정보보호체계 강화사업 최종 결과보고서cfs2.tistory.com/upload_control/download.blog?fhandle=...제 출 문 정보통신부장관 귀하 본 보고서를 “한국정보보호진흥원

2005년도

정보보호체계 강화사업

최종 결과보고서

2006. 2.

제 출 문

정보통신부장 귀하

본 보고서를 “한국정보보호진흥원 정보보호체계 강화사업”의 최종 결과

보고서로 제출합니다.

2006년 2월

한국정보보호진흥원

원 장 이 홍 섭

- i -

요 약 문

1. 사업명

정보보호체계 강화사업

2. 사업목

o 해킹․바이러스 응체계 고도화

o 자서명인증 기반 확

o 국제수 의 정보보호제품 평가기반 구축

o 정보통신 기반보호기술 개발 지원 강화

o 개인정보 보호 기능 강화 스팸 방지

o 정보보호 인식제고를 한 교육 홍보 강화

o 정보보호산업 경쟁력 강화 지원

3. 추진방향

< 정보보호 기반구축 지원 >

가. 정보보호 체계정비 환경조성

o 정보보호환경변화에 따른 장기 정보보호 로드맵 수립

o 정보보호정책 수립 지원을 한 정보보호 실태조사 평가지표 개발

o 국제기구 외국 정보보호 정책 동향 분석을 통한 보호 책 수립 지원

o 정보보호 산업정책 수립을 한 시장동향 조사 산업경쟁력 분석

나. 정보보호 수 제고 인식확산

o 국민의 정보보호 생활화를 한 정보보호주간 제정 등 홍보활동 강화

o 유비쿼터스 환경에서의 정보보호정책, 제도, 기술 발 을 한 학술행사 개최

- ii -

다. 정보보호 자격제도 운 연구

o 정보보호 자격 검정 1, 2 시행을 통한 자격제도 활성화

라. 암호이용기반구축

o 암호이용자의 e- 라이버시 보장을 한 암호이용 제도 기반 마련

o USN 등에서의 정보보호를 한 암호기술 용방안 마련

o 국내암호기술의 국제 경쟁력 강화를 한 SEED의 국제표 화 추진

< 자서명 인증 리 >

가. 자서명인증 리체계 운 고도화

o 최상 인증기 공인인증기 자서명키 갱신 등 공인인증체계의 안 성

강화 방안 용

o 최상 인증기 무장애운 공인인증기 정기 검․실질심사 수행

o 공인인증서 재발 차 개선 등 공인인증서 리체계 강화

나. 유․무선 자서명 이용환경 개선 국제 력 활동 강화

o 무선 공인인증서 이용모델 무선 공인인증서비스 사용자의 이용 편익

제고를 한 사용자 인터페이스 개선

o 홈 네트워크 등 자서명인증 련 기술개발 ISTF, TTA, 아시아 PKI 포럼,

IETF 등을 통한 자서명인증기술의 표 화

다. 공인인증시장 환경 인증서 이용방법 개선

o 인증서 이용분야 확 를 한 MS에 최상 인증기 인증서 탑재

o 인터넷상에 주민번호 체수단 마련

라. 자서명 법제 정비 자서명 국민 인식제고

o 공인인증시장의 공정경쟁 환경 조성 인증업무 안 ․신뢰성 확보를 한

자서명 법제 정비

o 홍보물 제작 배포, 세미나 개최 등을 통한 자서명 국민 인식제고

이용확산

- iii -

< 정보보호시스템 평가 >

가. 국제상호인정 정(CCRA) 가입심사 수검 비

o 인증서발행국(CAP) 가입을 한 수검 비 국제활동 강화

o 인증서발행국 수 으로 평가․인증제도 개선

나. 공통평가기 기반의 정보보호제품 평가 활성화

o 다양한 정보보호제품으로 평가 상 확

o CCRA 인증서발행국 수 의 공통평가기 평가능력 확보

o 고객 만족도 향상을 한 고객 서비스 강화

< 해킹․바이러스 응체제 구축 >

가. 인터넷 침해사고 응지원센터 운

o 24시간 종합상황실 상시 운 정보제공 기 /수집개소 확

o 국내 사용자 악성코드 피해 방 활동

o 인터넷침해사고 방․분석 응기술 강화

o 국내․외 침해사고 력체계 공동 응활동 강화

나. 주요정보통신기반시설에 한 능동 ․자율 운 환경 조성

o 정량 , 지속 정보보호목표수립을 한 정보보호수 평가방법론 개발

리기 보호 책 이행률 향상을 한 이행검사 강화

o IT839 략 8 서비스의 정보보호 책 수립

다. 정보보호 컨설 문업체 (재)지정, 사후 리 심사제도 개선

o 심사 진행시 윤리강령 선언 심사 기 구체화 등 심사해설서 개발․보

o 문업체 (재)지정 심사 제도 개선(안) 마련

라. 안 진단 제도 인식 수검률 제고를 한 안 진단 제도의 정착화

- iv -

o 안 진단 상자의 필증 획득 제고를 한 교육 세미나 개최, 비지원

상담반 운 등 활성화 방안 추진

o 안 진단 상자의 수검 이행을 진하고, 진단 황을 효율 으로 악하기

한 안 진단 황 리시스템 구축 운

마. 정보보호 리체계 인증 활성화 지속 인 심사기 개선

o 국내․외 련 표 , 지침, 기 등을 반 한 인증심사 기 개선

o 국내․외 유사 인증제도 벤치마킹을 통한 제도 개선방안 수립

바. 정보보호 기술훈련장 신규 훈련공간 구축 이용활성화

o 소기업등 정보보호 취약계층이 공개 S/W를 활용하여 정보보호 환경을

구축할 수 있는 훈련 로그램 개발

o 최신 정보보호 이슈를 반 한 훈련 로그램 신규 개발을 통하여 이용자들의

해킹 응 능력 고도화

o 업무 신을 통한 정보보호기술훈련장 효율성 제고

o 기술훈련장 이용활성화 추진을 한 학 SIS자격 등과의 력체계 강화

사. 소기업 정보보호 지원

o 소기업 스스로 비용으로 조치가 가능한 정보보호 책(안) 개발

< 개인정보보호 업무지원 >

가. 개인정보 침해방지 개인정보분쟁조정 원회 운

o 2010년까지 자기 정보를 가, 어떤 내용으로, 어디에 보 하고 있는지 본인이

항상 알 수 있는 u-Privacy 환경 구축

- 24,000여 정보통신서비스제공자에 한 실태조사 계도활동을 강화하여

개인정보보호 법규 수율 제고

- u-Korea IT839 략의 성공 추진을 한 개인정보보호 정책 개발 지원

- 개인정보침해에 한 신속․공정한 고충처리 분쟁조정으로 고객 만족도

제고

- v -

나. 불법스팸에 의한 피해 방 응체계 비

o 휴 화 문자․음성스팸 수신량 감축

o 이메일 스팸경로별 스팸메일 유통량 감소를 통한 수신량 감축

o 불법스팸 민원처리 기간 단축 민원인의 만족도 제고

< 정보보호산업지원센터 설치․운 >

가. 정보보호산업지원센터 운

o 정보보호업체가 개별 으로 구비하기 어려운 최신 시험장비 시설제공,

연구용 생체 DB 운 등을 통해 정보보호산업 발 을 한 기 여건 조성

o 정보보호제품 시험환경 제공을 통해 정보보호업체의 제품 연구개발 경쟁력

강화 지원

o 정보보호업체가 개발한 제품의 홍보, 신제품․기술 발표, 교육 등을 한

교육실, 회의실 세미나실 등 제공

o 생체인식 제품의 성능시험 등을 지원하기 한 지문․얼굴 DB 운

나. 정보보호산업 구조개선 방안 수립

o 미래 고부가가치 략산업으로 정보보호 산업의 극 인 육성을 해

산업구조 개선을 통한 경쟁력 강화

다. 정보보호업체 국외진출지원

o 국외 시회, 비즈니스 상담회 제품 지화 지원

o 국외(동남아) 정보보호 시장 기술동향 조사 제공

o 정보보호 산업 포털사이트 운 제품편람 발간 등 홍보활동 강화를 통한

국내 정보보호 산업의 국외진출 진

4. 사업분야별 추진실

< 정보보호기반 구축지원 >

- vi -

가. 정보보호 체계정비 환경조성

o 장기 정보보호 정책개발 지원

- 장기 정보보호 로드맵 수립 이행 검(1월~12월)

- u-Korea 기본계획 등 정보화정책의 정보보호 책 마련(1월~10월)

o 정보보호 통계집 발행 동향분석

- 정보보호 실태조사 통계집 발간(1월~12월)

- 인터넷 침해사고 피해규모 분석 수 평가 지수 산출(1월~12월)

- 정보보호 정책동향 이슈리포트 발간(1월~12월)

o 정보보호 산업육성 경쟁력 강화방안 수립 지원

- 산업구조 개선방안 수립 지원(1월~12월)

- 투자활성화 등 산업육성방안 수립 지원(1월~11월)

나. 정보보호 수 제고 인식확산

o 정보보호 교육 강화

- 정보보호 일반교육 실시(2,390명, 32회)(2월~12월)

- 정보보호 문교육 실시(1,516명, 55회)(3월~12월)

- 온라인 교육「정보보호 기 과정」개발․운 (6월~12월)

- 정보통신부 산하기 상 정보보호 교육 지원

o 정보보호 실천문화 형성

- 안 한 사이버세상 만들기 캠페인(11월~12월)

- 정보보호주간 행사(4월~6월)

- 제11회 정보통신망 정보보호워크샵(NETSEC-KR)개최(4.20~4.21)

- 제3회 국방 정보보호 컨퍼런스 개최(6.2)

- 제4회 정보보호 교육워크샵 개최(6.24)

- 제10회 정보보호 심포지움(SIS)개최(6.16~17)

o 정보보호 언론홍보 확 를 통한 정보보호 인식제고

- 월간「정보보호뉴스」매월 4,000부 발간(통권 88~99호)

- 기고, 인터뷰, 보도자료 등 총 126건 언론홍보

o 정보 자료 리

- 연구보고서 정기간행물(정보보호뉴스) 원문 서비스 제공

- EKP 시스템 자료 리 시스템 구축을 통한 자료 공유 서비스 제공

- 국가 자 컨소시엄 참여

- vii -

다. 정보보호 자격제도 연구 운

o SIS 1, 2 자격검정 총 6회 시행(1 3회, 2 3회)

o SIS 자격제도 활성화를 한 가이드라인 개발 홍보(3월~12월)

라. 암호이용기반구축

o 암호이용활성화를 한 제도 ․기술 방안 마련

- 암호이용활성화를 한 정책제안 보고서 작성(1월~12월)

- 개인정보보호를 한 암호기술 용방안 마련(9월~12월)

o 국내 암호기술의 국제표 화 활동 강화

- SEED 알고리즘의 ISO/IEC 국제표 화 추진 국제표 채택(1월~12월)

- SEED 암호알고리즘, CMS-SEED 등 총 4건의 IETF 국제표 화 추진

국제표 채택 완료(1월~12월)

- SEED 소스코드 총 266건 배포(1월~12월)

o RFID/USN 환경에서 정보보호를 한 암호기술 용방안 마련

- RFID 객체검색서비스에 합한 공개키 인증 모델 연구(1월~12월)

- 데이터베이스에 장되는 개인정보보호 리기술 강화(1월~12월)

- 모바일RFID 정보보호 라이버시보호 기술 개발 표 화(2월~12월)

< 자서명인증 리>

가. 자서명인증 리체계운

o 공인인증서비스 안 성 가용성 강화

- 공인인증서비스 안 성 강화를 한 자거래서비스업체의 PKI 툴킷 교체(1월~12월)

- 공인인증서 온라인 재발 개선 등 공인인증서 리체계 개선(6월~9월)

o 최상 인증기 운

- 공인인증서비스 업무연속성 확보를 한 장애 응훈련(4회, 6월~12월)

- ‘04년도 보호 책 이행검사(5월) ’05년도 보호 책 시행(3월~12월)

- 자서명인증시스템 취약 분석․평가 보호 책 수립(2월~3월)

- 최상 인증기 시스템 네트워크 24시간 모니터링(1월~12월)

- 자서명인증 리센터 인증업무수행(1월~12월)

o 공인인증기 리업무 안 ․신뢰성 제고

- 공인인증기 설비의 추가․변경 등에 따른 실질심사(24건 완료, 1건 진행)

- viii -

- 문 심사원제 심사 자동화 툴 도입 등 실질심사 업무 개선(2월~5월)

- 공인인증기 시설 장비의 안 운 을 한 정기 검 수행(3월~12월)

- 정기 검 시정명령에 한 공인인증기 이행 여부 검(12월)

- 공인인증서 상호연동 반신고 수 처리(1월~11월)

o 무선 공인인증체계 이용환경 개선

- 무선 공인인증서를 이용한 휴 폰 성인인증 지 결제 방안 마련(4월~9월)

- 무선 공인인증서비스 사용자 인터페이스 가이드라인 개발(11월~12월)

o 자서명인증 련 기술 고도화

- 공개키 인증서를 이용한 개체인증 로토콜 등 국내 표 화(5건, TTA/ISTF)

