240905.jpg)
[TTA 보안 표준 관련 릴레이 인터뷰] KTC 방지호 본부장, 정원석 센터장
하드웨어 공급망 보안 검증 위한 공통 보안 요구사항(TTAK.KO-12.0408)
①기획 ②개발 및 생산 ③도입, 설치, 운영 ④ 유지보수 ⑤ 폐기 단계 따라 보안 요구
[보안뉴스 김경애 기자] 제105차 정보통신표준총회(이하 표준총회)에서 총 27건의 정보통신단체표준(이하 TTA표준)이 제정됐다. 그중 보안 관련 표준은 ①다변수 이차식 기반 양자내성암호 – 제3부: MQ-Sign, 부가형 전자서명 알고리즘 ②양자 키 분배 장비 보안 요구사항 확인을 위한 시험 방법 ③하드웨어 공급망 보안 검증을 위한 공통 보안 요구사항 ④양자 키 분배 후처리에 대한 보안 요구사항 및 시험방법 ⑤양자 키 분배 보안 요구사항 ⑥보안 위협에 취약한 레거시 의료기기 사이버보안 지침 ⑦생체정보 기반 마필 개체식별용 DB 구축지침 등이다.
[이미지=gettyimagesbank]
이에 <보안뉴스>는 매주 1편씩 제105차 정보통신표준총회에서 제정된 보안 관련 표준을 소개하고 있다. 이번에는 그 세 번째 시간으로 하드웨어 공급망 보안 검증을 위한 공통 보안 요구사항(TTAK.KO-12.0408)에 대해 주에디터인 한국기계전기전자시험연구원(KTC) 방지호 본부장, 정원석 센터장과의 인터뷰를 통해 들어봤다.
Q. TTA 표준총회에서 제정된 보안 표준에 대해 자세하게 소개한다면?
이번 표준은 제조사가 개발하고 판매하는 네트워크 제품 등 하드웨어 기반 제품의 공급망 보안을 검증하기 위해 하드웨어 기반 제품의 수명주기(Life Cycle)별 공통 보안 요구사항을 제시한 것이다.
▲하드웨어 기반 제품의 수명주기[자료=한국기계전기전자시험연구원]
하드웨어와 소프트웨어가 함께 구성된 제품의 공통 보안 요구사항은 하드웨어 및 소프트웨어 모두를 대상으로 한다. 이번 표준에서 정의된 보안 요구사항은 제조사가 제품 개발·보급 시 고려할 수 있고, 제품 수요 업체는 도입되는 제품의 공급 과정에서 보안성을 검증하는 항목으로 사용할 수 있다.
검증기관 또는 시험기관이 제품 공급망의 보안성을 시험하는 데 활용할 수 있다. 이번 표준에서 제시하는 공통 보안 요구사항은 하드웨어 기반의 정보보호 제품(방화벽 등), 5G 통신장비 등 하드웨어 기반 제품에 적용할 수 있으며, 각 제품 유형별 공급망 보안 특성에 따른 보안 요구사항은 이번 표준의 공통 보안 요구사항을 참고해 개발할 수 있다.
Q. 표준이 제정된 배경은?
최근 공급망에 대한 취약점과 공격 발생 빈도가 증가함에 따라 각국에서 공급망 보안에 대한 정책 마련 등 공급망 보안에 대한 필요성이 증가하고 있다. 따라서 하드웨어 기반 제품의 수명주기에 따른 공급망 보안 위협을 도출하고, 도출된 보안 위협에 대해 검증기관 또는 시험기관 관점에서 하드웨어 기반 제품에 대한 공급망 보안 여부를 검증하기 위해 제조사와 하드웨어 기반 제품이 갖춰야 하는 공통적인 보안 요구사항을 정의하는 데 그 배경이 있다.
Q. 해당 표준과 관련된 주요 보안 위협 사례는?
하드웨어 기반 제품의 수명주기 단계별 주요 보안위협은 아래 표와 같다.
▲수명주기 단계별 주요 보안위협[자료=한국기계전기전자시험연구원]
Q. 각각의 표준 활동사항은?
하드웨어 기반 네트워크 제품의 수명주기 단계별로 보안위협을 분석해 이를 해결하기 위한 공통된 보안 요구사항을 표준화 했다. 또한, 정보통신(ICT) 분야 국내외 표준을 전담하고 있는 한국정보통신기술협회(TTA)에서 운영하는 정보보호 기술위원회(TC5)·응용보안과 평가인증 프로젝트그룹(PG504)에서 공급망 보안과 보안성 평가 관점에서 전문가들이 검토한 후, 4주간에 공개 의견 수렴을 거쳐 제정된 표준으로 향후 하드웨어 기반 제품들의 공급망 보안 검증을 위해 활용될 수 있다.
