13-3. 보안 인증과 보안 프레임워크

목표

1. 보안 인증에 대해서 이해함

2. 인증별 보안 등급을 이해함

3. 보안 프레임워크에 담긴 보안의 각 요소를 살펴봄

 

보안 인증

: 소프트웨어나 시스템에 대한 품 마크

 

TCSEC

: 운영체제나 보안 솔루션이 보안 측면에서 받을 수 있는 가장 기본적인 인증

 

- 흔히 Orange Book이라고 부르며, Rainbow Series라는 미 국방부 문서 중 하나

- 1960년대부터 시작된 컴퓨터 보안 연구를 통하여 1972년 지침이 발표됨.

- 1983년 미국 정보 보안 조례로 세계에 최초로 공표. 1995년 공식화.

 

등급

 

D (Minimal Protection)

: 보안 설정이 이루어지지 않은 단계

 

C1 (Discretionary Security Protection)

: 일반적인 로그인 과정이 존재하는 시스템

 

- 사용자간 침범이 차단되어 있고 모든 사용자가 자신이 생성한 파일에 대해 권한을 설정할 수 있으며, 특정한 파일에 대해서만 접근이 가능

- 초기의 유닉스 시스템이 해당

 

C2 (Controlled Access Protection)

: 각 계정별 로그인이 가능하며, 그룹 ID에 따라 통제가 가능한 시스템

 

- 보안 감사가 가능하며, 특정 사용자의 접근을 거부할 수 있음

- 윈도우 NT 4.0과 현재 사용되는 대부분의 유닉스 시스템이 이 등급에 해당

 

B1 (Labeled Security)

- 시스템 내의 보안 정책을 적용할 수 있으며, 각 데이터에 대해 보안 레벨을 설정할 수 있음

- 시스템 파일이나 시스템에 대한 권한을 설정

 

B2 (Structured Protection)

- 시스템에 정형화된 보안 정책이 존재하며, B1 등급의 기능을 모두 포함함.

- 일부 유닉스 시스템이 B2 인증에 성공

 

B3 (Security Domains)

- 운영체제에서 보안에 불필요한 부분들을 모두 제거함.

- 모듈에 따른 분석 및 테스트가 가능함.

- 시스템 파일 및 디렉토리에 대한 접근 방식을 지정하고, 위험 동작을 하는 사용자의 활동에 대해서는 백업까지 자동으로 이루어짐.

 

A1 (Verified Design)

: 수학적으로 완벽한 시스템

 

TNI (Trusted Network Interpretation)

: LAN과 인트라넷(Intranet)의 보안을 다룸.

 

- 통신의  무결성: 상호 인증, 전달되는 메시지의 무결성, 부인 방지를 보장하는지 확인

- 서비스 거부(DoS) 공격 방어 : DoS 공격시에도 네트워크가 계속 운영되고 변경/관리할 수 있는지 확인

- 데이터 보호의 확실성 : 전달되는 데이터가 노출되지 않고 전달되는지, 패킷 전달 경로는 임의로 변경될 수 없는지 확인

 

보안 레벨

None : 보안 사항 없음

C1 : 최소 (Minimum)

C2 : 양호 (Fair)

B2 : 좋음 (Good)

 

ITSEC (Information Technology Security Evaluation Criteria) : 정보기술 보안평가 기준

: 1991년 유럽 국가들이 발표한 공동 보안 지침서로, TCSEC가 기밀성만을 강조한 것과 다르게 무결성과 가용성을 포괄하는 표준안을 제시

 

- TCSEC와의 호환을 위한 F-C1, F-C2, F-B1, F-B2, F-B3 등의 등급

- 독일의 ZSIEC의 보안 기능을 이용한 F-IN(무결성), F-AV(가용성), F-DI(전송 데이터 무결성), F-DC(데이터 기밀성), F-DX(전송 데이터 기밀성) 등 총 10 가지로 보안 수준을 평가함 

 

CC (Common Criteria)

: 최근(2013년 기준)에 이르러 TCSEC와 ITSEC가 통합되는 중

 

- 1996년에 초안이 나와 1999년에 국제 표준으로 승인

- 인증을 위해서 다음과 같은 평가 단계를 거침

 

* PP (Protection Profile)

: 사용자 또는 개발자의 요구 사항을 정의함

 

* ST (Security Target)

: 개발자가 작성하며, 제품 평가를 위한 상세 기능을 정의함. PP가 기술적 구현 가능성을 고려하지 않는 것에 반하여 ST는 기술적인 구현 가능성을 고려함

 

* TOE (Target Of Evalutation)

: 획득하고자 하는 보안 수준을 의미함

 

각 인증별 보안 등급

CC (Common Criteria)		미국 TCSEC		유럽 ITSEC		한국
EAL0	부적절한 보증	D	최소한의 보호	E0	부적절한 보증	K0
EAL1	기능 시험					K1
EAL2	구조 시험	C1	임의적 보호	E1	비정형적 기본 설계	K2
EAL3	방법론적 시험과 점검	C2	통제적 접근 보호	E2	비정형적 기본 설계	K3
EAL4	방법론적 설계, 시험, 검토	B1	규정된 보호	E3	소스 코드와 하드웨어, 도면 제공	K4
EAL5	준정형적 설계 및 시험	B2	구조적 보호	E4	준정형적 기능 명세서, 기본 설계, 상세 설계	K5
EAL6	준정형적 검증된 설계 및 시험	B3	보안 영역	E5	보안 요소 상호 관계	K6
EAL7	정형적 검증	A	검증된 설계	E6	정형적 기능 명세서, 상세 설계	K7

