Ⅰ. 서론
융합보안은 ICT와 일반 산업 간의 융ㆍ복합 확산에 따라 발생 가능한 보안위협과 취약성에 대응하여 안전성 및 신뢰성을 확보하기 위한 기술ㆍ제품ㆍ서비스로 정의되고 있다. 기존 ICT 환경에서의 정보보안 제품ㆍ서비스는 시스템 또는 네트워크 등을 대상으로 소프트웨어 형태로 개발된 것이 대부분이나 다양한 산업과 디바이스를 대상으로 하는 융합보안 제품ㆍ서비스는 ICT 융ㆍ복합 제품과 서비스의 기밀성, 무결성, 가용성을 높이기 위해 소프트웨어 뿐 아니라 하드웨어 기반 기술적, 물리적, 관리적 보안기술 접목도 필수이다.
최근 ICMBA(IoT, Cloud, Mobile, Bigdata, AI)에 기반 한 4차 산업은 에너지, 제조, 의료, 가전 등을 넘어 모든 전 방위 산업으로 확대되고 혁신 원천이 되고 있음을 여러 기술적용 사례를 통해 쉽게 알 수 있다[1]. 따라서 융합보안에 대한 성장은 아직은 가시화되지 않고 있으나 융합산업의 콘텐츠, 플랫폼, 네트워크, 디바이스 모든 단계에서 위험손실을 최소화하기 위해, 보안 위협을 제한하고 최적의 취약점 대응을 통한 안전성 확보가 필요하기에 향후 잠재 성장력은 매우 크다는 것을 의미한다.
융합보안 제품 및 서비스를 활용한 새로운 비즈니스의 창출 등을 촉진하기 위해서는 기존의 정보보호와는 다른 산업과 융ㆍ복합화 된 콘텐츠, 플랫폼, 네트워크, 디바이스 등의 구성 요소의 특징을 바탕으로 보안을 담보하기 위한 기술 개발이 필요하고 더욱 중요한 것은, 융ㆍ복합된 기술에 대한 시험, 분석, 평가, 심사 및 인증을 통하여 수요기업이나 사용자들에게 해당 제품이나 서비스의 보안 수준에 대한 신뢰할 수 있는 정보를 제공하는 것이 반드시 필요하다. 즉 융ㆍ복합 산업에서의 보안위협은 단순한 데이터의 유출이나 변조, 파괴에서 멈추는 것이 아니라 국민의 생명과 안전에 직접적이고 심각한 영향을 미칠 수 있는 엄청난 위험으로 다가오고 있기에 ICMBA 기반 4차 산업 환경에서는 보안 위협과 취약점을 최대한 제거하여 안전한 서비스 이용환경을 구축하는 것이 가장 중요하다[2, 3].
지금까지는 ICT 기반 정보보호 제품에 대해서는 정보보호시스템 공통평가기준(Common Criteria) 등에 기반 한 정보보호제품 평가 그리고 정보보호 서비스에 대해서는 정보보호관리체계(Information Security Management System) 등에 기반 한 정보보호 수준 심사가 대표적인 인증 제도로써 활용되고 있으나 각각은 서로 연결 없이 별개의 보안 목적만을 보증하고 있다[4]. 따라서 융ㆍ복합 산업에 적용 시에도 전체적인 융합보안 보증은 가능하지 않으며 특히 정보, 개인정보, 프라이버시, 콘텐츠, 산업기밀 등의 운영 및 관리 주기에 대한 보안은 생각하고 있지 않다. 또한, 의무적인 그리고 제품과 서비스의 의도된 보안 목적 수준을 넘어서는 과도한 문서 및 증적자료 제출도 융합보안 보증을 위한 또 다른 어려움이 되고있다.
본 연구에서는 융ㆍ복합 산업에 대한 융합보안 제품 및 서비스에 대한 새로운 통합적인 대응책을 수립하는데 필요한 기초 자료를 제공하고자, 체계적, 지속적 그리고 균형적인 인증 방법과 적기 시장 수요를 위한 융합보안 공급자 적합성 보증 제도를 제안하고자 한다.