Q. 하드웨어 공급망 보안 검증을 위한 공통 보안 요구사항 항목은?
① 기획 단계
첫째, 주문자 상표 부착 생산(OEM) 방식인 경우, 계약서에 주문사에서 전달한 제품 설계 문서에 대한 제조업체의 보안관리 의무에 대해 명기해야 한다.
둘째, 제조업자 설계 생산(ODM) 또는 주문자 상표 부착 생산(OEM) 방식인 경우, 계약서에 보안 패치 등 유지보수 책임에 대한 사항을 명기해야 한다.
셋째, 하드웨어 및 소프트웨어 재료명세서를 제출해야 하며, 주문사가 이를 확인할 수 있는 방법을 제공해야 한다.
넷째, 백도어가 포함되어 있지 않다는 점을 확인받아야 한다.
다섯째, 주문자는 제조업체와의 공급 및 인수에 대한 보안관리 체계를 수립해 이에 따라 안전하게 공급되고 인수될 수 있도록 해야 한다.
② 개발 및 생산 단계
첫째, 제조사는 제품 개발 시 무결성을 보장해야 한다.
둘째, 제조사는 제품 개발 시 사용되는 개발도구(예, 컴파일러 등)는 잘 정의된 도구를 사용해야 한다.
셋째, 제조사는 제품 개발 시 자동화 도구 등을 사용해 소스코드 보안 취약점과 알려진 보안 취약점이 제품에 내포되지 않아야 한다.
넷째, 제조사는 제품 개발에 출처가 명확하고 최신 보안패치가 적용된 제3자 라이브러리, 제품, 오픈소스를 사용해야 한다.
다섯째, 제조사는 하드웨어와 소프트웨어 재료명세서(BOM)를 작성해야 한다.
여섯째, 소프트웨어 재료명세서에는 소프트웨어 컴포넌트, 제3자 라이브러리, 오픈소스 정보 등을 포함해야 한다.
일곱째, 제조사는 자체 생산 방식이 아닌 경우, 의뢰업체로부터 전달받은 하드웨어 및 소프트웨어 재료명세서를 확인해야 한다.
여덟째, 제품 패키징 및 제품 배포 시, 명세되지 않은 임의의 모듈이나 부품이 삽입 혹은 추가되지 않아야 한다.
아홉째, 제조사는 제품 문서에 제품의 모든 인터페이스를 식별해야 한다.
③ 도입, 설치, 운영 단계
첫째, 제조사는 소비자가 제품의 무결성을 확인할 수 있는 수단(예, 전자서명 등)을 제공해야 한다.
둘째, 제조사는 소비자에게 하드웨어 및 소프트웨어 재료명세서를 전달(예, 전자문서 형태 등)해야 한다.
셋째, 제조사는 제품에서 결함 또는 취약점 발견 시 제품 개발사에 연락할 수 있는 수단을 제공해야 한다.
넷째, 제조사는 제품 판매 시 제품 단종 시기 또는 제품 단종 정책 정보를 소비자에게 제공해야 한다.
다섯째, 제조사는 제품 판매 시 서비스 지원 종료 시기 또는 서비스 지원 종료 정책 정보를 소비자에게 제공해야 한다.
④ 유지보수 단계
첫째, 제품 업데이트 및 보안 패치를 위한 업데이트 서버 운영 시 보안관리, 해시값, 전자서명, 공인기관의 유효한 인증서를 만족해야 한다.
둘쩨, 제품은 사용자에게 오프라인과 온라인 업데이트 및 롤백(Rollback) 기능을 제공해야 하며, 온라인 업데이트 시 서버 인증, 버전 확인, 안전한 통신채널, 파일의 유효성 검사를 만족해야 한다.
셋째, 오프라인 업데이트 시 버전 확인, 파일의 유효성 검사를 만족해야 한다.
넷째, 제조사와 사용자는 제품 수리‧교체, 업데이트 시 부품의 출처, 수명주기, 하드웨어 및 소프트웨어 재료명세서를 갱신해 소비자에게 제공해야 한다.
⑤ 폐기 단계
사용자는 제품 폐기 시 개인 의료정보와 같은 민감한 정보를 삭제해야 한다.
Q. 각각의 표준활동에 대한 향후 계획은?
한국기계전기전자시험연구원은 이번 표준을 준수해 하드웨어 기반 제품에 대한 보안 검증 서비스를 제공할 예정이며, 검증 서비스 결과를 기반으로 필요시 표준을 개정할 예정이다.
