Chapter 1
차세대 정보보안 기술 동향
●
●
●
김준형 || SK인포섹 수석
21세기에 접어들며 유/무선 통신 기술 발달, 컴퓨터 파워 증가, 다양한 데이터 추출 및 활용 기술 발전으로 인공지능(Artifical Intelligence: AI), IoT(Internet of Thing), 빅데이터 분석, 클라우드컴퓨팅, 퀀텀컴퓨팅(Quantum Computing) 등 차세대 IT 기술이 주목받고 있으며, 다양한 산업 분야에서 새로운 시장 창출 및 인류 발전을 위해 활용되고 있다. 이러한 새로운 IT 기술은 기존 전통 IT 환경에서 다루던 기술 및 데이터와는 다른 새로운 형태의 기술 및 데이터를 활용하게 되며, 이에 따라 전통 IT 환경에서 경험하였던 정보보안 위협과는 또 다른 차원의 위협이 대두되고 있다. 또한, 2020년 창궐한 코로나19의 영향으로 비대면 IT 서비스가 증가하면서, 차세대 IT 기술을 활용한 원격 서비스가 폭발적으로 증가하여 차세대 IT 환경의 정보보안이 더욱 관심을 받고 있다([그림 1] 참조).
본 고에서는 차세대 IT 기술 발전에 따른 차세대 정보보안 위협 및 정보보안 기술에 대해 알아보고, 우리나라에서 주도하여 개발하고 있는 차세대 정보보안 표준기술에 대해 알아보고자 한다.
본 고에서는 차세대 IT 기술 발전에 따른 차세대 정보보안 위협 및 정보보안 기술에 대해 알아보고, 우리나라에서 주도하여 개발하고 있는 차세대 정보보안 표준기술에 대해 알아보고자 한다.
* 본 내용은 김준형 수석(☎ 02-6400-7104, kimda-3@sk.com)에게 문의하시기 바랍니다.
** 본 내용은 필자의 주관적인 의견이며 IITP의 공식적인 입장이 아님을 밝힙니다.
<자료> 성재모 외 19명, “ICT 표준화전략맵 Ver.2020 종합보고서”, TTA, 2020, pp.235-308.
[그림 1] 차세대 보안 영역
이를 위해, 먼저 II장에서는 차세대 정보보안 위협에는 어떤 것이 있는지 살펴보고, III장에서는 이러한 정보보안 위협을 예방, 보완하기 위한 차세대 정보보안 기술 및 표준 기술 현황에 대해 알아보고자 한다. 마지막으로 IV장에서 본 고의 결론을 제시한다.
II. 차세대 정보보안 위협
차세대 정보보안 위협은 크게 4가지 IT 환경영역으로 나누어 생각해 볼 수 있다([표1] 참조).
첫째, 네트워크 환경이다. 유선통신 사용 비율은 줄어들고 주파수를 활용한 무선통신, 이동통신, 센서통신이 사용된 서비스가 활발히 개발되고 있으며, 이러한 네트워크 환경에서는 기존 유선통신에서 볼 수 없었던 주파수 기반 정보보안 위협이 존재한다. 무선/이동/센서통신 주파수는 유선과 달리 공기를 전송매체로 사용하는 서비스 특성상 불특정 다수의 신호 수신이 가능하며 도청, 기지국 공격, 신호 왜곡 등 다양한 형태의 공격이 가능하다. 무선통신은 일반적으로 브로드캐스트 통신을 하기 때문에 Sniffing, Jamming 공격에 취약하며, 휴대가 간편하고 이동이 수월하여 물리적 연결 없이 네트워크 공격이 가능하다.
첫째, 네트워크 환경이다. 유선통신 사용 비율은 줄어들고 주파수를 활용한 무선통신, 이동통신, 센서통신이 사용된 서비스가 활발히 개발되고 있으며, 이러한 네트워크 환경에서는 기존 유선통신에서 볼 수 없었던 주파수 기반 정보보안 위협이 존재한다. 무선/이동/센서통신 주파수는 유선과 달리 공기를 전송매체로 사용하는 서비스 특성상 불특정 다수의 신호 수신이 가능하며 도청, 기지국 공격, 신호 왜곡 등 다양한 형태의 공격이 가능하다. 무선통신은 일반적으로 브로드캐스트 통신을 하기 때문에 Sniffing, Jamming 공격에 취약하며, 휴대가 간편하고 이동이 수월하여 물리적 연결 없이 네트워크 공격이 가능하다.
[표 1] 차세대 IT 환경영역별 보안위협
| 차세대 IT 환경영역 | 보안위협 | |
|---|---|---|
| Network | 무선통신 | - WIFI(IEEE 802.11) 통신 기술 취약점을 활용한 보안 위협 - 부채널 공격, Rogue AP를 통한 정보탈취, War Driving, 무선AP 관리자 계정 유출 |
| 이동통신 | - 4세대(HSPA+, LTE), 5세대(5G, Release 15) 이동통신 기술 취약점을 활용한 보안 위협 - 음성 통화 불법 녹취, 데이터 도청, 서비스 거부, 가입자 계정 도용 | |
| 센서통신 | - 블루투스, 적외선, NFC, Zigbee 등 센서 기반 통신 기술 취약점을 활용한 보안 위협 - 불법 신호 전송을 통한 IoT 기기 조작, 센서 신호 탈취 | |
| Data | DB | - 전통적 정형 데이터의 취약점 계승 - DBMS 계정정보 유출, SQL Injection |
| 센터 Data | - 센서통신 기반 Data - 데이터 위변조, 정보탈취/왜곡 | |
| 바이오 정보 | - 개인의 고유한 특성을 식별할 수 있는 신체적, 행동적 특징을 갖고 있는 데이터 - 바이오 정보(지문, 홍채 등) 조작, 삭제, 유출 | |
| Platform | 개인정보 | - 전통적 IT 환경의 개인정보와 함께 개인의 위치/동선, 컴퓨터 사용 기록 등 추가 - 개인 동선 파악을 통한 2차 범죄, 브라우저 Cookie 정보 탈취 |
| Mobile OS | - Android, iOS 등 Mobile Devie 탑재 OS의 보안 위협 - App Store를 통한 악성코드 유포, 생체인증 정보 유출 | |
| Terminal | 센서 OS | - 경량화된 OS 특성으로 인한 인증/암호화 미흡 취약점 존재 - 부채널 공격, 평문 데이터 유출, 쉬운 암호문 해독 |
| 이동형 Device | - 테블릿 PC, 스마트폰 등 무선/이동/센서통신 활용 디바이스 보안 위협 - Always Bot PC로 활용, IMEI/USIM 정보 유출, 전자서명 유출 | |
| IoT Device | - ICT(Information Communication Technology) 서비스 보안 위협 - 불법 기기 조작, 전자거래 정보 유출 | |
<자료> SK인포섹 자체 작성
이동통신은 개인 단말을 식별하기 위한 고유 식별 번호인 IMEI(International Moblie Equipment Identity), 가입자를 식별하기 위한 가입자 인증 모듈인 USIM(Universal Subscriber Identify Module)이 사용되며 이러한 정보는 개인 고유식별정보인 주민등록번호, 여권번호, 운전면허번호와 같다고 할 수 있다. 이러한 정보가 유출될 경우 USIM 정보 등을 위/변조하여 전자상거래 결제수단 복제 등 금전적 피해가 발생할 수 있으며, 핸드폰 복제를 통해 불법 핸드폰 사용, 통화/문자 내용 도청 등의 피해가 발생할 수 있다. 센서통신은 차세대 IT 기술인 IoT 서비스 증가와 함께 대두되어 사용이 증가되고 있으며 보안 위협도 함께 증가하고 있다. 센서통신은 기존 TCP/IP 프로토콜이 아닌 센서별 통신 프로토콜을 사용하여 정보를 주고 받으며 이러한 통신 프로토콜은 기존 보안 기술(예를 들면, SSL, 대칭키 암호화 등)을 적용하기에 어려움이 있다. NFC(Near Field Communication), 블루투스 등 중앙통제 없이 Ad-hoc 방식으로 통신 서비스가 이루어지는 방식은 암호화가 어렵고, 데이터 검증이 쉽지 않아 보안 위협이 증가된다.
