본문 바로가기

인증

2011 정보보호제품 평가 인증 컨퍼런스 메모


다시 오랜만에 돌아왔습니다. 실무를 하면서, 아니 실무를 하니 일만해서 매번 글을 쓰고 정리하는 것이 어렵네요. 이제 심기 일전하여 차근 차근 정리하는 마음으로 글을 올려보도록 하겠습니다. 전규현님도 바쁘셔서 5월 들어 글을 못 올리고 계신 것 같은데 이 틈을 타서 해볼까 합니다. 대강 틀을 잡기는 했는데 정리가 다 된 글 보다는 전체 틀로서 '평가 준비 - 진행 - 완료 사후관리' 라는 순서로 올리려 합니다. 매번 공수표만 올려서 송구스럽습니다. 


오늘은 오늘 있었던 평가 인증 컨퍼런스를 참석하면 들었던 세션 중심으로 메모한 것을 정리하였습니다. 일반적인 내용보다는 참고할 만한 내용 중심으로 정리하였습니다. 

    평가인증제도

행사전에는 "변경된 제도"라고 했었던 것 같은데 (그래서 뭐가 변경이 있을 줄 알았습니다) 발표 내용으로는 크게 달라진 내용이 없었습니다. 그래서 못 봤는지 지금 보니 2012년에 PMS가 국내용 CC인증 대상에 추가된다고 장표에 있습니다. 

PP와 더불어 (요즘은 PP를 만들지 않고 있습니다) G-SFR이라는 이름으로 제품군별로 기능요구사항 문서를 만들어 배포하고 있고 이는 "지식정보보안산업협회(KISIA)"에서 책자로 받을 수 있다고 합니다. 아직 PP가 1.0 (CC 버전 2.3) 이 있는데 이는 SFR 만 참고하면 되겠습니다. 

이제 총 제품군이 25개 입니다. 이 제품군은 모두 CC인증 대상이고 추가적으로 2012년에 PMS도 추가하겠다는 것 같습니다. 

뭔가 제도 개선 사항이 있었는데 아직 발표할 때가 아닌지 아니면 안하기로 했는지 빠진 느낌입니다.


    보안관리의 기본과 원칙

발표자가 JS시큐리티 박태완대표이셨습니다. JS 시큐리티에 들어보신분 계십니까? 저는 처음 들었습니다. 바로 홈페이지 등을 찾아보았는데 오늘 발표하신 대표님은 보안 컨설팅, 교육으로 검색 결과가 몇개 나왔는데 회사 홈피는 못찾았습니다. 발표 자료도 책에 없으니 더 신기합니다.

보안 컨설팅에 대한 전반적인 이야기를 했습니다. 아직도 보안 컨설팅 이야기는 웃깁니다. 3년마다 컨설팅이 반복되고 재투자되고 있지만 항상 똑같다는 이야기입니다.

의미 있었던 이야기로 회사의 보안 점수는 여러 분야별로 점수를 매겨 보았을 때 평균이 아니라 낮은 점수로 해야 한다고 합니다. 맞는 이야기 같습니다. 
 

    모의제품, 제출물을 활용한 평가준비 편의성 제고

모의 제품 소개가 있었습니다. 아마도 제출물작성교육이나 평가인증교육 때 이를 가지고 하나봅니다. 현재 KISA 홈페이지 "개발자를 위한 도우미"에도 없는 것 같습니다. (추후에 교육 부분만 따로 정리를 해보겠습니다. 모의 제품으로 평가 제출물도 이미 되어 있어서 교육 때 활용이 될 것 같습니다.  

2011년에 제출물 작성 교육은 6월 20-24일, 12월 5-9일(예정)이 있고 평가 인증 교육은 다음주 23일-6월3일이 있고 2차는 미정이라고 합니다. 