- 자서명문서 장기 효력 증명을 한 자서명 형식 가이드라인 개발(12월)

- 자서명문서 장기 효력 증명 서비스 모델 구 가이드라인 개발(12월)

o 자서명인증 련 국제 력

- 아시아 PKI 상호연동 가이드라인 v2.0 개발(1월~6월)

- 자서명 응용 서비스 모델 개발(7월~12월)

- 국내 자서명인증 기술의 IETF 국제 표 화 추진(2건, 1월~12월)

나. 자서명 이용활성화

o 자서명 법제 정비 정책제안

- 자서명법 개정시안 작성, 계부처 의, 공청회 개최(1월~5월)

- 공인인증서비스 장애 응체계 구축을 한 방안 마련(5월~8월)

- 국외 사례분석을 통한 디지털통합인증체계 구축 리체계 마련(9월~11월)

- 공인인증서비스 장기로드맵(안) 개발(12월)

o 공인인증시장 환경 인증서 이용방법 개선

- MS 도우에 최상 인증기 인증서 탑재 추진 공인인증서 활용방안

마련(1월~12월)

- 인터넷상의 주민번호 체수단 가이드라인 개발(4월~8월)

- 정보소외계층 보호를 한 공인인증서 발 방안 개발(3월~6월)

o 자서명 교육홍보 국민 인식제고

- 카자흐스탄 NIT 표단 PKI 교육 실시(3월)

- 자 융 이용자 정보보호 수칙 개발 홍보(10월~12월)

- 자서명 이용활성화를 한 워크 자문회의 개최(1월~12월)

o 아시아PKI포럼 사무국 운 자서명 상호인정 국제 력

- 인증기 책임에 한 아시아국가간 법제 비교분석 보고서 개발(2월)

- ix -

- 아시아 국가간 인증서정책 매핑 가이드라인 개발(2월)

- 아시아 PKI 어 리 이션 사례집 개발(9월)

- 아시아PKI포럼 산 사용 지침안 개발(8월)

- 보호진흥원-SIC간 공동 시큐리티 워크 개최(11월, 국)

<정보보호시스템 평가>

가. 정보보호시스템 평가․인증제도 운 개선

o 인증서발행국 가입을 한 수검 비 국제활동 강화

- CCRA 가입규정에 합한 제도/기술문서 개발 국외 검증(1월~10월)

- CCRA 가입심사 수검 지원(8월~12월)

- CCRA 회원국 상으로 차별화된 국제 력 홍보활동 개(1월~11월)

o 평가․인증제도 개선

- 정보보호시스템 평가․인증 지침 공통평가기 개정(1월~4월)

- 제도 수립 과정의 공개․투명성 제공을 한 공청회 개최(4월)

- 평가수수료 실화를 한 수수료 산정 모델 기 (안) 개발(3월~12월)

- CC/CEM 버 변경에 따른 국내 평가기 개정 방법론 개발(5월~11월)

- ISO/IEC 17025를 수용한 품질 리시스템 운 개선(1월~12월)

- CCAR 회원국 등 16개 국가 상으로 평가․인증 동향 분석(1월~12월)

o 평가 상군 확

- 보호 로 일 개발 장기 계획 수립(5월～12월)

- 네트워크 침입방지시스템 등의 보호 로 일 제․개정 평가(1월~12월)

- 개발자를 한 맞춤형 교육 로그램 개발 교육 시행(3월～10월)

나. 정보보호시스템 평가시행

o 정보보호제품 평가

- 침입차단시스템 등 총 25개 제품 평가완료, 9개 제품 평가진행(1월~12월)

- 침입방지시스템 등 3개 제품에 한 최 평가 착수(7월)

- 평가제출물 완성도 향상을 한 총 903건의 상담 자문(1월~12월)

- 새로운 취약성에 처하기 한 인증제품의 사후 리(1월~12월)

o 공통평가기 기반 평가능력 확보

- 암호모듈 구 의 합성 검증 강화 방안 마련(1월~12월)

- x -

- IPv6 상용서비스에 비한 IPv6 기반 제품 평가기술 확보(1월~12월)

- 네트워크 침입방지시스템 등 신규 제품 평가기술 확보(1월~12월)

- 평가결과 자동생성도구 기능 개선(3월~12월)

- 독일의 인증기 TUViT에 의한 평가방법/결과 국외 검증 추진(5월~11월)

<해킹․바이러스 응체제 구축>

가. 해킹․바이러스 응체제 구축 사업


- 신종 해킹, 웜․바이러스 경보 발령 상황 총 42회(1월~12월)

- 악성코드 유포 사이트에 한 국내 국외사이트 조치(2,085)(1월~12월)

- 신규 취약 , 웜․바이러스에 한 분석(2,432건) 홈페이지 보안공지

(40회)를 통한 일반에게 보안패치 주의 안내

-「2005 APEC 정상회의」사이버안 분야 지원- 인터넷망 행사 련 홈페이지

모니터링 강화(10.24~11.28)

- 사이버외교사 단(VANK) 사이트에 한 일본 측 공격 사 응(8월)

- 국해커의 한국 경유 일본사이트 공격 방지를 한 사 응(7월~8월)

- 한․일 네티즌의 독도 유권 분쟁 련 침해사고 방지를 한 모니터링

강화(3월~5월)

- 응지원센터와 ISP 실무자간 침해사고 응 력체계 강화를 한 ISP

워크샵 개최(분기별 1회)

- 비상시 비, 국내 ISP 국외 유 기 과 침해사고 응 정기모의훈련

실시(분기별 1회)

- 인터넷침해사고 분석 동향 월보 발간(월별 1회) (1월~12월)

- 인터넷 이상징후 탐지 정확도 향상을 해 침해사고 련정보 제공기 을

유선방송사업자(SO) ․소형 ISP 사업자로 확 (50개 기 , 120개소)

- 데이터 수집의 안정성 확보를 해 수집서버 이 화

- 침해사고 정보수집 내부 업무지침 작성(7월)

o 침해사고 방․분석 응기술 강화

- 침해사고 확산을 방지하기 한 취약 , 웜․바이러스 분석 응책 수립(1월~12월)

- 침해사고 사 응을 한 시스템취약성분석센터 운 (1월~12월)

- 악성코드를 신속하고 정확하게 분석하여 응하기 한 시험망 웜분석

공유시스템 구축(1월~12월)

- xi -

- 홈페이지 악성코드 은닉에 의한 침해사고 확산 방지를 한 악성코드은닉

사이트자동탐지시스템 개발 70,000여 사이트 검서비스 제공(6월~12월)

- 휴 폰에 한 신종 방을 하여 국외 휴 폰바이러스 황 분석

국내 휴 폰 환경의 바이러스 발생 시나리오 개발(6월)


- '05년 모의 사이버테러 응 훈련(을지훈련) 교육, 웹서버 취약 검 등

기술 지원(8월~10월)

- 공개 웹 S/W 취약 찾기 회 개최(6월) 발견된 취약 패치

- 홈페이지 해킹 응 정보 공유를 한 홈페이지 보안기술 세미나 개최(2회)

- 홈페이지 해킹 방지를 해 IDC와 공동으로 웹 서버 취약 무료 검 (8월)

-「홈페이지 개발 보안 가이드」발간 국내 주요 ISP, 웹 호스 업체,

정부기 등 상 총 3,300부 배포(12월)

- 2005 부산 APEC 행사 취약 검, 침해사고 모의 훈련 장 응 등

사이버안 지원(10.24~11.19)

- 온라인 게임해킹 방지 책(안) 작성 개발보안 교육 등 지원(11월~12월)

- 악성 Bot 국내 감염 비율 감소를 한 경유지 차단, 세미나 개최 등 방

응활동(1월~12월)

- 은행 장 사이트 사고 등 주요 해킹사고에 한 장/원격 기술지원

사고분석보고서(52건) 작성

- 제2회 해킹방어 회 개최(6월)


- 학의 침해사고 자체 응능력 확보를 한「 학 CERT 추진단」구성

운 (3월~10월)

- 침해사고 발생시 원인분석 등을 한 침해사고 민․ 합동조사단 문가풀

운 (3월~12월)

- 정보보호 기술정보 침해사고 응 련 정보 교류 확 를 한 한국

침해사고 응 의회(CONCERT) 운 (6월~12월)

- 피싱 방 안 한 자 융거래를 한「 자 융 이용자 정보보호수칙」

제정(11월) 「 자거래이용자 정보보호수칙」홍보물 제작

- 피싱 응 융정보보호 기술세미나를 융감독원과 공동개최(12월)

- 국제 피싱방지 의체(APWG)에서 리서치 트 활동(‘04.10월~계속)

- 국내 피싱 경유지사고 처리(총 1,087건), 국내 피싱 련 상담

- 2005 ASEM 사이버보안 워크샵(6월) 개최(36개국 199명 참여)

- FIRST/APCERT 운 원 FIRST 교육 원장 활동 수행

- xii -

- 국가간 규모 분산서비스거부(DDoS) 공격 등 침해사고 응능력 확보를 해

APCERT 내 9개국 10개 CERT 국내 ISP가 참여하는 공동 응 훈련 (12월)

- APISC 침해사고 응 교육과정 운 (8월~9월, 11개국 30명 참석)

- 인 국가간 침해사고 공동 응을 한 한․ ․일 침해사고 공동 모니터링

체계 확

- 침해사고 력강화를 한 주요 ISP 침해사고 담당실무자 회의개최(4회)

- 보안이 취약한 소기업 지원 인식제고를 해 437개 소기업을 상으로

웹서버 취약성 원격 검 실시(11월~12월)

- 국민 정보보호 인식제고를 한 정보보호 10 실천수칙 제정 홍보(9월)

나. 정보통신기반보호지원

o 주요정보통신기반시설의 정보보호 수 제고

- ‘06년도 기반시설 보호 책 수립 앙부처 보호계획 수립을 한 지침

개발(1.1~2.28)

- 정보통신부 소 17개 리기 22개 기반시설 ‘06년도 보호 책 검토(4월~5월)

- 정보통신부 소 12개 리기 15개 기반시설 ‘04년도 보호 책 이행 검

(4월~5월)

- 국회 사무처 등 9개 앙행정기 보호계획 수립 지원(9.23~10.7)

- 앙선거 리 원회 기반시설 신규지정(안) 검토 「주요정보통신기반시설

지정평가 기 (안)」 개발(9월~10월)

- 주요정보통신기반시설 취약 분석․평가 수행(2개 시설)(2월~4월)

- 국외 최신 기반보호동향 분석을 통한 정보통신기반보호 뉴스 발간(21건)

- 미국 CERT Incident Report System, Cyber Security, SP 800-53 등 국외

기반보호 동향 분석 보고서 작성 정책기 (정보통신부) 제공(4건)

- 정보통신기반보호법․제도 개선반 운 을 통한 제도개선(안) 개발(8.1~12.30)

- 정보보호 책 우수사례 공유 등을 한 2005년도 주요정보통신기반보호

워크 (WIPRO) 개최(11.29~30)

- 정보통신부 소속 산하기 (총39개) 상 원격 취약 검(6.1~12.6)

- 우정사업본부 등 정보통신부 11개 직할기 ‘06년도 보호 책 검토(11.28~12.2)

- 주요정보통신기반시설 정보보호 수 평가 방법론 개발(7.1~11.31)


- 8 서비스의 필수 공통 인 보안요구사항 악 체 서비스 안 성

제공을 한 공통보안 임워크 개발

- xiii -

- 신규 IT서비스의 기획/설계단계부터 정보보호 책을 수립하고 용할 수

있는 정보보호사 평가모델(안) 개발

- 8 서비스의 업무연속성 확보를 해 8 서비스의 자 침해시 장애

응 략 수립

다. 정보보호컨설 문업체 지정지원

o 문업체 (재)지정, 사후 리 심사

- 정보보호컨설 문업체 업무 양도․양수에 따른 이니텍(주) 지정심사(3월)

- 정보보호컨설 문업체 재지정심사(9월~10월)

- 정보보호컨설 문업체 사후 리 장실사(10월~11월)

- 5개 문업체 상 사후 리 장실사 결과 미흡한 사항에 해 재 검(12월)

- 정보보호컨설 문업체 신규지정 필요성 검토(안) 마련(7월)

o 문업체 (재)지정, 사후 리 심사 제도 개선

- 문업체 (재)지정, 사후 리 심사제도 개선(안) 개발(3월~12월)

- 정보보호 분야 분리 발주 방안 마련 문업체 홍보(11월~12월)

o 문업체 심사제도 객 성 공정성 강화

- 사후 리 심사 해설서 개발 배포(9월~10월)

- 계획→ 검→지 사항 재 검 3단계로 사후 리 심사 로세스 개선(안) 마련(10월)

라. 정보보호 안 진단 지원

o 정보보호 안 진단 상자의 효과 수검 지원

- 안 진단 수검을 한 활성화 방안 수립 시행(1월)

- 안 진단 목표 수검률 달성 진을 한 험 리기반의 안 진단 조기

경보체계 구성 운 (2월)

- VIDC 등 세업체 자율 수검유도를 한 지원방안 수립 시행(2월)

- 안 진단 인식제고를 해 안 진단 해설서, 지침, 홍보물 등 제작․배포(2월)