[김경애 기자(boan3@boannews.com)]
하드웨어 공급망 보안 검증 위한 공통 보안 요구사항(TTAK.KO-12.0408)
①기획 ②개발 및 생산 ③도입, 설치, 운영 ④ 유지보수 ⑤ 폐기 단계 따라 보안 요구
[보안뉴스 김경애 기자] 제105차 정보통신표준총회(이하 표준총회)에서 총 27건의 정보통신단체표준(이하 TTA표준)이 제정됐다. 그중 보안 관련 표준은 ①다변수 이차식 기반 양자내성암호 – 제3부: MQ-Sign, 부가형 전자서명 알고리즘 ②양자 키 분배 장비 보안 요구사항 확인을 위한 시험 방법 ③하드웨어 공급망 보안 검증을 위한 공통 보안 요구사항 ④양자 키 분배 후처리에 대한 보안 요구사항 및 시험방법 ⑤양자 키 분배 보안 요구사항 ⑥보안 위협에 취약한 레거시 의료기기 사이버보안 지침 ⑦생체정보 기반 마필 개체식별용 DB 구축지침 등이다.
[이미지=gettyimagesbank]
이에 <보안뉴스>는 매주 1편씩 제105차 정보통신표준총회에서 제정된 보안 관련 표준을 소개하고 있다. 이번에는 그 세 번째 시간으로 하드웨어 공급망 보안 검증을 위한 공통 보안 요구사항(TTAK.KO-12.0408)에 대해 주에디터인 한국기계전기전자시험연구원(KTC) 방지호 본부장, 정원석 센터장과의 인터뷰를 통해 들어봤다.
Q. TTA 표준총회에서 제정된 보안 표준에 대해 자세하게 소개한다면?
이번 표준은 제조사가 개발하고 판매하는 네트워크 제품 등 하드웨어 기반 제품의 공급망 보안을 검증하기 위해 하드웨어 기반 제품의 수명주기(Life Cycle)별 공통 보안 요구사항을 제시한 것이다.
▲하드웨어 기반 제품의 수명주기[자료=한국기계전기전자시험연구원]
하드웨어와 소프트웨어가 함께 구성된 제품의 공통 보안 요구사항은 하드웨어 및 소프트웨어 모두를 대상으로 한다. 이번 표준에서 정의된 보안 요구사항은 제조사가 제품 개발·보급 시 고려할 수 있고, 제품 수요 업체는 도입되는 제품의 공급 과정에서 보안성을 검증하는 항목으로 사용할 수 있다.
검증기관 또는 시험기관이 제품 공급망의 보안성을 시험하는 데 활용할 수 있다. 이번 표준에서 제시하는 공통 보안 요구사항은 하드웨어 기반의 정보보호 제품(방화벽 등), 5G 통신장비 등 하드웨어 기반 제품에 적용할 수 있으며, 각 제품 유형별 공급망 보안 특성에 따른 보안 요구사항은 이번 표준의 공통 보안 요구사항을 참고해 개발할 수 있다.
Q. 표준이 제정된 배경은?
최근 공급망에 대한 취약점과 공격 발생 빈도가 증가함에 따라 각국에서 공급망 보안에 대한 정책 마련 등 공급망 보안에 대한 필요성이 증가하고 있다. 따라서 하드웨어 기반 제품의 수명주기에 따른 공급망 보안 위협을 도출하고, 도출된 보안 위협에 대해 검증기관 또는 시험기관 관점에서 하드웨어 기반 제품에 대한 공급망 보안 여부를 검증하기 위해 제조사와 하드웨어 기반 제품이 갖춰야 하는 공통적인 보안 요구사항을 정의하는 데 그 배경이 있다.
Q. 해당 표준과 관련된 주요 보안 위협 사례는?
하드웨어 기반 제품의 수명주기 단계별 주요 보안위협은 아래 표와 같다.
▲수명주기 단계별 주요 보안위협[자료=한국기계전기전자시험연구원]
Q. 각각의 표준 활동사항은?
하드웨어 기반 네트워크 제품의 수명주기 단계별로 보안위협을 분석해 이를 해결하기 위한 공통된 보안 요구사항을 표준화 했다. 또한, 정보통신(ICT) 분야 국내외 표준을 전담하고 있는 한국정보통신기술협회(TTA)에서 운영하는 정보보호 기술위원회(TC5)·응용보안과 평가인증 프로젝트그룹(PG504)에서 공급망 보안과 보안성 평가 관점에서 전문가들이 검토한 후, 4주간에 공개 의견 수렴을 거쳐 제정된 표준으로 향후 하드웨어 기반 제품들의 공급망 보안 검증을 위해 활용될 수 있다.
