[한국인터넷진흥원][정보보호] 암호이용 안내서 (2010.01)

안녕하세요. 황컴플라이언스 입니다.

[한국인터넷진흥원][정보보호] 암호이용 안내서 (2010.01) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 암호이용 안내서

○ 발행일 : 2010년 01월

○ 주관부처 : 한국인터넷진흥원, 방송통신위원회

---

[개요]

□ 배경 및 목적

• 암호기술은 현재 인터넷뱅킹, 사이버증권, 신용카드결제, 전자입찰, 전자화폐, 저작권이나 산업정보, 개인정보보호, 전자선거 등 다양한 분야에서 정보의 기밀성 및 무결성, 사용자 인증 등을 위해 광범위하게 이용되고 있다.
• 최근 사회 전 분야에 걸쳐 정보보호 관련 사고 발생 및 피해사례가 속출하여 정보보호에 대한 인식이 증가함에 따라 암호기술 이용에 대한 필요성이 증가하고 있다. 그러나 이러한 필요성 증대에도 불구하고 국내 암호 솔루션 도입 현황은 저조한 실정이다. 실제로 ’06년 한국인터넷진흥원(구, 한국정보보호진흥원)에서 조사한 국내 IT서비스 제공업체의 암호 솔루션 사용현황에 따르면, 금융기관을 제외한 교육, 의료, 전자거래 업체 등의 암호 솔루션 사용현황이 40%이하로 낮게 나타났다. 또한, 동일한 조사에서 암호 솔루션 도입필요성에 대한 CEO의 인식부족 및 비용 부담, 관련 전문가 및 분야별 암호적용 범위 수준 등에 구현 가이드라인 부재 등이 암호 솔루션의 도입을 미루는 이유로 나타났다.
• 이에 본 가이드라인은 기업 및 기관의 시스템관리자 및 보안관리자에게 자사가 보유한 정보의 보안등급 및 이용단계에 따른 암호기술의 적용수준과 범위, 교육, 의료 등 분야별 암호기술 활용 방안을 제시하고자 한다. 다만, 국내에서는 1999년 전자서명 인증체계가 도입된 이후로 암호기술은 사용자 인증을 위한 전자서명 기술과 분리하여 정보의 기밀성을 위한 협의의 의미로 사용되고 있어 본 가이드라인에서 언급하는 암호기술은 정보의 기밀성을 위한 암호화(Encryption)에 적용되는 기술을 의미하고 있다.
• 본 가이드라인에서 제시하는 암호기술의 적용범위와 수준 및 기술적 구현방안은 일반적인 정보통신서비스를 대상으로 하고 있으므로 기업및 기관별 구체적인 적용방안은 해당 기업의 네트워크 환경이나 보안 요구사항에 따라 달라질 수 있다.

---

암호이용 안내서.pdf

8.02MB

암호이용 안내서 (2010.01) : 한국인터넷진흥원, 방송통신위원회

---

□ 적용대상 및 구성

• 본 가이드라인은 정보통신망을 이용한 서비스를 제공하며 보호의무가 있는 정보를 관리하는 기업 및 공공기관, 단체 등의 시스템관리자 및 보안관리자에게 암호 솔루션을 구축하기 위한 기술적 활용 방안을 제시하고 있다.
• 가이드라인 1장에서는 정보의 중요도에 따른 등급화 방안 및 물리적 보안환경에 따른 네트워크 보안등급 분류를 제시하고 있다. 시스템관리자 및 보안관리자는 해당 조직이 보유한 다양한 정보들을 안전하게 관리하기 위해 1장에서 제시한 분류 기준을 이용할 수 있다.
• 2장에서는 정보의 저장·관리 및 송·수신 단계에서 적용 가능한 다양한 암호기술을 소개하고, 각 기술을 조직 내에 실제 적용하는 과정에서 암호기능 사용과 관련한 운영 및 기술에 대한 권고사항을 제시하고 있다.
• 3장에서는 암호기술 사용에 가장 중요한 암호키 관리와 암호키 소유자 인증 및 보호에 필요한 패스워드의 관리 기준을 제시하고 있다.
• 마지막으로 4장에서는 앞서 소개한 다양한 암호기술을 전자거래 및 교육 서비스 등에 적용하기 위한 방안을 제시한다. 다만, 이런 다양한 서비스들의 기본적인 네트워크 구조가 거의 동일함에 따라 4장에서는 각각의 서비스에 대한 보안위협을 도출하고 주요 보안위협에 대해 암호기술을 이용한 보안대책을 제시하고 있다.

