• 정보보호학회지
• /
• 제10권3호
• /
• pp.1-12
• /
• 2000

정보보호시스템을 평가하기 위한 기준은 보안기능 요구사항 및 보증요구 사항으로 이루어진다 본고에서는 미국의 TCSEC(Trusted Computer System Evaluation Criteria)과 유럽의 ITSEC(Information Technology Security Evaluation Criteria) 국제표준 (SIO/IEC 15408) 으로 제정된 CC(Common Criteria for Information Technology Secuirty Evaluation)의 보안 기능 요구사항을 비교, 분석하고 국내에서 개발된 침입차단시스템과 침입탐지시스템 평가기준, 현재개발중인 사용자인증용 스마트카드 평가기준의 보안기능 요구사항을 소개한다.

• 정보보호학회지
• /
• 제17권6호
• /
• pp.41-56
• /
• 2007

정보시스템의 보호를 위한 정보보호 제품의 경우, CC를 바탕으로 하는 '정보보호시스템 평가제도'를 통해 평가 및 인증하며, 정보보호제품을 구현한 암호모듈의 경우, '암호모듈검증제도'(CMVP)를 통해 시험 및 검증한다. 본 글에서는 사실상의 국제기준인 미국 및 카나다의 CMVP의 새로운 검증기준 후보인 FIPS PUB 140-3의 변화내용을 분석한다. 또한, FIPS 140-1, FIPS 140-2, ISO/IEC 19790(즉, FIPS 140-2의 국제표준)의 내용과도 비교한다.

• 한국군사과학기술학회지
• /
• 제10권1호
• /
• pp.55-69
• /
• 2007

The paper provides the approach to apply formal methods to the development and certification criteria of defense safety/security-critical software. RTCA/DO-178B is recognized as a do facto international standard for airworthiness certification but lack of concrete activities and vagueness of verification/certification criteria have been criticized. In the case of MoD Def Stan 00-55, the guidelines based on formal methods are concrete enough and structured for the defense safety-related software. Also Common Criteria Evaluation Assurance Level includes the strict requirements of formal methods for the certification of high-level security software. By analyzing the problems of DO-178B and comparing it with MoD Def Stan 00-55 and Common Criteria, we identity the important issues In safety and security space. And considering the identified issues, we carry out merging of DO-178B and CC EAL7 on the basis of formal methods. Also the actual case studies for formal methods applications are shown with respect to the verification and reuse of software components.

• 정보보호학회논문지
• /
• 제24권5호
• /
• pp.1001-1011
• /
• 2014

스마트그리드 환경에서 이용되는 기기들은 양방향 통신이 가능하기 위해 다양한 통신 인터페이스를 가짐으로 기존 IT기술이 가지고 있는 보안 취약점을 그대로 가질 수 있다. 이러한 보안 위협과 공격에 대한 피해를 최소화하기 위해 스마트그리드 기기의 보안기능과 이에 대한 평가 인증에 대한 필요성은 증가하고 있다. DCU는 스마트 미터의 정보를 중간 수집하여 유틸리티에 전송하는 중간 집계 장치로, 가정 내 위치하는 스마트 미터와 유틸리티 내부의 서버와 중간 위치에 설치되어 DCU가 공격받는 경우, 중간 거점으로 활용되는 등 위험성이 존재한다. 그러나 현재 DCU 보안성 평가와 관련된 연구가 미흡하여 DCU의 보안성을 확보하고 이를 평가, 인증할 수 있는 방법이 존재하지 않는다. 본 논문에서는 DCU의 보안성을 평가할 수 있는 보호프로파일을 개발하여 향후 개발자 또는 판매자에게는 보안목표명세서 작성에 도움을 주고, 사용자에게는 제품의 선정 및 운용관리에 활용할 수 있도록 한다.

• 정보보호학회논문지
• /
• 제29권4호
• /
• pp.739-751
• /
• 2019

임베디드 기기의 보안성이 주요한 문제로 부상하고 있다. 관련된 문제 중 특히 공급망 공격은 국가 간의 분쟁으로 이어질 수 있어 심각한 문제로 대두되고 있다. 공급망 공격을 완화하기 위하여 하드웨어 구성요소, 특히 AES와 같은 암호 모듈에 대한 CC(Common Criteria) EAL(Evaluation Assurance Level) 5 이상 고등급 보안성 인증 및 평가가 필요하다. 고등급 보안성 인증 및 평가를 위하여 암호 모듈에 대한 은닉 채널, 즉 백도어를 탐지하는 것이 필요하다. 그러나 기존의 연구로는 암호 모듈 그 중 AES의 비밀 키를 복구시킬 수 있는 정보가 유출되는 백도어를 탐지하지 못하는 한계가 있다. 따라서 본 논문은 기존의 하드웨어 AES 모듈 백도어의 정의를 확장하여 개선시킨 새로운 정의를 제안하고자 한다. 또한, 이 정의를 이용하여 기존 연구가 탐지하지 못했던 백도어를 탐색하는 과정을 제시한다. 이 탐색 과정은 Verilog HDL (Hardware Description Language)로 표현된 AES 모듈을 정형 기법 도구인 모델 체커(Model Checker) NuSMV를 이용하여 검증하는 것으로 백도어를 탐색한다.