본 논문의 구성은 다음과 같다. 2장에서는 관련된 정보보호 제품 및 서비스 인증 제도와 한계점에 대하여 설명한다. 3장에서 융합보안 제품 및 서비스에 대한 보안요구사항, 보증요구사항 및 보안대책을 제안하며 4장에서는 융합보안 공급자 자기 적합성 제도를 정리하여 제안하고 이에 대한 효과 등을 5장에서 결론으로 정리한다.
Ⅱ. 정보보호 제품 및 서비스 인증
2.1 정보보호 제품 인증
정보보호 제품 평가ㆍ인증 제도는 민간업체에 등에서 개발한 정보보호시스템을 국제표준인 공통평가기준(ISO 15408 참고)을 이용하여 국가 및 공공기과에서 사용하는 보안기능의 안전성과 신뢰성을 국가차원에서 보증하여 사용자들이 안심하고 정보보호제품을 사용할 수 있도록 하는 것이다. 각 나라마다 정보보호 제품에 대한 서로 다른 평가 기준을 가지고 평가를 시행하여 시간과 비용 낭비 등이 초래되는 문제점을 없애고 객관적이고 공정한 정보보호 제품 평가ㆍ인증을 실시하여 제품의 경쟁력 강화에 그 목적이 있다[5].
공통평가기준은 정보화 순기능 역할을 보장하기 위해 정보 보호 기술 기준으로 정보화 제품의 정보보호 기능과 이에 대한 사용 환경 등급을 규정한다. 구성은 제1부는 시스템의 평가 원칙과 평가 모델을, 제2부는 보안 감사, 통신, 암호 지원, 사용자 데이터 보호, 식별 및 인증, 보안관리, 프라이버시, TSF 보호, 자원 활용, TOE 접근, 안전한 경로/채널 등의 11개의 시스템 보안 기능 요구 사항을, 제3부는 7등급 평가를 위한 개발, 설명서, 생명주기 지원, 보안목표명세(보호프로파일), 시험, 취약성 평가 등 6개의 시스템 보증 요구 사항으로 이루어져 있다[6, 7].
정보보호 제품 평가ㆍ인증에 의해서는 국가용 보호프로파일(제품 유형)이 제공되지 않은 다양한 제품의 평가가 이루어지기 어려워 민간 분야에서의 요구사항을 만족할 수 없으며 더욱이 4차 산업에 기반 한 타산업과의 융ㆍ복합된 융합보안 제품에 대한 사례가 아직까지는 있지 않다. 또한 국가 간의 상호인정을 위한 평가보증등급 4 수준 이상의 제품 평가를 위해 제출하는 많은 문서(보안기능 요구사항과 보증 요구사항 명세)의 양은 개발자 또는 신청업체에게 큰 부담이 되고 있으며 융합보안 제품의 타산업에 대한 이해와 너무 많은 조합이 가능한 융ㆍ복합된 기술의 보안기능 및 보증 요구사항 이해는 평가 및 인증기관에게도 큰 어려움이 되고 있다. 따라서 준비되지 않은 융합보안 제품 평가ㆍ인증은 소요되는 시간의 증가로 평가수수료 증가와 시장의 적기 투입 불가라는 문제점을 가지고 있다.
2.2 정보보호 서비스 인증
정보보호 관리체계 심사ㆍ인증 제도는 정보통신서비스제공자 대상의 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 정보보호 관리체계가 인증기준(ISO 27001 등 참고)에 적합한지를 심사하여 인증을 부여하여 기업의 정보보호 수준을 제고하는 것이다. 정보보호 위험관리를 통한 비즈니스 안정성 제고, 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보 및 침해사고, 집단소송 등에 따른 사회 · 경제적 피해 최소화에 그 목적이 있다[8].
정보보호 관리체계 기준은 정보보호 정책 수립 및 범위 설정, 경영진 책임 및 조직 구성, 위험 관리, 정보보호 대책 구현, 사후 관리의 5단계 12개 인증기준을 가진 정보보호 관리과정과 정보보호 정책, 정보보호 조직, 외부자 보안, 정보자산 분류, 정보보호 교육, 인적 보안, 물리적 보안, 시스템 개발 보안, 암호 통제, 접근 통제, 운영 보안, 침해사고 관리, IT 재해 복구 등의 13개 분야 92개 인증기준으로 구성되어 있다.
