A Protection Profile for E-Document Issuing System

온라인증명서 발급시스템 보호프로파일에 관한 연구

Abstract

We can use document issuance services provided by a school, bank, hospital, company, etc. either by visiting those facilities or by simply visiting their Web sites. Services available through the Internet allow us to use the same services as we do by actually going to those facilities at home or office any time. As much as it saves us time and money, there also arises a problem of information being forged on the Internet or on a printed document. There has to be security functions to deal with the problem. This paper intends to think of the possible security threats and draw out the necessary security functions that an on-line document issuance system should have based on the CC v3.1, so that anyone can use it as reference when they evaluate or introduce the system.

오늘날 우리는 행정기관을 비롯하여 학교, 은행, 병원, 일반 기업 등 다양한 기관에서 해당 기관의 방문 없이 집 사무실 등 어디서든, 24시간 365일 인터넷을 통해 필요한 서류를 발행 받을 수 있는 서비스를 받고 있다. 하지만, 서비스를 제공 및 이용하기 위해서는 인터넷을 통해 전달되는 정보에 대한 위변조 위협 및 출력 문서에 대한 위변조 위협에 대응할 수 있는 보안 기능이 요구된다. 이에 본 논문에서는 온라인상으로 문서를 발급하는 경우 해당 과정 동안에 발생할 수 있는 보안 위협을 도출하고, 이를 통해 온라인증명서 발급시스템이 반드시 갖추어야 할 필수 보안 기능을 공통평가기준 V3.1을 기반으로 도출하고자 한다. 이는 온라인증명서 발급시스템 평가 및 도입 시 참고자료로 충분히 활용될 수 있을 것이다.

I. 서론

인터넷의 급속한 확산과 발전으로 지식정보화 사회에서 민원행정서비스의 내용과 정보전달 체계에 대한 국민들의 기대 수준과 요구 수준은 급속도로 커지고 있다. 이는 국가행정에서도 국가경쟁력을 확보하는 핵심적인 과제로서 ‘전자정부’의 등장으로 이어졌으며, 보다 편리하고 쉬운 민원서비스와 행정업무를 위해 민원서비스 혁신시스템인 G4C(현재 ‘민원24’로 개명)가 도입되게 되었다. 인터넷(온라인) 상에서의 민원서비스는 개인과 법인 등이 행정 관서를 거치지 않고 인터넷이 가능한 언제/어디서든 한 번의 클릭으로 민원을 신청하고 발급할 수 있는 서비스를 말한다.

이러한 인터넷민원서비스는 2000년 민원업무 재설계 및 정보화전략계획 수립을 시작으로 주민, 부동산, 자동차, 기업, 세금 등 5대 분야 835 종의 민원 중 이용 빈도가 높고 전자적 처리가 가능한 419종을 발굴하여 시스템을 구축하였고, 2002년 11월에 인터넷 민원서비스를 본격적으로 시작하였다. 2010년 현재 기준으로 인터넷 민원 신청 대상이 3019여종, 인터넷 열람 대상이 22여종, 인터넷 발급 대상이 1000여종으로 확대되었다[1]. 또한, 2004년 말 국세청에서 연말 정산 증빙자료 인터넷 발급 분 인정을 기점으로 급속도로 금융권 전체로 인터넷 증명 발급 시스템이 보급되었으며, 각 협회, 교육기관, 일반기업뿐 아니라 병원까지 그 영역을 확대/발전하였다.

그러나 인터넷민원서비스 등 인터넷을 통한 증명서 발급 서비스에 대하여 인터넷 민원서류의 위·변조, 공인인증서의 도용, 개인정보 유출 등 다양한 형태의 정보보안 우려 및 사고의 발생 가능성에 대한 대책 마련을 통해 신뢰성 확보에 대한 요구가 제기되었다. 또한 현재 온라인 증명서 발급시스템에 대한 보안기준이 존재하지 않으므로 해당 시스템에 대한 안정성을 평가하는데 어려움이 존재한다. 이에 본 논문에서는 온라인증명서 발급시스템에 대해 정보시스템 공통평가기준 V3.1을 기반으로 보안기능요구사항을 도출하고자 한다.

