[지상중계] "정보보호 심포지엄 97" 주요발표 내용 요약

정보통신부와 국가안전기획부가 공동주최하고 한국정보보호센터가 주관하는 「정보보호심포지엄 97」이 관계기관 및 업계 관계자들이 참석한 가운데 24일 오후 롯데호텔(을지로)에서 개최된다.

이번 심포지엄은 세계 각국이 자국 이익을 위해 정보보호정책을 경쟁적으로 마련하고 있고 OECD 등 국제기구를 통해 정보보호분야 시장개방을 요구하고 있는 상황에서 개최된다는 점에서 큰 관심을 끌고 있다.

특히 이번 심포지엄에선 우리의 정보보호정책 방향을 모색하기 위해 국내외의 정보보호정책 및 산업동향을 중심으로 주제발표가 있을 예정이다. 따라서 이번 행사는 앞으로 시행될 국내 정보보호정책의 방향을 진단할 수 있는 좋은 자리가 될 것으로 기대되고 있다. 이번 심포지엄에서 발표될 주요 내용을 간추려 소개한다.

<편집자>

* 정보보호시스템 평가와 인증제도 <한국정보보호센터 기준개발팀장 홍기융>

인터넷 등 정보통신망 환경 및 서비스의 급속한 발전으로 정보의 비밀성 유지 및 개인의 프라이버시 보호가 점차 중요한 사안으로 부상하고 있다.

이에 따라 선진 외국에서는 사용자의 불법적인 정보 획득, 비인가된 접근 및 검색, 변조 등을 방지하기 위한 정보보호기술을 앞다퉈 개발하고 있다.

이와 더불어 개발된 정보보호제품의 성능과 신뢰도를 평가하기 위한 평가기준 및 평가방법 등에 관한 연구개발, 평가체계 구축 및 평가인증 제도 시행을 활발히 추진하고 있다.

따라서 국내에 적용될 정보보호시스템 평가기준을 마련하고 평가제도의 정착을 위해서는 세계 각국의 평가인증체계에 대한 연구가 선행돼야 한다.

특히 미국의 TCSEC, TPEP 및 TTAP, 유럽의 ITSEC 및 ITSEM, 캐나다의 CTCPEC, 국제 표준화기구의 CC 및 CEM에 대한 특징과 최근 마련된 우리의 침입차단시스템 평가기준(안)의 주요 내용을 비교분석해 볼 필요가 있다.

미국은 60년대 후반부터 컴퓨터 보안에 대한 연구를 지속적으로 수행해온 이래 세계 최초로 83년 「오렌지북(Orange Book)」으로 불리는 컴퓨터시스템 평가기준인 TCSEC를 제정하여 C1, C2, B1, B2, B3, A1의 6가지 등급으로 나눠 평가를 시행하고 있다.

영국, 독일, 프랑스 및 네덜란드 4개국은 80년대 중반부터 각자 자국의 평가기준을 제정하여 시행해 오다가 단일화된 공통의 유럽 평가기준을 마련하기로 합의하고 91년에 ITSEC V1.2를 제정하여 영국, 독일, 프랑스를 중심으로 시행하고 있다.

유럽의 ITSEC에 의한 평가는 E1에서 E6까지 6가지 등급으로 이루어진다.

캐나다는 89년 CTCPEC 개발을 시작하여 90년에 CTCPEC 버전 2.0을 제정하여 평가를 시행하고 있으며 93년에 CTCPEC 버전 3.0을 보완 제정하였다.

CTCPEC는 미국의 평가기준과 유럽의 평가기준을 상호 접목한 평가기준으로 T1에서 T7까지의 7가지 등급으로 평가를 시행하고 있다.

국제적으로는 미국, 캐나다, 프랑스, 독일, 네덜란드 및 영국의 6개국은 93년 국제 공통의 평가기준 CC를 개발하기로 합의한 이후 현재 CC V1.0(안)을 발표하였고 이를 토대로 ISO/IEC JTC1 SC27 WG3를 통하여 국제 표준화를 위한 노력을 기울이고 있다.