정보보호 관리체계 심사ㆍ인증에 의해서는 정보통신망(인터넷)을 이용한 정보통신서비스 기업만을 대상으로 하여 인터넷을 이용하지 않은 자체 독립망 또는 물리적 제한이 있는 산업망을 가진 기업에는 대상이 아니며 더욱이 4차 산업에 기반 한 타산업과의 융ㆍ복합된 융합보안 서비스에 대한 사례가 아직까지 는 있지 않다. 또한, 정의된 체크리스트 기반으로 기술적ㆍ물리적ㆍ관리적 항목에 의한 심사로 새롭게 융ㆍ복합된 융합보안에 대한 항목 점검이 불가능하며 산업별 위험 대응방법(예를 들자면 스마트공장은 예지보전)에 대한 보안 수준 파악에는 맞지 않다. 그리고 새롭게 융합보안 동향의 관심사인 산업보안, 콘텐츠/저작권 보호, 공급망 관리 보안 등에 적용하기에는 많은 점검 항목이 제공되지 않고 개발되지 않아 융합보안 서비스 수준 측정에 어려움이 있다.
Ⅲ. 제안하는 융합보안 제품 및 서비스 보증
앞서 설명된 정보보호 제품 및 정보보호 서비스 각각의 인증들은 다양한 융합보안 제품 평가의 제한, 융합보안 제품 평가 어려움, 정보통신서비스 기업에 대한 국한, 융합보안 항목 점검 불가, 제출문서의 부담, 관련 인증 사례의 전무, 융합보안 서비스 수준 측정 어려움 등의 한계를 가지고 있어 새롭게 그리고 다양하게 융ㆍ복합되는 산업에 대한 융합보안 제품에 대한 평가ㆍ심사ㆍ인증을 적용할 수 없다. 따라서 본장에서는 이러한 한계점들을 고려하여 통합적으로 그리고 체계적으로 융합보안 수준 측정하여 보증을 할 수 있는 제품 및 서비스 기반 요구사항을 정리하고 새롭게 생명주기 기반의 융합보안 정보 및 콘텐츠보안 및 보증 요구사항을 정의하고자 한다.
3.1 융합보안 제품 보증
융합보안 제품 인증은 제품 개발 등에 대한 일정수준의 보안을 갖추었는지 시험하여 기준 충족 시 이에 대한 보증을 해주는 것으로 주로 제품 보안 기능성 유지를 위한 보안항목과 보증 수준을 나타내는 보증항목으로 구성되어야 한다. 융합 보안 제품에 대한 보안내재화를 통한 안전성 확보가 목적이며 종류가 제한되지 않은 각 융합보안 제품의 융ㆍ복합된 다양한 기능의 조합을 수용하고자 정해진 기준 보다는 기존에 시험ㆍ인증 기준 또는 사용자 또는 개발자가 새롭게 정의한 시험ㆍ인증 기준을 자유롭게 사용하도록 하면 된다. 이를 통해,
- 기존에 개발된 또는 기술 동향에 따라 새롭게 개발될 모든 융합보안 제품 종류 보증 가능
- 정해진 보안 기능성에 대한 제한보다는 선택되는 또는 새로운 융합보안 시험ㆍ인증 재품 기준 사용
- 융합보안 기능성은 식별하되 보증은 제공할 수 있는 수준으로 정의하여 제출문서 부담 경감
- 민간의 자율적 보안 기능성 강화를 유도하기 위한 자율인증으로 융합보안 산업 진흥
을 이룰 수 있다. 하나의 예제를 들자면, 새로운 종류의 ICMBA 기반 융합보안 제품(가칭) 인증을 위해 신청자는 아래와 같이 기존의 보안항목 평가ㆍ인증 기준 차용 또는 새로운 평가ㆍ인증 기준을 제공할 수 있다. 보안항목은 기능 명세를 해석하고 정의를 공식화하기 위함이다[9, 10].
<표 1> 융합보안 제품 보안 항목
또한 제출물 작성 및 제공 등을 통한 보증항목 평가ㆍ인증 기준 차용 또는 새로운 평가ㆍ인증 기준을 제공할 수 있으며 보증 수준은 사용자 또는 개발자 관점에서 최고 및 최저에 기반 한 등급별로 구분 할 수 있다. 보증항목은 융합보안 제품의 보증방법을 결정하고 보증요구사항을 해석하기 위함이다.