본 논문의 구성은 다음과 같다. 2장에서는 공통평가 기준 및 보호프로파일, 온라인증명서 발급시스템에 대해 알아보고, 3장에서는 TOE 소개, 보안문제정의, 보안목적, 보안기능요구사항을 도출한다. 4장에서는 도출된 보안기능요구사항이 TOE의 안전한 운영을 보장함을 증명하고, 5장에서는 논문의 결론에 대해 기술한다.

II. 관련연구

2.1 공통평가기준 및 보호프로파일

공통평가기준(CC, Common Criteria)은 국가마다 다른 정보보호시스템 평가기준을 연계시키고 평가결과를 상호인증하기 위해 제정된 평가기준으로, IT 제품의 보안기능성과 평가 과정에서 그 제품에 적용되는 보증수단에 대한 공통의 요구사항들을 제시함으로써, 독립적으로 수행한 보안성 평가 결과들 간에 상호비교를 가능하게 한다. 공통평가기준은 소비자, 개발자, 평가자에 의해 활용되며, 소비자, 개발자는 자신이 원하는 제품의 보안기능을 공통평가기준에 의거하여 나열하고 서술할 수 있다[2].

공통평가기준은 크게 세부분으로 구성되어 있다. 제1부 소개 및 일반 모델, 제2부는 정보보호시스템에 요구되는 보안기능요구사항, 제3부는 보안보증요구사 항으로 이루어져 있다. 보안기능요구사항에는 보안활동을 정의하고, 보증요구사항은 정보보호시스템이 보안수준에 맞게 정확하게 구현되어 있는지에 대한 신뢰를 입증할 수 있는 기록을 제공한다. CC의 핵심은 제2부와 제3부로 정보보호시스템이 제공해야 하는 기능 및 보증요구사항을 기술하고 있으며, 개발자는 기술된 요구사항을 참조하여 정보보호시스템을 개발하거나 소비자는 자신에게 맞는 요구사항을 요청할 수 있다.

공통평가기준은 보안기능이 있는 IT제품이나 시스템 개발과 보안기능이 있는 상업용 제품 및 시스템을 선택하기 위한 지침으로 활용되며, 평가 과정에서는 대상이 되는 IT제품이나 시스템을 평가대상(TOE, Target OF Evaluation)이라고 부른다. TOE의 예로는 운영체제, 컴퓨터 네트워크, 분산시스템, 응용 소프트웨어 등을 들 수 있다.

또한, 공통평가기준은 소비자 그룹과 이해집단이 그들의 보안 요구를 표현할 수 있도록 하고 보안목표 명세서 작성을 용이하게 하기 위하여 보호프로파일(PP, Protection Profile)이라는 특별한 구조를 제공한다. 보안목표명세서(ST, Security Target)가 특정 TOE를 서술하는 반면, 보호프로파일은 TOE 유형(예: 침입차단시스템)을 서술한다. PP는 해당 유형의 제품에 대한 보안기능 설계 및 ST 개발의 기본 모델로써 사용됨으로 제품 개발의 잣대 및 평가 소요 시간을 줄임으로써 평가의 효율성을 증대시킨다. 보호 프로파일은 아래 [표 1]와 같이 보호프로파일 소개, 준수선언, 보안문제정의, 보안목적, 확장컴포넌트정의, 보안요구사항을 포함한다[2].

[표 1] 보호프로파일 구성요소

[그림 1]은 공통평가기준에서 PP를 개발하기 위한 보안요구사항에 대한 도출 과정 및 관계를 표현하고 있다. TOE의 보안요구사항은 일반적으로 TOE 및 TOE의 운영환경에 대한 보안문제정의를 도출하고 해당 분석을 기반으로 식별된 위협에 대응하고 식별된 조직의 보안정책 및 가정사항을 다루는 보안목적을 도출한다. 도출된 보안목적을 달성하기 위해 TOE가 갖추어야 할 보안요구사항에 대해 CC 2부와 3부를 통해 도출함으로써 TOE가 보안목적을 달성할 수 있음을 입증하게 된다.