<자료> 채승완 외 8명, “2017년 인터넷 10대 이슈 전망”, KISA-KT경제경영연구소, 2016, p.29.
[그림 2] 자율주행자동차 보안 위협
가장 대표적인 사례로, 최근 각광받고 있는 자율주행자동차의 경우 우리가 흔히 사용하고 있는 작은 스마트폰을 활용한 불법 조작에 성공한 사례가 있으며([그림 2] 참조), 최근 가정에 1대 이상씩 보유하고 있는 무선AP(흔히 공유기라고 불리움) 관리자 계정 유출을 통한 피싱 공격은 흔한 공격 사례가 되었다.
둘째, 데이터 환경이다. 최근 IT 서비스는 기존 정형 데이터와 함께 비정형 데이터(센서, 이미지, 규칙 없는 텍스트 등)가 사용되고 있으며, 비정형 데이터에 포함되어 있는 주요 정보들을 활용한 보안사고 증가가 우려되고 있다. 대표적인 사례로 개인 스마트폰의 GPS 데이터를 활용하여 개인의 동선을 파악한 후 스토킹 등 물리적 범죄에 악용될 수 있으며, 현금자동입출금기의 폐쇄회로 영상이 불법 공격으로 유출될 경우 개인의 얼굴은 물론 현금자동입출금기를 조작하는 손동작을 통해 계좌번호나 비밀번호와 같은 금융정보 유출이 가능할 것이다. 또한, 최근 빅데이터 분석이 다양한 산업 분야에서 활발하게 진행되면서, 빅데이터에 포함된 개인정보의 악용 우려도 증가하고 있다([표 2] 참조).
둘째, 데이터 환경이다. 최근 IT 서비스는 기존 정형 데이터와 함께 비정형 데이터(센서, 이미지, 규칙 없는 텍스트 등)가 사용되고 있으며, 비정형 데이터에 포함되어 있는 주요 정보들을 활용한 보안사고 증가가 우려되고 있다. 대표적인 사례로 개인 스마트폰의 GPS 데이터를 활용하여 개인의 동선을 파악한 후 스토킹 등 물리적 범죄에 악용될 수 있으며, 현금자동입출금기의 폐쇄회로 영상이 불법 공격으로 유출될 경우 개인의 얼굴은 물론 현금자동입출금기를 조작하는 손동작을 통해 계좌번호나 비밀번호와 같은 금융정보 유출이 가능할 것이다. 또한, 최근 빅데이터 분석이 다양한 산업 분야에서 활발하게 진행되면서, 빅데이터에 포함된 개인정보의 악용 우려도 증가하고 있다([표 2] 참조).
[표 2] 전통적인 데이터와 빅데이터 비교
| 구분 | 전통적인 데이터 | 빅데이터 |
|---|---|---|
| 데이터 원천 | 가공된 정보 | 일상화된 정보 |
| 목적 | 업무 효율성 증대 | 사회적 소통, 자기표현, 사회 기반 서비스 |
| 생성주체 | 정부, 기업 등 조직 | 개인, IT 서비스 |
| 데이터 유형 | 정형 데이터(RDBMS 등) 조직 내부 데이터(고객정보, 거래정보 등) | 비정형 데이터(이미지, 오디오/비디오 SNS, 센서) 개인 데이터(동선, 사생활, 개인정보 등) |
| 특징 | 데이터 증가량 관리 가능 신뢰성 높은 핵심 데이터 | 기하급수적 데이터양 증가 Garbage 데이터 비중 증가 문맥, 규칙이 없는 형태의 데이터 |
| 보유주체 | 정부, 기업 등 조직 | 인터넷 서비스 이동통신 회사 디바이스 제조업체 |
| 데이터 플랫폼 | RDBMS, 중앙집중처리기 | Key-Value DBMS, 분산병렬처리기 |
<자료> SK인포섹 자체 작성
셋째, 플랫폼 환경이다. 우리나라가 2009년 11월 28일 아이폰 3GS를 수입한 이후 지난 10여년 간 IT 플랫폼 환경은 기존 PC 또는 노트북 기반에서 모바일 기반으로 급변하였다. 2000년대 후반 이전 대부분의 IT 서비스는 PC 또는 노트북에서 실행 가능하도록 최적화되었으나, 2000년대 후반 이후 IT 서비스는 기능, UI 등 모든 측면에서 모바일 환경에 최적화된 형태로 서비스되고 있다. 모바일 환경의 대표적 플랫폼은 안드로이드와 iOS가 있으며, 스마트폰에서 주로 사용되던 두 플랫폼은 이제 자율주행자동차, 스마트홈 게이트웨이 등 차세대 IT 서비스 플랫폼으로 널리 사용되고 있다. 이러한 모바일 플랫폼은 저사양 디바이스에 탑재되며 주로 무선 통신과 센서 통신을 사용하므로 주요 데이터의 암호화 모듈 탑재가 어렵고 무선 통신과 센서 통신이 갖고 있는 보안 취약점을 그대로 계승하여 보안 취약점이 증가된다. 또한, 모바일 플랫폼은 전용 모바일 앱 스토어를 사용하여 애플리케이션을 설치할 수 있으며 이러한 모바일 앱 스토어에 등록된 애플리케이션의 보안 검증이 제대로 이루어지지 않을 경우 모바일 앱 스토어를 사용한 스마트폰 등 모바일 단말에 악성코드가 쉽게 유포될 수 있다([표 3] 참조).