<표 2> 융합보안 제품 보증 항목
3.2 융합보안 서비스 보증
융합보안 서비스 보증은 서비스 제공 등에 대한 일정 수준의 보안을 갖추었는지 시험하여 기준 충족 시 이에 대한 보증을 해주는 것으로 주로 운영 및 관리에 대한 기술적, 물리적, 관리적 보안항목으로 구성되어야 한다. 융합 보안 서비스에 대한 위험관리를 통한 피해 최소화가 목적이며 산업의 구분이 제한되지 않은 각 융합보안 서비스의 융ㆍ복합된 다양한 가치의 조합을 수용하고자 정해진 기준 보다는 기존에 평가ㆍ인증 기준 또는 사용자 또는 개발자가 새롭게 정의한 평가ㆍ인증 기준을 자유롭게 사용하도록 하면 된다. 이를 통해,
- 정보통신서비스제공자 또는 새롭게 보안이 필요한 모든 산업군 기업에 대한 융합보안 서비스 보증 가능
- 정해진 보안 항목에 대한 제한보다는 선택되는 또는 새로운 융합보안 평가ㆍ인증 서비스 기준사용
- 민간의 자율적 보안 수준 제고를 유도하기 위한 자율인증으로 융합보안 산업 진흥
- 융합보안 대책은 위험 수용 가능한 수준으로 식별하되 보증은 제공할 수 있는 수준으로 재정의 및 신규 정의 하여 제출문서 부담 경감
- 민간의 자율적 보안 수준 제고를 유도하기 위한 자율인증으로 융합보안 산업 진흥
을 이룰 수 있다. 하나의 예제를 들자면, 새로운 구분의 4차산업 기반 융합보안 서비스(가칭) 인증을 위해신청자는 아래와 같이 기존의 심사ㆍ인증 기준 차용 또는 확대된 심사ㆍ인증 기준을 제공할 수 있으며 보증 수준은 융합보안 대책에 대한 수용 가능한 위험도 수준에 기반 하여 적정 수준을 정할 수 있다[11].
3.3 융합보안 정보 및 콘텐츠 보증
융합보안 제품 및 서비스는 운영ㆍ관리 상 여러 가지 그리고 많은 처리과정을 거치며 각각의 과정은 정보의 흐름으로 연결되어 있다. 즉 입력, 처리, 출력 등에 대한 정보는 정보, 지식, 기밀, 콘텐츠 등 여러 가지 유형을 거칠 수는 있으나 기본적으로 정보라는 큰 정의로 말할 수 있다. 정보는 생성에서부터 소멸까지 일련의 주기를 거치며 각 과정마다 이용, 제공, 처리, 변형, 저장이라는 또 다른 중간 단계들이 있다. 이러한 정보와 중간 단계들에 대한 흐름은 융합산업뿐 아니라 모든 산업에 대해 사업 경영을 위한 모든 것이 될 수 있으며 보안을 위한 가장 우선적인 보호 대상이 될 수 밖에 없다. 따라서 융합보안 산업에 대한 정보(지식, 기밀, 콘텐츠 등)의 생명주기 전반에 대한 지속적이고 체계적인 보안 목적과 보호를 위한 보안과정이 반드시 필요하다.
기술적ㆍ경제적 가치가 높거나 관련 산업의 성장 잠재력이 높아 해외로 유출될 경우에 국가의 안전보장 및 국민경제의 발전에 중대한 악영향을 줄 우려가 있어 지정된 산업기술 유출 사고예방, 사업보안 관리능력 강화, 기술 지킴이 서비스 제공 등은 산업기술보호를 위한 대표적인 기업의 핵심 및 첨단 기술 보호 방안이다. 또한 인터넷이 대중화됨에 따라서 이용자들이 직접 콘텐츠의 생산과 유통에 참여하게 되고 잘못된 공유개념으로 디지털 콘텐츠의 무한복제 가능성은 희소성에 바탕을 둔 배타적 소유라는 틀을 지키고자 하는 정보의 지적재산권이라는 보호 방식이다.