- 안 진단 제도에 한 인식제고 제도 정착을 한 설명회 세미나

(총7회, 1월~12월)

- 문업체간 원활한 정보공유 황 악을 통한 안 진단 활성화를 한

실무자 의회 구축 운 (총4회, 2월~11월)

- 안 진단 상담운 SOP 개발 상담 시행(2월~12월)

- xiv -

- 안 진단 황 리시스템 구축 이행 진을 통한 상업체 138개 업체

수검완료(1월~7월)

o 정보보호 안 진단 결과 검토 상자 선정 지원

- 외부 문가들의 ‘업체별 진단 결과보고서’ 검토시 주의 등 방법 차를

기술한 지침 개발(3월)

- 안 진단 수행의 성 이행여부 확인을 해 결과보고서 검토회의

(총4회, 5월~9월)

- ISP(2개 업체), 쇼핑몰(3개 업체) 총5개 업체에 해 안 진단 기 이행의

사실여부를 해 장확인 수행(11월)

- 안 진단 개선명령 확인 결과보고서 검토를 한 표 업무 차(SOP) 작성

- ‘06년 안 진단 상자로 상되는 정보통신서비스 사업자에 한 세부 황

조사(5월~7월)

o 정보보호 안 진단 제도 개선 고도화 연구

- IDC 보호지침과 안 진단 기 과의 비교․분석을 통해 IDC 보호지침 개정(안)

도출(9월~12월)

- 안 진단 수행업체 확 를 해 정보통신망법 개정 법률안 작성 국회의원

발의안으로 입법추진(10월~12월)

- 안 진단 제도 개선 발 방안 연구보고서 작성(7월~12월)

- 안 진단 상자의 진단 기 이행 등 수검 비 지원을 해 실무지침 7종

( 리, 기술, 물리 분야) 개발․배포(4월)

- 안 진단 결과검증 SOP 기법 개발(9월~12월)

- IT839 등 IT 환경변화에 따른 안 진단 기 정보보호지침 개선방안 마련(12월)

- 안 진단 해설서(2종), 안 진단 업무지침(3종) 등 개정․배포(12월)

- 안 진단 수 향상을 해 국, 독일, 미국, 캐나다 등 선진화된 국내․외

유사제도 황조사 용방안 도출(9월~10월)

- 안 진단 모범사례 국외발표(2건)

마. 정보보호 리체계 인증

o 정보보호 리체계 인증 상 확

- 정보보호 리체계 인증 상 확 (34건) 화상담, 장방문 등을 통한

기술자문(총45회)(1월~12월)

- 인터넷 쇼핑몰, 포털업체 등 신규 인증 상 확 를 해 정보보호안 진단

제도와 연계한 기업 보안 리 강화 략 세미나 개최(12.8, 은행회 , 227명 참석)

- xv -

- ISMS 인증신청률 기반 ․경보체계 구축(11월~12월)

- BS7799와의 상호 력 방안 등 주요 쟁 사항의 해결을 한 ISMS 인증제도

개선 계획 수립 개선 안 마련(3월~12월)

o 정보보호 리체계 인증심사 수 제고

- 기존 통제항목간의 복 문제 검토, 실성이 없는 기 검토, 개인정보보호

분야 통제항목(21개) 추가 등 인증심사 기 개선(안) 개발(3월~12월)

- 인증심사 업무 로세스 개선을 한 인증업무지침(안) 심사수행요령(안)

개정(6월~12월)

- 인증심사 수요 증가를 비한 ISMS 인증심사원(총 107명 배출) 양성(5월~7월)

- ISMS 인증 원회 서면결의 방식 개편(오 라인 방식 → 온라인 방식)

바. 정보보호 기술훈련장 운

o 신규 훈련공간 구축 훈련 로그램 개발

- 공개용 보안 S/W를 활용한 정보보호시스템 구축 등의 훈련 로그램 20건

개발 온라인 훈련공간 구축(1월~12월)

- 훈련공간별( 리‧방어, 침해사고, 도우, 선택형문제은행) 신규 훈련 로그램

개발(1월~12월)

o 훈련장 이용활성화 안정 운

- 이용자들의 만족도 향상을 한 훈련장 홈페이지 개편 웹서버 이 화(7월~12월)

- SIS 문제 활용을 한 기술훈련장 컨텐츠(문제 이론학습 내용 등) 제공

- 정보통신 련학과 련 동아리에 기술훈련장 활용 방법 홍보

- 국내 포털(네이버, 다음, 엠 스 등)에 정보보호기술훈련장 등록

- 국방부, 학 기업 CERT 추진단 등 훈련장을 이용한 실습교육 13회

(약 800명)실시

- 소기업 리자를 한 “공개용 S/W를 활용한 소기업의 정보보호시스템

구축 가이드“ 4종 개발(1월~6월)

사. 소기업 정보보호 지원

o 소기업 CEO, 정통부, 유 기 등이 참석하여, 소기업의 정보보호 문제

애로사항 등을 수렴하기 한 장 주재 간담회 개최(6월, 7월)

o 소기업 정보보호 책(안) 개발 1종(8월)

o 최소 필수 정보항목의 무료 조치방법을 제시하는 팜 릿 개발(11월~12월)

- xvi -

o 정보보호 실천기반 조성 상시 정보보호지원체계 수립을 통한 소기업의

정보보호 수 향상을 한 센터 구축계획(안) 수립(2월)

o ISP(KT, 데이콤)와 정통부, 보호진흥원 력을 통해 소기업 환경에 합한

정보보호 서비스 모델 개발(8월~9월)

o 정보보호 활성화 방안 도출을 한 소기업 정보보호 워크 개최(6월)

<개인정보보호 업무지원>

가. 개인정보 침해방지 개인정보분쟁조정 원회 운

o 사업자 개인정보보호 수 제고

- 정보통신망법상 고지의무 수 여부에 한 웹사이트 모니터링, 서면 검

장 검(1월 ~ 12월)

- 데이콤, KT의 이벤트를 통한 개인정보 수집 황 조사 후속조치(2월)

- 옥션, 배송업체 등 취약․이슈 분야 발굴, 잘못된 사업자의 행개선(3월~4월)

- 44개 기 8,386명을 상으로 사업자 이용자 교육 실시(2월~12월)

- 학부모 정보감시단과 공동으로 개인정보보호를 포함한 정보통신윤리 강사

양성 교육 과정 공동 운 (6월)

- 한국정보문화진흥원과 공동으로 경기도 지역 10개 ․고교 청소년을 상으로

개인정보보호 교육 실시(11월~12월)

o 개인정보보호 정책지원 개발

- RFID 라이버시보호 가이드라인 제정(5월) 해설서 발간(12월)

- 미국․유럽․일본 등 주요 텔 매틱스 사업자(20개사)의 개인정보보호 방침

회원 규약 조사․분석(6월)

- 텔 매틱스 개인정보 침해요인 분석(6월) 사업자 개인정보 리 실태 조사(7월)

- 홈네트워크, 텔 매틱스 개인정보보호 가이드라인(V1.0) 작성(11월)

- VoIP 서비스의 주요 이슈별 황 라이버시 침해요인 분석(6월~)

- DMB 서비스에서의 개인정보보호 침해요인 분석 응방안 수립(6월~)

- 치정보보호법, 개인정보보호법 등 정보통신분야 개인정보보호 련 법제

정비 지원(1월~12월)

- 인터넷상의 개인정보보호 가이드라인 마련(10월)

- 「개인정보 DB마 에서의 개인정보 보호 방안」마련(5월~12월)

- 개인정보보호 이용자 신뢰지수 평가(6월~12월)

- 개인정보 향평가 수행지침 개발 시범 향평가 실시(3월~12월)

- xvii -

- 개인정보의 기술 ․ 리 보호조치 기 해설서 발간 배포(8월)

- P3P 연구반 구성․운 을 통해 P3P 정책생성기 S/W 개발(12월)

o 개인정보 민원처리 고객만족도 제고

- 웹기반 one-stop 민원처리시스템 구축완료(12월)

- 개인정보침해신고센터 개인정보분쟁조정 원회 운 을 통한 상담․피해

구제 신청 수 처리(1월~12월)

- '05년 개인정보 상담 피해구제 사례분석집 발간(12월)

- '05년 개인정보분쟁조정사례집 발간(12월)

- '05년 개인정보 FAQ 상담집 발간(12월)

- '05년 개인정보 피해구제 연차보고서(국, 문) 발간(12월)

- 인터넷사업자 사외유통망의 개인정보침해여부 검토 응 방안(9월)

- 구 검색엔진 개인정보침해 황 응방안 마련(10월~12월)

- 웹사이트 개인정보 노출방지 캠페인 추진(11월~12월)

o 개인정보보호 국제 력

- 홍콩 라이버시보호원(PCO)과 온라인 본인인증 방법 공동 조사(2월~12월)

- APEC ECSG 개인정보보호 실무작업반 활동(6월, 홍콩)

- 제18차 제19차 OECD 정보보호작업반(WPISP) 활동(5월, 10월)

- 아․태 통신 의체(APT)가 의뢰한 「개인정보 피해구제 Best Practise」작성(8월)

나. 불법스팸 응체계 구축

o 1인당 1일 휴 화 이메일 스팸 수신량 감축

- 유․무선통신사(7사)와 공동으로 12개 일간지 공익 고 게재(3.30, 31)

- 2005 스팸메일 차단 솔루션활용 가이드 발간 보 (12월)

- KT의 국제 문국 Outbound 스팸필터링 시스템 구축 시행 지원(10월)

- 화․Fax에 한 Opt-in제도 시행에 따라「 화스팸방지 가이드라인」

개발 보

- 휴 화 Trap시스템 구축을 한 추경 산 확보(7월) 개발 완료(12월)

- 국외 스팸 응 문기구인 스팸하우스, 소포스와 스팸발송 IP 통계자료 등

정보공유를 한 연락채 의 창구 확보

- 아․태지역 10개국 12개 기 간 ‘서울․멜버른 다자간 스팸 응 MOU’ 체결(4월)

- 국 SIC와 스팸 련 정보공유 표 형식 마련 발송자 이용제한 공조(11월)

- 국내 주요 포탈 국외 스팸 응기 (스팸하우스, 소포스)의 스팸차단

IP정보를 실시간 취합․분석․확인하는 RBL(스팸차단리스트) 개발 운 (11월～)

- xviii -

- 주요 10개 포탈에서 메일 수신단에 SPF(메일서버등록제) 확인기능 활용(11월～)

- 정보통신망법 개정(1차 : ‘04. 12월, 2차 : ‘05. 12월) 지원

o 불법스팸 민원처리 자동화로 민원처리속도 증 민원인의 만족도 제고

- 피신고업체의 복신고 정도를 활용한 업무처리 로세스 개선 (7월)

- 1336 불법스팸 응신고센터 상담실 개선작업(ARS 신고 시스템 도입, 신고

화 회선증설 국 역화)(3월, 11월)

- 개정된 정보통신망법에 따른 불법스팸 송자 단속 계도(연 )

<정보보호산업지원센터 운 >

가. 정보보호산업지원센터 운

o 정보보호산업지원센터 운

- 네트워크/시스템보안, 암호/인증-안티바이러스, 생체인식 등 분야별 Test

Lab 총 5실 운 (1월~12월)

- 산업지원센터 운 환경개선 노후장비 교체 등 기술 수 에 맞는

최 화된 시험환경 제공(1월~12월)

- 성능 분석장비 이용교육(3회) 장비이용 가이드북(8종) 제공(7월~12월)

- 연구용 지문․얼굴 DB 보안강화 이용 활성화(1월~12월)

- 국내 정보보호 생체인식 산업 통계조사(5월~12월)

- “정보보호 지주회사 설립방안” “정보보호 기업 DB 가치평가시스템

구축방안” 등 산업구조 개선방안 마련(6월~12월)

o 정보보호업체 국외진출지원

- 정보보호 업체의 국외 시회 참가 비즈니스 상담회 개최지원 등 17개

업체 국외시장 진출 지원(1월~12월)

- 진출 상국의 제품 매뉴얼 UI(User Interface 등) 제작 등 20개 업체 지원

- 인도, 태국 등 4개국 동남아 정보보호 시장 기술동향 조사 자료 제공(5월~12월)

- 정보보호산업 포털사이트 운 제품편람(3,000부) 발간․배포(1월~12월)

- xix -

<제목 차례>

제1장 사업목 추진방향 ·······························································1

제1 사업목 ················································································1

제2 추진방향 ················································································1

제2장 사업분야별 추진실 ·································································5

제1 정보보호기반 구축지원 ······················································5

1. 정보보호 체계정비 환경조성 ······················································6

2. 정보보호 수 제고 인식확산 ····················································11

3. 정보보호 자격제도 연구 운 ··················································16

4. 암호이용기반구축 ··············································································18

제2 자서명인증 리 ······························································31

1. 자서명인증 리체계운 ······························································32

2. 자서명 이용활성화 ········································································54

제3 정보보호시스템 평가 ························································69

1. 정보보호시스템 평가․인증제도 운 개선 ··························70

2. 정보보호시스템 평가시행 ································································81