---

□ 용어 정의

다음은 본 가이드라인에서 사용되는 용어들에 대한 정의이다.

정보통신서비스 제공자

• 전기통신사업법에 의하여 허가를 받거나 등록 또는 신고를 하고 전기통신역무를 제공하는 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로써 유무선 전화서비스업체, 검색서비스업체, 포털서비스 업체 등을 의미

시스템관리자

• 다중 사용자 컴퓨터 시스템과 통신 시스템의 사용에 대한 관리 책임을 지는 사람으로, 사용자 계정과 암호의 할당, 기밀(보안) 접근 수준의 설정, 기억 장치 공간 할당 등을 수행하는 사람

보안관리자

• 비인가된 접근으로부터 통신 네트워크 및 시스템, 응용 서비스 등의 보호책임을 지는 사람 으로써, 보안 관련 이벤트의 분석, 암호 키의 분배 제어, 인가된 사용자의 접근 권한 관리 등을 수행

서비스 제공기관

• 가입자 또는 고객이 통신망을 이용해서 접속하는 서비스를 운영하는 기업 혹은 조직

정보통신망

• 여러 가지 통신 정보를 디지털 신호화함으로써 다양한 서비스를 종합적으로 제공하는 통신망

가상 시스템

• 사용자가 시스템을 사용할 때, 그 시스템이 실제로 가지고 있는 것 보다 더 많은 주기억 장치를 가지고 있는 것처럼 사용할 수 있도록 하는 운영 체계의 한 형태

데이터 센터

• 기업고객들로부터인터넷서비스를 아웃소싱 받아 서버와 네트워크를 제공하고 컨텐츠를 대신 관리해주는 곳

오픈 네트워크

• 개방형 네트워크로써 대표적인 예로 인터넷 등을 의미

포렌식

• 컴퓨터를 매개로 이루어지는 행위에 대한 법적 증거자료 확보를 위해 컴퓨터 저장매체 등의 시스템과 네트워크로부터정보를수집, 분석 및 보존하여 법적 증거물로 제출할 수 있도록 하는 일련의 행위

완전삭제(Wiping)

• 저장매체에서 삭제된 데이터가 복구 도구에 의해 복구 되지 않도록 삭제하는 방법

DRM(Digital Right Management)

• 디지털 콘텐츠의 무단 사용을 막아, 제공자의 권리와 이익을 보호해주는 기술과 서비스를 의미하며 불법 복제와 변조를 방지하는 기술 등을 제공

암호키

• 전자문서를 대칭 암호화방식으로 암호화 또는 복호화하기 위하여 이용하는 전자적정보

키 암호키

• 암호키를 대칭 암호화방식으로 암호화 또는 복호화하기 위하여 이용하는 전자적 정보를 말하며, “키 포장 키”라고도 함

마스터키

• 대칭암호화방식을사용하여다른암호키또는키암호키를유추하는 데 사용되는 전자적 정보

암호키 분배키

• 암호키 또는 정보를 안전하게 전송 또는 분배하기 위하여 이용하는 공개키 암호화방식의 전자적 정보로서 암호키분배공개키와 암호키 분배개인키

도메인 파라미터

• 공개키 암호화방식에서 키쌍 생성 및 암호키분배를 위해 사용되는 전자적 정보

솔루션

• 사용자 요구에 적합하면서 특정한 형태의 컴퓨터 소프트웨어 패키지나 응용프로그램과 연계된 문제를 처리해 주는 하드웨어 또는 소프트웨어를 의미

에이전트

• 장면에 따라서 의도를 이해하고 자립적인 판단에 의해 처리를 실행하는 기능. 즉, 목적하는 웹 페이지를 찾아내면 특정 목적을 실행하는 프로그램

보안통제

• 정보 시스템을 보호하기 위해 제공된 하드웨어, 펌웨어 및 소프트웨어 안에서 구현되는 보안 메커니즘과 물리적, 인적, 절차적 및 관리적 보안 요구 사항을 포함하는 조치 사항들

공중망(Public Network)

