6. 고려대학교정보보호대학원
마스터 제목 스타일 편집
정보보증연구실 - SECUINSIDE (www.secuinside.com) -
(Founder : 김승주, 2011년)
7. 고려대학교정보보호대학원
마스터 제목 스타일 편집
7
2013년 미국 USTR 무역장벽보고서
암호기능 탑재 제품의 정부 조달 체계
암호만이 문제인가? 암호기능 미탑재
제품의 정부 조달 체계
다른 나라는?
국가∙공공분야만이 문제인가? 금융은??
징벌적 과징금제가 성공하려면...
발표 순서
14. 고려대학교정보보호대학원
마스터 제목 스타일 편집
14
1977년 공표된 DES를 대체코자, 2001년 11월
26일 미국 상무부 산하의 표준기술연구소(NIST)에
의해 제정된 암호화 방식 표준 (FIPS-197).
AES는 2명의 벨기에 암호학자인 존 대먼과 빈센트
라이먼에 의해 개발된 Rijndael(레인달) 암호에
기반하며 AES 공모전에서 선정되었음.
NIST는 5년의 공개 선정 과정을 거쳤으며 이
과정에서 15개의 알고리즘이 경쟁, Rijndael
암호가 가장 적합한 알고리즘으로 선정되었음.
AES는 ISO/IEC 18033-3 국제표준에 포함되어
있으며 여러 암호화 제품에서 사용되고 있음.
AES는 또한 미 국가안보국(NSA)에 의해
1급비밀(Top Secret)에 사용할 수 있도록 승인된
알고리즘 중 최초로 공개되어 있는
알고리즘이기도 함.
[참고] AES (Advanced Encryption Standard)
16. 고려대학교정보보호대학원
마스터 제목 스타일 편집
16
CCRA v.s 보안적합성검증제도
UK Confidence
Levels 1998
German
Criteria
French
Criteria
Orange Book
(TCSEC) 1985미 국
영 국
독 일
프랑스
Canadian Criteria
(CTCPEC) 1993
Federal Criteria
Draft 1993
캐나다
ITSEC(1991)
※ 1999년 : ISO/IEC 15408 국제 표준으로 제정
v1.0 1996
v2.0 1998
v2.1 1999
v2.2 2004
v2.3 2005
v3.1 R1 2006.9
v3.1 R2 2007.9
17. 고려대학교정보보호대학원
마스터 제목 스타일 편집
17
1995. 08 정보화촉진기본법 및 동법 시행령 제정
1998. 02 정보보호시스템 침입차단시스템 평가기준 고시 및 평가시행
2000. 07 정보보호시스템 침입탐지시스템 평가기준 고시 및 평가시행
2000. 08 정보보호시스템 평가·인증 지침 개정
2001. 01 정보통신망이용촉진 및 정보보호 등에 관한 법률 제정
2002. 08
정보보호시스템 공통평가기준 고시
침입차단/침입탐지/가상사설망 평가시행
2003. 11 운영체제보안, 지문인식시스템, 스마트카드 평가시행
2004. 09 CCRA 인증서 발행국 가입신청
2005. 05 CC로 평가기준 일원화, 정보보호시스템 모든 제품으로 평가대상 확대
2006. 05 CCRA 인증서 발행국 가입
2007. 07 / 08 한국산업기술시험원(7월), 한국시스템보증(8월) 민간평가기관 등록
2007. 08
복수 평가기관 제도 도입 근거 마련
정보화촉진기본법 시행령 개정[`07. 8. 17, 대통령령 제 20227호]
CCRA v.s 보안적합성검증제도
18. 고려대학교정보보호대학원
마스터 제목 스타일 편집
18
1995. 08 정보화촉진기본법 및 동법 시행령 제정
1998. 02 정보보호시스템 침입차단시스템 평가기준 고시 및 평가시행
2000. 07 정보보호시스템 침입탐지시스템 평가기준 고시 및 평가시행
2000. 08 정보보호시스템 평가·인증 지침 개정
2001. 01 정보통신망이용촉진 및 정보보호 등에 관한 법률 제정
2002. 08
정보보호시스템 공통평가기준 고시
침입차단/침입탐지/가상사설망 평가시행
2003. 11 운영체제보안, 지문인식시스템, 스마트카드 평가시행
2004. 09 CCRA 인증서 발행국 가입신청
2005. 05 CC로 평가기준 일원화, 정보보호시스템 모든 제품으로 평가대상 확대
2006. 05 CCRA 인증서 발행국 가입
2007. 07 / 08 한국산업기술시험원(7월), 한국시스템보증(8월) 민간평가기관 등록
2007. 08
복수 평가기관 제도 도입 근거 마련
정보화촉진기본법 시행령 개정[`07. 8. 17, 대통령령 제 20227호]
CCRA v.s 보안적합성검증제도
42. 고려대학교정보보호대학원
마스터 제목 스타일 편집
42
외국은? 자율규제 방식 채택!
정부주도의 획일적인(One size fits all)
보안정책이 아닌, 업체가 자신이 처한
보안위협을 직접 분석하고
적절한 보안대책을 스스로 세우도록
하는 자율규제 방식을 채택
( 참조 : “정보보호도 자율규제 유도를”, http://amhoin.blog.me/40171134976 )