, 프라이버시 보호 기술에 있어서 집중적인 기술개발을 통해 좋은 연구 결과물을 가지고 있는데, 이러한 기술 결과물에 대한 국제 표준화는 개발한 기술에 대한 국제 시장에서의 경쟁력 확보에 크게 도움이 되므로 앞으로도 이와 같은 국제 표준화 활동을 계속 적극 추진할 것이다.”라고 말했다.



::::::::참고자료::::::::


ETRI(정보보호연구단)는 모바일 RFID 통합 보안 플랫폼 기술을 개발하여, 모바일 RFID 환경에서 단말기 보안과 사용자 및 사업자 프라이버시 보호 기능을 제공한다. 항만/물류형 능동형 RFID 기술(eSeal)은 향후 미국으로 입항하는 모든 컨테이너에 사용될 수도 있는 기술로서, 미국의 국토보안국의 보안 강화로 인해, eSeal 보안 기술에 대한 표준화 가능성이 매우 높다. ETRI에서는 기술 개발을 통해 eSeal 보안 기술을 이미 개발했으며, 해당 기술에 대한 국제 표준화를 산자부 기술표준원과 협의하여 추진할 예정이다.


참고1 ) eSeal 사진 (항만/물류 응용에서 사용하는 eSeal 능동형 RFID 태그로서, 물리적인 잠금 장치 뿐만아니라 전자 장치를 가지고 있어, 컨테이너 내용물 및 유통 경로 등에 대한 추적 및 보안성을 제공함) -- 아래 사진 참고


참고2 ) ISO TC104 SC4 : 항만/물류형 능동형 RFID 기술에 대한 국제 표준화 기구로서, eSeal이라고도 함. Electronic Seal 기술로, 컨테이너의 유통 및 추적, 내용물 인증 목적으로 활용되는 능동형 RFID 태그기술임. 최근 미국에 입항되는 모든 컨테이너에 eSeal의 의무화 움직임으로 인해, 국내외적으로 여러업체에서 관련기술 개발 및 시장확보에 많은 관심을 가짐

참고3 ) ISO/IEC JTC1 SC31 WG4 SG1 : RFID 소프트웨어 시스템 인프라 구조에 대한 회의로서, data management와 security, device interface 등, RFID 소프트웨어 구조에 대한 국제 표준화를 추진하는 기구임



출처 : 한국전자통신연구원

]]>
2015-11-04 00:00:00
<![CDATA[홈네트워크 서비스의 정보보호 표준화 동향]]> 정보통신부에서 추진 중인 IT839 전략중의 하나인 홈네트워크 서비스는 단순한 통신서비스 영역을 넘어 가정을 구성하는 다양한 사용자의 삶의 환경과 밀접한 관계를 맺고 있다. 따라서 홈네트워크 서비스는 정보기기간의 통합 및 운용을 위한 소프트웨어, 서비스 등 정보통신 기술의 결합뿐만 아니라, 사용자의 생활 패턴, 문화적 현상 등을 총망라한 산업의 성격을 가진다. 이러한 점에서 홈 네트워크 서비스 산업은 미래의 국가 발전과 새로운 변혁의 원동력으로서 향후 발전 가능성이 매우 크다고 할 수 있다. 그러나 홈네트워크 서비스의 보급이 확산되고 다양한 형태의 홈네트워크 서비스가 등장하면, 사이버 공격의 대상 범위 또한 커져서 사회적 경제적으로 우리 사회에 큰 불안 요소로 작용할 가능성이 있다. 이렇듯 홈네트워크 서비스의 침해사고 발생은 그 피해가 인터넷과는 비교가 안 될 정도로 심각할 것으로 예상된다. 국내에서는 대기업을 중심으로 홈네트워크 시범 서비스를 위한 컨소시엄을 구성하고 있으나, 실제 정보보호 대책은 사용자의 아이디와 패스워드를 이용한 단순한 인증 방식에 그치고 있다.


따라서, 홈네트워크 서비스가 널리 보급되기 위해서 여러 가지 보안 요소가 고려되어야 한다. 개인과 가족의 신원 확인을 정확히 확인하고, 타인이 홈네트워크를 불법적으로 사용하는 것을 막아야 한다. 또한 홈네트워크 서비스를 안전하게 이용하기 위해 인증을 받은 사용자의 신원에 따라 기기 혹은 서비스를 차등적으로 이용할 수 있는 권한을 부여할 수 있어야 한다. 홈네트워크 서비스 사용자의 다양한 특성을 고려할 때 모든 사용자에게 동일하고 획일적인 서비스 사용 권한을 부여하는 것은 예상치 못한 위험을 초래할 수 있을 뿐 아니라, 불필요한 이벤트 발생 등으로 시스템의 안전성을 위협할 수 있다. 즉, 홈 게이트웨이를 기반으로 각 가정의 홈네트워크 특성을 고려한 접근제어 정책을 수립하고, 실시간으로 접근을 제어하는 홈네트워크 접근제어 시스템이 필요하다. 홈네트워크에 존재하게 되는 개인정보 등의 민감한 데이터가 타인에게 노출되지 않도록 하는 개인프라이버시 보호를 위한 기술도 필요하다. 또한 홈네트워크 서비스가 점차 지능화되고 다양화되므로 인해 사용자 개입이 없이 홈네트워크 서비스를 안전하게 제공할 수 있는 방법과, 이종의 유무선 네트워크로 이루어진 홈네트워크의 특성으로 인한 보안 허점을 메워주기 위해 홈디바이스간 인증 메커니즘에 대한 연구도 필요하다고 하겠다.
 
홈네트워크 서비스에서의 정보보호관련 표준화 동향
ITU-T의 SG9 및 SG17 등에서 홈네트워크 시스템 및 정보보호기술에 대한 표준화 논의가 활발히 진행되어 오고 있다. 홈네트워크 정보보호 관련 세 건의 표준화 프로젝트가 Q.9 (Rapporteur : 순천향대 염흥렬 교수) 진행되고 있다. 홈네트워크 서비스의 보안 프레임워크(X.homesec-1)은 주로 홈네트워크에 대한 보안 위협을 분석하고, 사용자 관점 및 홈네트워크 노드들에서의 보안 요구사항을 규명하며 이에 따라 필요한 보안 기술의 분류를 제공하는 것이 목표이다. 현재 X.homesec 과제 중에 가장 빠른 진전을 보이고 있으며 나머지 홈네트워크 보안 과제들의 기초 문서로 활용되고 있다.  X.homesec-1의 첫 드래프트 표준을 2005년 3분기에 마무리 지을 예정이다.