Q. 하드웨어 공급망 보안 검증을 위한 공통 보안 요구사항 항목은?
① 기획 단계
첫째, 주문자 상표 부착 생산(OEM) 방식인 경우, 계약서에 주문사에서 전달한 제품 설계 문서에 대한 제조업체의 보안관리 의무에 대해 명기해야 한다.
둘째, 제조업자 설계 생산(ODM) 또는 주문자 상표 부착 생산(OEM) 방식인 경우, 계약서에 보안 패치 등 유지보수 책임에 대한 사항을 명기해야 한다.
셋째, 하드웨어 및 소프트웨어 재료명세서를 제출해야 하며, 주문사가 이를 확인할 수 있는 방법을 제공해야 한다.
넷째, 백도어가 포함되어 있지 않다는 점을 확인받아야 한다.
다섯째, 주문자는 제조업체와의 공급 및 인수에 대한 보안관리 체계를 수립해 이에 따라 안전하게 공급되고 인수될 수 있도록 해야 한다.
② 개발 및 생산 단계
첫째, 제조사는 제품 개발 시 무결성을 보장해야 한다.
둘째, 제조사는 제품 개발 시 사용되는 개발도구(예, 컴파일러 등)는 잘 정의된 도구를 사용해야 한다.
셋째, 제조사는 제품 개발 시 자동화 도구 등을 사용해 소스코드 보안 취약점과 알려진 보안 취약점이 제품에 내포되지 않아야 한다.
넷째, 제조사는 제품 개발에 출처가 명확하고 최신 보안패치가 적용된 제3자 라이브러리, 제품, 오픈소스를 사용해야 한다.
다섯째, 제조사는 하드웨어와 소프트웨어 재료명세서(BOM)를 작성해야 한다.
여섯째, 소프트웨어 재료명세서에는 소프트웨어 컴포넌트, 제3자 라이브러리, 오픈소스 정보 등을 포함해야 한다.
일곱째, 제조사는 자체 생산 방식이 아닌 경우, 의뢰업체로부터 전달받은 하드웨어 및 소프트웨어 재료명세서를 확인해야 한다.
여덟째, 제품 패키징 및 제품 배포 시, 명세되지 않은 임의의 모듈이나 부품이 삽입 혹은 추가되지 않아야 한다.
아홉째, 제조사는 제품 문서에 제품의 모든 인터페이스를 식별해야 한다.
③ 도입, 설치, 운영 단계
첫째, 제조사는 소비자가 제품의 무결성을 확인할 수 있는 수단(예, 전자서명 등)을 제공해야 한다.
둘째, 제조사는 소비자에게 하드웨어 및 소프트웨어 재료명세서를 전달(예, 전자문서 형태 등)해야 한다.
셋째, 제조사는 제품에서 결함 또는 취약점 발견 시 제품 개발사에 연락할 수 있는 수단을 제공해야 한다.
넷째, 제조사는 제품 판매 시 제품 단종 시기 또는 제품 단종 정책 정보를 소비자에게 제공해야 한다.
다섯째, 제조사는 제품 판매 시 서비스 지원 종료 시기 또는 서비스 지원 종료 정책 정보를 소비자에게 제공해야 한다.
④ 유지보수 단계
첫째, 제품 업데이트 및 보안 패치를 위한 업데이트 서버 운영 시 보안관리, 해시값, 전자서명, 공인기관의 유효한 인증서를 만족해야 한다.
둘쩨, 제품은 사용자에게 오프라인과 온라인 업데이트 및 롤백(Rollback) 기능을 제공해야 하며, 온라인 업데이트 시 서버 인증, 버전 확인, 안전한 통신채널, 파일의 유효성 검사를 만족해야 한다.
셋째, 오프라인 업데이트 시 버전 확인, 파일의 유효성 검사를 만족해야 한다.
넷째, 제조사와 사용자는 제품 수리‧교체, 업데이트 시 부품의 출처, 수명주기, 하드웨어 및 소프트웨어 재료명세서를 갱신해 소비자에게 제공해야 한다.
⑤ 폐기 단계
사용자는 제품 폐기 시 개인 의료정보와 같은 민감한 정보를 삭제해야 한다.
Q. 각각의 표준활동에 대한 향후 계획은?
한국기계전기전자시험연구원은 이번 표준을 준수해 하드웨어 기반 제품에 대한 보안 검증 서비스를 제공할 예정이며, 검증 서비스 결과를 기반으로 필요시 표준을 개정할 예정이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