마지막으로, 터미널 환경이다. 기존 PC 또는 노트북은 사용을 종료하면 전원이 차단되는 형태였으나 차세대 IT 환경에서 주로 사용되는 모바일 터미널은 24시간 전원이 연결되어 있는 Always On 형태이다. PC 또는 노트북을 활용한 DDoS(Distributed Denial of Service) 공격은 PC 또는 노트북의 사용이 줄어드는 새벽 시간에는 공격이 함께 줄어들었으나 모바일 터미널을 활용한 DDoS 공격은 24시간 지속 가능한 공격이라는 점에서 가장 큰 보안 위협이라고 할 수 있다.
마지막으로, 터미널 환경이다. 기존 PC 또는 노트북은 사용을 종료하면 전원이 차단되는 형태였으나 차세대 IT 환경에서 주로 사용되는 모바일 터미널은 24시간 전원이 연결되어 있는 Always On 형태이다. PC 또는 노트북을 활용한 DDoS(Distributed Denial of Service) 공격은 PC 또는 노트북의 사용이 줄어드는 새벽 시간에는 공격이 함께 줄어들었으나 모바일 터미널을 활용한 DDoS 공격은 24시간 지속 가능한 공격이라는 점에서 가장 큰 보안 위협이라고 할 수 있다.
[표 3] OWASP Mobile Risks 2016
| 항목 | 내용 | |
|---|---|---|
| M1 | Improper Platform Usage (부적절한 Platform 사용) | - 플랫폼 기능의 오용 또는 보안통제 미적용으로 인해 발생하는 문제 - 안드로이드 인텐트(intent)*, 플랫폼퍼미션, Touch ID의 오용, 키체인 또는 모바일 운영체제의 일부 다른 보안 제어 기능 등을 포함 * 안드로이드 컴포넌트(Activity, ContentProvider, BroadcastReceiver, Service) 간의 호출과 메시지 전달에 이용 |
| M2 | Insecure Data Storage (안전하지 않은 데이터 저장소) | - Top 10 Mobile Risk 2014에서 M2와 M4의 조합 - 안전하지 않은 데이터 저장 및 의도하지 않은 데이터 유출을 포함 |
| M3 | Insucure Communication (안전하지 않은 통신) | - 세션성립을 위한 핸드쉐이킹(handshaking)의 불충분한 수행, 잘못된 SSL버전, 불완전한 연결, 민감한 정보의 평문 통신 등을 포함 |
| M4 | Insecure Authentication (안전하지 않은 인증) | - 최종 사용자 또는 잘못된 세션 관리 인증의 개념을 포함 - 사용자 식별 불가, 사용자 식별 관리 실패, 취약한 세션 관리 등 |
| M5 | Insufficient Cryptography (불충분한 암호화) | - 암호화 여부뿐만 아니라 올바르지 않은 암호화 - 중요한 정보는 암호화 적용이 필요하며 TLS, SSL관련해서는 M3에서 진행 - 모바일 애플리케이션에 대한 암호화 미적용은 M2 영역에 속함 |
| M6 | Insecure Authorization (안전하지 않은 승인) | - 권한부여(예를 들어 이용자 측면에서 권한부여의 결정, 강제 열람 등)에 대한 실패 - 권한부여의 문제(예를 들어 기기 등록, 사용자 식별 등)와는 구별됨 - 모바일 앱이 사용자 인증(예를 들어 인증 및 접근 허가 필요시 일부 자원이나 서비스에 대한 익명의 접근 권한 부여)에 실패한 경우 인증 실패의 문제이며 권한부여의 실패는 아님 |
| M7 | Client Code Quality (이용자 코드 품질) | - 모바일 이용자 코드 수준의 구현문제 - 모바일 기기에서 실행 중 버퍼 오버플로우, 포맷 스트링 취약점, 다양한 코드 레벨의 실수 등을 포함(서버 측 코딩 실수와는 구별) |
| M8 | Code Tampering (코드변조) | - 바이너리 패치, 로컬 리소스 수정, 메소드 후킹, 메소드 스위즐링, 메모리 변조 등을 포함 - 공격자의 코드 수정, 메모리 변조, 애플리케이션 사용자의 시스템API 변경 및 대체 등을 통해 금전적 이익 또는 소프트웨어 용도 변조에 악용 가능 |
| M9 | Reverse Engineering (역공학을 통한 위협) | - 소스 코드, 라이브러리, 알고리즘 및 기타 자산을 결정하는 최종 핵심 바이너리 분석을 포함 - 이는 응용 프로그램에서 다른 취약점뿐만 아니라 백 엔드 서버, 암호화 상수 및 암호, 지적재산권에 대한 정보를 폭로하는데 악용될 수 있음 |
| M10 | Extraneous Functionality (관련 없는 기능) | - 개발자는 숨겨진 백도어 기능이나 개발환경에서 의도하지 않게 내부 개발 보안 문제에 포함될 수 있음 - 예를 들어, 개발자가 모바일 애플리케이션 테스트 기간 중 2팩터 인증을 비활성화하는 경우 |
<자료> 금융보안원 보안기술팀, “OWASP Moblie Security Project의 모바일 보안 동향”, 금융보안원, 2016, pp.2-3.
또한, 모바일 터미널은 무선/이동/센서통신 사용, 정형/비정형 데이터 사용, 모바일 플랫폼을 사용하여 위에서 이야기한 세 가지 보안 위협을 모두 승계한다고 보면 된다([표 4] 참조).