이러한 산업기밀, 지적재산권 등의 보호 방식은 일시적으로 보호될 수 없기에 지속적으로 보안이 필요하고 융합산업과의 연결고리이기에 통합적인 보안이 필요하며 또한 융합산업별로 구분되는 체계적인 보안이 필요하다. 따라서 아래의 그림과 같은 융합보안정보 및 콘텐츠 생명주기 보안관리 절차를 제안한다. 융합보안 제품 및 서비스에 대한 기획, 설계, 개발, 시험, 분석, 구현, 배포, 설치, 운영, 관리, 개선, 유지보수 등에 대한 융합보안 정보 및 콘텐츠의 생성, 이용, 제공, 처리, 변형, 저장, 소멸 등의 7개의 정보 흐름 보안으로 융합보안 정보 및 콘텐츠 생명주기 보안관리를 정의하며 아래의 <그림 1>로 나타낼 수 있다.
<그림 1> 융합보안 정보 및 콘텐츠 생명주기 보안관리
<표 3> 융합보안 제품 보증 항목
Ⅳ 융합보안 공급자 자기 적합성 제도
ICMBA 기반 융합보안 제품 및 서비스 제공 기업들은 앞으로 융합보안 시장 생성 및 진입을 위해 다양한 기기와 서비스를 출시 중일 것으로 예상되나 사용자가 감당해야 할 잠재적 보안 취약점과 위협에 대한 준비는 상대적으로 부족한 것이 현실이다. 이에 사업자들이 제품 또는 서비스 기획, 설계, 개발, 시험, 분석, 구현, 배포, 설치, 운영, 관리, 개선, 유지보수 등에 대한 융합보안 정보 및 콘텐츠의 생성, 이용, 제공, 처리, 변형, 저장, 소멸 등의 모든 전주기적 생명주기에 보안위협에 대한 고려가 이루어 질 수 있는 제도적 장치가 필요하다. 특히 사용자 관점에서 최소한의 안전성이 보장될 수 있도록 제도적 안전장치와 사후적 책임소재에 대한 명확하고 구체적인 제도를 마련할 필요가 있다.
이를 위해 첫 번째 고려사항은 인증기준이 태생적으로 갖는 양면성을 알아야 한다. 제품 및 서비스가 직면할 수 있는 다양한 상황을 고려하여 안전성과 성능을 담보할 수 있는 기준을 만드는 동시에, 시험, 분석 및 검사 과정이 업체에 과도한 부담으로 작용하지 않도록 하는 최적의 기준을 찾는 것이 어렵기 때문이다. 본래의 인증 취지에 부합하면서도 평가 및 심사과정이 지나치게 가혹하지 않도록 인증 기준을 만드는 과정은 여러 전문가와의 의견과 과정을 거쳐 많은 시간이 소요되기 때문이다.
두 번째 고려사항은 융합보안 기술ㆍ제품ㆍ서비스는 수요자의 요구에 빠르게 반응하고 시장을 선점하여 입지를 굳히는 것이 중요하다. 그런 만큼 인증기준을 만드는 데 소요되는 장기간의 시간은 해당업체에 극심한 손실로 이어질 수 있다. 이러한 지연된 인증기준 대응에 대한 손실은 시험 및 인증 전담 부서를 보유한 대기업보다는 아무래도 중소 및 중견 기업이 더욱 취약하다.
이러한 문제를 개선하고자 ‘융합보안 제품 및 서비스의 공급자 자기 적합성 인증제도’를 아래의 <그림 2>와 같이 제안한다.
<그림 2> 융합보안 제품 및 서비스의 공급자 자기 적합성 인증제도
공급자 적합성 인증제도는 융합보안 기술ㆍ제품ㆍ서비스에 대한 인증을 가급적 빠르게 진행하여(6개월 이내) 빠른 시장 출시 및 수요 만족을 이루고자 한다. 소관 기관이 융합보안 기술ㆍ제품ㆍ서비스의 공급자적합성 인증 신청을 받으면 인증 기준 개발 및 심의위원회를 구성하여 인증 기준 마련을 시작한다. 기간은 3개월(또는 적정기간 산정)로 제한하기에 각 업체들은 신청 전에 소관부처와의 사전 절차(새로운 기술ㆍ제품ㆍ서비스 판별을 위한 사전 협의 및 소통)가 필요하다. 이후 3개월은 각 공급 업체가 자체적으로 시험, 분석, 평가, 심사 및 인증 업무를 수행하고 소관기관은 각 공급업체에 대한 융합보안 품질(기존 차용된 기준 및 새롭게 정의된 기준 등)에 대해 지침과 표준(예를 들어 ISO/IEC Guide 65(인증시스템 운영기관을 위한 일반요구사항) 및 ISO/IEC Standard17025(시험 적합성과 교정시험소에 대한 일반요구사항) 적용 등)으로 시험인증 관련 전문기관(KOLAS 인정 공인기관)으로 지정하여 주면 된다[12, 13].