- xx -

제4 해킹․바이러스 응체제 구축 ······································95

1. 인터넷침해사고 응지원센터 운 ··············································96

2. 정보통신기반보호지원 ····································································110

3. 정보보호컨설 문업체 지정지원 ··············································120

4. 정보보호 안 진단 지원 ································································128

5. 정보보호 리체계 인증 ··································································138

6. 정보보호 기술훈련장 운 ····························································145

7. 소기업 정보보호 지원 ································································149

제5 개인정보보호 업무지원 ················································153

1. 개인정보 침해방지 개인정보분쟁조정 원회 운 ············154

2. 불법스팸 응체계 구축 ································································167

제6 정보보호산업지원센터 운 ··········································175

1. 정보보호산업지원센터 운 ··························································176

< 부 록 > ······················································································181

- 1 -

제1장 사업목 추진방향

제1 사업목

o 건 한 정보통신 질서의 확립과 정보의 안 한 유통을 하여 정보보호에

필요한 정책․제도․기술을 연구․개발함으로써 정보화 진에 이바지하고자 함

제2 추진방향

< 정보보호 기반구축 지원 >

o 정보보호 체계정비 환경조성

- 정보보호환경변화에 따른 장기 정보보호 로드맵 수립

- 정보보호정책 수립 지원을 한 정보보호 실태조사 평가지표 개발

- 국제기구 외국 정보보호 정책 동향 분석을 통한 보호 책 수립 지원

- 정보보호 산업정책 수립을 한 시장동향 조사 산업경쟁력 분석

o 정보보호 수 제고 인식확산

- 국민의 정보보호 생활화를 한 정보보호주간 제정 등 홍보활동 강화

- 유비쿼터스 환경에서의 정보보호정책, 제도, 기술 발 을 한 학술행사 개최

o 정보보호 자격제도 운 연구

- 정보보호 자격 검정 1, 2 시행을 통한 자격제도 활성화

o 암호이용기반구축

- 암호이용자의 e- 라이버시 보장을 한 암호이용 제도 기반 마련

- USN 등에서의 정보보호를 한 암호기술 용방안 마련

- 국내암호기술의 국제 경쟁력 강화를 한 SEED의 국제표 화 추진

< 자서명 인증 리 >

o 자서명인증 리체계 운 고도화

- 최상 인증기 공인인증기 자서명키 갱신 등 공인인증체계의 안 성

강화 방안 용

- 2 -

- 최상 인증기 무장애운 공인인증기 정기 검․실질심사 수행

- 공인인증서 재발 차 개선 등 공인인증서 리체계 강화

o 유․무선 자서명 이용환경 개선 국제 력 활동 강화

- 무선 공인인증서 이용모델 무선 공인인증서비스 사용자의 이용 편익

제고를 한 사용자 인터페이스 개선

- 홈 네트워크 등 자서명인증 련 기술개발 ISTF, TTA, 아시아 PKI 포럼,

IETF 등을 통한 자서명인증기술의 표 화


- 인증서 이용분야 확 를 한 MS에 최상 인증기 인증서 탑재

- 인터넷상에 주민번호 체수단 마련

o 자서명 법제 정비 자서명 국민 인식제고

- 공인인증시장의 공정경쟁 환경 조성 인증업무 안 ․신뢰성 확보를 한

자서명 법제 정비

- 홍보물 제작 배포, 세미나 개최 등을 통한 자서명 국민 인식제고

이용확산

< 정보보호시스템 평가 >

o 국제상호인정 정(CCRA) 가입심사 수검 비

- 인증서발행국(CAP) 가입을 한 수검 비 국제활동 강화

- 인증서발행국 수 으로 평가․인증제도 개선

o 공통평가기 기반의 정보보호제품 평가 활성화

- 다양한 정보보호제품으로 평가 상 확

- CCRA 인증서발행국 수 의 공통평가기 평가능력 확보

- 고객 만족도 향상을 한 고객 서비스 강화

< 해킹․바이러스 응체제 구축 >

o 인터넷 침해사고 응지원센터 운

- 24시간 종합상황실 상시 운 정보제공 기 /수집개소 확

- 국내 사용자 악성코드 피해 방 활동

- 3 -

- 인터넷침해사고 방․분석 응기술 강화

- 국내․외 침해사고 력체계 공동 응활동 강화

o 주요정보통신기반시설에 한 능동 ․자율 운 환경 조성

- 정량 , 지속 정보보호목표수립을 한 정보보호수 평가방법론 개발

리기 보호 책 이행률 향상을 한 이행검사 강화

- IT839 략 8 서비스의 정보보호 책 수립

o 정보보호 컨설 문업체 (재)지정, 사후 리 심사제도 개선

- 심사 진행시 윤리강령 선언 심사 기 구체화 등 심사해설서 개발․보

- 문업체 (재)지정 심사 제도 개선(안) 마련

o 안 진단 제도 인식 수검률 제고를 한 안 진단 제도의 정착화

- 안 진단 상자의 필증 획득 제고를 한 교육 세미나 개최, 비지원

상담반 운 등 활성화 방안 추진

- 안 진단 상자의 수검 이행을 진하고, 진단 황을 효율 으로 악하기

한 안 진단 황 리시스템 구축 운

o 정보보호 리체계 인증 활성화 지속 인 심사기 개선

- 국내․외 련 표 , 지침, 기 등을 반 한 인증심사 기 개선

- 국내․외 유사 인증제도 벤치마킹을 통한 제도 개선방안 수립

o 정보보호 기술훈련장 신규 훈련공간 구축 이용활성화

- 소기업등 정보보호 취약계층이 공개 S/W를 활용하여 정보보호 환경을

구축할 수 있는 훈련 로그램 개발

- 최신 정보보호 이슈를 반 한 훈련 로그램 신규 개발을 통하여 이용자들의

해킹 응 능력 고도화

- 업무 신을 통한 정보보호기술훈련장 효율성 제고

- 기술훈련장 이용활성화 추진을 한 학 SIS자격 등과의 력체계 강화

o 소기업 정보보호 지원

- 소기업 스스로 비용으로 조치가 가능한 정보보호 책(안) 개발

- 4 -

< 개인정보보호 업무지원 >

o 개인정보 침해방지 개인정보분쟁조정 원회 운

- 2010년까지 자기 정보를 가, 어떤 내용으로, 어디에 보 하고 있는지 본인이

항상 알 수 있는 u-Privacy 환경 구축

․24,000여 정보통신서비스제공자에 한 실태조사 계도활동을 강화하여

개인정보보호 법규 수율 제고

․u-Korea IT839 략의 성공 추진을 한 개인정보보호 정책 개발 지원

․개인정보침해에 한 신속․공정한 고충처리 분쟁조정으로 고객 만족도 제고

o 불법스팸에 의한 피해 방 응체계 비

- 휴 화 문자․음성스팸 수신량 감축

- 이메일 스팸경로별 스팸메일 유통량 감소를 통한 수신량 감축

- 불법스팸 민원처리 기간 단축 민원인의 만족도 제고

< 정보보호산업지원센터 설치․운 >


- 정보보호업체가 개별 으로 구비하기 어려운 최신 시험장비 시설제공,

연구용 생체 DB 운 등을 통해 정보보호산업 발 을 한 기 여건 조성

- 정보보호제품 시험환경 제공을 통해 정보보호업체의 제품 연구개발 경쟁력

강화 지원

- 정보보호업체가 개발한 제품의 홍보, 신제품․기술 발표, 교육 등을 한

교육실, 회의실 세미나실 등 제공

- 생체인식 제품의 성능시험 등을 지원하기 한 지문․얼굴 DB 운

o 정보보호산업 구조개선 방안 수립

- 미래 고부가가치 략산업으로 정보보호 산업의 극 인 육성을 해

산업구조 개선을 통한 경쟁력 강화


- 국외 시회, 비즈니스 상담회 제품 지화 지원

- 국외(동남아) 정보보호 시장 기술동향 조사 제공

- 정보보호 산업 포털사이트 운 제품편람 발간 등 홍보활동 강화를 통한

국내 정보보호 산업의 국외진출 진

- 5 -

제2장 사업분야별 추진실

제1 정보보호기반 구축지원

사업 개요

□ 추진배경 필요성

o 정보보호환경변화에 효과 으로 응할 수 있는 정보보호 정책 개발

체계정비

o 정보이용환경의 안 성과 신뢰성 제고를 한 암호이용환경조성

o 국민 정보보호 수 제고 인식확산을 한 정보보호 교육·홍보

□ 추진과제 추진방향

o 정보보호 체계정비 환경조성

- 정보보호환경변화에 따른 장기 정보보호 기본 략의 수립

- 정보보호정책 수립 지원을 한 정보보호 실태조사 평가지표 개발

- 국제기구 외국 정보보호 정책 동향 분석을 통한 보호 책 수립 지원

- 정보보호 산업정책 수립을 한 시장동향 조사 산업경쟁력 분석

o 정보보호 수 제고 인식확산

- 국민의 정보보호 생활화를 한 정보보호주간 제정 등 홍보활동 강화

- 유비쿼터스 환경에서의 정보보호정책, 제도, 기술 발 을 한 학술행사

개최

o 정보보호 자격제도 운 연구

- 정보보호 자격 검정 1, 2 시행을 통한 자격제도 활성화

o 암호이용기반구축

- 암호이용자의 e- 라이버시 보장을 한 암호이용 제도 기반 마련

- USN 등에서의 정보보호를 한 암호기술 용방안 마련

- 국내암호기술의 국제 경쟁력 강화를 한 SEED의 국제표 화 추진

- 6 -

1. 정보보호 체계정비 환경조성

가. 추진배경 필요성

o 정보사회가 직면한 각종 사이버 요인의 분석과 이를 통한 실 가능하고

합리 인 정책 안 제시

o 정보보호 수 평가 지표의 개발과 수 측정 정보보호 실태조사 등을 통한

정책수립 지원

o 정보보호 인 라 고도화를 한 련제도 개선방안 정보보호산업 발

략 수립

나. 성과목표 비 실

o 장기 정보보호 정책개발 지원

- 보 고 서 : 6건(100% 달성)

o 정보보호통계집 발행 동향분석

- 지표개발 : 2건(100% 달성)

o 산업육성 경쟁력 강화 방안 수립 지원

- 보 고 서 : 2건(100% 달성)

다. 추진내용

< 장기 정보보호 정책개발 지원>

추진계획

o 장기 정보보호 기본계획 수립

- 기본계획(안) 수립 확정

o 장기 정보보호 로드맵 수립(1월~12월)

- 장기 정보보호 로드맵(안) 작성(4월)

․네트워크 융합, 신규 IT서비스 등 유비쿼터스 환경에 합한 정보보호

임워크 마련

※ 정보통신부, 장기 정보보호 로드맵 발표(5월)

- 정보보호 로드맵 수립 성과평가 지원

․정보보호 정책토론회 략 의회 개최(2월, 4월)

- 7 -

․로드맵 성과평가 추진계획 마련(11월)

․ 장기정보보호로드맵 검회의 개최(12월)

- BcN 실무 의회 개최(8월)

- 상별 정보보호 책 수립(12월)

- 재미있는 정보보호 홍보물 제작(8월)

․「정보보호 래시 애니메이션 공모 」개최(7월~8월)

․정보보호를 주제로 한 총 50여편 응모작 가운데 수상작 5편 선정

o 정보보호 정책분석 응방안 수립

- 정보보호정책개념정립 개념 확장 요인 분석(12월)

․원내외 문가 설문조사 실시 등을 통한 개념 정립(6월)

-「2005 국가 정보보호 백서」 발간 지원(5월)

․04년 민간부문 정보보호 추진정책의 정리 분석

- 정보보호 법체계 개선방안 연구(4월~5월)

․ 행 정보보호법령의 체계 조문 분석

․정보보호 이슈별 법령자료 분석

o 정보화정책 수립시 정보보호부문 지원

- u-Korea 기본계획 정보보호 분야 계획 수립(5~6월)

- CITO의 정보보호 기능 확보방안 수립(3월~5월)

- 인터넷거버 스 한국포럼 정보보호 분야 지원(1월~9월)

<정보보호 통계집 발행 동향분석>

추진계획

o 정보보호 통계집 발행

- 분야별 설문조사 결과보고서 작성

o 인터넷 침해사고 피해규모분석 정보보호 수 평가 지수 산출

- 침해사고 피해액 산출모델 도출 수 평가 지수산출 방식 개발

o 정보사회 정책동향 분석 응방안 수립

- 각국 정보보호 정책동향 조사 국내 정책개선방안 보고서 작성

o 정보보호 정책 이슈 분석 연구리포트 발간

o 정보보호 통계집 발행(1월~12월)

- 보호진흥원-한국 산원 공동 실태조사 실시 방안 수립(1월~3월)

- 8 -

- 국외 실태조사 사례연구 분석(4월~5월)

․호주 AusCERT, 국 DTI, 미국 CSI/FBI 실태조사

- 실태조사 수행계획 수립 조사(6월~11월)