[표 4] 모바일 터미널 공격유형
| 취약점 | 공격유형 | 공격 시나리오 |
|---|---|---|
| 서비스 환경 취약점 | Social Engineering Drive by Download Browser/OS 취약점 | - 피싱, 악성메일 통해 악성코드 유포 - Browser/OS 취약점 이용 해킹 |
| Network 보안 취약점 | WIFI Sniffing War driving Rogue AP | - MITM 공격을 통해 정보 변조 및 유출 - 불특정 무선 신호 탈취 - 가짜 AP를 이용한 인증 정보 및 서비스 정보 수집 |
| 기기 임의 변경 | Rooting Jailbreak APK Decomplie | - 불법 권한상승을 통한 민감 정보 탈취 - 기기 내 인증 및 암호화 키 노출 - App 위/변조를 통한 App 기능 분석 |
| 물리적인 위협 | 분실, 도난 | - 기기 분실, 도난으로 인한 개인 민감 정보 유출 |
<자료> SK인포섹 자체 작성
Ⅲ. 차세대 정보보안 기술 표준화 동향
위에서 살펴 본 차세대 정보보안 위협에 대응하기 위해 국내외 주요 단체에서는 암호기술, 인증기술, 물리보안기술, 사이버위협 대응기술, 보안관리/평가기술 등과 신규 통신 서비스로 부각되고 있는 5G 보안 등으로 구분하여 표준화 기술을 개발하고 있다([표 5] 참조).
가. 국내 표준화 현황 및 전망
「TTA 정보보호기반 PG501」은 주요 차세대 암호기술 및 양자 키 분배 시스템 규격, 패스워드와 IBC(ID-Based Cryptosystem)를 이용한 키 교환 프로토콜 표준 제정을 완료하였으며, 퍼지 인증 프로토콜, 양자내성 암호와 동형 암호(암호화된 상태에서 데이터를 연산할 수 있는 암호화 방법) 표준을 개발하고 있다.
「TTA 개인정보보호/ID관리, 블록체인 보안 PG502」에서는 금융권 블록체인 보안 위협 및 요구사항, 분산 원장시스템 참조구조, 분산원장기술 기반의 전자지갑 서비스 모델 보안 요구사항, 분산형 식별자(Decentralized Identifiers), 검증 가능한 Cridential Data Model 1.0을 개발하고 있다.
[표 5] 차세대 보안 기술 중점 표준화 항목
| 중점 표준화 항목 | 기술 수준 | 표준 수준 | 대응표준화기구 | 전략목표 | ||
|---|---|---|---|---|---|---|
| 국내 | 국제 | |||||
| 암호기술 | 암호 알고리즘 | 95% | 95% | TTA PG501 | JTC1 SC27, IETF | 차세대 공략 |
| 인증기술 | PKI 기반 기기인증 | 95% | 95% | TTA PG502, 사물인터넷융합포럼 | IEEE 802, CAMP, ETSI, 3GPP | 선도경쟁 공략 |
| FIDO 및 응용기술 | 100% | 90% | TTA PG501 | FIDO Alliance | 선도경쟁 공략 | |
| ID 관리기술 | 90% | 90% | TTA PG502 | ITU-T SG17, ISO TC307, W3C | 선도경쟁 공략 | |
| 물리보안 | 바이오인식 응용 서비스 | 90% | 90% | TTA PG505 | JTC1 SC27/SC37, ITU-T SG17, ABC | 선도경쟁 공략 |
| 생체신호기반 텔레바이오 인증기술 | 95% | 100% | TTA PG505, 스마트의료보안포럼 | ISO TC215, ITU-T SG17, ABC | 선도경쟁 공략 | |
| 사이버 위협대응 | 능동형 사이버보안 침해정보 수집 및 보존기술 | 95% | 90% | TTA PG503, TTA PG504 | ITUI-T SG17, JTC1 SC27, ETSI | 선도경쟁 공략 |
| 악성코드 분석 정보 공유 포맷 | 90% | 95% | TTA PG503 | ITUI-T SG17, JTC1 SC27, IEEEE SA | 차세대 공략 | |
| 보안관리/보안평가 | 블록체인을 위한 정보보호 관리체계 | 90% | 100% | TTA PG1006, 분산원장기술표준포럼 | ISO TC307, JTC1 SC27, ITU-T SG17 | 차세대 공략 |
| IT제품 보안성 평가기준 | 80% | 90% | TTA PG504 | JTC1 SC27 WG3, CCRA, CCUF | 차세대 공략 | |
| 5G보안 | 5G보안 가이드라인 | 95% | 100% | TTA SPG35, TTA SPG32, 5G 포럼 | 3GPP RAN, ITU-T SG13/SG17 | 차세대 공략 |
<자료> 성재모 외 19명, “ICT 표준화전략맵 Ver.2020 종합보고서”, TTA, 2020, pp.235-308.
「TTA 사이버 보안 PG503」에서는 STIX(Structured Threat Information eXpression) 기술 관련 구조화된 위협 정보 표현 규격(STIX 2.0)에 대한 시리즈 표준과 Usecase 표준을 제정, 가상화 기반 이기종 백신 서비스 제공을 위한 시스템 요구사항 표준을 개발 중이며, SDN(Software Defined Network) 기반의 네트워크 보안 기능의 인터페이스(Interface to Network Security Functions: I2NSF) 프레임워크에 대한 시리즈 표준을 개발 중이다.
「TTA 응용보안/평가인증 PG504」는 응용 보안 평가 인증 부문 정보통신 단체 표준을 제·개정하고, 정보보안 평가 및 검증 기술 실무반(WG 504)을 2018년 신설하여 QKD(Quantum Key Distribution) 보안 평가 요구사항 등 해당 분야 국내 표준을 개발하고 있다.
「TTA 바이오인식 PG505」는 바이오인식 응용 서비스 관련, 바이오인식과 IC(Integrated Circuit) 카드를 이용한 접근제어용 개인 확인 시스템, 정보 분할에 의한 바이오 정보보호 등의 표준을 개발 중이며, 생체신호 기반 텔레바이오인식 기술, 생체신호를 이용한 헬스케어 응용서비스 기술 보고서를 개발하고 있다.
「JTC1 SC27 전문위원회」에서는 한국/미국/일본 공동으로 2018년 개정한 ISO/IEC 19790, ISO/IEC 24759 표준을 준용한 KS X 표준을 개정하려고 하고 있으며, ISO/IEC 15408 관련 한국암호모듈검증제도의 암호모듈 보안 요구사항과 시험 요구사항 개정을 완료하였다.
