• 정보보호학회지
• /
• 제30권1호
• /
• pp.7-12
• /
• 2020

비침투보안은 암호모듈 검증제도와 CC 평가 등에서 암호 시스템이 만족해야 하는 보안 요구사항 중 하나이다. 최근 미국 CMVP 제도는 기존 FIPS 140-2 기반의 시험기준을 ISO/IEC 19790, 24759 기반의 FIPS 140-3으로 변경하고 있으며, 2020년 9월 22일부터 실제 시험에 적용할 예정이다. 이러한 변화와 더불어 ISO/IEC 19790, 24759의 비침투공격 보안 요구사항에 대한 구체적인 시험 방법, 시험 도구 요구사항, 시험 도구 설정 방식 등에 관한 표준이 ISO/IEC JTC 1/SC 27에 의해 ISO/IEC 17825와 20085-1, 2으로 각각 발간 혹은 표준 제정 진행중에 있다. 본 논문에서는 비침투보안 시험방법론과 관련된 ISO 표준인 ISO/IEC 17825와 20085-1, 2를 통해 비침투공격 시험방법론 표준화 동향에 대해 살펴보고자 한다.

• 정보보호학회지
• /
• 제31권4호
• /
• pp.45-53
• /
• 2021

공통평가기준(CC, Common Criteria)의 국제 표준인 ISO/IEC 15408, ISO/IEC 18045는 정보보호제품에 구현되어 있는 보안 기능의 보증과 안전성을 시험하기 위한 평가 기준을 제시하는 국제 표준으로 정보보호제품에 대한 국제적인 신뢰성을 보장할 수 있도록 기준을 제시하고 있다. 특히 ISO/IEC 15408, ISO/IEC 18045는 ISO/IEC 27000, ISO/IEC 19790과 함께 ISO/IEC JTC 1/SC 27을 대표하는 국제 표준이다. 본 논문에서는 ISO/IEC JTC 1/SC 27/WG 3 작업반에서 개정을 진행하고 올해 말에 출판 예정인 ISO/IEC 15408 및 ISO/IEC 18405의 주요 변경 내용 및 신규 개념에 대해 설명하고, 최근 WG 3 작업반에서 추진하고 있는 국제 표준화 활동 현황 및 주요 현황을 소개하고자 한다.

• 정보보호학회논문지
• /
• 제33권6호
• /
• pp.989-1000
• /
• 2023

공급망 위협에 대응하기 위해 Secure Boot 등의 소프트웨어 위변조 방지 기술 및 SBOM(Software Bill of Materials) 등의 관리체계 개발 연구가 활발하게 이루어지고 있다. 특히 TCG(Trusted Computing Group)에서는 신뢰할 수 있고 안전한 컴퓨팅 부팅 환경을 제공할 수 있는 TPM(Trusted Platform Module) 표준을 제시하고 있다. 본 논문에서는 암호모듈이 공급망 위협에도 안전하고, 신뢰할 수 있는 기능을 제공할 수 있도록 암호모듈을 위한 안전한 부팅 기술 도입 필요성을 설명한다. 또한, ISO/IEC 19790 표준으로 검증된 암호모듈의 취약점을 분석하고, 취약점에 대응할 수 있도록 암호모듈의 안전한 부팅을 위한 보안 요구사항을 제안한다.

• 정보보호학회지
• /
• 제17권6호
• /
• pp.41-56
• /
• 2007

정보시스템의 보호를 위한 정보보호 제품의 경우, CC를 바탕으로 하는 '정보보호시스템 평가제도'를 통해 평가 및 인증하며, 정보보호제품을 구현한 암호모듈의 경우, '암호모듈검증제도'(CMVP)를 통해 시험 및 검증한다. 본 글에서는 사실상의 국제기준인 미국 및 카나다의 CMVP의 새로운 검증기준 후보인 FIPS PUB 140-3의 변화내용을 분석한다. 또한, FIPS 140-1, FIPS 140-2, ISO/IEC 19790(즉, FIPS 140-2의 국제표준)의 내용과도 비교한다.

• 한국산학기술학회논문지
• /
• 제20권4호
• /
• pp.470-478
• /
• 2019

국내 방산분야의 기술적 성장과 수출 증대가 괄목함에 따라, 국가안보적 위협을 방지하기 위한 방위산업 분야 기술보호의 중요성이 강조되고 있으므로 기술보호 제도의 확립 및 수행이 필요하다. 특히 무기 시스템으로부터 중요기술을 불법으로 탈취하는 Tampering 시도에 대응하기 위한 Anti-Tampering 기법의 도입 필요성이 대두되고 있으나, 아직까지는 관련제도가 갖춰지지 않았고 기술자료 유출 예방 위주 수준의 활동이 이루어지고 있다. 선행연구로서 특정 기술 보호기법에 대한 기술적 연구와 동향 분석, 일부 절차를 적용한 Anti-Tampering 적용방안 등이 발표되었으며, 최근에는 위험관리 절차를 기반으로 보호대상 기술을 선정하는 방법이 연구되었다. 하지만 기존 연구들은 무기 시스템의 Life-cycle 차원에서 획득 프로세스와 연계하기에 용이하지 않거나, 실제로 개발 및 평가에서 활용하기는 어려운 것으로 판단된다. 이러한 문제를 해결하는 한 방법으로, 본 논문에서는 Anti-Tampering 적용이 결정된 무기 시스템의 개발에 직접적으로 활용될 수 있는 Anti-Tampering 요구사항의 도출에 대하여 연구하였다. 구체적으로, 암호 모듈의 개발 및 검증에 적용되는 CMVP 표준인 ISO/IEC 19790을 기반으로 무기 시스템 개발에 필요한 요구사항 항목들을 도출하였으며, 기술검토회의 및 시험평가 등에서의 활용방안을 제시하였다. 귀납적 추론 및 비교평가를 통해 연구결과의 유용성을 확인하였다. 본 연구의 결과들을 활용하면, 국내개발 무기 시스템의 본격적인 기술보호 활동 수행에 도움이 될 것으로 기대된다.

• 정보보호학회논문지
• /
• 제29권5호
• /
• pp.985-996
• /
• 2019

본 논문에서는 미국에서 암호모듈검증을 획득한 대표적인 소프트웨어 형태의 암호모듈인 FIPS-OpenSSL의 소스 코드를 분석하여 암호모듈 검증 및 시험기준에서 요구하는 보안요구사항이 소프트웨어적으로 어떻게 구현되어있는지 분석한다. 특히, 암호모듈이 반드시 탑재하고 있어야 하는 자가시험기능 (동작 전 자가시험, 조건부 자가시험) 관점으로 소스코드를 분석한다. 비록 미국 암호모듈 검증제도에서는 FIPS 140-2를 검증기준으로 삼고 있지만, FIPS 140-2는 국내 암호모듈 검증제도에서 암호모듈 검증 및 시험기준으로 삼고 있는 암호모듈 국제표준인 ISO/IEC 19790과 24759의 근간이 되었기 때문에 많은 유사함이 존재한다. 본 논문의 분석을 통하여 향후 암호모듈 개발업체에서 자가시험기능을 정확하고 안전하게 구현할 수 있을 것으로 기대한다.