그리고, 홈네트워크 서비스를 위한 디바이스 인증서 프로파일(X.homesec-2)은 홈네트워크에서 디바이스 인증을 제공하기 위한 인증서 프로파일(Device Certificate Profile)과 인증서 관리 프로토콜(Certificate Management Protocol)에 대한 정의를 목표로, 디바이스 인증서의 XML 정규식 표현 및 사용 시나리오에 대한 내용을 포함하며, 첫 드래프트 표준을 2006년 2분기에 완성할 예정이다.


또, 홈네트워크 서비스를 위한 사용자 인증 메커니즘(X.homesec-3)은 지난 10월 회의에서 표준화 과제로 처음 선정되었으며, ID/PW, 생체, 인증서 등 다양한 사용자 인증 수단을 지원하여 사용자에게 편리한 인증방식을 사용할 수 있도록 하는 통합 사용자 인증 메커니즘의 개발 및 표준화를 목표로 하고 있다. 이의 첫 드래프트 표준을 2006년 4분기까지 만들기로 결정하였다.
 
향후 추진 방향
향후 유비쿼터스 환경이 도래하면 홈네트워크 환경도 점차 지능화되고 다양한 차세대 홈서비스들이 등장할 것으로 예상되므로 홈네트워크 서비스의 미래는 매우 밝다고 할 수 있다. 이에 따라 이러한 유비쿼터스 지능형 홈네트워크 환경을 외부의 위협으로부터 안전하게 보호하기 위한 보안 대책 및 기술 개발도 함께 이루어져야 한다. 기술과 서비스가 점점 복잡해지면 보안에 대한 위협도 비례한다는 것을 명심하고 우리의 홈을 안전하게 지키기 위한 대책에 만전을 기울여야 할 것이다. 내년 4월에 ITU-T SG17회의가 한국에서 열리기로 결정된 만큼 국제 표준화를 위한 좀 더 적극적인 노력이 수행된다면 홈네트워크 정보보호 분야에서 국제 표준을 선도할 수 있는 좋은 결과를 기대할 수 있을 것이다.


출처 : 한국정보통신기술협회

]]>
2015-11-04 00:00:00
<![CDATA[차세대 이동인터넷 정보보호 프로토콜 표준화 현황]]> 57차 IETF회의는 보안 관련하여 큰 이슈가 없었다. 다만 이동인터넷에 직, 간접으로 관련한 BOF(Birds of Feather)가 mip4(Mobility for IPv4), mip6(Mobility for IPv6), mipshop(MIPv6 Signaling and Handoff Optimization), enroll(Credential and Provisioning), dna(Detecting Network Attachment), capwap(Control And Provisioning of Wireless Access Points) 등 6개가 열렸다. 이동인터넷 관련 워킹그룹의 세분화 현상은 양면을 갖는데 이동인터넷의 조기 상용화를 위하여 워킹그룹을 세분화함으로 쉽게 문제점을 공략하는 효과가 있지만, 반면 총괄을 할 수 있는 구심점이 없으므로 각 워킹그룹간의 의견의 불일치와 불협화음으로 인한 표준제정의 추진력의 약화를 초래할 수 있다.


표준화 진행 현황
Mobile IPv6 는 IPv6 호스트가 인터넷을 옮겨 다닐 때 고정적인 홈주소를 계속적으로 사용 하도록 지원을 하는 라우팅을 규격화하는 것이다. Mobile IPv6는 TCP 연결과 UDP 포트 바인딩을 관리하는 것을 포함하며, IP 상위계층에게 투명성을 제공한다.
기존의 두개의 기본 규격을 작고, 모듈화된 상호연동의 조각으로 분할을 한다. 예로서 루트 최적화, HA(Home Agent) 발견(Discovery), 이동탐지(Movement detection) 그리고 홈 링크의 번호 재구성과 같은 것으로 규격을 분할하여 표준화 촉진을 도모하고 있다.

• Mobile IPv6의 전개가 용이하도록 이동호스트(MN: Mobile Node)와 HA 간의 SA(Security Associations) 설정을 위한 초기화(Bootstrapping) 메커니즘
• 홈 에이전트의 신뢰성을 증강 : 홈 에이전트의 크래싱(Crashing) 경우에, 계속적으로 MN에게 서비스를 제공할 수 있도록 또 다른 홈 에이전트를 연결 방안
• 홈 네트워크에서의 번호 재구성하던지, 아니면 주기적으로 번호변경(RFC3041에 의한)에 의한 MN의 번호 변경을 지원
• RR(Return Routability)는 루트 최적화를 위한 기본적 메커니즘이다. MN과 상대노드(CN: Correspondent Node) 사이의 보안연계(Security Association)를 설정하기 위한 다른 수단이 가능하다고 보며 이러한 메커니즘을 이용하여 효율적인 루트 최적화를 규격화한다. 특히 신호방식의 부하를 줄이면서 RR 보다 더 안전한 방안에 관심을 모은다.
• 멀티캐스팅 지원. 차후의 규격 작업은 홈 에이전트에서의 프락싱하는 MLDv2의 규격화, 멀티캐스팅 세션의 핸드오버 생존성, 홈 에이전트의 유니캐스팅에 의한 어드레싱 대역과 같은 것을 규격화한다.


표준화 회의에서의 쟁점사항 및 결과
mobileip 워킹그룹에서 규격화하고 있는 Mobile IPv6에 대한 기준 표준안은 HA와 MN 간에는 사전에 보안연계를(SA: Security Association) 할당한 이후에 발생하는 MN의 움직임에 대한 보안 문제를 다루고 있었다. 그러나 망측면이나 사용자 입장에서는 처음에 MN가 망에 접속을 시도할 경우에 어떠한 절차를 통해서 망으로부터 인증을 받고 또 서비스 제공을 어떻게 받을 수 있느냐가 어떤 절차 보다 우선하는 일이 된다. 이러한 이유 때문에 mip6 BoF에서 초기화(Bootstrapping) 문제가 대두가 되었으며 이에 대한 연구가 이루어지고 있다.