「JTC1 SC37 전문위원회」에서는 바이오인식 응용 서비스 관련 기술, 바이오인식 정보의 보호를 위한 기술적/관리적 지침(KS X 1966), 바이오인식 제시형 공격 탐지기술(KSX ISO/IEC 30107-1), BioAPI 적합성 시험기술(KSXISO/IEC24709-1R1) 등 국가 표준을 제·개정하고 있다.
「개인정보보호표준포럼」에서는 개인정보보안 기술 관련 국내/국제 표준을 개발 및 제·개정 중이며, 스마트그리드, 클라우드, 스마트폰 보안, 암호 알고리즘 등 보안 및 개인정보보호 기술 국내외 표준을 개발 중이다.
「한국FIDO산업포럼」에서는 FIDO UAF 1.1, U2F 1.2, FIDO 2.0에 대한 Specification 및 FIDO 신규 보안평가 시스템을 국내 공유 중이며, 국내 표준을 FIDO 국제 표준에 반영하고 있다.
나. 국제 표준화 현황 및 전망
「ITU-T SG17 Q.4-Cybersecurity」에서는 사이버보안 침해사고 증거를 수집 및 보존하는 도구를 위한 가이드라인 표준 개발이 진행되고 있다.
「ITU-T SG17 Q.6-Security aspects of telecommunication services, networks and Internet of Things」에서는 5G 보안 가이드라인 표준, 5G 신뢰 관계를 위한 프레임워크, 5G 엣지 컴퓨팅 보안 프레임워크 등의 표준 개발을 진행하고 있다.
「ITU-T SG17 Q.7-Secure application services」에서는 경량 클라이언트-서버 모델에서 하이브리드 인증 및 키 관리 메커니즘 표준화를 추진 중이다.
「ITU-T SG17 Q.9-Telebiometrics」에서는 모바일기기를 위한 텔레바이오인식 보호 지침(X.1087), 바이오인식기반 하드웨어 보안토큰(X.1085) 등의 표준을 제정 완료하였으며, 스마트 ID카드를 이용한 원격 바이오 접근제어(X.tac) 등을 개발 중이다. 또한, 생체신호를 이용한 텔레바이오인식 인증기술(X.1094) 국제 표준 채택, 생체신호 인증기반 헬스케어 텔레바이오인식 응용서비스기술 표준화를 ISO TC215와 공동으로 추진할 예정이다.
「ITU-T SG17 Q.10-Identity management architecture and mechanisms」에서는 객체 인증 보증 프레임워크와 접근하는 자원별로 상이한 인증 수준을 적용하기 위한 스텝업 인증 프로토콜 표준화를 추진 중이다.
「ITU-T SG17 Q.14-Security aspects for Distributed Ledger Technologies」에서는 분산원장기술(Distributed Ledger Technology: DLT)의 보안 능력 및 위협에 대한 세부사항(X.sct-dlt)과 ID관리 분야에서 DLT 데이터 이용 시 고려해야 하는 보안 요구사항(X.dltsec) 등의 표준화를 추진하고 있다.
「JTC1 SC27 WG1-Information security management systems」에서는 정보보호 통제 표준인 ISO/IEC 27002의 개정안 개발을 시작하였으며 정보보호통제 평가지침인 ISO/IEC 27008은 2차 개정판을 발행하였다. 분야별 응용을 위한 요구사항 ISO/IEC 27009는 2017년 조기 개정을 시작하여 CD(Committee Draft) 단계로 진입, 분야별 통제 표준인 270011(통신), 27017(클라우드), 27019(에너지), 29151(개인정보) 등 ISO/IEC 27002에 기반한 분야별 통제 표준을 지속적으로 개발 및 재·개정하고 있다.
「JTC1 SC27 WG2-Cryptography and security mechanisms」에서는 경량 암호 알고리즘을 중심으로 ICT 정보보호를 위한 핵심 암호기술의 표준화를 추진 중이며, 신규 기술 수요에 따른 경량 암호 분야의 표준화 항목 및 대상 증가를 전망하고 있다. 또한, 인증 요소 기술(사용자의 지식/Blind 전자서명 기반 인증, 바이오매트릭스 기반 인증, 속성 기반 익명 비연결 실체 인증) 및 객체 인증 보증 프레임워크 표준화를 추진 중이다.
「JTC1 SC27 WG3-Security evaluation, testing and specification」에서는 IT제품의 보안성 평가기준 표준인 ISO/IEC 15408과 평가방법론 ISO/IEC 18045를 2020년 개정할 예정이다.
「JTC1 SC27 WG5-Identity management and privacy technologies」에서는 바이오정보 보호기술(24745R1) 개정안을 개발 중이며, WG1과 공동으로 ISO/IEC 27552, 개인정보보호 경영을 위한 27001 확대 요구사항 표준 개발을 진행하고 있다.
「JTC1 SC37 WG2-Biometric technical interfaces」에서는 객체지향형 바이오인식 호환규격(30106-4), 객체지향형 바이오인식 호환성 시험기술(30106-1AMD1) 개발을 완료하였다.
「JTC1 SC37 WG5-Biometric testing and reporting」에서는 얼굴인식을 결합한 지능형 CCTV 성능시험기술을 개발 중이다.
「IETF SEC Security Area」에서는 인터넷 환경에서 원활한 정보보호 서비스를 제공할 수 있는 다양한 암호 프로토콜 및 이를 뒷받침하기 위한 핵심 암호기술과 적용 가이드라인에 대한 표준화를 추진하고 있다.
「IETF SEC I2NSF」에서는 네트워크 기능 가상화(Network Functions Virtualization: NFV) 기반의 보안 서비스 환경에서 가상의 네트워크 보안 기능(Network Security Function: NSF)들을 생성/등록/관리하기 위한 인터페이스에 대한 표준화를 추진 중이다.
「W3C」에서는 분산형 ID관리 인프라스트럭처를 위해 기본 레이어로 분산형 식별자(Decentralized Identifiers: DIDs), 상위 레이어로 검증 가능 크리덴셜(Verifiable Credential)에 대한 표준을 개발 중이다.
「FIDO」에서는 온라인과 오프라인상 FIDO 솔루션의 확산을 위해 W3C, EMVCo, GSMA 등과 협업함과 동시에 FIDO2(모바일+웹, PC운영체제)로의 업그레이드 및 이와 관련된 표준화를 완료하여 상용화하고 있다.
「CCRA」에서는 공통평가기준(Common Criteria: CC)과 평가방법론(Common Methodology for Information Technology Security Evaluation: CEM) 개정, CCRA 내 국제기술커뮤니티(iTC)를 통해 cPP(collaborative Protection Profiles)와 cPP SD(Supporting Documents) 문서를 개발하고 있다.
