WTO 협정 관점에서 본 국내 전자상거래 환경의 문제점

고려대학교정보보호대학원
마스터 제목 스타일 편집
WTO 협정 관점에서 본
국내 전자상거래 환경의 문제점

3
사이버국방학과

정보보증연구실 - HARU (www.h4ru.com) -
(Founder : 김승주, 2011년)

정보보증연구실 - SECUINSIDE (www.secuinside.com) -
(Founder : 김승주, 2011년)

7
 2013년 미국 USTR 무역장벽보고서
 암호기능 탑재 제품의 정부 조달 체계
 암호만이 문제인가? 암호기능 미탑재
제품의 정부 조달 체계
 다른 나라는?
 국가∙공공분야만이 문제인가? 금융은??
 징벌적 과징금제가 성공하려면...
발표 순서

8
2013년 미국 USTR 무역장벽보고서

9

10

11

12
(출처: 국가정보원)
암호기능 탑재 제품의 정부 조달 체계

13
3DES 또는 AES는 없음!
암호기능 탑재 제품의 정부 조달 체계

14
 1977년 공표된 DES를 대체코자, 2001년 11월
26일 미국 상무부 산하의 표준기술연구소(NIST)에
의해 제정된 암호화 방식 표준 (FIPS-197).
 AES는 2명의 벨기에 암호학자인 존 대먼과 빈센트
라이먼에 의해 개발된 Rijndael(레인달) 암호에
기반하며 AES 공모전에서 선정되었음.
 NIST는 5년의 공개 선정 과정을 거쳤으며 이
과정에서 15개의 알고리즘이 경쟁, Rijndael
암호가 가장 적합한 알고리즘으로 선정되었음.
 AES는 ISO/IEC 18033-3 국제표준에 포함되어
있으며 여러 암호화 제품에서 사용되고 있음.
AES는 또한 미 국가안보국(NSA)에 의해
1급비밀(Top Secret)에 사용할 수 있도록 승인된
알고리즘 중 최초로 공개되어 있는
알고리즘이기도 함.
[참고] AES (Advanced Encryption Standard)

15
암호만이 문제인가?

16
CCRA v.s 보안적합성검증제도
UK Confidence
Levels 1998
German
Criteria
French
Criteria
Orange Book
(TCSEC) 1985미 국
영 국
독 일
프랑스
Canadian Criteria
(CTCPEC) 1993
Federal Criteria
Draft 1993
캐나다
ITSEC(1991)
※ 1999년 : ISO/IEC 15408 국제 표준으로 제정
v1.0 1996
v2.0 1998
v2.1 1999
v2.2 2004
v2.3 2005
v3.1 R1 2006.9
v3.1 R2 2007.9

17
1995. 08 정보화촉진기본법 및 동법 시행령 제정
1998. 02 정보보호시스템 침입차단시스템 평가기준 고시 및 평가시행
2000. 07 정보보호시스템 침입탐지시스템 평가기준 고시 및 평가시행
2000. 08 정보보호시스템 평가·인증 지침 개정
2001. 01 정보통신망이용촉진 및 정보보호 등에 관한 법률 제정
2002. 08
정보보호시스템 공통평가기준 고시
침입차단/침입탐지/가상사설망 평가시행
2003. 11 운영체제보안, 지문인식시스템, 스마트카드 평가시행
2004. 09 CCRA 인증서 발행국 가입신청
2005. 05 CC로 평가기준 일원화, 정보보호시스템 모든 제품으로 평가대상 확대
2006. 05 CCRA 인증서 발행국 가입
2007. 07 / 08 한국산업기술시험원(7월), 한국시스템보증(8월) 민간평가기관 등록
2007. 08
복수 평가기관 제도 도입 근거 마련
정보화촉진기본법 시행령 개정[`07. 8. 17, 대통령령 제 20227호]