MN의 안전한 Bootstrapping

초기화(Bootstrapping) 그 자체에 대한 의문들이 많이 있었지만 차후의 논제로 하고 초기화(Bootstrapping)에 대한 해결책은 AAA(Authentication, Authorization and Accounting) 인프라를 이용하는 것으로 구도를 잡아가고 있다. 즉 키분배를 위하여 AAA를 필요로 하며 IKE를 추가하기 위한 제안이 진행중이다. IKEv2는 주소 할당 기능이 있으며 두개의 주소가 언급되고 있는데 하나는 도달할 수 있는 주소이고 하나는 3041 주소이다. 첫 번째 주소는 ID 이고, 동일한 종류의 인증서가 두개의 주소를 사용 가능하게 할 것이다.
Pre-IKE Credential 을 이용하는 것보다는 HA와 직접 인증을 하는 것이 더 명확함을 제기하고 있으며, HA는 어떤 주소들이 할당되어 있는지를 알 수 있지만 Pre-IKE Credential는 순간적으로 어디로 가는지를 알 수 가 없다. Pre-IKE Credential 보다는 IKEv2를 연구할 것으로 사료된다.


MN과 HA 간의 신호메시지 보안 방안
RR에 대한 개선사항으로 모든 사람이 언급하는 것이 성능 개선이다. RR에 부가하여 옵션 메커니즘을 허용하는 것이 하나의 해결책으로 제시가 되었고 Care-of-test를 줄이기 위하여 CGA(Crypto Generated Address)를 추가하는 것이 가능하다고 보고 있다.
그러나 성능뿐만 아니라 단순함과 보안이 필요한데, RR보다 Shared Secret(양자가 약속한 보안키)가 보다 낳을 수 있는가 하는 질문에 메커니즘은 상호보완성(Trade-off)을 가지고 있다는 의견을 제시하지만 보안이 우선이라는 의식이 일반적으로 받아들여 지고 있다. 그리고 Shared Secret는 단지 IPv6 구현에 있어서 시험에만 사용될 수 있다는 점을 상기시켰다.
동적 HA의 할당은 AAA 서버가 HA에게 완전히 새로운 HA를 할당하는 것이며 위치 보안을 위한 것이다(Location Privacy). MN은 MIPv6를 이용하는 요구사항을 갖는 것이지 HMIP를 사용할 수 있는 능력이 요구되는 것이 아니라는 것이 지적되었다.


시장전망

Mobile IPv6 정보보호 표준은 유무선 통합형 차세대 인터넷 환경인 제 3 세대 IMT-2000 망에서 IPv6 이동인터넷 기술, 공중 무선랜 망에서 IPv6 이동인터넷 기술, IMT-2000과 공중 무선랜 망간 즉, 이종망간 이동인터넷 기술, IPv6 망에서 이동인터넷 기술과 같은 분야에 적용 가능하다.
무선 인터넷 서비스 이용이 확대됨에 따라서 각종 신용정보의 전송이 이루어지기 때문에 정보보호 기술 개발이 시급하고 국내 무선 인터넷시장에서 대부분을 차지하는 단말기 및 망 장비에서 필수적인 기술로 사용될 것으로 전망이 된다.
2002년 1사분기 무선인터넷 보급의 연 성장률이 서유럽은 287.4%, 일본은 142.5%, 한국은 203.3%를 보이고 있고 (3G Mobile 2002.6, www.tca.or.jp, 정보통신부 2002.3), 2001년 3,443억 달러에서 2002년 3,940억 달러로 성장한 전세계 무선 인터넷 서비스 시장은 연평균 10.2%의 성장률에 따라 2005년에는 5,585억 달러로 성장할 것으로 예상(Gartner 2002.4) 된다. 국내 무선통신기기의 수출이 2001년에 3,746억 달러에서 5,120억 달러로 36.7%의 성장함을 고려할 때 무선 인터넷 정보보호 개발은 국내 개발 시스템의 수출 경쟁력 강화뿐만 아니라 정보보호 산업 발전에도 크게 기여할 것으로 보이며 이에 대한 적극적인 대처 방안으로 국제표준을 선행 연구하여서 적기에 표준에 맞는 제품 생산을 위한 공조 체제를 구축하는 것이 필요하다.


향후 전망

Mobile IPv6 정보보호 메커니즘은 IPv6 킬러응용(Killer Application)으로서 매우 중요한 위치에 서있다. IETF의 관계자들도 이를 감지하고 있으며 Mobile IPv6의 순조로운 상용화를 위하여 안전한 이동호스트 초기화(Bootstrapping)는 필수적인 요소가 된다. 다른 정보보호 메커니즘도 중요하지만 이동통신 망에서 처음에 이동 단말이 어떻게 인증을 받을 것이며 그 이후에 전개되는 메커니즘과의 연관 관계를 무시할 수 없는 것이다. 그 동안 간과 하여 왔던 부분에 대하여 IETF에서 연구의 중요성을 깨닫고 추진하고 있는 것은 고무적인 일로 사료된다. 사용자 인증과 IP 보안과의 연계를 해결하기 위하여 IKEv2 프로토콜을 연구 중에 있다. 유선 환경에서도 IPsec 프로토콜의 적용에 있어서 IKE 프로토콜의 복잡성과 과부하가 주요한 문제로 남아 있는 시점에서 경량화를 목표로 하는 IKEv2의 표준화는 그 귀추가 주목된다.


출처 : 한국정보통신기술협회

]]>
2015-11-04 00:00:00
<![CDATA[모바일 RFID 정보보호 표준화 동향 및 전망]]> 최근 IT 기술의 빠른 발전으로 휴대 단말은 다양한 정보서비스와 유비쿼터스 환경을 지원하기 위해 저전력.초경화된 복합.지능형 단말기기로 진화되고 있으며, 현재의 서비스에서 더욱 발전된 모습으로 변화될 것이다. 이동통신과 인터넷이 결합된 무선인터넷 인프라에 RFID 융합을 통해 사용자에게 새로운 서비스를 제공하는 모바일 RFID 기술이 출현하였고 이와 함께 개인정보보호나 인증, 권한부여, 키관리 등과 같은 모바일 RFID 정보보호 기술의 표준화와 기술 개발이 추진되고 있다.


