ISO/IEC JTC 1/SC 27/WG3 보안평가 기준의 2017년 성과와 2018년 향후 전망

[보안뉴스= 최희봉 ISO/IEC JTC 1/SC 27/WG3 그룹장] WG3(Working Group 3)는 1990년 결성되어 미국, 영국, 프랑스, 독일, 캐나다, 네덜란드 등이 정보보안 평가기술 국제표준화 프로젝트를 수행하기 시작했다.


ISO/IEC JTC 1/SC 27/WG3의 구성 및 역할
최근에는 전자상거래, 클라우드 컴퓨팅 환경, 스마트 머신, 생체인식, IoT 환경 등에서 정보화 역기능을 방지하기 위해 정보보호제품 사용이 증대되고 있어 정보보호제품의 보안평가 표준기술 개발이 더욱 요구되고 있다. WG3에서 담당하는 국제표준은 국내 제도와도 연관된 잘 알려진 표준들로 암호모듈 검증제도(Cryptographic Module Validation Program, 이하 CMVP)의 암호모듈 검증기준과 정보보호제품 공통평가기준(Common Criteria, 이하 CC)등이 있다.

한국 WG3 전문가 그룹의 활동은 국가보안기술연구소 KCMVP실의 적극적인 지원 하에 수행됐으며, 국가보안기술연구소 최희봉 박사, 한상윤 선임연구원, 국민대 염용진 교수, 김예원 연구원, 윈스 이수현 팀장, 이수연 책임연구원, 시큐아이 김은아 박사, 김난영 책임연구원, HP 이광우 박사, ETRI 강유성 박사, 안랩 김응수 수석, 지니언스 차욱재 선임연구원, 시큐브 김지원 선임연구원, 아이큐패드 성정호 실장, TTA 박수정 책임연구원, 현대오토에버 임재우 차장 등 실무 전문가들로 구성돼 있다.

이 구성원들은 WG3의 국제표준화 과제들에 대해 검토하고 토의해 한국 측 기고문을 작성하는 등 한국을 대표하는 표준화 활동을 수행하고 있다. 또한, 실무 전문가들은 표준 컨퍼런스 개최 및 한국 CC 사용자 포럼(Korea Common Criteria Users Forum , 이하 KCCUF) 등을 통해 선진 국제표준 정보보안 평가기술들을 국내 산·학·연에 전파하기 위해 노력하고 있다.

국가보안기술연구소에서 수행하고 있는 KCMVP(한국 암호모듈 검증제도)의 암호모듈 검증기준(KS X ISO/IEC 19790)은 WG3의 국제표준인 ISO/IEC 19790을 준수하고 있다. 또한, WG3에서 KCMVP 전문가를 포함한 국제 전문가들이 암호모듈의 시험방법, 시험자 자격기준, 암호모듈 현장시험 가이드 및 시험기관 자격기준 등 여러 표준을 개발하고 있다.

CC 인증은 국제보안평가 상호인정협정(Common Criteria Recognition Arrangement, 이하 CCRA)에서 작성한 공통평가기준(CC)과 평가방법론(Common Evaluation Methodology, 이하 CEM)으로 구성되며, 공통평가기준 및 평가방법론은 WG3의 ISO/IEC 15408 및 ISO/IEC 18045로 국제표준화된다. 이와 함께 WG3에서는 평가자 자격기준, 평가기관 자격기준 및 취약성 평가기준 등 CC 관련 표준들을 개발하고 있다. WG3에서는 물리적 복제불가 기능, 생체인식 보안, 보안시스템 설계 및 취약점 공개/처리 절차에 대한 국제표준들도 개발하고 있다.

2017년 한국 WG3 활동 성과
국가보안기술연구소 KCMVP 소속인 필자는 프로젝트 리더로서 2014년부터 운영환경에서 암호모듈 현장시험을 위한 표준인 ISO/IEC 20540(Guidelines for testing cryptographic modules in their operational environment)을 제안하고, 3년여 기간 동안 국제표준을 개발했다. 2018년 3월 신규 표준으로 발행될 예정이다. 이는 선진국 독점 보안평가 국제표준에서 이룬 우수한 성과이다.

이와 같은 지속적인 노력의 결과로, 2017년 10월 베를린에서 개최된 55차 WG3 국제표준회의에서 ISO/IEC 20540 발행이 승인됐다. ISO/IEC 20540은 다양한 응용환경에 적합한 암호모듈 선택과 정확하고 안전한 설치를 지원하며, 암호모듈 현장시험 시 사용자와 시험자를 도울 수 있을 것으로 기대된다. 또한, 이번 베를린 회의에서 시작된 암호모듈 시험기관 자격기준 SP(Study Period) 과제의 라포쳐(Rapporteur)로서 표준화 활동을 수행했다.

최근 가장 많은 이슈가 되고 있는 CC/CEM 국제표준(ISO/IEC 15408, ISO/IEC 18045)의 개정 작업에 에디터(Editor)로 필자와 함께 윈스 이수현 팀장, HP 이광우 박사가 참여해 CCRA에 가입된 전 세계 인증기관/평가기관 전문가 및 개발업체 전문가들의 의견을 검토 및 반영하는 표준화 작업을 베를린 회의에서 성공적으로 진행했다.

ETRI의 강유성 박사는 물리적 복제불가 기능 국제표준과 화이트박스 암호 국제표준의 에디터(Editor)로서 54차 해밀턴 회의 및 55차 베를린 회의에서 표준화 활동을 성공적으로 수행했다. 윈스의 이수현 팀장은 CC 평가자 자격기준 국제표준의 에디터(Editor)로서 54차 해밀턴 회의 및 55차 베를린 회의에서 표준화 활동을 성공적으로 마쳤다.

한국 WG3의 향후 계획
2018년에는 한국 WG3에게 더 많은 성과가 있을 것으로 예상한다. 최근 가장 큰 이슈가 되고 있는 CC/CEM 국제표준(ISO/IEC 15408, ISO/IEC 18045) 개정작업에 다수의 한국 WG3 전문가가 참여해 한국의 역할이 더욱 증대될 것으로 예상된다. 또한, 신규 표준과제로 시작될 화이트박스 암호 및 CC 평가기관, 암호모듈 시험기관 자격기준 등에서 한국 WG3의 주도적 표준화 추진이 기대되고 있다.

정보보호 제품의 정보보안 평가기술 국제표준은 정보보호 국가산업에 장·단기적으로 미치는 영향이 매우 크다. 특히, 한국 WG3 전문가 그룹에서 개발업체 전문가들의 역할이 중요하게 부각될 예정이다. 따라서 개발업체 전문가들의 표준활동에 대한 국가 및 개발업체 차원의 적극적인 지원이 필요하다. 또한, 이들의 표준 활동을 뒷받침 할 수 있는 학계의 기술적 지원도 요구된다.
[글_ 최희봉 ISO/IEC JTC 1/SC 27/WG3 그룹장·국가보안기술연구소 박사
(hhbchoi@gmail.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>