18
1995. 08 정보화촉진기본법 및 동법 시행령 제정
1998. 02 정보보호시스템 침입차단시스템 평가기준 고시 및 평가시행
2000. 07 정보보호시스템 침입탐지시스템 평가기준 고시 및 평가시행
2000. 08 정보보호시스템 평가·인증 지침 개정
2001. 01 정보통신망이용촉진 및 정보보호 등에 관한 법률 제정
2002. 08
정보보호시스템 공통평가기준 고시
침입차단/침입탐지/가상사설망 평가시행
2003. 11 운영체제보안, 지문인식시스템, 스마트카드 평가시행
2004. 09 CCRA 인증서 발행국 가입신청
2005. 05 CC로 평가기준 일원화, 정보보호시스템 모든 제품으로 평가대상 확대
2006. 05 CCRA 인증서 발행국 가입
2007. 07 / 08 한국산업기술시험원(7월), 한국시스템보증(8월) 민간평가기관 등록
2007. 08
복수 평가기관 제도 도입 근거 마련
정보화촉진기본법 시행령 개정[`07. 8. 17, 대통령령 제 20227호]

19

20

21
암호기능 미탑재 제품의 정부 조달 체계

22
암호기능 미탑재 제품의 정부 조달 체계

23
다른 나라는?

24
외국 : 공공 조달시 선별적 진입 규제
NSTISSP #11 Guidance IA & IA-Enabled Products
NSA Involvement in
Product Evaluation
NSA Evaluated Product List
NIAP - Certified
CCTL Evaluations
FIPS evaluated
under CMVP
(FIPS 140-1 or 140-2)
Validated Product List
http://csrc.nist.gov/cryptval
Type 1 Crypto
for Classified
Level1Level2Level3Level4
EAL
Basic
robustness
products
Medium
robustness
products
High
robustness
products
4
7
6
5
3
2
1
0
4+
CMVP Labs
• Atlan
• Cygnacom (CEAL)
• CoACT
• EWA
• Domus
• InfoGard
NIAP Labs
• Booz Allen
Hamilton
• Cable & Wireless
• CoACT
• Criterian
Levels Of
Robustness
Crypto Modules and Algorithms
• CSC
• Cygnacom
• InfoGard
• SAIC
IT Products and PP

25
한국 : 공공 조달시 무차별적 진입 규제

26
한국 : 공공 조달시 무차별적 진입 규제

27
국가∙공공분야만이
문제인가? 금융은??

28
공인인증서 강제 사용 문제

[참고] 인증서란?
29
인감도장

[참고] 인증서란?
30

[참고] 공인인증서란? 국가가 발행!

[참고] 사설인증서란? 개인이 발행!
막도장
OOO이 발행

[참고] 사설인증서란? 개인이 발행!
33
막도장
국민은행이
발행

[참고] NPKI vs. GPKI
34
막도장 인감도장 관인

[참고] NPKI vs. GPKI
35
막도장 인감도장 관인
NPKI GPKI

SEED/ARIA 강제사용 및 소스공개 문제
(출처: 전자금융감독규정)

37

38
3DES 또는 AES는 없음!

39

40

41
But.. 금융 ≠ 국가·공공

42
외국은? 자율규제 방식 채택!
정부주도의 획일적인(One size fits all)
보안정책이 아닌, 업체가 자신이 처한
보안위협을 직접 분석하고
적절한 보안대책을 스스로 세우도록
하는 자율규제 방식을 채택
( 참조 : “정보보호도 자율규제 유도를”, http://amhoin.blog.me/40171134976 )

43
징벌적 과징금제가 성공하려면…

WTO 협정 관점에서 본 국내 전자상거래 환경의 문제점

Recommended

Recommended

More Related Content

Similar to WTO 협정 관점에서 본 국내 전자상거래 환경의 문제점

Similar to WTO 협정 관점에서 본 국내 전자상거래 환경의 문제점 (20)

More from Seungjoo Kim

More from Seungjoo Kim (20)

WTO 협정 관점에서 본 국내 전자상거래 환경의 문제점