모바일 RFID 정보보호 개요
전파식별(RFID : Radio Frequency Identification)이란 자동인식기술의 한 종류로 Micro-Chip을 내장한 태그 라벨, 카드 등에 저장된 데이터를 무선 주파수를 이용하여 비접촉으로 읽는 기술로, 지금까지 RFID는 비즈니스 프로세스 상에서 업무 자동화 및 효율화의 수단으로 쓰이면서 RFID 리더는 RFID 태그칩을 인식하는 무인 정보생산 단말로서 주로 활용되었으나, RFID 태그칩과 RFID 리더칩을 휴대폰에 장착하여 다양한 RFID 태그의 정보를 읽어 사용자에게 유용한 정보서비스를 제공하는 모바일 RFID 서비스로 확대되어가고 있다. 이에 따라, 모바일 RFID 리더기의 이동성으로 인한 개인정보보호 침해와 이동통신 및 무선인터넷 환경으로 인한 정보 노출의 위협이 예상되며, 모바일 RFID 서비스의 불법적 이용 및 RFID 태그 정보의 위변조가 가능하므로, 개인정보 침해 및 누출의 위협을 최소화하기 위해 모바일 RFID 태그 및 단말기, 응용 서버간 안전한 서비스를 제공하기 위한 새로운 보안 기술이 요구되어져 RFID 태그의 제한된 계산 능력과 메모리 크기, 통신 대역폭, 가용 전력 때문에 적합한 보안 프로토콜 및 암호 알고리즘의 저전력, 저면적, 최적화된 모바일 RFID 정보보호기술이 활발히 연구되어지고 있다.


모바일 RFID 정보보호 표준화 동향

최근 노키아와 필립스, 소니 등 세계적인 전자통신 업체들이 최신 RFID 기술을 응용한 이종 시스템간 13.56㎒ 주파수를 이용하는 근거리 통신(NFC, Near Field Communication) 표준기술 개발을 위해 포럼을 결성하고 표준화를 진행하고 있으며, 국내에서는 TTA(한국정보통신기술협회)의 RFID 기술표준화 그룹인 PG311과 연계하여 900㎒ 대역 RFID와 모바일 망 연동 기술 표준을 위한 모바일 RFID 포럼을 2005년 2월 3일 창립하였고, 5개의 분과 위원회 중 정보보호분과에서 한국전자통신연구원, 한국정보보호진흥원, 이동통신사 등 관련 전문가들이 모바일 RFID 정보보호 및 프라이버시 보호 기술의 표준화 및 정보보호 서비스 이용환경 구축을 위한 법제도적 기반 마련을 위해 활동을 하고 있다. 현재 정보보호분과에서 검토중인 모바일 RFID 정보보호 관련 주요 표준화 추진 대상은 다음과 같다.

안전한모바일RFID서비스를위한보안표준화대상.jpg
[그림1] 안전한 모바일 RFID 서비스를 위한 보안 표준화 대상

모바일RFID보안관련사항.jpg


모바일 RFID 기술의 하이프사이클 및 기술개발 동향
모바일 RFID기술은 시발점인 시작단계에 있으며 RFID 표준 기술들은 도입 기대 단계로서 관련 기술의 상용화 예상시기가 평균 4~9년 이후로 예측되고 있다. 시장규모를 살펴보면 Venture Development Corp.가 최근 RFID 시장에 대한 중기 전망을 상향 조정하여 2005년도에는 S/W, H/W 및 서비스의 시장규모가 $2.13 billion에 이를 것이며, 매년 약 37%씩 성장할 것이고, 2005년까지는 서서히 성장하나 이후부터는 매우 급속히 커질 것으로 예상하고 있다.


hype-cycle.jpg
[그림2] RFID 기술의 하이프싸이클(hype-cycle)


현재 모바일 RFID 기술은 탈착형 RFID 리더칩이 개발된 해외사례는 일부 소개되었으나 아직 ISO/IEC, EPC 등의 국제표준화 활동은 진행되고 있지 않아 이 분야에서 세계를 선도할 수 있는 좋은 기회이다. 국내에서는 이동통신사, 제조업체 등을 중심으로 모바일 RFID 솔루션 개발을 준비중이며, 한국전자통신연구원은 금년말 휴대전화 내장형 리더칩 시제품을 개발하고, 내년부터 시범서비스 적용을 추진할 예정이다. 모바일 RFID 정보보호 기술은 금년도부터 한국전자통신연구원 정보보호연구단에서 RFID/USN 정보보호분야의 국제적인 기술 경쟁력 확보를 위해 기반기술 개발을 추진하고 있다.



향후 전망 및 제언


현재 모바일 RFID 정보보호기술은 국내외에서 관련 요소기술들이 개발되고 있으며, 앞으로 표준화된 서비스 상용화를 위하여 사용자에게 편리함과 안전성 보장을 해주는 WIPI 플랫폼 기반 경량형 미들웨어 개발 및 해당 보안 기술들과 연동하는 방안이 필요하다. 그리고, 프라이버시 보호를 위한 기술 개발 및 체계 수립 등의 지속적인 연구를 진행해야 할 것이다. 이와 같이 급속한 기술 환경 변화에 국내의 많은 기업들도 모바일 RFID 정보보호에 관심을 가지고 선진국 중심인 ISO, EPCglobal, uID 등에 적극적으로 참여하여 활발한 표준화 활동을 통해 기술 및 제품 개발이 빠른 시간 안에 준비되어야 한다고 사료된다.






출처 : 한국정보통신기술협회]]>
2015-11-04 00:00:00
<![CDATA[정보보호관리 표준 및 인증제도]]> 오늘날 정보의 가치가 기업의 발전 및 연속성을 결정할 수 있는 중요한 요소로 대두되었으며 사업에 필수적인 정보자산의 보호, 경쟁력 유지, 법규 준수, 상업적 이미지의 제고, 위험의 감소, 취약부분에 대한 보안을 위해서는 정보보호관리체계의 조직 내 정착 및 유지.관리함으로써 조직 내부에서 정보보호관리체계*의 독립적인 검토를 수행할 수 있으며, 취약부분을 식별하고 개선할 수 있는 기획을 할 수 있고 관리자는 정보를 소유하고 위험에 따른 손실을 최소화할 수 있다. 국내에서도 이미 정보 시스템을 운영하고 있는 기업이나 기관들에서 체계적인 위험분석 및 보안관리에 대한 요구가 늘어나고 있으며, 보안 서비스 업체의 컨설팅 내역(정보보호관리체계 수립)에서도 변화의 바람이 불고 있다. 우선, 국외의 대표적인 정보보호관리에 관련된 표준이나 인증제도를 시행하고 있는 기준을 간단하게 설명을 하면 다음과 같다.