• 통신 사업자나 통신 주관청이 제공하는 교환 접속형 전기 통신망으로써, 교환을 통하여 전국 또는 전 지역 불특정 다수의 사용자에게 서비스를 제공하는 통신망

사설망(Private Network)

• 공중망과 대칭되는 말로써, 인터넷, 네트워크 혹은 음성 통신을 기업 내의 전용선 통신망과 같이 사용하는 네트워크

데이터 출처 인증(Origin Authentication)

• 수신된 데이터의 발신 객체에 대한 인증으로써, 네트워크를 통해 수신된 데이터가 도중에 해킹 등 악의의 공격으로부터의 변조 없이 발신자로부터 올바로 전송되었음을 확인

터널링

• 하위층 통신 규약의 패킷을 상위층 통신 규약으로 캡슐화하는 것으로, 통신망상의 두 점 간에 통신이 되도록 하는 것

PPP(Point to Point Protocol)

• 컴퓨터 통신망에서 통신 데이터를 송수신하는 데에 사용하는 프로토콜로, 두 대의 컴퓨터가 직렬 인터페이스를 이용하여 통신을 할 때 필요한 프로토콜

인증 헤더(AH, Authentication Header)

• IPSec에서 데이터의 무결성과 인증 및 재사용 방지를 위해 메시지 패킷에 덧붙이는 정보

ESP(Encapsulating Security Payload)

• IP 보안 프로토콜(IPSec)에 있어서 데이터의 무결성과 프라이버시(privacy)를 제공하는 기능으로써, 인증되지 않은 데이터 스트림에 대한 공격을 막기 위해 제한적 트래픽 흐름의 비밀성을 제공함

IKE(Internet Key Exchange)

• 인터넷 표준 암호 키 교환 프로토콜 (RFC 2409)

MPLS(Multi Protocol Label Switching)

• IETF가 표준화 작업 중인 cut and through 방식의 패킷 전송의 계층 3 레벨 스위칭 기술

보안연계(Security Association)

• AH, ESP와 같이 통신의 배경을 설립하고, 일반적으로 그 통신에 대한 몇 가지 보안 상황을 정의하는 요소

자원관리자

• 시스템의 성능 목표를 충족시키기 위하여 시스템 자원의 사용을 제어하는 프로그램들의 집합으로써, 일반적으로 운영체제가 포함하고 있음

PSTN(Public Switched Telephone Network)

• 공공 통신 사업자가 운영하는 공중전화 교환망

---

[목차]

제1장 개요

• 제1절 배경 및 목적
• 제2절 적용대상 및 구성
• 제3절 용어 정의
• 제4절 정보 및 네트워크 보안등급

제2장 정보의 이용단계별 암호기술 활용 방안

제1절 저장 · 관리 단계

• 1. 디스크 암호화
• 2. 파일 암호화
• 3. 데이터베이스 암호화
• 4. 백업데이터 암호화

제2절 송수신 단계

• 1. 키보드 암호화
• 2. 메일 암호화
• 3. 통신 암호화
• 4. 네트워크 프린터 암호화

제3장 패스워드 및 키 관리 방안

제1절 패스워드 관리 방안

• 1. 패스워드 생성 단계
• 2. 패스워드 변경 단계
• 3. 패스워드 이용 단계

제2절 키 관리 방안

• 1. 암호키 관리
• 2. 키 사용에 대한 고려사항
• 3. 키 유효기간 설정에 대한 고려사항
• 4. 암호 알고리즘과 키 크기 선택에 대한 고려사항

제4장 서비스 분야별 암호기술 활용 방안

제1절 전자거래 서비스

• 1. 서비스 개요 및 특징
• 2. 주요 보안위협 및 암호기술 활용 방안

제2절 교육 서비스

• 1. 서비스 개요 및 특징
• 2. 주요 보안위협 및 암호기술 활용 방안

제3절 금융 서비스

• 1. 서비스 개요 및 특징
• 2. 주요 보안위협 및 암호기술 활용 방안

제4절 의료 서비스

• 1. 서비스 개요 및 특징
• 2. 주요 보안위협 및 암호기술 활용 방안

[부록 1]

• 이메일 시스템 구축 및 운영 관련 보안 체크리스트(NIST)

[부록 2]

• 암호화 제품 관련 오픈소스 리스트