[그림 1] PP의 요구사항 및 명세 유도과정

2.2 온라인증명서 발급시스템

온라인증명서 발급시스템은 [그림 2]와 같이 보안 기능이 구현되는 물리적인 측면에서 서버 모듈, 사용자통제 모듈, 검증 모듈로 구성된다.

[그림 2] 온라인증명서 발급절차

서버모듈은 발급되는 전자문서의 위변조를 방지하기 위한 기능 및 사용자에게 전송되는 과정에서의 위협을 방지하기 위한 보안기능을 제공한다.

사용자통제 모듈은 사용자가 전자문서를 열람 시, 화면캡쳐 및 이미지 파일 저장 등에 의한 전자문서 데이터가 유출되는 것을 방지하기 위해 화면보호와 마우스/키보드, 메뉴 및 임시파일을 제어하는 웹브라우저 통제 기능을 제공한다. 또한, 보안 위험성이 있는 프린터를 통해 전자문서가 출력되거나 출력 임시파일에 의해 문서 데이터가 유출되는 것을 방지하는 보안인쇄 기능을 제공한다.

검증모듈은 출력된 전자문서의 위변조 여부를 검증하는 기능을 제공한다.

III. 온라인증명서발급시스템에 대한 보호프로파일

3.1 TOE 소개

TOE는 [그림 3]와 같이 온라인증명서 발급시스템의 구성요소에 따라 전자문서의 온라인 발급에 필요한 다양한 보안기능을 제공해야 한다.

[그림 3] TOE 정의

· 식별 및 인증 : 보안 관리자를 유일하게 식별하여 TOE의 보안속성에 대한 접근 및 수정을 제한한다.

· 보안 관리 : TOE는 보안기능, TSF데이터, 보안 역할 등과 관련된 사항을 관리한다.

· TSF보호 : TOE는 TOE보호를 위해 프로세스 및 TSF데이터에 대한 무결성 점검을 주기적으로 수행한다.

· 보안감사 : TOE는 보안 관련 행위에 대한 책임을 추적하기 위해 보안 관련 사고의 감사로그를 생성하고 기록한다.

· 사용자 데이터 보호 : 네트워크 구간의 데이터 보호 및 사용자 데이터 유출을 방지하기 위한 보안 인쇄, 화면 제어 등의 기능을 제공한다.

· 암호지원 : TOE 데이터의 기밀성을 보장하기 위하여 암호키 생성부터 폐기까지를 지원한다.

· 데이터 인증 : 출력된 전자문서의 진위여부를 확인할 수 있는 기능을 제공한다.

3.2 보안문제정의

TOE(Target of Evaluation)는 평가 대상으로 TOE 설명서, TOE를 구성하는 소프트웨어, 펌웨어 및/또는 하드웨어의 집합으로 정의되며, 본 논문에서 TOE는 온라인상으로 발급되는 전자문서의 위변조 등의 위협을 대응하는 온라인 증명서 발급시스템이다. 보안문제정의는 TOE 및 운영환경에 의해 대응되어야 하는 위협, 수행되어야 하는 조직의 보안정책, 지원되어야 하는 가정사항을 서술한다. 위협은 TOE 및 TOE의 운영환경에 위험을 초래할 수 있는 모든 요소를 의미한다. 조직의 보안정책은 운영환경 내의 실제 또는 가정상의 조직에 의해 현재 및/또는 향후 부과되는 보안규칙 절차 지침을 의미한다. 가정사항은 보안 기능성을 제공하기 위해 요구되는 운영환경에 대한 요구사항을 의미한다. [표 2]는 본 논문이 수용하는 TOE, 즉 온라인증명서발급시스템의 운영환경 및 온라인증명서발급시스템에 존재하는 위협, 온라인증명 서 발급시스템을 운영하기 위해 지켜야 하는 규칙인 조직의 보안정책 및 시스템이 운영되는 환경으로부터 제공되어야 하는 가정사항을 나타낸다.