․개인 민간기업 부문 실태조사 통계지표 개발 설문지 작성

․2005년 민간 기업 정보보호 실태조사

※ 정보보호 정책․조직 인력 황, 정보보호 투자 시스템 구축 황, 정보보안

침해사고 피해 응 황

․2005년 개인 인터넷 이용자 정보보호 실태조사

※ 인터넷 이용 실태, 정보보호 인식, 정보보호 제품 이용 황, 정보화 역기능 응 실태,

정보화 역기능 피해 황

- 데이터 검증․분석 결과보고서 작성(11월~12월)

-「2005년 정보보호 통계집」발간(12월)

o 인터넷 침해사고 피해규모 분석 보고서 작성(1월~12월)

- 연구반 구성 기 자료 수집(1월~2월)

- 피해액 산출 모델 도출을 한 각국 사례분석 한․일 연구반 워크샵(3월~5월)

- 피해액 산출 모델 구성 변수 설정 간보고서 작성(8월)

- 한․일 연구반 워크샵 2회 개최(9월, 11월)

o 정보보호 수 평가 지수 산출 보고서 작성(1월~12월)

- 연구반 구성 기 자료 수집(1월~2월)

- 정보보호수 평가를 한 지표작성 한․일 연구반 워크샵(3월~5월)

- 정보보호수 평가지표 검토 문가 회의 개최(6월)

- 문가를 통한 정보보호수 평가지수 산출 데이터의 정성 검토(7월)

- 시뮬 이션을 통한 지수 산출 간보고서 작성(8월)

- 제2차 한․일 연구반 워크샵(9월)

- 제3차 한․일 연구반 워크샵(11월)

o 정보보호 정책동향 이슈리포트 발간(1월~12월)

- 정보보호 국제동향 분석

․APEC TEL 정보보호 태스크 그룹회의 참석 한국 주도「APEC 정보

보호 략」수립(4월 방콕, 9월 서울)

․APEC TELMIN6「Overcoming Info-Security Challenges Collaboratively」

발표(6월, 페루 리마)

․OECD WPISP 회의 동향수집 분석(5월, 10월, 리)

․OECD WPIIS(4월, 랑스) 참석 「ICT Statistics & Indices of Korea」 발표

- 9 -

- 정보화 정보보호의 트 드 분석

․미국․유럽․일본 등 국외 정보보호동향 조사(1월~12월)

․IT trend report 4회 발간

- 정보보호 정책 동향분석 이슈리포트 발간(7회)

․독일「IT 보안 황 2005

․일본「정보보호정책 2005」

․미국「사이버범죄 실태조사 2005」

․일본의 차세 정보보호 정책방향과 최근동향

․새로운 사이버 : 스 이웨어

․새로운 사이버 : 피싱

․유비쿼터스 보안의 키워드 : 소 트웨어 보안

<정보보호 산업육성 경쟁력 강화방안 수립 지원>

추진계획

o 산업구조 개선방안 수립 지원

- 구조개선 지원 책 개발

o 투자활성화 등 산업육성방안 수립 지원

- 정보보호 정 투자액 산정방식 개발 국내 투자활성화 책수립

o 산업구조 개선방안 수립(1월~12월)

- 정보보호 시장의 특징 분석

- 로벌기업의 유형 성공요인 분석

- 로벌화와 일본에서의 산업조정 사례 조사

- 국내 정보보호 산업의 특성 입지 분석

- 국제 경쟁력 확보와 산업조정 략 수립

o 투자활성화 등 산업육성방안 수립(1월~11월)

- 투자활성화 책으로서 투자모형의 필요성 분석

- 정보보호 투자실태 조사

- 정태 정보보호 투자분석모형 비교

- 게임 이론 정보보호 투자결정 모형 수립

- 험 리방식으로의 정보보호 투자모형 수립

- 10 -

라. 추진성과 향후계획

< 장기 정보보호 정책개발 지원>

o 장기 정보보호 로드맵의 성과평가를 통해 개선사항 도출 추진과제

발굴

o 향후, 미래 사회의 응을 한 학제 이고 체계 인 연구를 통해

유비쿼터스 정보보호 마스터 랜 수립

<정보보호 통계집 발행 동향분석>

o 개인 인터넷 이용자 민간 기업 부문의 정보보호 실태조사를 통해

- 분야별 정보보호 황을 악하여 정보보호 정책 수립의 기 자료 제공

- 주요국의 실태조사 설문항목 분석․ 용을 통해 통계지표 설문지 구조 개선

- 유 기 과의 통계조사 력체제 구축을 통해 통계 신뢰도 공신력 제고

o 향후, 정보보호지수, 침해사고피해액 등 2차 통계 데이터 생성을 한 통계

지표 조사방법론 개발

o 인터넷 침해사고 피해액 산출 모델 개발을 통해

- 효율 인 정보보호투자를 한 객 인 투자기 자료 제공

- 시의 한 피해액 발표로 정보보호투자 인식 향상

o 국가정보보호수 평가지표 개발을 통해

- 정보보호정책을 효율 으로 추진하기 한 객 인 평가 자료 제공

- 개발된 정보보호지수를 국제표 지수로 채택 추진

<정보보호 산업육성 경쟁력 강화방안 수립 지원>

o 국내 정보보호 기업의 국제경쟁력 향상을 하여

- 국내 산업환경의 특성에 따른 시장 친화 구조개선 략방식 제공

- 국내수요 활성화를 한 정보보호 투자결정의 기반이 되는 분석방식 제공

o 향후, 융부문 보안투자의 정성과 경제 가치 분석

- 11 -

2. 정보보호 수 제고 인식확산


o 정보보호 격차 해소를 해 국민의 정보보호 인식제고 극 인 정보보호

실천 필요


o 정보보호 인력 양성 : 3,000명 → 3,906명(130% 달성)

o 정보보호 실천문화 형성

- 인식제고 행사 : 5회(100% 달성)

- 학술행사 개최 : 5회(100% 달성)

- 홍보물 배포 : 3회 → 4회(133% 달성)

o 정보보호 언론홍보 확 를 통한 정보보호 인식제고

- 정보보호 발간물 : 정보보호 뉴스 매월 4,000부 발간

- 언론보도 건수 : 100건 → 122건(122% 달성)

다. 추진내용

추진계획

o 정보보호 문화운동 확산 문인력 양성

- 정보보호 일반교육 문교육 실시를 통한 정보보호 인력 양성

- 정보보호 실천확산 로그램 추진 문화운동 추진체계 구축

< 정보보호 교육 강화 >

o 정보보호 일반교육(2,390명, 32회)

- 소기업 정보화 CEO 략과정 운 (3월~7월)

․경원 최고경 자 과정에 특강 형식의 정보보호 과정 추가

- 소기업 임직원, 軍 계자 상 정보보호 순회강연회 개최(7월~12월)

- 고생 상 인터넷 윤리, 인터넷 역기능 실태 처방안 교육(5월~12월)

- 12 -

o 정보보호 문교육(1,516명, 55회)

- 네트워크 웹 해킹 보안교육 등 9개 과정 시행(3월~12월)

[표 1-1] 정보보호 교육 실

구 분 교육명 상 횟수 인 원

일반

교육

정보보호 순회강연회

서울, 춘천 등 9개 지역 군 10 936

기업체 임직원 등 17 1,044

학 CERT 추진단 4 370

소기업 CEO 정보화 략과정 소기업 CEO 1 40

소 계 3 2 2, 3 9 0

문

교육

CERT 구축 운 교육 국 학교 산·보안 담당자 6 180

네트워크 웹해킹 보안교육 국방부 정보보호 담당자 2 67

시큐어 로그래 교육 보안솔루션 개발자 1 32

유․무선통신사업자 실무역량

강화교육

유․무선통신사업자 정보보호

담인력2 76

자서명인증 리체계 운 자 교육 공인인증기 인증업무 운 자 1 11

개인정보보호 문교육 개인정보보호 책임자 담당자 7 439

CC기반 평가 비교육 정보보호업체 평가 담당자 5 110

정보보호 리체계 인증심사원 양성

교육

ISMS 비 인증심사원 자격

해당자2 63

정보보호 실습교육 소기업 서버 리자 등 29 538

소 계 5 5 1 , 5 1 6

합 계 8 7 3 , 9 0 6

o 온라인 교육「정보보호 기 과정」개발․운 (6월~12월)

- 내용 : 정보보호 개념 필요성, 피해사례별 책 실습

- 개발형태 : 컨텐츠는 래쉬와 HTML 기반

- 애니런닷컴 등 온라인 교육사이트에 무료 교육과정으로 운

o 정보통신부 산하기 상 정보보호 교육 지원

- 앙 연구소, 한국정보문화진흥원 등 강사 지원

< 정보보호 실천문화 형성 >

- 13 -

o 안 한 사이버세상 만들기 캠페인 개(11월~12월)

- 국민의 정보보호 이해와 실천을 유도하여 안 하고 깨끗한 사이버 환경을 만

들기 한 캠페인 개

[표 1-2] 안 한 사이버세상 만들기 캠페인 추진 내용

사 업 명 주요 내용 일 시

“내 컴퓨터는 내가

지킨다” 홍보물 제작

o 개인PC 사용자가 해킹바이러스 등 침해사고를 당

했을때의 처 방법에 한 홍보물 제작․배포

※ 책자 20,000부, CD 12,400장, 마우스패드 7,000개,

스티커 20,000장을 국 우체국을 통해 배포)

11월~12월

특집기사 게재

지상좌담회 개최

o 자신문과 공동기획 시리즈 특집기사

- 1회 : 해킹(12/1)

- 2회 : 스 이웨어(12/8)

- 3회 : 바이러스(12/15)

o 지상좌담회 개최(12/13) 면기사화(12/22, 자신문)

12월

라디오 인터뷰o TBS 교통방송 "윤은기박사의 굿모닝서울" 정보 러스

(11/14)11.14

지하철 고o 노출 효과가 큰 지하철 고를 통해 보호나라 사이버

118 홍보12월

o 정보보호주간을 네티즌에게 각인시키고 정보보호 실천을 장려하기 한

다채로운 인식제고 행사 개최

[표 1-3] 정보보호 주간행사 추진 내용

행사명 주요 내용 일시

정보보호주간선포식정보보호실천수칙 선포 학CERT 추진단 발 식 등을

통한 일반인의 정보보호 인식제고6.20

정보보호 大공모

정보보호 표어 포스터 공모를 통한 ․ ․고교생의

정보보호 인식제고(표어 2,719, 포스터 380 응모에 각각

19 , 19 시상)

4월~6월

해킹방어 회침해사고에 한 응능력 측정을 통한 보안 심자

문가의 기술 수 제고(62 105명 참가 7개 시상)5월~6월

건강한PC만들기

캠페인

개인PC를 스스로 검하는 캠페인을 통해 일반인의 정보

보호 인식제고(17,816명 행사 참여)6.20~30

정보보호 거리 홍보인구 집 지역에서 설문조사, 퀴즈 회 등 이벤트를 통해

일반인의 정보보호 인식제고(15,000여명 참가)6.20~30

- 14 -

o 제11회 정보통신망 정보보호워크샵(NETSEC-KR)개최(4.20~4.21)

- 보안기술 개발과 정보보호 기술의 변 확 를 해 한국정보보호학회와 공동

개최

- 정보보호 업체, 학계, 연구기 문가 등 1,000여명 참가

o 제3회 국방 정보보호 컨퍼런스 개최(6.2)

- 국방 정보보호의 주요 안 등을 발표하고 새로운 패러다임 모색을 해

국군기무사령부와 공동 개최

- 민․ ․군 정보보호 문가 등 1,000여명 참가

o 제4회 정보보호 교육워크샵 개최(6.24)

- 정보보호 교과과정, 교육내용 등을 발표하고, 정보보호 문인력 양성 방안

도출

- 교수, 학(원)생, 정보보호 업계 실무자 등 100여명 참가

o 제10회 정보보호 심포지움(SIS)개최(6.16~17)

- 정보보호정책․제도 기술발 을 한 주제 발표, 튜토리얼 등으로 진행

- 공무원, 일반인, 학생 등 2,300여명 참가

< 정보보호 언론홍보 확 를 통한 정보보호 인식제고 >

o 정보보호 발간물 제작․배포

- 월간「정보보호뉴스」매월 4,000부 발간(통권 88~99호), 유 기 등에 배포

※ 독자수요 증가에 따른 부수 확 필요성에 따라 ’04년 비 1,000부 확

o 정보보호 련 언론홍보 강화

- 기고 :「휴 폰 바이러스와의 쟁」(경향신문) 등 26건

- 인터뷰 :「보안인증 불편하지만 사고 방지 해 활용해야」(서울경제) 등 22건

- 보도자료 :「사이버 었다」등 74건

- 외신보도 :「피해도 순식간에 확산」(일본 오이타 합동신문) 등 4건

< 정보 자료 리 >

o 자료공개를 통한 민서비스 개선

- 정보자료실 소장자료 목록 홈페이지 업로드(7,825건)

- 연구보고서 정기간행물(정보보호뉴스) 원문 서비스 제공(41건)