 

보안 프레임워크

ISO 27001

: 영국의 BSI에서 제정한 BS 7799를 기반으로 구성되어 있는 일종의 보안 인증이자 보안 프레임워크로, 2005년 국제 표준이 됨

 

ISMS (Information Security Management System , 정보보호 경영 시스템)

: BSI는 기업이 민감한 정보를 안전하게 보존하도록 관리할 수 있는 체계적 경영 시스템이라고 정의함

 

- ISO 27001에서는 PDCA 모델을 통해서 ISMS를 발전시켜 나갈 수 있음

 

PDCA (Plan - Do - Check - Act) 모델

 

1. 계획  (Plan) : ISMS 수립(Establishing ISMS)

                          조직이 가지고 있는 위험을 관리하고 정보보호라는 목적을 달성하기 위한 전반적인 정책을 수립함

 

2. 수행 (Do) : ISMS 구현과 운영 (Implement and Opoerate the ISMS)

                      수립된 정책을 현재 업무에 적용함

 

3. 점검 (Check) : ISMS 모니터링과 검토 (Monitor and Review the ISMS)

                           적용된 정책이 실제로 얼마나 잘 적용되고 운영되는지 확인함

 

4. 조치 (Act) : ISMS 관리와 개선 (Maintain and Improve the ISMS)

                      잘못 운영되고 있는 경우에 그 원인을 분석하고 개선함.

 

ISO 27001의 11가지 분야 (통제 항목)

각각의 통제 항목을 기반으로 그 세부 포인트를 체크함

 

A.5 보안 정책

: 보안 정책, 지침, 절차 등을 문서화하는 것에 대한 내용

 

  * A.5.1 정보 보안 정책

 

A.6 정보보호 조직

: 정보보호 체계를 유지하기 위한 조직, 보안 절차를 수행하는 조직, 외부 조직과의 연계 등에 관련된 내용

 

  * A.6.1 내부 조직

  * A.6.2 외부 조직

 

A.7 자산 분류 및 통제

: 조직의 자산(회사의 기밀, 기술과 같은 정보 자산에 포함)에 대한 적절한 보안 정책을 유지하기 위한 내용

 

  * A.7.1 자산에 대한 책임

  * A.7.2 정보의 분류

 

A.8 인력 자원 보안

: 사람에 대한 보안의 중요성을 강조하며 고용 전, 고용 중, 고용 만료로 분류

 

  * A.8.1 고용 전

  * A.8.2 고용 중

  *  A.8.3 고용의 만료 또는 변경

 

A.9 물리적 및 환경적 보안

: 비인가된 물리적 접근을 차단하여 조직의 자산이 손실/파손되는 것을 막고, 조직의 지속적인 활동을 보장하기 위한 내용

 

  * A.9.1 보안 영역

  * A.9.2 장치 보안

 

A.10 통신 및 운영 관리

: 정보처리 설비의 정확하고 안전한 운영을 보장하기 위한 내용

 

  * A.10.1 운영 절차 및 책임

  * A.10.2 외주 용역 관리

  * A.10.3 시스템 계획 및 적용

  * A.10.4 모바일 코드 및 악성 코드에 대한 보호

  * A.10.5 백업

  * A.10.6 네트워크 보안 관리

  * A.10.7 매체 관리

  * A.10.8 정보의 교환

  * A.10.9 전자상거래 서비스

  * A.10.10 모니터링

 

A.11 접근 제어

 

  * A.11.1 사업 목적상 접근 제어

  * A.11.2 사용자 접근 관리

  * A.11.3 사용자의 책임

  * A.11.4 네트워크 접근 제어

  * A.11.5 운영체제 접근 제어

  * A.11.6 응용 프로그램 접근 제어

  * A.11.7 모바일 컴퓨팅

 

A.12 정보 시스템의 구축과 개발 및 운영

 

  * A.12.1 정보 시스템과 관련된 요구사항

  * A.12.2 응용 프로그램의 올바른 정보 처리

  * A.12.3 암호화 통제

  * A.12.4 시스템 파일의 보안

  * A.12.5 개발 및 변경과 관련도니 보안

  * A.12.6 기술적 취약점 관리

 

A.13 정보보호 사고의 관리

: 정보 시스템과 관련된 정보보호 사건이나 약점 등에 대해 적절히 의사소통하고 대응책을 신속하게 수립하기 위한 내용

 

  * A.13.1 정보보호 관련 사건 및 취약점 보고

  * A.13.2 정보 시스템에 대한 침입 관리 및 개선

 

A.14 사업의 연속성

: 정보 시스템의 붕괴나 자연 재해로부터 시스템을 적절히 복구하여 사업의 연속성을 보장하기 위한 내용

 

  * A.14.1 사업 연속성 측면에서의 보안

 

A.15 준거성

: 법을 위반하지 않기 위한 정보보호의 법적 요소

 

  * A.15.1 법적인 요건에 대한 정합성

  * A.15.2 보안 정책, 표준, 기술적 정합성

  * A.15.3 정보 시스템 감사에 대한 고려