[보안뉴스 기고=염흥열 교수] ISO/IEC JTC 1/SC 27(정보보안) 회의가 지난 10월 4일부터 10월 11일까지 동서독 통일 20주년을 기념하고 SC 27 창립 20주년을 기념해 독일 베르린에서 열렸다. 사진은 독일 경제기술부에서 열린 쇼셜 이벤트에 참석자들이다. 본 고에서는 SC 27 산하 “보안 통제와 서비스” 작업반 4(WG 4) 에서는 다음과 같이 사이버보안, 네트워크 보안, 응용보안, 그리고 디지털 포렌직 분야 등 응용 및 네트워크 보안 분야의 국제  표준 개발 현황을 살펴본다. 

사이버보안

사이버보안에 대한 용어를 정의하고 사이버보안을 위해 각 참여 주체들의 역할과 대응 방안을 가이드하기 위한 “사이버보안 가이드라인” 표준(27032)은 사이버안전을 범위에 포함 여부가 이슈였으나 범위에 이를 포함하지 않기로 대체로 합의했으나 계속 논의키로 했고, 문서 상태를 3번째 CD (committee draft)로 진입하기로 합의했다.

네트워크 보안

네트워크 보안 표준 분야의 경우, 6개의 파트로 표준이 나눠져서 개발되고 있으며, “네트워크 보안 가이드라인”에 관한 파트 1 (27033-1)과 “네트워크 보안 시나리오”에 관한 파트 3 (27033-3)은 이미 FDIS (final draft international standard)로 상태로 표준화를 완료했다. 이번 회의에서는 “네트워크 보안 설계 및 구현 가이드라인”에 관한 네트워크 보안 파트 2(27033-2), 필자가 에디터인 “보안 게이트웨이를 이용한 보안 통신”에 관한 네트워크보안 파트 4(27033-4), “VPN (vitual privacy network) 보안을 이용한 보안 통신”에 관한 파트 5(27033-5), “무선 보안”에 관한 파트 6(27033-5) 등이 다뤄졌다. 파트 2의 경우, 현재 FCD 상태에 있으나, 문서 품질에 문제가 있다고 판단해 표준 상태를 WD (working draft) 상태로 되돌리기로 WG 4 프리너리에서 제안키로 했으나 SC 27 프리너리에서 현재의 문서 상태를 유지하고 문서의 품질을 향상하는 것으로 합의했고, 파트 4는 미국, 영국 등으로부터 온 의견을 수렴했고 일본의 제안으로 문서의 구조를 수정했으며 3번째 WD 상태로 진입하기로 했고, 파트5와 파트 6는 표준 문서 구조가 합의되었다.

응용 보안

응용 프로그램을 개발할 시 보안을 고려해 체계적으로 개발하는 문제를 다루는 응용 보안 표준(27034)은 이번 회의에서 “응용보안 개요와 개념”에 관한 파트 1(27034-1)과 응용보안을 위한 “조직 normative 프레임워크”에 관한 파트2(27034-2) 등이 주로 다뤄졌으며, 파트 1은 FCD (final committee draft) 상태로, 파트 2는 3번째 WD 상태로 진입하기로 합의했다.

정보보안 침해사고 관리

인터넷침해사고대응팀(CIRT)을 위하여 침해사고를 신속히 검출하고, 적절히 대응하며, 지속적으로 향상하기 위한 구조화된 관리방법을 제시하는 “정보보안 침해사고 관리”(27035) 표준은 FDIS 상태로 진입하기로 합의함으로서 표준화작업을 완료하기로 합의했다.

ICT 공급자 체인 보안

“아웃소싱” 보안을 다루던 표준(27036)은 “ICT (Information and Communications Technology) 공급체인보안” 시리즈의 파트 4로 변경하기로 합의했고, 이 표준 (27036)의 이름을 “공급자 관계자를 위한 정보보안“으로 변경하고, 이와 연관해, 지난 SC27 회의에서 설립되었던 ICT 공급자보안에 관한 SP(study period) 보고서 검토 결과,  ICT 공급자보안 표준은 4개의 파트로 구성키로 했으며, 그중 기존 아웃소싱 보안 표준 (27036)은 이 표준의 파트 4로 변경키로 했으며, 파트 1은 “ICT 공급자 체인 보안의 개요 및 개념”, 파트 2는 “공통 요구사항”, 파트 3은 “ICT 공급체인 가이드라인”, 파트 4는 “아웃소싱 보안”을 다루기로 했다. 파트 1,2,3은 예비문서를 준비하기로 합의했다.

디지털 포렌직

“디지털 증거자료의 확인, 수집, 보존을 위한 가이드라인”(27037)은 CD 상태로 진입하기로 합의했다.

디지털 리댁션 (redaction)

조직이나 국가에서 공개되는 문서에서 민감한 개인정보를 효과적으로 지우는 방법을 표준화하는  “디지털 리덕션” 표준(27038)은 두 번째 WD로 진입하기로 합의했다.

침입탑지시스템

“IDS (intrusion detection system)의 설치, 운영” 등에 대한 표준(27039)는 표준 번호와 표준 제목을 변경해 개발키로 했고 에디터진을 보강하기로 했다. 

신규 연구회기 개시

연구회기는 신규표준화 아이템 추진을 위한 준비기간으로, 이 기간동안 표준개발의 범위, 타당성 등을 확인하고, 이를 근거로 연구회기 종료후 신규표준화아이템 제안 국가 제안을 추진한다. 한국 기재부 전상훈박사는 필자와 함께 침해사고 관리 표준(27035) 의 부족한 부분인 침해사고대응조직 신설 절차와 조직 구성원이 가져야 할 요건 등의 내용을 위한 "CSIRT (computer security incident response team)를 위한 운영 및 구현“ 에 관한 연구회기(SP, study period)를 제안했다.

이 제안은 WG4 프리너리에서 싱가폴 등의 적극적인 지원에 힘입어 미국과 영국 등의 일부 우려의 목소리를 잠재우고 채택되었다. 한국(기재부 전상훈), 일본(코지 나카오), 영국 전문가가 이 연구회기의 라포처로 선임되어 국제 표준 추진을 위한 발판을 마련했다. 이 밖에도 ”디지털 증거자료 준비 및  분석“, ”디지털 증거 검증 및 타당성“, ”WG 4 용어 정의“, "클라우드 컴퓨팅 보안 및 프라이버시" 등의 표준화 추진을 준비하기 위한 6개월간의 연구회기가 제안되어 합의되었다.

향후 대응 방안

현재 개발되고 있는 표준은 파급효과가 크고, 국내 보안 산업 및 서비스와 깊이 연관되며 향후 국제 표준 개발시 한국 위상을 제고할 수 있으므로, 내년 4월 싱가폴 SC27 회의에 대비해 국내 차원의 에디터 추천 및 국내 실정이 반영된 표준 추진 방법 등의 전략적 대응이 요구된다.

[글·염흥열(순천향대 교수, ITU-T SG17 부의장)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>