정보보호관리 국외 표준화 동향

○ BS7799
BS7799는 영국 BSI(British Standard Institute)에서 정보보호 관리를 위한 표준화된 실무규약(code of practice for information security management)으로서 1995년 처음 개발되었다. 1998년에는 이 기준에 따른 인증 요건을 개발하여 본래의 표준인 실무규약은 Part 1, 인증요건은 Part 2로 만들어졌다. 1999년 정보처리 기술의 발전을 반영하여 개정되었으며 이 개정판에 기반하여 2000년에는 Part 1이 ISO/IEC JTC 1/SC27 WG1을 통하여 ISO 17799로 제정되었으며, 현재는 Part 2를 ISO 표준으로 제정하기 위한 작업을 진행중이다. BS7799 Part 1에서는 10개의 관리 통제 영역과 36개 통제 목적, 127개의 통제 항목으로 나누고 Part 2에서는 이에 따라 구현된 ISMS를 수립, 구현, 유지하기 위한 프로세스를 설명한다.
BS7799 Part 1과 2는 호주/뉴질랜드, 브라질, 핀란드 공화국, 아이슬란드, 아일랜드, 네덜란드, 노르웨이, 스웨덴 등에서 국가표준으로 사용하고 있다.


○ ISO/IEC TR 13335(GMITS)
국제 표준기구인 ISO/IEC JTC1 SC27 WG1에서 작성된 표준문서로, ISO/IEC TR 13335, "Guidelines for the Management of IT Security"의 5부로 구성되어 있다. 1부와 2부에서는 보안관리의 개념, 과정모델 및 위험관리와 기획 프로세스에 대한 내용들을 포함하고 있다. 이에 기초하여 3부에서는 보안관리 과정에서의 구체적인 기법들을 제시하고 있다. 4부에서는 보안요구사항과 조직의 특정환경에 따라 보안대책을 어떻게 선정하는 과정을 기술하고 있으며 적절한 보호수준을 달성하기 위한 방법과 기본적 보안대책을 어떻게 적용할 수 있는가를 설명하고 있다. 5부에서는 인터넷과 같은 외부 네트워크와 연결된 상황에서의 보안대책을 선정하는 방법을 기술하고 있다.


○ IT Baseline Protection Manual
독일의 BSI(Bundesamt Fűr Sicherheit in der Information stechnik)에서 개발한 BSI IT Baseline Protection Manual은 IT시스템 차원에서 접근하고 있으며, 조직구조, 인력, 기반구조와 기술적인 차원을 적절하게 조화시켜 IT시스템에 대하여 정보보호 수준을 3단계로 분류하여 선택할 수 있도록 구성되어 있다. 본 매뉴얼은 자산별로 세부적인 설명을 하고 자산별로 가능한 위협들의 명세를 나열하였으며, 이러한 위협에 따른 위험을 줄이기 위한 가능한 통제사항들을 3단계 수준별로 구분하여 목록을 제시하고 있다.


○ 일본(ISMS)
통산성은 기존의 정보시스템 안전대책 인증제도의 개선을 공표하고, 일본 정보처리 개발협회(JIPDEC)를 인정기관으로 지정하여 2001년 4월 6일, 정보시스템 안전대책 인증제도를 ISMS 인증 제도로 개정 시행 공표하였다. ISMS 위원회에서 인증심사기준 및 인증기관 지정기준을 마련하였고, 2001년 5월 22일부터 6월 4일까지 심사등록기관(인증기관) 지정 및 시범 인증사업을 시행한 후 본격적인 사업을 시행하였다.
일본의 ISMS 인증기준은 2002년 4월 1일부터 일본 산업현황을 반영한 독자적인 인증기준(version 1.0)을 시행하다가 2003년 4월 1일부터는 BS 7799-2:2002 에 기반을 둔 version 2.0 을 시행해 오고 있다.


○ Management Framework (ISMS)
남아프리카 공화국의 정보보호기구(ISIZA : Information Security Institute of South Africa)에서는 2000년 9월에 BS7799를 기반으로한 정보보호 성숙도 평가 프레임워크를 제시하고 이를 기반으로 인증활동을 시행하고 있다. 남아프리카 공화국의 인증제도는 단계적 접근법을 택한 것이 특징이다. ISIZA는 기존의 BS7799가 정보보호관리체계 목적을 달성하는데는 바람직한 도구이지만 단기간에 전체 요구사항을 충족하기는 어렵다는데 착안하여 점진적인 방법론을 제시하였고 국제화를 위해 ISIZA는 개발한 Management Framework를 국제 표준화하기 위해 활동중이다.



국내 정보보호관리체계 인증제도


인터넷의 급속한 발달로 인하여 해킹 등의 정보보호의 역기능으로 인한 기업의 정보유출 및 금전적인 손실이 점차로 증대되고 있다. 이러한 정보보호의 역기능으로부터 주요 정보를 보호하고 정보보호에 대한 체계적인 관리의 필요성이 대두되면서 국제적으로 정보보호관리에 대한 관심이 고조되고 있으며, 정보보호관리를 위한 체계적인 노력이 확산되고 있다. 이에 우리나라도 정보보호관리체계 인증제도에 대한 연구를 2000년부터 진행하여 정보통신망이용촉진및정보보호등에관한법률(제47조)를 법적 근거로 하여 2002년 5월부터 정보보호관리체계 인증제도를 시행하여 조직의 정보보호에 대한 역량강화와 정보보호수준 제고에 노력하고 있다.


정보보호관리체계 인증제도는 정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 수립.문서화하고 지속적으로 관리.운영하는 시스템, 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책 구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계에 대하여 제3자의 인증기관(한국정보보호진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도이다.


정보보호관리체계 인증제도가 근본적으로 조직이나 기업의 정보보호체계 수립을 통하여 어떤 기대효과가 있는가? 라는 의문을 많이 가질 것이다. 기대효과는 다음과 같다.