우리나라에서는 국제표준 선도를 위한 핵심 표준분야를 선정하여 핵심기술 및 선도 분야에 대한 국제표준화를 중점 추진하고 있으며, 차세대보안 분야 표준선도국으로 진입함과 동시에 IPR(Intellectual Property Rights, 지식재산권) 수익 창출을 위해 노력하고 있다. 국내 표준 개발절차는 ETRI, KISA, 대학 연구소, 정보보호 산업체에서 국내 표준안이 개발되며, 국내 IT 전략 표준 포럼을 통하여 사실 표준화를 추진하고 이후 TTA를 통해 정보통신 단체 표준으로 개발되어야 한다. 또한, TTA 주도로 ITU-T와 IETF 국제 표준화를 추진하고, 기술표준원 주도로 ISO/IEC JTC1 국제 표준화를 추진해야 할 것이다. 첫번째 방법은 국외 표준화 기구에서 개발된 표준을 수용하는 것이고, 두 번째 방법은 국내 정보보호 산업체나 연구소에서 개발된 표준을 새로 개발하는 경우가 될 것이다. 국외 표준의 수용은 국내 정보보호 산업체 파급효과가 크고 국내 정보보호 제품 간에 상호 연동을 위해 필요한 표준을 선별 추진해야 하므로, 국내 정보보호 제품에 적용할 수 있는 동일한 기준의 국내 표준을 개발하여 우리나라 주도적인 정보보호 표준을 마련해야 한다.
결론적으로, 국내외 정보보호 표준화를 위해 다음과 같은 추진 전략이 고려되어야 한다. 첫째, 국내 산업체에 영향을 주는 표준은 정보보호 산업체가 직접 참여하는 정보보호 관련 포럼을 통해 발굴할 필요가 있다. 국내 정보보호 관련 IT 포럼은 인터넷보안기술포럼(ISTF), 바이오인식포럼, 그리고 PKI 포럼 등이며, 통방융합 정보보호 표준화를 추진하기 위한 IT 표준화 포럼의 신설도 고려할 필요가 있다. 신설될 포럼은 유비쿼터스 사회를 위한 지식정보 유통 보호에 대한 표준을 개발하고 국내외 표준의 개발을 목표로 해야 할 것이다. 둘째, 정부가 추진하고 있는 정보보호 분야 신성장동력사업과 국내외 표준화를 연계하여 추진할 필요가 있다. 신성장동력 사업이 국내외 표준화로 연결되어야 할 경우, 그 결과를 반드시 국내외 표준화로 연결할 필요가 있다. 예를 들어, 무선 복합 단말의 암호 인증 관련 기능을 구현하고 있는 무선 TPM(Trusted Platform Module) 보안 칩 사업의 경우 국외 표준화 단체인 TCG에 국제 표준화를 추진할 필요가 있고, 디지털 포렌직 사업의 경우 컴퓨터 포렌직과 무선단말 포렌직 기술에 대해 국내 표준을 기술 개발과 동시에 추진하도록 유도하는 것이 필요하다. 그리고 ID 관리 기반 전자ID지갑 사업의 경우, ITU-T 또는 ISO/IEC JTC1 SC27을 통한 표준화를 유도하여야 한다. 원칙적으로 국내외 표준화가 요구되는 모든 정보보호 분야 신성장동력 사업은 국내외 표준화를 기술 개발 과정 또는 사후에 반드시 추진하여 지적재산권을 확보하게 해야 한다. 셋째, 정보보호 분야 표준화는 산·학·연 협력을 통해 개발될 필요가 있다. 원칙적으로 정보보호 표준은 산업체의 요구와 수요 제기에 의해 추진될 필요가 있으나, 우리나라 정보보호 산업체의 소규모/영세성을 고려하면 단기적으로 산업체의 주도적 활동을 기대하기는 어렵다. 따라서 대학 교수나 국책연구소 연구원의 표준 개발 참여를 위한 인력 양성과 지원 활용이 적극 필요하다. 이를 유도하는 방안으로, 국내외 표준화 추진물이 대학 평가와 대학 교수 업적평가에 연결될 수 있도록 제도 개선이 필요하다. 또한, 이를 통해 정보보호 분야 표준 전문가의 양성이 필요하다. 넷째, 국내에서 개발된 표준의 글로벌 표준화는 표준의 성격에 따라 적절한 국제 표준화 기구를 통해 표준이 추진되어야 한다. 표준의 응용 분야에 따라서 홈네트워크, RFID, 모바일 망 등의 통신망 보안은 ITU-T, 보안 알고리즘 및 평가는 ISO/IEC JTC1, 그리고 인터넷 보안은 IETF에서 각각 추진되어야 할 것이다.
「TTA 응용보안/평가인증 PG504」는 응용 보안 평가 인증 부문 정보통신 단체 표준을 제·개정하고, 정보보안 평가 및 검증 기술 실무반(WG 504)을 2018년 신설하여 QKD(Quantum Key Distribution) 보안 평가 요구사항 등 해당 분야 국내 표준을 개발하고 있다.
「TTA 바이오인식 PG505」는 바이오인식 응용 서비스 관련, 바이오인식과 IC(Integrated Circuit) 카드를 이용한 접근제어용 개인 확인 시스템, 정보 분할에 의한 바이오 정보보호 등의 표준을 개발 중이며, 생체신호 기반 텔레바이오인식 기술, 생체신호를 이용한 헬스케어 응용서비스 기술 보고서를 개발하고 있다.
「JTC1 SC27 전문위원회」에서는 한국/미국/일본 공동으로 2018년 개정한 ISO/IEC 19790, ISO/IEC 24759 표준을 준용한 KS X 표준을 개정하려고 하고 있으며, ISO/IEC 15408 관련 한국암호모듈검증제도의 암호모듈 보안 요구사항과 시험 요구사항 개정을 완료하였다.
「JTC1 SC37 전문위원회」에서는 바이오인식 응용 서비스 관련 기술, 바이오인식 정보의 보호를 위한 기술적/관리적 지침(KS X 1966), 바이오인식 제시형 공격 탐지기술(KSX ISO/IEC 30107-1), BioAPI 적합성 시험기술(KSXISO/IEC24709-1R1) 등 국가 표준을 제·개정하고 있다.
