정보보호 국제표준, 총 5개 그룹별 보안이슈 논의 ‘활발’ ISMS구축·암호알고리즘·제품보안성·정보보호통제·개인정보보호 등

  [보안뉴스 김경애] 국제표준은 여러 국가들이 모여 각국의 이해관계를 회의 형식으로 조정해 국제적으로 적용되도록 제정한 표준이다. 국제표준이 지정되면 해당 표준에 따라야 하기 때문에 정치적·경제적·기술적 측면에서 국가별로 큰 영향을 미칠 수 있다. 따라서 국제표준 참여는 전략적인 측면에서 매우 중요하며, 각국마다 국제표준화 활동을 위한 움직임이 활발하다.


정보보안 분야 역시 마찬가지다. 각국마다 정보보호 분야 표준화 활동이 활발하게 진행되고 있으며, 국내에서도 여러 보안전문가들이 에디터로 참여하는 등 국제표준화에 적극 나서고 있다.

이와 관련 국제표준을 위한 정보보안기술 워킹그룹 회의(ISO/IEC JTC 1/SC 27)가 지난 5월 말레이시아 쿠칭에서 개최된 바 있다. 이에 본지는 국제 표준화작업 현황 파악을 위해 정보보안과 관련한 각 워킹그룹에서 논의된 주요 내용을 살펴봤다.

먼저 정보보호 분야를 포함한 JTC 1에서 국제표준(IS: International Standard)이 되려면 연구회기(Study Period) 또는 새로운 표준 아이템 공식 제안(투표 결정) -> WD(워킹그룹 초안) -> CD(위원회 초안)->DIS(IS 초안, Draft IS)-> FDIS(최종 DIS, Final DIS) 단계를 거쳐야 한다.

현재 국제표준화 작업을 위해 각 워킹그룹별에서 논의한 주요 사항을 살펴보면 △WG1. 정보보호 관리체계(ISMS)의 구축과 관련 표준 개발 △WG2. 암호 알고리즘 등 다양한 다양한 암호 및 인증 기법 표준화 △WG3. 보안제품 보안성 평가 표준화 △WG4. 정보보호 통제 및 서비스 표준화(클라우드, 포렌식 등) △WG5. 개인정보보호, 바이오, ID 관리 표준화이며, 다음은 회의에 참석한 정보보호 전문가들의 의견을 정리한 내용이다.

WG1. 정보보안 관리체계 구축 및 구현 가이드
중앙대학교 김정덕 교수- WG1에서는 SC 27의 대표적인 국제표준으로서 27001과 27002 등 정보보안 관리체계(ISMS) 관련 표준화 작업을 하고 있다.  이번 회의에서는 2013년에 27001과 27002가 새롭게 개정됨에 따라 관련 지침의 개정 작업이 주요 이슈였다. 27001의 해설서 성격을 가지고 있는 27003과 ISMS의 모니터링, 측정, 분석 및 보고 프로세스 및 방법을 설명하고 있는 27004 프로젝트는 2nd CD 투표를 진행하기로 결정했으며 2016년 말 국제표준화 발간을 목표로 착실히 진행되고 있다.

보안관리의 핵심과정인 위험관리의 구체적 프로세스와 방법을 기술하고 있는 27005 프로젝트는 아직 문서구조 변경 등 문서의 성숙도가 아직 충분하지 않아 CD로 승격되지 못하고 4th WD로서 진행하기로 했다.

또한, 27001 ISMS 요구사항 표준을 특정 산업이나 서비스에 적용하기 위한 표준개발 요구사항을 포함하는 27009 프로젝트는 DIS 투표로 결정하기로 했으며, 오는 2016년 5월 경에는 국제표준으로 발간될 예정이다. 이 표준은 금융 ISMS, 전력산업 ISMS, 정보통신산업 ISMS 등 특정 산업에 적용할 ISMS 표준안 개발을 위한 요구사항을 포함하고 있다. 즉, 특정 산업을 위한 ISMS 표준을 개발할 때에는 27001에 포함되어 있는 요구사항에 추가·수정·보완할 수 있으나 요구사항을 약화시킬 수는 없음을 명시하고 있다.

이 외에도 WG1 국내 위원회에서는 내년에 다시 개정작업이 시작될 정보보호 거버넌스(27004) 프로젝트 등과 같이 주요 프로젝트 대응을 위한 국내 전문가 참여와 기고 유도를 위한 워크샵 개최 등을 추진하고 있다.   
WG2. 국내 암호 알고리즘 국제표준 채택 노력
포항공대 이필중 교수- WG2는 새로운 경량 암호 메커니즘과 다양한 인증 기법(영지식, 메시지 인증코드 등)을 표준화하고 국내 암호 알고리즘을 국제 표준으로 채택하기 위한 노력을 기울이고 있다.

디지털서명 기법을 표준화하고 있는 ISO/IEC 14888-3의 개정판에는 한국의 3가지(KCDSA, EC-KCDSA, IBS-2) 기법을 포함한 12가지의 서명기법을 표준화하고 있으며, 재개정 작업이 이번 회의에서 최종 직전 단계인 DIS로 가기로 결정됐다.

그러나 중국이 이들 중 EC-DSA를 포함한 4개의 기법에 보안성의 문제점을 제기했기 때문에 이에 대해 주의사항을 추가하기로 했다. 또한, 중국은 이와 관련해 자국의 표준 디지털서명들(SM2와 중국형 IBS)을 국제표준에 포함시키자고 주장했으며, 이에 대해서는 연구기간(Study Period)을 갖기로 했다.