- 15 -

o EKP 시스템 구축을 통한 서비스 개선

- 신규입수 등록도서 공지를 통한 최신정보 공유

o 국가 자 컨소시엄 참여

- 국가 자 컨소시엄 공동구매를 통한 구독비용 감

- 온라인 구독을 통한 최신자료 신속 입수


< 정보보호 교육 강화 >

o 정보보호 순회강연 온라인 교육 등 극 으로 교육을 추진하여

- 목표 비 130%의 교육성과를 거두었으며,

- 정보보호 인식제고 소기업의 정보보호 응능력 향상에 기여

o 온라인 교육을 지속 으로 확 하여 시간 ․공간 인 오 라인 교육의

한계 극복

< 정보보호 실천문화 형성 >

o 정부․기업․개인 등 모든 사회 주체가 자신의 수 에 맞는 정보보호에 한

책임 인식과 실천을 생활화하는 사회 환경 조성에 기여

o 정부주도의 운동에서 탈피하여 시민단체, 학회, 회 등 다양한 분야/계층의

사회단체와 연계하여 민간 주도의 정보보호 문화운동으로 확

o 정보보호실천 의회 확 등 정보보호 문화운동 추진체계 정비

o 국가간 정보보호 공동 력 로그램 추진기반 조성

- 정보보호 Best Practice 발굴 공유를 한 OECD 산하 WPISP회의 개최

- 청소년 상 정보보호 표어․포스터 공모 한․일 공동 개최

< 정보 자료 리 >

o EKP 시스템 서비스 개선을 통한 원내 고객만족도 제고

o 향후, EKP 시스템 고도화를 통한 사용자 편의성 제고 지속 추진

- 16 -

3. 정보보호 자격제도 연구 운


o 국가 정보화 확 고도화에 따라 검증된 정보보호 문인력의 필요성이

증

o 검증된 정보보호 문인력 양성을 한 자격제도 운 정보보호 시장

수요를 충족하기 한 자격제도 활성화 필요


o SIS 1, 2 합격인원 : 총 79명(1 38명, 2 41명)

다. 추진내용

추진계획

o 응시자 확 를 한 인지도 제고 활성화 기반 구축

- SIS 1, 2 자격검정 시행

- SIS 1 국가공인 획득 추진

o SIS 자격제도 운

- SIS 1, 2 자격검정 총 6회 시행(1 3회, 2 3회)

[표 1-4] SIS 자격제도 운 일정 합격자

등 연 도 시 행 일필 기 실 기

응 시 합격 응 시 합격

1

6회 7. 10 126 42 6 3

7회 9. 25 98 35 31 26

8회 11. 13 65 10 37 9

합계 28 9 8 7 7 4 3 8

2

8회 7. 10 101 40 18 7

9회 9. 25 82 34 23 20

10회 11. 13 111 1 39 14

합계 29 4 7 5 8 0 4 1

- SIS 1 국가공인 획득(1월)

- SIS 2 재공인 추진(3월~4월)

- 17 -

o SIS 자격제도 활성화

- SIS 1, 2 출제 가이드라인 개발(11월~12월)

- SIS 자격시험 시행계획 홍보(3월~10월)

․디지털타임스, 홈페이지 등을 통한 시험 홍보

․정보보호학과, 정보보호 업체 등 200여 곳에 안내책자 배포

- SIS 운 원회 개최(총 3회, 3월~12월)


o SIS 1, 2 필기시험의 총 응시자수 60% 증가(‘04년 364명 → ’05년 583명)

o SIS 1 의 국가공인 획득을 통해 인지도 제고 공신력을 확보함으로써

자격제도 활성화 기반 마련

o 향후, 기출문제 공개 취득자에 한 인센티 확

- 18 -

4. 암호이용기반구축


o 국내 정보보호제품의 국외 진출이 증 됨에 따라 상호연동성 보장을 해

정보보호제품에 탑재되는 국내 암호기술의 국제 표 화 활동 강화가 필요

o RFID/USN 등 신규 IT서비스에서의 정보보호 개인정보 침해 이 증가

- 이에, 신규 IT 서비스에 한 안 성․신뢰성 제고 개인정보보호를 한

정책 ․기술 략 수립이 필요


o 암호이용활성화를 한 제도 ․기술 방안 마련

- 정책제안 보고서 : 1건 → 2건(200% 달성)

o 국내 암호인증기술의 국제표 화 활동 강화

- 국제표 화 : 2건 → 5건(250% 달성)

o 국내 암호알고리즘 SEED의 국제 이용기반 확

- SEED 국외 배포 건수 : 20건 → 22건(110% 달성)

다. 추진내용

<암호이용활성화를 한 제도 ․기술 방안 마련>

추진계획

o 민간의 암호이용활성화를 한 제도 ․기술 방안 마련

- 암호 련 국외제도ㆍ정책 비교 분석

- 국내 암호 정책 방향 제시

- 개인정보보호를 한 암호기술 용방안 제시

o 암호이용활성화를 한 정책제안 보고서 작성(1월~12월)

- 미국, 국 랑스 등의 주요 국가의 암호 제도․정책 분석(1월~6월)

- 19 -

[표 1-5] 국외 주요 국가의 최근 암호정책 동향

국 가 동 향

미국

o 암호 수출 통제 정책('04.12. 개정)

- 검토가 필요한 부분의 암호화 아이템에 해 30일간의 검토 기간을 균등

하게 용

- 량 매용 암호에 한 “허가 자율화 지역(license-free zone)”을 새로운

EU 회원국(키 로스, 에스토니아, 리투아니아, 몰타, 슬로바키아, 슬로베니아)

으로 확장

- “ 량 매(mass-market)”와 함께 사용되어 혼란을 일으킨 “소매용(retail)”이란

단어를 규정에서 삭제

- 련 공지 차에 따라 인터넷에 게재한 "공개 으로 이용 가능한" 암호

소 트웨어는 만약 같은 URL에 게재된다면 부가 인 보고가 필요 없도록

수정

- 베타-테스트 소 트웨어에 한 차와 이 에 검토 받아서 승인받은 제품의

키 길이를 증가시키기 해서는 자메일을 통해 보고하도록 차를 단순화

국

o 암호이용 련 법률 제 2004-575호(2004.6.21, 디지털 경제에서의 신뢰)

※법률 제 2004-575호에 암호 서비스 제공에 한 규제 사항을 규정

- 제31조 : 국가의 안 보장에 유해하지 않다고 법령에 의해 지정된 설비를

제외한 서비스 제공은 신고 되어야 한다. 서비스 제공자는 문 인 안 성을

필요로 한다.

- 제32조 : 서비스 제공자는 개인키를 장하는 책임을 갖도록 한다.

- 제34조 : 공 이 무료라 하더라도 그 공 이 규정을 따르지 않는다면 수상은

암호 유통을 지할 수 있다.

랑스

o 국의 암호수출입 체제 변화

- OGEL(Open General Export License)(2004.5.1)를 통해 암호제품에 해 개인

용도 공동체 면허(Community-License) 면제가 있음. 즉, 개인용도 는

상업 암호 제품 개발 활동 과정에서 자회사나 력자들에 의해 사용되는

통제 아이템(암호학 기능을 수행하는 툴은 제외)을 부분의 국가로 수출

하는 것이 허락됨

※ '00년 9월 28일의 OGEL은 취소됨

- 암호서비스 제품의 원활한 이용기반을 조성하고, 이용자 보호를 강화하기

한 국내 암호 정책 방향 제시(7월~12월)

- 20 -

[표 1-6] 국내 암호정책 방향

주요 항 목 주요 내용

암호이용에 한

법․제도 정비

o 암호의 개발과 안 한 이용을 한 기본원칙을 제시

o 암호이용자의 권익을 보호하기 해 암호서비스나 제품 공 자의

수사항 등에 한 규정 마련

o 국민이 안 한 암호기술, 제품, 서비스를 사용할 수 있도록 암호 제품

서비스의 안 성 검증 체계 마련

o 정보통신망에서 유통되는 주요정보의 출을 방지하기 해 서비스

제공자에게 암호통신의 사용을 권고할 수 있는 제도 근거 마련

암호기술 개발

산업 육성

o 업체/학계 등의 안 한 암호기술/제품 개발 생산을 지원하여 상품화

할 수 있도록 산업육성정책 마련

o RFID/USN 등과 같은 신규 IT 서비스에 합한 고속의 암호연산

패킷처리가 가능한 암호기술의 개발 산업화 진 유도

o 국경 없는 개방형 인터넷 환경에서의 상호 호환성 보장 국내 암호

기술의 국제 경쟁력 강화를 한 국제 표 활동 극 지원

암호 역기능

방지

o 암호의 불법 이용으로 인한 피해를 최소화하기 한 합법 인 수사권

확보 기술 지원체계 마련

o 암호화된 정보에 한 손․망실의 험에 처할 수 있는 키복원제도

마련

이용자 개인정보

라이버시

보호

o 인터넷 쇼핑몰, 자의료, 자정부 등 개인정보를 다루는 IT 서비스

에서의 암호이용 진

o 국민 상의 암호이용 황 올바른 암호이용 등의 홍보 강화

o 개인정보보호를 한 암호기술 용방안 마련(9월~12월)

-「u- 라이버시 환경 구축을 한 개인정보보호기술 개발 추진 방향 : 장기

기술개발 계획(안)」작성(9월~12월)

※ 통령 지시사항(‘05.3.4, 정통부 연두업무보고시)에 따른 정통부(개인정보보호

담 )의 개인정보보호 장기 기술개발 계획(안) 수립 지원

․ 개인정보가 수집, 장, 이용 기되는 단계별로 요구되는 개인정보보호

기술 정의

※ 개인정보의 생명주기에 따라 요구되는 개인정보보호기술

- 21 -

과 제 명 주요내용 기간(년)

개인정보보호 정책 설정

상 기술

․한국형 P3P 기술 규격 개발 표 화

․ 라이버시 정책 생성기‘05 ~ ‘07

인터넷 서비스에서의

주민등록번호 체

기술 개발

․본인확인 기 의 이용자 등록 리 차

․이용자 등록 검증 기술

․본인확인정보 생성 검증 기술

․개인정보의 안 한 장․ 리 이용 기술

‘05 ~ ‘07

라이버시 지원

신원 리 기술 개발

․e-Identity 보호용 공통보안서비스 모델

․인터넷 ID 리 기술

․개인정보 보호 분산인가 기술

․ID 연동 개(ID Federation Bridge) 기술

‘04 ~ ‘06

치데이터보호

기술규격 개발

․국제 PCP(Privacy Checking Protocol) 기술규격

분석

․국제 PCP 규격의 국내 용 방안 마련

‘06

개인정보보호의 안 한

분산 장 추출

근제어 기술 개발

․개인정보의 안 한 장 리기술

․동 근제어 고지능 에이 트 기술

․안 한 개인정보 분산 장 추출 기술

‘06 ~ ‘08

라이버시 보장

RFID/USN 정보보호

기술 개발

․ 라이버시 지원 RFID 보안태그․리더 USN

보안 노드 기술

․주문형 라이버시 정책 로 일 리 기술

․상황인지 기반 USN 라이버시보호 시스템 기술

․ 로벌 근권한 임 시스템 기술

‘05 ~ ’08

[그림 1-1] 개인정보 단계별 요구되는 개인정보보호기술

․개인정보보호 요소기술 최근 개인정보 침해로 인한 피해 정도 시 성 등을

고려하여 우선 으로 개발이 필요한 과제 8개 선정

[표 1-7] 개인정보보호기술의 추진 과제

- 22 -

라이버시 보장 VoIP

정보보호 기술 개발

․실시간 고속 암호화 기술 키 리 구조 개발

․능동형 VoIP 불법 스팸 응기술 개발

․VoIP 치정보 보호 기술 개발

‘06 ~ ’08

개인정보 자문서

․변조 방지 기술

개발

․ 자문서 ․변조 여부 자동 확인 기술

․PC 휴 용 ․변조 확인 시스템

․ 자문서 ․변조 확인 시도차단 기술 시스템

‘06 ~ ’07

<국내 암호기술의 국제표 화 활동 강화>

추진계획

o 국내 암호기술의 ISO/IEC, IETF 등 국제표 화 활동

- SEED의 ISO/IEC 국제표 화 추진

- CMS/TLS-SEED 등의 IETF 국제표 화 추진

o 국내 암호기술의 사용자 편의성 활용성 제고

- SEED의 국외 배포를 통한 국제 이용기반 확

o SEED 알고리즘의 ISO/IEC 국제표 화 추진 국제표 채택(1월~12월)

- ISO/IEC JTC1/SC27/WG2 제30차(4월, 오스트리아) 제31차(11월, 말 이시아)

회의에 참석하여 SEED의 최종국제규격(IS : International Standard) 추진

※ ISO/IEC JTC1/SC27/WG2 제29차(10월, 라질)회의에서 블록암호알고리즘 분야에서

64비트 블록암호알고리즘 3개와 SEED를 포함한 128비트 알고리즘 3개가 최종

국제규격(안)(FDIS: Final Draft International Standard)에 포함됨

- FDIS 문서의 IS 선정을 한 투표 결과 26개 회원국 찬성 21개국으로

IS로 최종 선정(투표기간 : 3.21~5.20)

※ 총 회원국(26개국)의 67%(18개국)이상의 찬성과 25%(6개국) 이하의 반 를 얻을

경우 FDIS가 IS로 최종 선정됨

- 23 -

구 분 제 안 국 알 고 리 즘 명

64비트

미국 TDEA

일본 MISTY1

캐나다 CAST-128

128비트

미국 AES

일본 Camellia

한 국 S E E D

[표 1-8] IS에 포함된 블록암호알고리즘

o SEED 암호알고리즘, CMS-SEED 등 총 4건의 IETF 국제표 화 추진 국제

표 채택(1월~12월)