「개인정보보호표준포럼」에서는 개인정보보안 기술 관련 국내/국제 표준을 개발 및 제·개정 중이며, 스마트그리드, 클라우드, 스마트폰 보안, 암호 알고리즘 등 보안 및 개인정보보호 기술 국내외 표준을 개발 중이다.
「한국FIDO산업포럼」에서는 FIDO UAF 1.1, U2F 1.2, FIDO 2.0에 대한 Specification 및 FIDO 신규 보안평가 시스템을 국내 공유 중이며, 국내 표준을 FIDO 국제 표준에 반영하고 있다.
나. 국제 표준화 현황 및 전망
「ITU-T SG17 Q.4-Cybersecurity」에서는 사이버보안 침해사고 증거를 수집 및 보존하는 도구를 위한 가이드라인 표준 개발이 진행되고 있다.
「ITU-T SG17 Q.6-Security aspects of telecommunication services, networks and Internet of Things」에서는 5G 보안 가이드라인 표준, 5G 신뢰 관계를 위한 프레임워크, 5G 엣지 컴퓨팅 보안 프레임워크 등의 표준 개발을 진행하고 있다.
「ITU-T SG17 Q.7-Secure application services」에서는 경량 클라이언트-서버 모델에서 하이브리드 인증 및 키 관리 메커니즘 표준화를 추진 중이다.
「ITU-T SG17 Q.9-Telebiometrics」에서는 모바일기기를 위한 텔레바이오인식 보호 지침(X.1087), 바이오인식기반 하드웨어 보안토큰(X.1085) 등의 표준을 제정 완료하였으며, 스마트 ID카드를 이용한 원격 바이오 접근제어(X.tac) 등을 개발 중이다. 또한, 생체신호를 이용한 텔레바이오인식 인증기술(X.1094) 국제 표준 채택, 생체신호 인증기반 헬스케어 텔레바이오인식 응용서비스기술 표준화를 ISO TC215와 공동으로 추진할 예정이다.
「ITU-T SG17 Q.10-Identity management architecture and mechanisms」에서는 객체 인증 보증 프레임워크와 접근하는 자원별로 상이한 인증 수준을 적용하기 위한 스텝업 인증 프로토콜 표준화를 추진 중이다.
「ITU-T SG17 Q.14-Security aspects for Distributed Ledger Technologies」에서는 분산원장기술(Distributed Ledger Technology: DLT)의 보안 능력 및 위협에 대한 세부사항(X.sct-dlt)과 ID관리 분야에서 DLT 데이터 이용 시 고려해야 하는 보안 요구사항(X.dltsec) 등의 표준화를 추진하고 있다.
「JTC1 SC27 WG1-Information security management systems」에서는 정보보호 통제 표준인 ISO/IEC 27002의 개정안 개발을 시작하였으며 정보보호통제 평가지침인 ISO/IEC 27008은 2차 개정판을 발행하였다. 분야별 응용을 위한 요구사항 ISO/IEC 27009는 2017년 조기 개정을 시작하여 CD(Committee Draft) 단계로 진입, 분야별 통제 표준인 270011(통신), 27017(클라우드), 27019(에너지), 29151(개인정보) 등 ISO/IEC 27002에 기반한 분야별 통제 표준을 지속적으로 개발 및 재·개정하고 있다.
「JTC1 SC27 WG2-Cryptography and security mechanisms」에서는 경량 암호 알고리즘을 중심으로 ICT 정보보호를 위한 핵심 암호기술의 표준화를 추진 중이며, 신규 기술 수요에 따른 경량 암호 분야의 표준화 항목 및 대상 증가를 전망하고 있다. 또한, 인증 요소 기술(사용자의 지식/Blind 전자서명 기반 인증, 바이오매트릭스 기반 인증, 속성 기반 익명 비연결 실체 인증) 및 객체 인증 보증 프레임워크 표준화를 추진 중이다.
「JTC1 SC27 WG3-Security evaluation, testing and specification」에서는 IT제품의 보안성 평가기준 표준인 ISO/IEC 15408과 평가방법론 ISO/IEC 18045를 2020년 개정할 예정이다.
「JTC1 SC27 WG5-Identity management and privacy technologies」에서는 바이오정보 보호기술(24745R1) 개정안을 개발 중이며, WG1과 공동으로 ISO/IEC 27552, 개인정보보호 경영을 위한 27001 확대 요구사항 표준 개발을 진행하고 있다.
「JTC1 SC37 WG2-Biometric technical interfaces」에서는 객체지향형 바이오인식 호환규격(30106-4), 객체지향형 바이오인식 호환성 시험기술(30106-1AMD1) 개발을 완료하였다.
「JTC1 SC37 WG5-Biometric testing and reporting」에서는 얼굴인식을 결합한 지능형 CCTV 성능시험기술을 개발 중이다.
「IETF SEC Security Area」에서는 인터넷 환경에서 원활한 정보보호 서비스를 제공할 수 있는 다양한 암호 프로토콜 및 이를 뒷받침하기 위한 핵심 암호기술과 적용 가이드라인에 대한 표준화를 추진하고 있다.
「IETF SEC I2NSF」에서는 네트워크 기능 가상화(Network Functions Virtualization: NFV) 기반의 보안 서비스 환경에서 가상의 네트워크 보안 기능(Network Security Function: NSF)들을 생성/등록/관리하기 위한 인터페이스에 대한 표준화를 추진 중이다.
「W3C」에서는 분산형 ID관리 인프라스트럭처를 위해 기본 레이어로 분산형 식별자(Decentralized Identifiers: DIDs), 상위 레이어로 검증 가능 크리덴셜(Verifiable Credential)에 대한 표준을 개발 중이다.
「FIDO」에서는 온라인과 오프라인상 FIDO 솔루션의 확산을 위해 W3C, EMVCo, GSMA 등과 협업함과 동시에 FIDO2(모바일+웹, PC운영체제)로의 업그레이드 및 이와 관련된 표준화를 완료하여 상용화하고 있다.
「CCRA」에서는 공통평가기준(Common Criteria: CC)과 평가방법론(Common Methodology for Information Technology Security Evaluation: CEM) 개정, CCRA 내 국제기술커뮤니티(iTC)를 통해 cPP(collaborative Protection Profiles)와 cPP SD(Supporting Documents) 문서를 개발하고 있다.