이를 통하여 융합보안 기술ㆍ제품ㆍ서비스 인증기준부터 전주기적 과정을 지원하는 체계가 구성될 수 있으며 이렇게 받은 공급자 적합성 인증은 정부소관부처가 나서서 모든 절차를 지원하는 가운데, 6개월 내에 업체와 시장이 원하는 인증과 동일한 효력을 부여한다는 점에서 이 제안은 ICMBA 기반 융합보안 제품 및 서비스 인증의 애로를 해소함과 동시에 적기 시장 진입을 위한 효과적인 방안이 될 것 이다.
Ⅴ. 결론
융합보안 제품 및 서비스의 공급자 자기 적합성 인증제도는 새롭고 다양한 ICMBA 기반 융합 보안 기술ㆍ제품ㆍ서비스 등장에 따른 소비자 보호와 기업의 경쟁력 확보 등 사회적 요구에 부응하여 다음의 목적을 이룰 수 있다.
- 수개월까지 제품수명(Life Cycle)이 단축되고 보안 기술·제품·서비스가 다양하게 융ㆍ복합 진행 중인 4차 산업시대에 대한 특수성 및 전문성을 고려한 합리적인 시험, 분석, 평가, 심사 및 인증체계 개선
- 현재 국가 및 공공 기관만이 수행하던 정보보안시험, 분석, 평가, 심사 및 인증 기능을 민간 기업체로 확대하고 국가ㆍ공공 기관은 사후관리(기준 ‧ 지침 ‧ 표준 개선, 불법, 불량기기, 위법서비스 단속 등 을 통한 보안 품질 관리)를 강화
- 융합보안 업체는 인증기관의 별도 인증 없이 스스로 기준에 적합함을 선언하여 제조 판매할 수 있는 공급자 적합성 인증(Supplier Declaration of Conformity) 제도를 도입함으로써 제품 및 서비스의 적기 출시/시행 및 비용 절감 등을 통한 업체의 경쟁력 강화
References
- Ministry of SMEs and Startups, SME Technology Roadmap 2018-2020, 2018.
- Ministry of Science, ICT and Future Planning, A Study on Plan for Enhanced Security of ICT Convergence Industry, 2016.
- Ministry of Science, ICT and Future Planning, A study on strengthening for Market outlook and competitiveness to convergence security industry, 2016.
- Namkyun Baik and others, "Domestic major information security duty system trend," The journal of Korea Institute of Electronics Engineers, Vol.40, No.10, 2017, pp. 32-40.
- Namkyun Baik and others, "CC-based information security product evaluation trend," KIISC review, vol.16, no.6, 2009, pp. 49-67
- ISO/IEC 15408 Information technology -- Security techniques -- Evaluation criteria for IT security, 2014.
- ISO/IEC CD 18045 Information technology -- Security techniques -- Methodology for IT security evaluation, 2008.
- ISO/IEC 27000 family - Information security management systems, 2013.
- Namhi Kang, "IoT Convergence Services Security Requirements," The Journal of The Korean Institute of Communication Sciences, Vol.32, No.12, 2015, pp. 45-50.
- IoT Security Certification Service Guide, https://www.kisis.or.kr/kisis/subIndex/307.do
- IEC 62443 "Industrial communication networks - Network and system security (DRAFT)", 2018.
- ISO/IEC 17065 Conformity assessment -- Requirements for bodies certifying products, processes and services, 2012.
- ISO/IEC 17025 "General requirements for the competence of testing and calibration laboratories", 2017.
Cited by
- 비대면(Untact) 업무를 위한 화상인식 PCA 사용자 인증 시스템 연구 vol.16, pp.4, 2020, https://doi.org/10.17662/ksdim.2020.16.4.067