- IETF 제62차(3월, 미국) 제63차(8월, 랑스) 정기회의 활동을 통한

SEED 알고리즘 국제표 화 추진

- SEED 암호알고리즘 IPSec 등 다양한 보안 로토콜에서의 SEED 사용표 에

한 국제표 화 추진

표 화 추 진 경

SEED 암호알고리즘

표

'04.01

'04.03

'04.09

'04.11

'05.02

: 드래 트 안 제출

: 보안분야 디 터 승인

: IESG 승인단계 진입 심의

: RFC 문서화 작업

: RFC 발간 (RFC4009)

보안 자우편에서의

메시지 암호화를 한

SEED 사용표

'03.10

'03.11

'04.04

'04.09

'04.10

'05.02


: S/MIME 워킹그룹 드래 트 채택

: 워킹그룹 심의 완료 디 터 승인 후 IESG 승인단계 진입

: IESG 승인



TLS를 한

SEED 사용표

'04.07

'04.11

'04.12

'05.02

'05.09


: 보안분야 디 터 심사

: 워킹그룹 최종 의견 수렴

: IESG 승인 RFC 문서화 작업 진입


IPSec을 한

SEED 사용표

'04.06

'04.11

'05.04

'05.05

'05.10


: 보안분야 디 터 심사

: IESG 승인 단계 진입



[표 1-9] SEED 암호알고리즘의 국제표 화 추진경

- 24 -

[표 1-10] SEED 련 IETF 표 주요 내용

표 번 호 표 ( 안 ) 명 주요내용

RFC4009 SEED 암호알고리즘 표국 내 문가 들 과 공동 으 로 개발 한 128비 트

블록암호알고리즘 표

RFC4010

보안 자우편에서 메시지

암호화를 한 SEED 사용

표

보안 자우편에서 송되는 메시지의 암호화에

SEED를 사용하기 한 표

RFC4162 TLS를 한 SEED 사용표

서버와 클라이언트 간의 송수신되는 메시지를

암호화하기 해 TLS에서 SEED를 사용하기

한 표

RFC4196 IPSec을 한 SEED 사용

표

VPN 등에서 송수신되는 메시지를 암호화하기

해 IPSec에 SEED를 사용하기 한 표

o SEED 소스코드 배포(1월~12월)

- 총 266건 배포(국내 244건, 국외 22건)

※ 1999년 이후, 총 1,075건(국내 989건, 국외 86건) 배포

<RFID/USN 환경에서 정보보호를 한 암호기술 용방안 마련>

추진계획

o 안 한 RFID/USN 환경 구축을 한 암호기술 용방안 마련

- RFID 객체 검색서비스에 합한 ID기반의 공개키 인증모델 연구

- 데이터베이스에 장되는 개인정보보호 리기술 분석

o RFID 객체 검색서비스에 합한 공개키 인증 모델 연구(1월~12월)

- RFID 객체 검색서비스 구성요소 국내․외 구축 황 분석(1월~3월)

- RFID 객체 검색서비스의 취약성 보안 분석(4월~5월)

※ RFID 객체검색 서비스는 DNS(Domain Name Service) 기술을 기반으로 하기 때문에

RFID 네트워크 특성상 발생하는 보안 과 DNS 고유의 추가 보안 이 존재

- 25 -

[표 1-11] RFID 객체검색 서비스에 한 주요 보안 요소

항 목 요소

기 성

라이버시

o 졸루션 과정에서 인증 암호화 기술이 용되지 않아 객체 식별정보가

쉽게 노출될 수 있음

o 특히, RFID 객체검색서비스에 한 인증기능을 제공하지 않으므로 라우징

(browsing)과 사 공격(dictionary attack)에 취약

무결성

o 공격자가 RFID 객체검색서버의 정보를 ․변조할 수 있는 경우 제공되는

RFID 객체정보서버의 URL에 한 간자 공격(man-in-the-middle attack)이

가능

가용성

o DNS에서의 DoS 공격과 같은 형태의 공격이 가능.

o 특히, RFID 객체 검색서비스는 DNS에 비해 트래픽이 10배 이상 증가할

것으로 상됨에 따라 가용성에 한 이 증가

DNS

o 패킷 가로채기 : DNS 질의․응답 메시지에 한 간자 공격

o ID 추측과 질의 측 : 16비트의 짧은 DNS ID에 한 brute force search를

통해 질의․응답 메시지를 ․변조

o 이름 기반 공격 : DNS 이름 자원 코드를 ․변조함으로써 DNS의

잘못된 동작을 유발시키는 공격으로, 캐쉬오염(cache poisoning)과 조된

권한(fake authority) 공격이 표 임

- DNS를 기반으로 하는 RFID 객체 검색서비스 보안을 해, DNSSEC(DNS

Security Extension) 용 방안 마련(6월~10월)

․인증서 기반 공개키 암호기술 ID 기반 공개키 암호기술을 사용자

S/W 구 키 리, 서명 검증 등의 측면에서 비교․분석

[표 1-12] 인증서 ID 기반 공개키 암호기술 간 비교․분석

비 교항 목 인 증 서 기 반 I D 기 반

사용자 S/W 구 부담 높음 낮음

키 리 부담 높음 낮음

서명 검증 부담 높음 낮음

공개키 길이 1,024bits 이상 163bits 이상

키 복구 가능성 없음 있음

※ ID기반은 공개키의 공고/배포를 한 온라인 디 토리 등을 유지할 필요가

없어 키 리 부담이 상 으로 낮음

※ 인증서 기반은 서명검증 시 CRL/OCSP 등을 이용해 공개키 상태를 확인하는 과정과

인증서 체인 검증의 부가 인 메커니즘이 요구되어 상 으로 서명검증 부담이 높음

․사용자 S/W 구 , 키 리 서명 검증 부담 등이 상 으로 낮은 ID

기반 공개키 암호기술이 DNSSEC에 합

- 26 -

- RFID 객체 검색서비스의 보안을 한 ID기반 공개키 인증 모델 분석(11월~12월)

․DNSSEC에 ID기반 공개키 암호기술 용시 고려사항 련 인증모델

분석

고 려사 항 인 증 모 델

공개키 폐지시, 해당

키와 련된 사용자

식별정보 폐지

o 신뢰된 제3자를 기반으로 하는 모델

- 서명 검증시 사용자의 공개키 계산을 해 온라인으로 운 되는

신뢰된 제3자의 데이터베이스에 근하여,

- 최신의 공개키 생성 정보를 획득하고,

- 정되지 않은 키 변경 폐지에 한 부분 인 해결책을 제시

o 사용자와 SEM(Security Mediator)이 함께 서명을 생성하는 모델

- 서명 생성시 SEM을 이용하여 서명키의 유효성 검증

- 부분 서명기법을 이용하여 사용자와 SEM이 함께 서명을 생성

개인키 발 기 의 키

복구 능력

o 고유 모델

- Self-certified key 개념으로 공개키에 한 인증이 묵시 으로

수행되는 ID기반 공개키 암호기술의 특징을 그 로 이용

o 사용자가 자신의 공개키 개인키를 직 생성하는 모델

- 개인키 발 기 이 사용자의 부분 공개키 부분 개인키를

발

- 발 된 키를 이용하여 사용자가 자신의 공개키 개인키를

직 생성

DNS의 계층 구조에

용 곤란

o 계층구조에 용하기 한 모델

- 네임서버는 하나의 ID로 표기되지 않고 자신이 속해 있는 계층구

조를 표 하는 ID들의 집합으로 표기

- 개인키 생성 발 기능을 신뢰된 하 네임서버에 임

[표 1-13] ID기반 공개키 암호기술 용 시의 고려사항 인증모델 분석

o 데이터베이스에 장되는 개인정보보호 리기술 강화(1월~12월)

- 개인정보 보호 기술에 한 국외 로젝트 연구동향 조사(1월~6월)

․데이터베이스를 리하는 서비스 제공자로부터 사용자의 치, ID 등

- 데이터베이스 라이버시 침해 험요인 공격기법 분석(7월~9월)

․데이터베이스 시스템 구성요소별 요인 분석

- 27 -

상 요인

데이터베이스

서버

o 악의 인 네트워크 리자에 의한 서버공격

o 환경설정이 잘못된 서버에 한 공격

o 네트워크에서 서로 다른 디바이스와 통신하기 해 사용된 인증 크리덴셜

(인증서, 사용자이름, 패스워드 등)을 원거리 치에서 도난 도용

o 악의 인 소 트웨어를 서버에 설치

응용 서버

o 악의 인 DB 리자에 의한 서버 공격

o 인증 크리덴셜이 잘못 리되는 경우의 , 즉 모든 어 리 이션이 같은

DB 사용자 이름과 패스워드를 사용하는 경우의

o DB안의 권한정책(Authorization Policies)이 잘못 정의되는 경우의 , 즉,

DB사용자들은 종종 요청하지 않은 기 정보에 해 근할 수 있음

o DB 보안에 한 표 이 없음에 따른

스토리지

o 스토리지 리 인터페이스 서 시스템에 한 공격

o 물리 인 매체

o 서버, 데스크탑, 랩탑의 도난

o 하드 드라이 , 테이 백업장치의 도난

[표 1-14] 데이터베이스 시스템 구성요소별 보안

[그림 1-2] 데이터베이스 서비스 시스템 구성요소별 보안 요구사항

- 암호화된 개인데이터의 효율 인 탐색기술 등 개인정보보호 리기술 분석

(10월~12월)

- 28 -

기 술 명 주요 내용

DatAon

o 실제 신원과 데이터베이스에 장된 식별자를 연 짓는 암호 연산을

이용하는 익명 데이터 리 모델

o 데이터베이스에 장된 개인정보를 “suppressing”이나 “distorting” 없이

익명화하는 알고리즘(DataFly, k-Similar)으로 모든 형태의 상업용 데이터

베이스에 탑재.

o 한, 이 기술은 안정 이고 통계학 으로 신뢰성을 가지며 美 국방성과

다른 기 에서 수행되는 여러 로젝트에서 사용됨

CASC 로젝터의

u-Argus System

o 통계학 노출 제어 : 응답자의 민감한 정보가 제 3자에게 노출되는

데이터로부터 험을 제한하기 한 기술

o PRAM(Post RAndomisation Method) : 분류 데이터에 용될 수 있는

노출 제어 기술. 기본 으로 알려진 확률 메커니즘을 이용하는 경우

자료를 섞는 것과 같은 형태를 가짐

Database-as-a-

Service 모델

o 호스트 서버에 있는 사용자 데이터베이스를 원격 사용자가 인터넷을

이용하여 안 하게 사용할 수 있는 서비스 모델 제안

o 데이터 제공자의 데이터 라이버시 문제, 인증 무결성, 성능, 사용자

인터페이스 등의 문제에 한 보완이 필요

o 재 이를 한 다양한 기술이 연구․개발되고 있음

o ‘A Framework for Efficient Storage Security in RDBMS’, ‘Authentication

and Integrity in Outsourced Database’ 등

칭키 기반

암호화된 문서

검색 기술

o 데이터베이스 암호화로 인한 성능 하를 최소화하기 한 방법으로 칭키

암호기술을 용하여 암호화된 데이터베이스를 장하고

o 라이버시보호를 해 복호화하지 않은 상태에서 이를 검색하는 기술에

한 연구

o 표 인 논문으로 ‘Practical Techniques for Searches on Encrypted

Data’ 등이 있음

공개키 기반

암호화된 문서

검색 기술

o 데이터베이스 보안을 한 기술로 공개키 암호기술을 용하고, 복호

되지 않은 상태에서 이를 검색하는 기술에 한 연구

o 표 인 논문으로 ‘Public Key Encryption with Keyword Search’ 등이

있음

[표 1-15] 데이터베이스 보안 기술 분석

o 모바일 RFID 정보보호 라이버시보호 기술개발 표 화 추진(2월~12월)

- 모바일 RFID포럼 정보보호분과 운 워크샵/분과회의 8회 개최(2월~12월)

-「RFID 라이버시보호 가이드라인」을 기반으로 하는「모바일RFID 라이버시

보호 가이드라인」개발 표 화(5월~10월)