• 현재의 정보 시스템 운영상에 처해있는 위협으로부터 발생할 수 있는 손실 가능성을 정량적.정성적으로 예측 대처하고 위험의 수준을 관리자나 사용자가 이해하고 위험 가능성을 줄일 수 있도록 한다.
• 조직의 자산에 대한 안전성, 효과성, 효율성, 신뢰성을 향상시킬 수 있다.
• 위험분석 및 평가를 통한 위험수준의 가시적 표현으로 관리자와 사용자의 보안의식 고취할 수 있다.
• 위험 발생 가능성이 높은 부분에 대해 우선 순위와 비용/효과적인 측면을 고려하여 보안대책을 선정할 수 있도록 의사결정을 지원한다.
• 정보보호관리기준에 적절하게 합치되는지 검증함으로써, 해당 조직의 보안수준을 높이고 고객 또는 고객사들로부터 신뢰감을 확보 할 수 있다.
• 정보보호관리를 제대로 하고 있다는 것을 국가 인증기관으로부터 인정받게 되는 것이므로 대외적인 신뢰도와 경쟁력을 제고 할 수 있다.
• 관련 법규나 절차, 지침 등을 준수하고 있다는 것을 이용자 또는 거래 당사자에게 기업의 이미지 제고를 할 수 있다.
• 기업 경영의 목표를 실질적으로 지원할 수 있다.


정보보호관리체계 인증심사 내용
신청기관이 5단계의 정보보호관리과정(정보보호정책 수립, 관리체계의 범위설정, 위험관리, 구현, 사후관리) 및 문서화 요구사항에 맞게 해당기관이 처해 있는 정보보호환경에 적합한 정보보호관리체계가 구축되어 있고, 정보보호관리체계가 충실히 구현되어 있는지, 구축된 계획이 실제 실효성 있게 사후관리가 이루어지고 있는지를 심사한다.
신청기관이 정보보호관리체계를 수립.운영하기 위하여 선택한 통제사항은 조직적 및 관리적 통제사항(정보보호정책, 정보보호조직, 외부자 보안, 정보자산 분류, 정보보호 교육 및 훈련, 업무연속성 관리)와 운영적 기술적 통제사항(인적보안, 물리적보안, 시스템 개발보안, 암호통제, 접근통제, 전자거래보안, 보안사고 관리, 검토․모니터링 및 감사)으로 나누어진다.

지금까지 국외 정보보호관리 표준화 동향 및 국내 정보보호관리체계 인증제도가 제정된 배경과 제도의 기대효과, 인증심사 내용에 대해서 간단하게 기술하였다. 향후에 TTA표준화 추진 예정인 정보보호관리체계 인증심사 기준 및 절차에 대하여 상세하게 설명하겠다.


출처 : 한국정보통신기술협회


]]>
2015-11-04 00:00:00
<![CDATA[정보보호관리시스템 국제표준체계(ISO 27000 시리즈) 모습 나타나]]> 정보보호관리시스템(Information Security Management System: ISMS)이란 조직의 전반적인 관리시스템의 일부로서 비즈니스 위험에 기반하여 정보보호를 계획, 구현, 운영, 검토 및 개선시키기 위해 조직체계 및 정책, 정보보호 프로세스 및 절차, 정보보호통제 등으로 구성된 관리체계이다. 최근 전세계적으로 ISMS에 대한 인증 노력이 빠르게 확산되고 있으며 국내에서도 BS7799에 근거한 ISMS 인증 획득이 30건을 넘어섰을 정도이다. 이러한 현실에서 2005년은 ISMS국제표준화에 관해서 전기를 마련한 해라고 할 수 있다. ISMS 수립을 위한 두 가지 중요한 문서가 국제표준화에 성공하였기 때문이다. 첫 번째 문서는 ISMS수립을 위한 요구사항을 포함한 문서이며 2005년 11월 말에IS 27001 (ISMS Requirements)으로 출판될 예정이다. 두 번째 문서는 ISMS 구현을 위한 기초적인 통제수단을 수록한 IS 17799: 2000 문서이며, 2002년부터 해당 문서에 대한 개정 작업이 오랜 산고 끝에 드디어 완료되어 2005년 11월 말에 IS 17799:2005으로 발표될 예정이다.
 
두 표준의 기본 문서는 지금까지 ISMS의 사실표준(de facto standard) 역할을 해온 영국표준 BS 7799이다. BS 7799는 영국 BSI(British Standard Institute)에서 정보보호 관리를 위한 표준화된 실무 규약(code of practice for information security management)으로서 1995년 처음 개발되었다. 1998년에는 이 기준에 따른 인증 요건(requirements specification)을 개발하여 본래의 표준인 실무 규약은 Part 1으로, 인증 요건은 Part 2로 만들어졌다. Part 1은 정보보호관리를 위한 통제수단들을 수록한 문서이며 Part 2는 ISMS수립을 위한 요구사항을 명시하고 있으며, 위험관리 기반의 지속적 개선을 위한 정보보호 프로세스(Plan Do Check Act Cycle)를 기술하고 있다.
 
2000년에는 Part 1이 ISO/IEC JTC 1/SC27 WG1을 통하여 IS 17799로 제정되었으며, 그 이후 17799의 개정 작업에 들어가 2000여건이 넘는 코멘트의 검토를 거쳐 최종 개정안이 마련되었으며 2005년 11월에 새로운 국제표준으로 등록되었다. IS 17799: 2000에서는 10개의 관리 통제 영역과 126개의 통제 항목을 제공하는데 반해 2005년 개정된 IS 17799는 11개의 관리 통제 영역과 132개의 통제 항목을 제공하고 있다. <그림 1>은 변화된 통제 영역과 통제 항목을 요약하였다.
 
 
<그림 1> ISO 17799의 통제 영역과 항목 변경 요약
   
한편, BS 7799 Part 2는 1999년 처음 제정되어 ISMS인증을 위한 규격으로 사용되었고 ISO 9001 및 ISO 14001 등의 다른 관리시스템 규격과의 조화를 위하여 2002년 9월 개정되었다. ISO는 ISMS에 대한 국제표준화 요구에 대응하여 BS 7799 Part 2: 2002년 버전을 fast track 방식을 채택하여 빠른 기간 내에 약간의 수정을 거쳐 국제표준(ISO 27001)으로서 등록하였다.  주요 변화로는 ISMS에 대한 효과성에 대한 내용이 추가되었으며 부록의 내용이 상당부분 변경되었다.
 