우리나라에서는 국제표준 선도를 위한 핵심 표준분야를 선정하여 핵심기술 및 선도 분야에 대한 국제표준화를 중점 추진하고 있으며, 차세대보안 분야 표준선도국으로 진입함과 동시에 IPR(Intellectual Property Rights, 지식재산권) 수익 창출을 위해 노력하고 있다. 국내 표준 개발절차는 ETRI, KISA, 대학 연구소, 정보보호 산업체에서 국내 표준안이 개발되며, 국내 IT 전략 표준 포럼을 통하여 사실 표준화를 추진하고 이후 TTA를 통해 정보통신 단체 표준으로 개발되어야 한다. 또한, TTA 주도로 ITU-T와 IETF 국제 표준화를 추진하고, 기술표준원 주도로 ISO/IEC JTC1 국제 표준화를 추진해야 할 것이다. 첫번째 방법은 국외 표준화 기구에서 개발된 표준을 수용하는 것이고, 두 번째 방법은 국내 정보보호 산업체나 연구소에서 개발된 표준을 새로 개발하는 경우가 될 것이다. 국외 표준의 수용은 국내 정보보호 산업체 파급효과가 크고 국내 정보보호 제품 간에 상호 연동을 위해 필요한 표준을 선별 추진해야 하므로, 국내 정보보호 제품에 적용할 수 있는 동일한 기준의 국내 표준을 개발하여 우리나라 주도적인 정보보호 표준을 마련해야 한다.
결론적으로, 국내외 정보보호 표준화를 위해 다음과 같은 추진 전략이 고려되어야 한다. 첫째, 국내 산업체에 영향을 주는 표준은 정보보호 산업체가 직접 참여하는 정보보호 관련 포럼을 통해 발굴할 필요가 있다. 국내 정보보호 관련 IT 포럼은 인터넷보안기술포럼(ISTF), 바이오인식포럼, 그리고 PKI 포럼 등이며, 통방융합 정보보호 표준화를 추진하기 위한 IT 표준화 포럼의 신설도 고려할 필요가 있다. 신설될 포럼은 유비쿼터스 사회를 위한 지식정보 유통 보호에 대한 표준을 개발하고 국내외 표준의 개발을 목표로 해야 할 것이다. 둘째, 정부가 추진하고 있는 정보보호 분야 신성장동력사업과 국내외 표준화를 연계하여 추진할 필요가 있다. 신성장동력 사업이 국내외 표준화로 연결되어야 할 경우, 그 결과를 반드시 국내외 표준화로 연결할 필요가 있다. 예를 들어, 무선 복합 단말의 암호 인증 관련 기능을 구현하고 있는 무선 TPM(Trusted Platform Module) 보안 칩 사업의 경우 국외 표준화 단체인 TCG에 국제 표준화를 추진할 필요가 있고, 디지털 포렌직 사업의 경우 컴퓨터 포렌직과 무선단말 포렌직 기술에 대해 국내 표준을 기술 개발과 동시에 추진하도록 유도하는 것이 필요하다. 그리고 ID 관리 기반 전자ID지갑 사업의 경우, ITU-T 또는 ISO/IEC JTC1 SC27을 통한 표준화를 유도하여야 한다. 원칙적으로 국내외 표준화가 요구되는 모든 정보보호 분야 신성장동력 사업은 국내외 표준화를 기술 개발 과정 또는 사후에 반드시 추진하여 지적재산권을 확보하게 해야 한다. 셋째, 정보보호 분야 표준화는 산·학·연 협력을 통해 개발될 필요가 있다. 원칙적으로 정보보호 표준은 산업체의 요구와 수요 제기에 의해 추진될 필요가 있으나, 우리나라 정보보호 산업체의 소규모/영세성을 고려하면 단기적으로 산업체의 주도적 활동을 기대하기는 어렵다. 따라서 대학 교수나 국책연구소 연구원의 표준 개발 참여를 위한 인력 양성과 지원 활용이 적극 필요하다. 이를 유도하는 방안으로, 국내외 표준화 추진물이 대학 평가와 대학 교수 업적평가에 연결될 수 있도록 제도 개선이 필요하다. 또한, 이를 통해 정보보호 분야 표준 전문가의 양성이 필요하다. 넷째, 국내에서 개발된 표준의 글로벌 표준화는 표준의 성격에 따라 적절한 국제 표준화 기구를 통해 표준이 추진되어야 한다. 표준의 응용 분야에 따라서 홈네트워크, RFID, 모바일 망 등의 통신망 보안은 ITU-T, 보안 알고리즘 및 평가는 ISO/IEC JTC1, 그리고 인터넷 보안은 IETF에서 각각 추진되어야 할 것이다.
IV. 결론
본 고에서는 차세대 IT 서비스 현황을 기반으로 차세대 IT 서비스의 정보보안 위협을 살펴보고, 차세대 정보보안 위협에 대응하기 위한 차세대 정보보안 표준 기술을 살펴보았다. 또한, 이를 근거로 국내외 표준화 추진방향을 제시하였다. 차세대 정보보호 표준화는 정보보호 제품간의 상호 연동성을 보장하고, 정보보호 시장을 확대할 수 있으며, 정보보호 산업을 발전시킬 수 있는 기반으로 활용될 수 있다.
정보보호 산업 발전을 위하여 차세대 정보보호 연구개발과 표준화를 별도로 추진할 것이 아니라, IPR 확보가 가능한 정보보호 분야 표준화 추진 전략이 필요하다. 이렇게 함으로써, 차세대 정보보호 분야 표준화에 있어서 국제 경쟁력을 강화하여 IT 강국으로서의 위상을 한 단계 업그레이드해 나가야 할 것이다.
[ 참고문헌 ]
[1] 성재모 외 19명, “ICT 표준화전략맵 Ver.2020 종합보고서”, TTA, 2020, pp.235-308.
[2] 채승완 외 8명, “2017년 인터넷 10대 이슈 전망”, KISA-KT경제경영연구소, 2016, p.29.
[3] 금융보안원 보안기술팀, “OWASP Moblie Security Project의 모바일 보안 동향”, 금융보안원, 2016, pp.2-3.
[1] 성재모 외 19명, “ICT 표준화전략맵 Ver.2020 종합보고서”, TTA, 2020, pp.235-308.
[2] 채승완 외 8명, “2017년 인터넷 10대 이슈 전망”, KISA-KT경제경영연구소, 2016, p.29.
[3] 금융보안원 보안기술팀, “OWASP Moblie Security Project의 모바일 보안 동향”, 금융보안원, 2016, pp.2-3.
* 본 자료는 공공누리 제2유형 이용조건에 따라 정보통신기획평가원의 자료를 활용하여 제작되었습니다.