현재 우리나라도 정보통신부, 국가안전기획부 및 한국정보보호센터를 중심으로 정보보호시스템 평가제도 정착을 위하여 부단한 노력을 기울이고 있다. 현재 작업중인 국내의 침입차단시스템평가기준(안)은 미국 및 유럽의 평가기준이나 국제 공통평가기준(안) 등을 중심으로 하는 각국의 평가 및 인증제도에 적절히 대응하고 국내의 평가체계를 효율적으로 확립하기 위하여 K1에서 K7까지 7가지 등급으로 평가를 시행할 수 있도록 기본골격을 갖추고 있다.

앞으로 공통기준 CC의 국제 표준화 동향과 선진 각국의 평가 및 상호인증 등 국제적 관계를 분석 고려하여 국내의 정보보호시스템 평가기준에 반영함은 물론 세계 표준화 기구에 적극적으로 참여하여 우리나라의 위상을 높이고 국내의 정보보호시장을 활성화해 국제무대로 연계할 수 있는 토대를 마련해야 할 것으로 보인다.

* 전자상거래 정보보호기술<한국정보보호센터 기반연구팀장 박성준>

전자상거래를 활성화하기 위해서는 전자상거래의 안전성, 신뢰성을 확보해야 하며 이를 위해서는 법, 제도적 장치인 전자인증제도와 이러한 제도를 시행할 수 있는 기술적 환경인 초고속인증망이 요구된다.

전자인증제도란 사이버공간 상의 전자문서, 전자거래 등 관련 전자업무에서 당사자의 신분확인기능, 전자업무 내용의 정보보호 및 무결성기능, 전자행위에 대한 부인봉쇄기능 등 전자업무의 중요 인증과 관련하여 신뢰할 만한 제3자(인증기관)가 확인 및 증명해 주는 제도를 말한다.

선진 각국은 사이버공간 상에서의 전자상거래 주도권을 확보하기 위하여 전자인증제도 관련 법률로 전자서명법을 제정하고 있다.

전자서명법의 주요 내용은 전자인증의 책임기관인 인증기관의 자격, 역할 및 법적 책임성, 인증절차 및 인증방법 등이다.

우리나라에서는 현재 정보통신부가 전자상거래 활성화를 목적으로 전자인증제도를 시행하기 위해 국내에 적합한 전자인증제도 및 구체적인 시행방안을 마련중에 있으며, 통상산업부는 가칭 전자상거래법을 마련중에 있다.

전자상거래 활성화를 위해서는 현재 제정 움직임이 있는 전자상거래법보다는 전자서명법 제정을 통한 전자인증제도를 조속히 확립하는 것이 바람직하다. 전자상거래법 제정은 민법/상법의 계약법 부분, 민사소송법, 형사소송법의 증거법 부문을 위시하여 각 법률 관련 규정에 대한 적절한 개정도 함께 해결해야 하는 등 많은 문제를 내포하고 있기 때문이다.

따라서 전자상거래법 문제는 단기적인 문제가 아니라 관련 부처가 연계, 기업, 학계 의견을 충분히 수렴해 신중하게 접근해야 한다.

그리고 전자인증제도의 핵심기술은 전자서명 기술이다. 이와 관련하여 정보통신부에서는 한국정보보호센터를 중심으로 국내 표준 전자서명 알고리듬 개발을 완료했으며, 올해 안에 표준으로 제정할 예정이다.

또한 전자인증제도의 시행에 필요한 인증기관용 정보보호시스템 등 관련 정보보호기술 개발도 추진하고 있다.

전자인증제도와 관련한 정보보호기술의 실체화가 바로 초고속인증망 구축이다. 초고속인증망이란 전자인증의 책임기관인 인증기관들을 서로 통신망으로 연결한 네트워크로, 전자인증를 위한 네트워크다.

현재 선진 각국은 초고속인증망 구축을 국가전략사업으로 추진하고 있다. 미국은 키관리기반구조(FKMI)와 공개키기반구조(FPKI), 호주는 공개키인증프레임워크(PKAF), 캐나다는 공개키기반구조(FPKI)를 구축하고 있다.