[표 2] 보안문제정의

본 TOE에 대한 위협원은 일반적으로 TOE가 보호하고자 하는 주요자산에 불법적인 접근을 시도하거나 가용성을 고갈하는 공격을 수행한다. 위협원은 일반적으로 외부에서 TOE가 보호하고자 하는 자산에 불법적인 접근을 시도하거나 비정상적인 방법으로 자산에 위해를 가하는 IT 실체 및 사용인이다. TOE가 보호하고자 하는 자산은 온라인증명서발급시스템에서 발급하는 전자문서 및 TOE 자체이다.

3.3 보안목적

보안목적은 보안문제정의에서 서술된 문제에 대한 해결책을 서술하는 것이며, TOE 보안목적과 운영환경에 대한 보안목적으로 나뉜다. TOE 보안목적은 보안문제정의에서 서술된 문제의 특정 부분을 해결하기 위한 TOE의 보안 기능성으로 제공되어야 하는 측면이며, 이는 TOE가 달성해야 하는 목적의 집합니다. 운영환경에 대한 보안목적은 TOE가 보안기능성을 정확히 제공할 수 있도록 지원하는 기술적․절차적 수단을 말하며, 운영환경이 달성해야 하는 목적을 서술한다. 다음 [표 3]과 [표 4]는 [표 2]을 통해 도출된 위협, 조직의 보안정책, 가정사항에 대한 해결책을 제시하기 위해 도출된 환경에 대한 보안목적과 TOE에 대한 보안목적이다.

[표 3] 운영환경에 대한 보안목적

[표 4] TOE보안목적

다음 [표 5]는 보안목적이 어떻게 보안문제정의에 서술된 위협, 조직의 보안정책, 가정사항으로 추적되는지를 보여주며 본 추적관계를 통해 보안목적이 적합하고 보안문제를 다루기에 충분하며, 과도하지 않고 반드시 필요한 것임을 입증하고 있다.

[표 5] 보안문제정의와 보안목적의 대응 관계

3.4 보안기능요구사항 도출

보안기능요구사항은 표준화된 언어로 TOE 보안목적을 변환한 것으로 TOE의 보안기능은 TOE 보안목적에 충족되도록 도출되어야 한다. [표 6]는 [표 4]를 CC 2부 보안기능요구사항을 바탕으로 도출한 온라인 증명서 발급시스템이 갖추어야 할 필수 보안기능 요구 사항이다. [표 7]과 [표 8]은 도출된 보안기능요구사항이 보안목적을 만족시키기에 적합하고 그 결과 보안 문제를 다루기에 적절함을 입증하고 있음을 보여주고 있다.

[표 6] TOE보안기능요구사항

[표 7] 보안목적과 보안기능요구사항의 대응관계 I

[표 8] 보안목적과 보안기능요구사항의 대응관계 II

IV. 결론

본 보안기능요구사항의 종속관계 중 FAU_GEN.1은 FPT_STM.1의 종속관계를 가지나, TOE는 TOE 운영환경에서 제공하는 신뢰할 수 있는 타임스탬프를 사용해서 보안관련 사건을 정확하게 기록하므로, FPT_STM.1 대신 운영환경에 대한 보안목적 OE.타임스탬프에 의해 FAU_GEN.1의 종속관계가 만족된다. 본 보호프로파일은 TOE에 대한 최소한의 보안요구사항을 포함하고 있으며, TOE 구현 모델에 대하여 정의하지는 않는다. TOE의 구현 모델에 따라 발생할 수 있는 사항에 대해서 개발자는 추가적인 보안문제, 보안목적, 보안요구사항을 정의해야 한다.

온라인증명서 발급시스템은 오프라인 상의 발급 부담을 획기적으로 덜어 줌으로써 문서를 언제 어디서나 편리하고 간편하게 발급 받을 수 있는 편리성을 제공하지만 그 만큼의 위험을 내포하고 있다. 본 보호프로파일에서는 온라인증명서 발급 서비스를 안전하게 사용하기 위해 시스템이 갖추어야 할 보안기능요구사항을 CC V3.1을 기반으로 도출하였다. 이에 본 논문은 온라인증명서 발급시스템을 도입하는 기관의 올바른 시스템 선택의 기준으로 사용될 수 있으며, 해당 시스템 개발자 및 해당 시스템을 평가하는 평가기관에서 참고 자료로 활용될 것으로 기대된다.