ISMS관련 중요한 두 문서가 국제표준화 과정이 완료됨에 따라, ISMS 국제표준 패밀리가 모습을 보이고 있다. 우선 다른 관리시스템(품질경영: 9000 시리즈, 환경관리: 14000 시리즈)과 마찬가지로 27000 번호체계를 가지기로 하였다. 따라서 ISMS 수립을 위한 요구사항을 구체화한 IS 27001(BS 7799 part 2: 2002 수정판), ISMS 구현을 위한 기본통제를 포함한 IS 17799:2005가 2007년도경에 IS 27002로 번호를 달리할 것이다. 현재 JTC1 SC27에서 작업 중인 위험관리지침, 정보보호관리 척도 및 측정, ISMS 구현지침 등이 차례로 27000대 번호를 가지고 개발될 것이다. 또한 재해복구 서비스에 관한 지침도 추가될 예정이다. <그림 2>는 향후 개발될 ISMS 관련 표준들을 보여주고 있다.
 
이렇듯 두 문서가 국제표준화 됨에 따라 다른 관련 표준화 작업도 빠른 속도로 완성될 예정이며, ISMS 인증 활동 역시 탄력을 받을 것으로 예상된다. 또한 일반적인 조직의 공통적인 ISMS를 기반으로 특정 산업에 적합한 ISMS 표준이나 지침 개발이 예상된다. 대표적인 예로서 통신산업의 특성을 반영한 ISMS 지침 개발 노력 움직임이 그것이다.


정보보호관리시스템.jpg
<그림 2> 정보보호관리시스템 국제표준 패밀리
 
ITU-T SG17에서는 통신보안 표준 개발을 하고 있으며 이중 Q7은 보안관리(security management)에 관한 표준화를 진행하고 있다. Q7의 주요 활동은 통신산업의 ISMS에 관한 표준화로서 X.1051(ISMS-T)이라는 문서를 작업 중에 있다. 지난 2005년 10월 제네바에서 열린 회의에서는 과거의 ISMS 요구사항을 명시한 X.1051(BS 7799-2 기반) 내용을 IS 17799:2005를 기반으로 통신산업의 특성을 반영한 통제를 포함하는 지침으로 변경할 것으로 결정하였으며 향후 2년 내에 완료될 것으로 예상된다. 이 회의의 주요 참여자로는 일본과 한국이기 때문에 국내 주요 통신 사업자들의 ISMS 경험을 반영함으로써, 실효성 있는 ISMS-T 국제표준화 노력에 국내에서의 적극적 참여가 요구되고 있다.   


출처 : 한국정보통신기술협회






]]>
2015-11-04 00:00:00
<![CDATA[ETRI, 정보보호기술 국제표준 리드]]> ETRI, 정보보호기술 국제표준 리드
- 홈네트워크 인가체계 기술, ITU-T 과제채택
- 스팸차단 등 국제표준 초안채택, 에디터 3명 배출
- 20일, 제네바서 국제 관련시장 선도 및 선점 길 터




한국이 제안한 기술들이 정보통신분야 국제표준기구인 ITU-T에서 훨훨 날고 있다.


먼저 ‘홈네트워크 보안 관련 표준안’이 과제에 채택되었고 ‘IP기반 멀티미디어 응용서비스에서 스팸을 차단하기 위한 국제표준’ 기고 6건이 표준안으로 승인 되었다.


또한 이로인해 국제표준을 주도하게 될 표준전문가인 에디터(Editor) 세 명이 새롭게 선출되어 정보보호 및 보안기술분야에서 한국의 활약이 두드러진 한 주 였다.


ETRI(한국전자통신연구원, 원장 최문기)는 지난 20일, 스위스 제네바에서 개최된 ITU-T 회의에서 정보보호연구단의 김건우, 한종욱, 정교일 그룹장 등이 제안한 ‘홈네트워크 인가 프레임워크에 관한 표준(안)’이 ITU-T 추진 과제로 채택되었고 IT기술이전본부의 박소영, 김성혜, 강신각 팀장이 제안한 ‘이메일 스팸차단 가이드라인 표준’ 등이 각각 국제표준 수정초안으로 채택 되었다고 24일 밝혔다.


국제표준 과제 채택이란 표준기구에 신규 표준개발 항목을 제안해 승인되는 것을 말하며, 국제표준 수정초안 채택이란 진행되고 있는 표준개발 과제에 추가적인 내용을 제안하여 수정초안으로 채택되는 것을 말한다. 국제표준 절차상 신규 제안된 표준과제는 수정초안 단계를 거쳐 최종적으로 국제표준으로 채택되게 된다.


먼저 ETRI 정보보호연구단의 정교일 그룹장 등이 제안한 홈 네트워크 보안은 통신 서비스의 정보보호를 주로 담당하고 있는 Question 9의 ‘홈네트워크 인가 체계’로 향후 기술 상용화시 우려되어질 수 있는 안전성을 보장하기 위한 인증 체계와 더불어 핵심 보안 기술로 대두되고 있는 기술이다. 이번 회의에서 김건우 선임연구원이 에디터에 선발되었다.


ETRI는 이번 과제가 국제표준으로 채택됨에 따라 안전한 홈네트워크 서비스를 위한 재도약을 이뤘다고 밝히면서 채택된 ‘홈네트워크 인가 체계’ 과제는 홈네트워크의 안전성을 보장하기 위해서 인증 체계와 더불어 핵심 보안 기술로 대두되고 있는 기술이라고 설명했다.


또한 ETRI IT기술이전본부 표준연구센터 강신각 팀장 등이 성과를 올린 부문은 ▲이메일 스팸차단 가이드라인 표준 ▲IP 멀티미디어 응용 스팸차단개요 표준 ▲IP 멀티미디어 응용 스팸차단을 위한 기술 프레임워크 표준 기술로 ETRI가 제안한 6건의 기고서가 반영되어 표준초안이 총회에서 개정표준안으로 승인, 박소영, 김성혜 선임연구원이 에디터가 되는 쾌거를 올렸다.


ETRI는 이번 성과로 심각한 사회적 위협요소로 부각되고 있는 스팸 차단을 위한 국제표준 개발 작업에서 한국의 입지를 더욱 확고히 하였으며, 향후 국내 산업체의 스팸차단 제품의 세계시장 진출을 위한 계기를 마련할 것으로 기대된다고 밝혔다.


ETRI 최문기 원장은 “이번 성과로 우리나라의 정보보호기술의 국제표준 추진에 박차를 가함으로써, 국제 보안시장을 장악할 수 있는 길이 열렸다”며, “ETRI는 활발한 국제 표준화 활동을 통해서 국제 정보통신 표준화 단체에서의 ETRI의 입지를 더욱 확고히 굳힐 수 있을 뿐 아니라, 더 나아가 국제 사회에서 우리나라의 위상을 높일 수 있는 계기를 마련했다.”고 말했다.