    CC인증 제품과 암호모듈간의 평가 관계

공공기관에 도입되기 위해서는 검증필 암호모듈을 탑재하여 (VPN 같은 경우) CC인증을 받거나 보안적합성 제도를 통해 들어갑니다. 그런데 여기에 "암호지정"이 빠졌습니다. 공공기관에 도입될 수 있는 경우로 국정원이 지정한 암호 제품(PKI, SSO, 디스크/파일 암호화, DRM, 메일 암호화, 키보드 암호화, 하드웨어 보안 토큰, DB 암호화, 기타 암호화 전문)에 대해서 암호 지정을 받으면 됩니다. 국가사이버안전센터 => IT보안인증사무국 => 암호제품지정 참고

국외 동향으로 CC인증과 연계 하여 암호 모듈을 가지고 가려고 했으나 (암호 모듈을 꼭 탑재하여 CC인증) 미국, 일본, 캐나다를 중심으로 이를 분리하려 한다는 소식입니다. 

암호 검증 모듈의 유효기간은 5년이라고 합니다. 검증 받은 암호 모듈의 해시가 같아야 CC인증 할 수 있다고 하네요.

암호모듈 제출물설명회가 담주 26일 오후 3시 교육문화회관 금강 A홀에서 있다고 합니다. 


    보안업체를 위한 소프트웨어 테스팅 프로세스 

발표는 STA의 권영일대표(광운대 교수)께서 하셨습니다. 역시 발표를 대단히 잘 하십니다. 발표의 범위와 목적을 정확히 집고 넘어가고 시작 전에 시선을 끄는 작업이 매우 탁월 하십니다. 경력에 의한 포스가 느껴지십니다. 이분은 개인적으로 발표 후에 여러 사람에 둘려 싸여 질문 토론 답변 하는 모습이 매우 인상적이었습니다. 아직까지 열정이 느껴집니다. 

평가하는 모델 TMMi 가 있습니다. 모든 소프트웨어 속에 결국 CC인증 보안성 시험도 비슷 동일하군요. 우리는 평가 준비를 위한 시험을 어떻게 하고 있나요? 인증서를 위해서 우선 평가에 들어가기에 급급한 실정입니다. 테스팅 프로세스 평가하는 TMMi ISO33063는 한국이 주도하고 있다고 합니다. 

여러 시험 방법이 있는데 그 중 보안성 시험 (CC인증 시험) 이 있고 이는 일반 소프트웨어 시험과 크게 다르지 않다는 설명이십니다. 그래서 생각했습니다. 일반 시험 프로세스와 비슷 동일한데 별도의 짧게라도 프로세스나 방법이 있어야 하지 않을까 합니다. 

그리고 리스크기반 시험: 전세계 표준이라고 합니다. 오늘 소개해주신 TPAM 에 Security Test Management 영역이 따로 있습니다. 

비기능 시험은 성능, 신뢰성, 확장성, "보안" 시험이고 이 또한 추세라고 합니다.

이 세션을 마치면서 생각이 많아 졌습니다. 시험을 꼭 QA와 통합해서 할 필요는 없구나 CC인증 대상에 대해서 보안성 시험을 하면 되고 (CC인증 준비) 이를 확장하고 일반화 하여 프로세스를 만들 필요가 있겠다 생각이 들었습니다. 그런 측면으로 CC인증 개발 단계 부터 평가 준비 프로세스를 다시 한번 그려보고 정비해 봐야겠습니다. 


    동적 분석 기반 소프트웨어 보안 취약성 분석 연구 동향

동적이라는 것은 "실행"이라는 의미입니다. 소스 분석은 대표적인 정적 분석인데 반해 동적 분석은 실행 중인 소프트웨어를 공격자 입장에서 여러 시험 (침투 등)을 하는 것입니다. 

핵심 용어만 메모했습니다: 
실행, 비기능 시험, security testing, nagative, 공격, buildsecurityin.us-cert.gov, 위협, 위험, 위협 모델링(MS STRIDE model), fuzzing, symbolic execution

감사합니다.