그리고 중국은 경량 해쉬함수인 SM3를, 일본은 경량 메시지인증 기법인 Chaskey를, 영국과 일본은 암호키의 합의 기법들을, 일본은 공개키암호 기법인 FACE를 포함시킬 것을 요청해 이들에 대한 연구기간을 갖기로 합의했다.

이어 양자컴퓨팅 등장으로 인한 안전한 암호기법에 대해서는 새 연구기간을 갖기로 했으며, 미국의 요청으로 시작한 Simon과 Speck 기법을 경량블록 암호화 표준에 포함시키는 안건에 대한 연구기간은 결론을 내리지 못하고 6개월 연장했다.

한국에서는 형태보존암호(Format Preserving Encryption) 표준화를 위해 장래에 표준화해야 할 항목들을 정리한 WG2 로드맵(Roadmap)에 넣을 것을 주장해 포함시켰다.

WG3. 정보보안평가에 대한 표준 개발
국가보안연구소 최희봉 박사- WG3는 정보보안제품 평가기술과 관련된 국제표준을 개발하고 있다. 이번 회의에서는 CC 평가인증 분야의 국제표준들, 암호모듈 검증 분야의 국제표준들, 그리고 취약성 공개 및 처리절차들이 국제표준화 단계로 가는 등 많은 진전이 있었다.

암호모듈 검증기준(ISO/IEC 19790) 및 암호모듈 시험방법(ISO/IEC 24759)은 개정완료해 공표하기로 결정했으며, 암호모듈 비침투 공격방어기술 시험방법(ISO/IEC 17825)은 제정완료해 공표하기로 결정했다. 그리고 CC 평가인증에 대한 개정을 CCDB와 협력해 진행하기로 했다.

또한, 사용환경에 적합한 암호모듈을 선택하기 위해 수행하는 민간개발 암호모듈 현장시험 가이드라인(ISO/IEC 20540) 및 정보보안 제품에 탑재되는 난수발생기 시험평가 기술(ISO/IEC 20543)이 각국 대표들의 투표를 통과해 새로운 과제로 채택되어 국제표준 개발을 시작하게 됐다.

이번 회의에서 한국대표 활동사항으로, 민간개발 암호모듈 현장시험 가이드라인(ISO/IEC 20540) 국제표준 작업에 한국대표가 에디터로 선정됐으며, 한국대표들은 주요 WG3 국제표준 작업에 의견을 제출했다.   

이 외에도 개인정보보호 기능을 제공하는 시스템에 대해 ISO/IEC15408을 기반으로 프라이버시 보안요구사항을 도출하는 표준에 대한 의견을 제출했다. WG3의 프로젝트에는 국내 정보보호 전문가들이 다수 참여해 CC관련 표준을 모니터링하고 있다. PP와 ST작성 가이드(ISO/IEC 15446), 제품 및 서비스 등에서 취약점 공개(ISO/IEC 29147)와 처리절차(ISO/IEC 30111)에 대한 개정작업이 진행될 예정이다.

WG4. 보안관리 및 서비스 표준화
서울여자대학교 전상훈 교수- ‘SECURITY CONTROLS AND SERVICES’ 관련 표준이 개발되고 있는 WG4에서는 크게 △침해사고 관리 및 대응 △클라우드 보안 △공개키 기반 구조 △전자적 증거 수집(Electronic Discovery) 련 표준화가 진행 중이다.

침해사고 관리 및 대응 기술은 현재 중국(Part 1. 침해사고 관리의 원칙), 영국(Part 2. 침해사고 대응을 위한 준비 및 계획), 한국(Part 3. 침해사고 대응 및 운영기술)이 주도하고 있다. 이는 타 표준(정보보안관리, 클라우드, 증거수집 등)과의 연계와 국가 및 조직(FIRST, CSA, ITU-T, ETSI)에서도 관심이 높은 프로젝트이기도 하다.

이어 새로운 안건이 활발히 제기되고 있는 분야는 클라우드 보안기술로, 새로운 연구회기 안건으로는 가상화 보안기술과 CDRM(Cloud and new Data-related technologies Risk Management)이 채택됐다. 

공개키기반구조(PKI) 관련 프로젝트는 미국의 제안으로 시작됐으며, 현재는 WD단계로 진행 중이다. 

국제기술 표준화는 그동안 유럽, 미국 등이 주도해 왔지만, 최근에는 아시아 국가들이 기술 표준화에 적극 참여하고 있다. 그러나 중국이 최근 국제표준 기술 개발의 중요성을 인지하고 전 분야에 걸쳐 국제표준화 작업에 적극 참여하는 상황에 주목할 필요가 있으며, 국내 역시 보다 다양한 정보보호 분야 전문가들의 적극적인 참여가 요구된다.

WG5. ID 관리 및 프라이버시 기술과 프로세스
순천향대학교 염흥열 교수- WG5 작업반은 ID 관리와 프라이버시 기술과 프로세스에 대한 국제표준을 개발하고 있다. 이번 회의에서는 대부분의 국제표준이 한 단계 높은 단계로 진행되어 국제표준에 좀더 다가가게 됐다.

‘개인정보 비식별화’에 대한 신규표준화 아이템이 회원국의 투표 과정을 거쳐 진행하기로 했다. 이 제안은 국내 방송통신위원회 정책과 부합된다고 판단되어 한국은  적극 지지했다. 또한, 국제표준 개발 타당성을 확인하기 위한 5건의 연구회기가 시작됐다. 이는 ‘익명 속성 보증’, ‘프라이버시 공학’, ‘실체 인증 보증 프레임워크 적용 및 이용’, ‘사용자 친화적 고지 및 동의’ 등이다. 이와 관련한 국내 개인정보보호 기관과 전문가들이 높아지고 있다.  

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>