:::::::::추가 설명자료:::::::::


● 안전한 홈네트워크 서비스를 위한 재도약

‘홈네트워크 인가 체계’는 홈네트워크를 내․외부의 위협 및 인가되지 않은 접근으로부터 보호하기 위한 체계로서, 홈네트워크 인가에 관한 보안 요구사항과 제약, 및 다양한 보안 인가 모델을 정의하고 기술한다. 이 표준안은 홈네트워크 인가 기술에 관한 다년간의 개발 경험을 바탕으로 2006년 12월에 새로운 아이템으로 제안되어, 2007년 4월에 국제 표준 과제로 채택되었다.


● 한국 주도하의 홈네트워크에 관한 보안 기술에 관한 국제 표준 재확인

현재 ITU-T에서는 한국에서 제안한 홈네트워크 보안 기술 체계에 관한 표준안이 올해 2월에 이미 국제 표준화로 최종 채택되었으며, 홈네트워크 인증 기술에 관한 국제 표준안 2건은 최종 표준(안)으로 채택할 예정이다. 특히 ETRI 정보보호연구팀 홈네트워크보안연구팀에 의해서 개발이 완료된 홈네트워크 인가 체계가 국제 표준 과제로 채택되어 추진됨에 따라 명실상부이 한국이 홈네트워크 보안 기술에 관한 모든 국제 표준화를 주도하는 성과를 이루어냈다.


● 스팸 차단을 위한 국제표준 개발 작업

스팸 차단을 위한 국제표준 개발 노력은 지난 2004년 개최된 세계표준총회(WTSA'04)에서 스팸 이슈에 대한 심각성을 인지하고 ITU-T로 하여금 스팸차단을 위한 기술표준 개발 작업을 추진할 것을 지시한 결의안에 따른 것으로 현재 ITU-T SG17 산하 스팸전문가 그룹(Q.17/17)에서 관련 국제표준 개발 작업이 추진되고 있으며, 한국과 중국이 관련 국제표준 개발 작업을 주도하고 있다.


● X.gcs: E-mail 스팸 차단 가이드라인 표준

현재 심각한 사회적 문제가 되고 있는 e-mail 스팸 차단을 위한 기술표준 집합중 하나로 e-mail 스팸에 대한 기본 개념, 스팸차단기술, 관련 규격 및 스팸차단 활동 현황 등에 대해 기술하는 상위 레벨의 표준임


● X.ocsip: IP 멀티미디어 응용 스팸차단기술 개요 표준

인터넷전화, 프레즌스, 멀티미디어 메세징 등 다양한 IP 기반 멀티미디어 응용 서비스에 대해 발생할 스팸의 개념, 특징, 문제점 및 스팸 유형, 그리고 스팸 차단을 위한 기술적 접근방식 등에 대해 기술하는 표준으로 IP 응용서비스 스팸 차단을 위한 세부 기술표준 개발을 위한 기본 표준으로 적용될 표준임


● X.fcsip: IP 멀티미디어 응용 스팸차단을 위한 기술 프레임워크 표준

IP 멀티미디어 응용 서비스에 대해 발생할 스팸차단을 위한 세부 메카니즘 개발을 위한 기술적 프레임워크를 제시하는 표준으로, IP 응용 서비스 유형별로 요구되는 스팸차단 메카니즘에 대한 일반 구조와 절차, 그리고 세부 메카니즘 개발 요구사항 등을 기술하는 표준임


출처 : 한국전자통신연구원

]]>
2015-11-04 00:00:00
<![CDATA[ETRI, 정보보호 국제 표준화 선도]]> ETRI, 정보보호 국제 표준화 선도
- ITU-T SG13 및 SG17 회의에서 국제표준 4건 채택
- ITU-T SG17에서 신규 표준화 아이템 4건 선정
- IT 보안분야의 국제표준화 선도역할에 기여



ETRI(한국전자통신연구원, 원장 최문기)는 지난 9월 중순 스위스 제네바에서 개최된 ITU-T 회의에서 4건의 정보보호 국제 표준(SG13 1건, SG17 3건)이 채택 되었으며, 4건의 신규 표준화 아이템 선정 및 이에 대한 에디터를 확보하는 등 우리나라의 정보보호 기술을 세계로 전파하는 메신저 역할을 하게 되었다고 9일 밝혔다.


ETRI에서 개발하여 이번 정보보호 분야 국제 표준으로 채택된 4건은 ITU-T SG13에서 ▲NGN 환경에서 AAA (Authentication, Authorization and Accounting) 서비스 (Y.NGN AAA)이며, ITU-T SG17에서 ▲자기통제 강화형 디지털 아이덴티티 공유 프레임워크 (X.idif) ▲홈네트워크 인가 프레임워크 (X.homesec-4) ▲태그 기반 응용서비스에서 개인 프라이버시 보호를 위한 위협 분석과 요구사항(X.nidsec-1) 등이다.


또한, ITU-T SG17에서 신규 표준화 아이템으로 선정된 분야는 ▲차세대 웹기반 통신 서비스를 위한 보안 프레임워크(X.websec-4) ▲모바일 멀티홈드 무선통신을 위한 보안 요구사항 및 재구성(X.msec-5) ▲ID 관리 시스템 보안 가이드라인(X.idmsg) ▲USN 미들웨어 보안 가이드라인(X.usnsec-2) 등이다.


이외에 ‘전자상거래 서비스를 위한 익명 인증 프레임워크’가 제안되었으며, 차기 회의에 추가로 표준 아이템으로 선정될 것으로 기대되고 있다.

 

조현숙 ETRI 정보보호연구본부장은 “ETRI 정보보호연구본부는 그동안 많은 정보보호 연구개발 과제 수행을 통해 축적된 정보보호 핵심기술을 바탕으로 정보보호 분야의 국제 표준 개발을 꾸준히 진행해 왔으며, 이번 ITU-T 회의에서의 표준 채택 및 신규 표준화 아이템 선정을 통해 정보보호 기술 국제표준화에 한 걸음 더욱 나아가게 되어 ETRI가 명실상부한 IT 보안 분야의 국제표준화를 선도하게 되었다”고 설명했다.


출처 : 한국전자통신연구원

]]>
2015-11-04 00:00:00