• 한국멀티미디어학회:학술대회논문집
• /
• 한국멀티미디어학회 2003년도 춘계학술발표대회논문집
• /
• pp.671-674
• /
• 2003

최근 정보보호에 대한 관심이 높아짐에 따라 그에 따른 기반 기술들이 요구되고 있다. 특히, 통신 인프라에 집중되었던 정보보호 산업이 이를 기반한 제품으로 관심이 부각되고 있다. 이러한 정보보호제품의 신뢰성은 매우 중요한 요소이며, 신뢰성 보장을 위한 보안 기능의 보증은 중요하다. 본 논문에서는 개발 단계에서 유지보수 단계에 이르는 생명주기 찰동의 보증과 품질보증 위한 방법 또한 중요하다는 것을 인식하고 이를 위해 소프트웨어 개발에 정보보호시스템 공동평가기준(정보통신부 고시 제2002-40호, 이하 공통평가기준)을 적용하여 개발할 수 있도록 프로세스를 제시한다 이를 통해 소프트웨어 개발자나 시스템 관리자들이 정보보호 인증을 보장하며, 안전한 소프트웨어를 개발하여 효율적으로 관리할 수 있도록 소프트웨어 개랄 및 변경시 발생할 수 있는 위험들과 이에 대한 통제들을 제안한다 향후 전산망 시스템에서 사용되는 정보보호 제품의 개발 및 관리에 도움 줄 것을 기대한다.

• 정보보호학회논문지
• /
• 제29권4호
• /
• pp.919-943
• /
• 2019

4차 산업 혁명 관련 신흥 기술로 주목받고 있는 분산원장기술은 오픈소스 기반 분산원장기술 시스템(또는 분산원장기술 플랫폼)으로 구현되어 다양한 애플리케이션(또는 서비스) 개발 시 널리 활용되고 있으나, 오픈소스 기반 분산원장기술 시스템에서 제공하는 보안 기능은 매우 미흡한 실정이다. 본 논문에서는 오픈소스 기반 분산원장기술 시스템 운용 시 발생할 수 있는 잠재적인 보안 위협을 식별하고, 국내 법규 및 보안 인증 기준(ISMS-P, Information Security Management System-Privacy)을 분석하여 보안 위협에 대응할 수 있는 보안기능 요구사항을 도출한다. 그리고 국제 표준인 공통평가기준(CC, Common Criteria)의 보안기능 컴포넌트 분석을 통하여 오픈소스 기반 분산원장기술 시스템에 필요한 보안 기능을 구현할 수 있는 방안을 제안함으로서 보안을 강화하고자 한다.

• 정보보호학회논문지
• /
• 제15권4호
• /
• pp.39-50
• /
• 2005

정보화 역기능을 해결하기 위한 정보보호의 중요성이 높아짐에 따라 정보보호제품 및 시스템의 평가인증 수요가 증가하고 있으며 비용-효과적인 평가관리가 필요하다. 따라서, 본 논문은 평가자가 정보보호시스템에 대한 평가를 수행할 때 일련의 절차에 따라 평가업무를 수행 및 관리할 수 있는 CC(Common Criteria :공통평가기준)기반의 반자동화 평가워크플로우 관리 시스템(Sa-EWMS : Semi-automated Evaluation Workflow Management System)을 제시하였다. 본 시스템은 종래 수동적인 평가업무로 인한 시간과 노력의 소비 문제점을 해결하고 효율적인 평가수행을 위한 것으로, 각 엔진별 업무에 대한 워크플로우 프로세스를 추적하고 수행을 조정하는 역할을 하며 평가수요 및 시장창출에 대응하는 민간평가기관에서 유용하게 이용할 수 있을 것이다.

• 정보보호학회논문지
• /
• 제29권4호
• /
• pp.821-834
• /
• 2019

사이버 보안위협이 증가하면서 시스템 보안 수준이 보증된 고신뢰 시스템에 대한 수요가 증가하고 있다. 정보보호제품에 대한 평가 인증 국제 표준인 공통평가기준(CC: Common Criteria)은 고등급 보안 수준을 보증하기 위해 시스템에 대한 정형명세 및 검증을 요구하고 있으며 점차 이를 준수하는 사례가 증가하고 있다. 본 논문에서는 고등급 보안 수준을 보증하기 위해 다양한 분야에 적용 가능하며 고신뢰 수준을 요구하는 드론시스템에 대한 보안 위협을 도출한다. 그 결과를 기반으로 시스템 커널 내 스케줄링 측면에서 개선된 시스템 모델을 Z/EVES를 활용하여 정형명세 및 검증을 진행함으로써 고신뢰 드론시스템에 적용 가능한 스케줄링 방식을 제안한다.

• 정보보호학회논문지
• /
• 제20권6호
• /
• pp.111-125
• /
• 2010

최근 정부가 발표한 저탄소 녹색성장 사업의 일환으로 스마트 그리드 기술이 주목을 받고 있으며, 이러한 스마트 그리드가 정착되기 위해서는 가정 또는 전력을 소모하는 모든 장소에 스마트미터의 설치가 필요하다. 그러나 최근 들어 스마트미터의 다양한 보안 취약성이 소개되고 있으며, 아직까지 범용의 보호프로파일이 존재하지 않으므로 스마트미터 제품에 대한 안전성을 보증할 수 없는 설정이다. 따라서 본 논문에서는 스마트미터의 보안 취약성과 공격방법을 분석하여 스마트미터가 일반적으로 갖추어야 할 보안기능과 보안요구사항을 도출하고, 이를 바탕으로 스마트미터 제품의 안전성 평가 및 인증에 사용될 수 있는 공통평가기준 v3.1 기반의 스마트미터 보호프로파일을 개발한다.