정보보호연구반 구조 논의와 보안조정 등 12개 연구과제 확정_
사물인터넷 보안 프레임워크, 보안 모델 등 연구 진행키로
[보안뉴스 김경애] 국제전기통신연합 표준화부문 ITU-T 정보보호 연구반(SG17) 회의가 지난 9월 8일부터 17일까지 스위스 제네바에서 개최됐다.
이번 회의의 주요 쟁점사항은 차기 연구회기(2017년~2020년)를 위한 SG17의 구조 결정과 사물인터넷 보안 국제표준 개발 방향 결정을 위한 논의였던 것으로 알려졌다.
특히, 이 두 가지 주제는 한국 주도로 논의되어 눈길을 끌었다. 이에 본지는 SG17 특별세션 의장인 순천향대학교 염흥열 교수와의 인터뷰를 통해 이번 ITU-T 표준회의 주요 논의내용과 의미에 대해 자세하게 들어봤다.
Q. 정보보호와 관련해 이번 ITU-T 표준회의에서 주로 논의됐던 내용은 무엇인가?
영광스럽게 의장을 맡아 주재했던 4차례의 특별 세션에서는 한국이 제안한 내용이 고스란히 반영됐다. 한국은 차기 연구회기를 위한 SG17의 구조에 대한 기고서를 제출했으며, SG17의 연구반 구조, 연구반 주요 임무, 12개의 연구과제(Question) 수정 텍스트를 제안했다.
수정 텍스트는 어떤 연구과제를 연구할 것인지 확정하는 문서로, 확정된 12개의 연구과제는 △보안조정 △보안구조 및 프레임워크 △통신망 정보보호 관리 △사이버보안 △기술적 수단에 의한 스팸대응 △유비쿼터스 통신서비스 보안 △안전한 응용서비스 보안 △클라우드컴퓨팅 보안 △통신바이오 인증 △아이덴티티 관리 △공개키 기반구조 등 지원기술 △통신 언어이다. 앞으로 12개 작업반이 이를 연구할 계획이다.
그중 한국은 유비쿼터스, 통신 정보보호 관리, 안전한 응용 서비스 보안 연구과제 분야의 국제표준을 집중적으로 연구개발하고 있다.
SG17의 연구반 구조는 다음 2016년 3월 회의에서 최종 결정될 예정이며, 2016년 3월 회의까지 논의를 계속하기 위해 서신그룹(CG on WTSAprep, 의장: 염흥열 교수)을 신설해 이메일 등으로 계속 논의해 나갈 계획이다.
Q. 지난 7월 한국 주도로 신설된 사물인터넷 연구반의 사물인터넷 보안 국제 표준화 추진 방향 논의는 어떻게 진행되고 있나?
2015년 6월 ITU-T 정보통신자문반(TSAG) 회의는 사물인터넷 연구반(SG20)을 신설한 바 있다. 따라서 이번 회의에서는 두 연구반 간에 사물인터넷 보안 국제 표준 추진방향에 대한 논의를 시작했다.
한국은 두 연구반 간의 사물인터넷 보안 국제표준 추진 방향을 결정하기 위해 두 가지 방안을 제안했다. 첫 번째 방안은 SG20 내에 보안 연구과제가 없는 경우, SG17에서 주도적으로 추진하는 방안이며, 두 번째 방안은 SG20 내에 보안 연구과제가 신설되는 경우, 두 연구반이 서로 나눠서 추진하는 방안이다.
한국의 제안은 미국, 영국 등 주요 국가로부터 지지를 받아 반영됐으며, 이번 회의 논의 결과는 2016년 2월 TSAG 회의에 협력문서를 통해 전달하기로 했다. 또한, 논의를 구체화하기 위해 조인트 서신그룹(CP on iotsec)이 신설됐고, 해당 그룹을 계속 논의하기로 했다.
Q. 한국 주도의 사물인터넷 보안 프레임워크에 대한 국제 표준 진행현황은?
한국은 지난 4월 SG17 회의에서 사물인터넷 보안 프레임워크에 대한 신규아이템을 제안해 ITU-T X.iotsec-2(Security Framework for Internet of Things: 사물인터넷 보안 프레임워크, 에디터: 염흥열 등)가 반영됐다.
지난 7월 연구과제 6 인터림 회의에서는 주요 국제표준화기구에서 개발되고 있는 표준화 항목을 분석한 결과를 바탕으로 X.iotsec-2 개발 필요성을 재차 확인했다. 한국은 이번 회의에서 제1차 수정 텍스트를 제안했는데, 핵심은 사물인터넷에 대한 보안모델을 결정하는 것이다. 이번 회의를 통해 X.iotsec-2은 향후 본격적으로 추진될 발판을 마련했다. 이와 함께 사물인터넷 보안위협에 대해서도 집중 연구할 방침이다.
SG17 특별세션 의장 순천향대학교 염흥열 교수
Q. 국내에서 시행 중인 정보보호 준비도 평가를 국제 표준화로 추진한다고 들었는데, 추진현황은?
한국은 지난 2014년 9월 정보보호연구반 회의에서 국내에서 시행중인 ‘정보보호 준비도 평가’ 기준을 국제표준으로 개발하기 위해 신규 표준화 아이템으로 제안해 반영시킨 바 있다. 이번 회의에서 한국은 네트워크 보안, 인증기준, 보안패치 관리, 서버설정 관리, 악성코드 등 한국의 기준을 제2차 수정 텍스트로 제안해 반영하는 데 성공했다. 향후 국내 정보보호 준비도 평가 기준은 지속적으로 국제 표준에 반영시킬 예정이다.
Q. 이번 ITU-T 표준회의에서 특이할 만한 사항은?
이번 회의에서는 한국 주도로 개발되어 온 X.1157(이상행위 탐지 및 대응기술)이 국제표준으로 최종 채택됐고, X.1175(익명인증기술)가 사전 채택준비(컨센트) 과제로 선정됐다. 이어 한국주도로 개발 중인 △개인정보보호 지침 △통신조직을 위한 개인정보보호 지침 △스마트폰 분실대응 보안구조 △정보보호 관리 지침 △차세대 인증기술 △세션정보 교환 포맷 △SDN 보안 △바이오인식 하드웨어 보안 모듈 △정보보호 평가 방법 △스마트 그리드 보안 및 인증 메커니즘 △객체식별자 응용 기술 등의 표준 초안을 제안해 반영시켰다. 이와 함께 유승우 연구원(순천향대 대학원 정보보호학과)이 국제표준 코에디터로 추가 임명되는 성과를 거뒀다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>