특히 유럽은 독일, 영국을 비롯한 13개국이 연합하여 유럽공개키인증기반구조(ICE-TEL)를 구축하고 있다. 우리나라에서는 현재 한국정보보호센터에서 초고속인증망 구축에 필요한 정보보호기술을 개발하고 있으며, 조속히 정보통신부 주관으로 한국정보보호센터를 전담기관으로 하여 초고속인증망을 구축해야 한다.

그리고 가상공간에서의 국가경쟁력을 확보하기 위해서는 하루 빨리 산업사회에 기반을 둔 국내 법, 제도를 조속히 정보사회에 알맞게 변환해야 하며, 산업사회인적인 사고에서 정보사회인적인 사고로 전환해야 한다.

* 정보보호와 국내산업발전<한국정보보호센터 응용연구팀장 고승철>

현재의 정보보호시장 형성은 정보통신기술 및 산업, 그리고 세계 각국의 정보화 정책 수행의 결과로서 새로운 경제적 현상으로 볼 수 있다.

80년대 초반 개인용 컴퓨터가 등장하기 이전까지는 모든 정보통신시스템은 중앙집중식으로 관리되었으므로, 시스템 보안관리는 바로 컴퓨터시스템 및 내부 데이터에 대한 접근통제를 의미했다.

정보통신망이 발달되고 사용이 일반화하면서, 각 조직들은 경쟁력 제고를 위하여 가능한 넓은 범위의 사용자들이 정보를 공유하는 동시에 중요한 데이터에 대한 보안을 유지할 수 있는 방법을 모색하게 되었다.

또 최근에는 인터넷 사용의 급증으로 정보보호시장의 규모는 급속하게 성장하고 있다.

따라서 정보보호의 개념을 세우고 정보보호 분야를 분류하는 한편 기술대책을 서둘러 마련하는 것이 무엇보다 중요한 사안으로 부상하고 있다.

정보화촉진기본법은 정보보호를 정보의수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리, 기술적 수단을 강구하는 것으로 정의하고 있으며, 일반적으로는 정보통신시스템 내부에 보관되거나 통신망을 통하여 전송되는 정보를 시스템 내, 외부의 위협으로부터 안전하게 보호하여 정보시스템의 가용성을 보장하는 것으로 인식되고 있다.

정보보호산업의 중요한 발전 동기인 정보통신산업의 현황과 전망을 진단하는 것도 중요한 일이다. 정보보호산업의 발전과정, 특성 등을 이해하고 해외 정보보호정책 동향 분석을 통한 우리의 대응방안 마련이 필요하다.

세계 정보보호산업 발전과정은 미국 표준 암호알고리듬 발표 이후인 70년대 후반에서 80년대 초반까지 태동단계, 80년대 후반 성장단계, 90년대 초반 본격적 시장 형성단계 및 현재의 발전단계로 분류할 수 있다. 정보보호산업의 특징은 90년대 후반의 세계 정보보호산업의 전망 예측을 통해 파악할 수 있다.

미국 데이터퀘스트(Dataquest)사가 95년 발간한 정보보호시장분석(Inofrmation Security Market Analysis) 자료에 따르면 세계 정보보호산업의 시장규모는 정보산업의 5%를 꾸준히 점유하며 2000년도에는 약 1백30억달러에 이를 것으로 전망했다. 정보보호산업의 가장 중요한 특징은 다른 산업에 비하여 국가 또는 국제 정책에 의해 산업발전이 크게 영향을 받는다는 점이다.

따라서 최근 정보보호산업에 영향을 미치고 있는 미국이나 영국 등 선진국들의 정보보호정책과 OECD등 국제기구의 정보보호지침 등이 우리의 정보보호산업에 상당한 영향을 미치고 있다.

현재 국내 정보보호산업 발전방향을 모색하기 위해 관련기관들이 공동으로 정보보호 관련 법, 제도 정비를 통한 산업발전 여건 조성, 정보화 선도사업에 정보보호 분야를 포함하여 추진하는 방향, 핵심기술 및 전문인력 확보방안, 유망 중소기업 지원방안 등에 관하여 정부 정책지원 차원에서 연구중에 있다.

<정리=구근우 기자>