- 29 -

[ 가 이 드 라 인 주요내용 ]

o 모바일 RFID 서비스 이용자의 라이버시 보호를 해 모바일 RFID 서비스에서 이용되는

RFID 태그를 취 하고, 이를 이용하여 모바일 RFID 서비스를 제공하는 자가 수해야할 기본

인 사항을 정의

o「 치정보의 보호 이용 등에 한 법률」에 따라 모바일 RFID 서비스 제공자가 이용자의

치정보를 보호하기 한 조치를 취하도록 권고

o 한, 모바일 RFID 시스템 도입 이용시, 이용자 라이버시에 한 사 향평가와

「청소년 보호법」등 련 법률에 의해 제공하는 모바일 RFID 서비스의 성인인증 등 에

한 사 심의를 받도록 권고


<암호이용활성화를 한 제도 ․기술 방안 마련>

o 국가별 암호 제도․정책 변화를 분석, 암호서비스 제품의 원활한 이용기반

조성

- 이용자 보호를 강화하기 한 암호 정책방향을 제시함으로써 향후 암호이용

진 련 법률 마련의 기 자료 확보

o 개인정보보호 장기 기술개발 계획(안) 수립

- 정부 차원에서의 개인정보보호 기술개발에 한 추진 방향을 제시함으로써

개인정보보호기술 개발의 토 마련

<국내 암호기술의 국제표 화 활동 강화>

o SEED를 ISO/IEC 국제표 으로 채택되도록 하고 SEED IPSec 등 다양한

보안 로토콜에서의 SEED 사용표 4건을 IETF 표 으로 채택

- 국내 암호기술의 국제 상 제고 국내 정보보호제품의 국제 경쟁력

강화

<RFID/USN 환경에서 정보보호를 한 암호기술 용방안 마련>

o RFID/USN 환경에서 사물/기기에 부착된 ID를 기반으로 한 RFID 객체 검색

서비스 인증모델 분석 모바일 RFID 라이버시 가이드라인을 마련

- 안 한 RFID/USN 서비스에 한 기술 정책 마련에 기여

- 30 -

- 31 -

제2 자서명인증 리

사업 개요


o 안 하고 신뢰할 수 있는 자서명 이용환경 조성을 한 자서명

인증 리체계의 운 고도화 국제 력

o 자서명 이용자 이용분야 확 를 한 자거래 이용환경 개선

국민 인식제고



- 최상 인증기 공인인증기 자서명키 갱신 등 공인인증체계의

안 성 강화 방안 용

- 최상 인증기 무장애운 공인인증기 정기 검․실질심사

- 공인인증서 재발 차 개선 등 공인인증서 리체계 강화


- 무선 공인인증서 이용모델 무선 공인인증서비스 사용자의 이용

편익 제고를 한 사용자 인터페이스 개선

- 홈 네트워크 등 자서명인증 련 기술개발 ISTF, TTA, 아시아

PKI 포럼, IETF 등을 통한 자서명인증기술 표 화


- 인증서 이용분야 확 를 한 MS에 최상 인증기 인증서 탑재

- 인터넷상에 주민번호 체수단 마련

o 자서명 법제 정비 자서명 국민 인식제고

- 공인인증시장의 공정경쟁 환경조성 인증업무 안 ․신뢰성 확보를

한 자서명 법제 정비

- 홍보물 제작 배포, 세미나 개최 등을 통한 자서명 국민 인식

제고 이용확산

- 32 -

1. 자서명인증 리체계운


o 안 하고 신뢰할 수 있는 자서명 이용환경 조성

- 자서명인증 리체계의 운 고도화

- 유․무선 자서명 이용환경 개선 국제 력 활동 강화



- 툴킷 교체 자거래서비스업체 수 : 300개 → 607개(202% 달성)

- 실질심사/정기 검 건수 : 28건 → 30건(107% 달성)


- 국내 표 화 건수 : 5건 → 7건(140% 달성)

- 국제 표 화 건수 : 2건 → 3건 완료, 2건 진행 (150% 달성)

다. 추진내용

<공인인증서비스 안 성 가용성 강화>

추진계획

o 최상 인증기 공인인증기 자서명 키 갱신

o 공인인증기 자서명 키 길이 상향조정(1,024비트→2,048비트)

o 최상 인증기 디 토리 서비스 6개 공인인증기 에 분산운

o 국제 호환성 보장 련 제․개정 기술규격 용

o 공인인증서비스의 안 성 강화를 한 자거래서비스업체의 PKI 툴킷 교체

- 33 -

일 자 참 석 자 내 용

1. 20보호진흥원,

5개 공인인증기 , 2개 솔루션업체

o 최상 인증기 인증서 갱신 련 기술규격 실질심사

해설서 설명회



o 기 별 자거래서비스업체 홍보 황 계획

o 자거래서비스업체 홍보 방안 논의



o 홈페이지 안내문 검토

o 자거래서비스업체 설명회 개최 방안 검토



o 교체용 툴킷 개발 련 세부사항 의


4개 솔루션 업체

o 툴킷 교체 내용 일정 소개

o PKI 솔루션 업체별 자거래서비스업체 툴킷 교체일정

악


6개 공인인증기

o PKI 솔루션 업체 교체용 툴킷 개발 테스트 지원방안

논의

o 디 토리 오 라인 세부방안 의

[ 자 거 래 서 비 스 업 체 의 P K I 툴 킷 교체 ]

o 배경 필요성

- ‘99년 공인인증서비스 구축 이후, 지속 인 컴퓨 성능이 발 하고 PKI 기술이 변화함에

따라 이를 반 한 공인인증서비스의 안 성 강화 책 필요

o 주요내용

- 자서명키 상향조정 보안경고에 따라 공인인증기 의 자서명키 길이를 1,024

비트에서 2,048비트로 상향조정

< 자서명키 길이에 한 안 성 권고기간 >

구분 RSA(미국) RegTP(독일)

키 길이 1,024비트 2,048비트 1,024비트 1,280비트

권고기간 2010년 2030년 2007년 2008년

- 일부 네트워크 장애가 체 공인인증체계에 미치는 향을 최소화하기 해 보호진흥원

(최상 인증기 )의 디 토리 서비스를 6개 공인인증기 으로 분산운

- 국제표 변경(IETF RFC2459 → RFC3280)에 따라 국내 기술 변경

※ IETF RFC 3280 : 인증서(인증서폐지목록 포함) 로 일 검증 차 정의

o 자서명키 상향조정 등 주요 개선사항을 공인인증서비스에 용하기 해서는 최상

인증기 , 공인인증기 , 사용자 공인인증서의 갱신발 필요

- 갱신된 인증서를 발 하고 처리하기 해서는 공인인증기 공인인증서발 시스템

자거래서비스업체의 PKI 툴킷 교체 필요

- 공인인증서비스 안 성 가용성 강화를 한 실무작업반 등 운

․안 성 강화 련 황 논의를 한 실무작업반 11회 운 (1월~12월)

- 34 -


6개 공인인증기o 공인인증기 별 툴킷 교체 황 일정 의


4개 공인인증기o 툴킷 상 자거래서비스업체 통계 산출방식 논의

o 최상 인증기 인증서갱신을 한 비사항 검토


6개 공인인증기 ,9개 솔루션 업체

o 교체용 툴킷 테스트 시나리오 검토

o 인증서 경로검증 테스트 결과 공유 이슈사항 논의


2개 공인인증기6개 솔루션 업체

o 기 별 툴킷 교체 황 상 논의

11.17보호진흥원,

5개 공인인증기 ,1개 솔루션 업체

o 테스트용 정식 인증서 발 방향 등 논의

․교체용 툴킷 개발 독려를 한 툴킷 제공업체 방문(6회)(2월~11월)

일 자 방 문 업 체

2. 18 이니텍, 소 트포럼, 드림시큐리티, 이사인, 뱅크타운

4. 25 이니텍, 소 트포럼, 한국 자증명원

6. 20 이니텍, 소 트포럼, 한국정보인증

7. 21 코스콤, 융결제원, 한국 자인증, 한국무역정보통신, 이사인

8. 25 장미디어, 핌스텍, 펜타시큐리티

11. 15 이니텍, 소 트포럼

․교체용 툴킷 용 독려를 한 공인인증기 PKI솔루션업체 표자

조찬간담회 개최(10월)

- 공인인증기 공인인증서발 시스템 검 교체용 PKI 툴킷간 상호호환성

테스트

․교체용 PKI 툴킷의 상호호환성 테스트를 한 테스트베드 운 (1월~11월)

인 증 서 발 유 형 키 길 이 발 일 자

융결제원 자서명용 갱신 2,048 2. 1

코스콤 자서명용 재발 2,048 2.18

한국 산원 자서명용 신규 1,024 2.25

한국 산원 자서명용 신규 2,048 2.25

한국무역정보통신 자서명용 신규 2,048 5.10

한국 자인증 자서명용 신규 2,048 5.10

한국 자인증 자서명용 갱신 2,048 5.26


융결제원 자서명용 갱신 2,048 6. 9


- 35 -

․상호호환성 테스트를 한 검 매뉴얼․해설서 테스트 벡터 개발(1월~3월)

※ 테스트 벡터 : 교체용 툴킷의 구 합성을 검할 수 있는 테스트 인증서 집합

[교체 용 P K I 툴 킷 검 을 한 검 매 뉴얼]

o 목

- 교체 용 PKI 툴 킷 의 상호 호 환 성 검 을 한 검 항 목 검 방 법 명시

o 검매뉴얼 제

분류 공인인증서 경로검증 기술 규격 번호 RI-06-01

심사

항목상인증서의 AIA필드에 id-ad-caIssuers 정보를 이용한 인증서 경로구축기능 심사

비

사항

o 서류심사

- 구 방법 차를 소스, 로그, 그림 캡쳐 등을 활용해 설명

- 테스트 벡터에 한 처리 결과(True, False)

- 처리 결과가 False인 경우 원인 명시

o 장심사

- 테스트 벡터를 가지고 테스트를 수행할 수 있는 환경 비

심사

방법

1. 다음의 테스트벡터를 수행하고 수행결과가 동일한지 확인

2. 처리 결과가 False이거나 상된 결과와 상이할 경우 원인을 악하여 합성 단

테스트

벡터

식별자

테스트데이터

결과최상 인증기

인증서ARL

공인인증기

인 증서CRL

가입자

인증서

테스트내용

RI-06-01

-01

○ ○ ○ ○ ○성공

․가입자 인증서 : AIA 확장필드에 정상 인 id-ad-caIssuers 정보가 포함

RI-06-01

-02

○ ○ ○ ○ √

실패․가입자 인증서 : AIA 확장필드에 id-ad-caIssuers를 올바르지 않는

디 토리 주소로 설정

․6개 공인인증기 공인인증서발 시스템 검(1월~7월)

공 인 인 증 기 검 구 분 검 기 간

한국정보인증(주) 공인인증서 발 사용자 설비 1월 ~ 5월

(주)코스콤 공인인증서 발 사용자 설비 4월 ~ 5월

융결제원 공인인증서 발 사용자 설비 4월 ~ 5월

한국 산원 공인인증서 발 사용자 설비 5월 ~ 7월

한국 자인증(주) 공인인증서 발 사용자 설비 5월 ~ 7월

(주)한국무역정보통신 공인인증서 발 사용자 설비 6월 ~ 7월

- 36 -

․교체용 PKI 툴킷간 상호호환성 테스트 수행(10월~11월)

※ 1차 테스트 : 보호진흥원이 테스트벡터 디 토리 자동화 툴을 배포하고 공인인증

기 업체는 자율 으로 테스트 수행 후 결과 통보

※ 2차 테스트 : 세부 인 테스트 시나리오를 배포하고 공인인증기 업체는

이에 따라 테스트 수행 후 결과 통보

[교체 용 P K I 툴 킷 간 상호 호 환 성 테 스 트 ]

o 1차 테스트 내용 결과

구분 테스트 항목 일정 참여기 결과

인증서

경로검증

테스트

-CRL을 이용한 인증서 경로

검증 테스트

'04.10.4.

~

‘05.10.6.

행정자치부 O

공인인증기 O

PKI솔루션업체자체 으로

확인

디 토리

오 라인

테스트

-디 토리 오 라인 자동화툴

기능 테스트

‘04.12.6.

~

‘05.1.14.

공인인증기 O

o 2차 테스트 내용 결과

구분 테스트 항목 일정 참여기 결과

인증서

경로검증

테스트

-CRL을 이용한 인증서 경로

검증 테스트

-OCSP를 이용한 인증서 경로

검증 테스트

'05.10.7.

~

'05.11.30.

행정자치부

공인인증기

PKI솔루션업체

O

디 토리

오 라인

테스트

-ARL 등 보호진흥원 웹을 통

한 배포 테스트

-공인인증기 디 토리에

ARL 등 공고 테스트

'05.10.7.

~

'05.11.30.

공인인증기 O

인증서

갱신발

테스트

-사용자 인증서 갱신발 테스트

(RFC 2459→ RFC 3280)

-신․구 최상 인증기 인

증서 배포 테스트

'05.11.7.

~

'05.11.30.

공인인증기 O

- 공인인증기 의 공인인증서발 시스템 자거래서비스업체의 PKI 툴킷 교체

․6개 공인인증기 의 공인인증서발 시스템 교체 비 완료(7월)

․ 자거래서비스업체의 PKI 툴킷 교체 진행 (7월~12월)

※ 자거래서비스업체에 한 공문발송, 홈페이지 안내 등 교체 독려(3월)

※ 교체미정업체에 한 직 방문, 화연락 등 교체 독력(11월~12월)

- 37 -

[2005. 12. 기 ]

교체 수행 주체 교체 상 업 체

교체완료업체

교체진행업체

교체 정업 체

교체 미 정업 체

공인인증기 385 381 2 - 2

PKI솔루션업체 254 226 9 13 6

합계 6 3 9 ( 1 0 0 % ) 6 0 7 ( 9 5 % ) 1 1 ( 2% ) 1 3 ( 2% ) 8 ( 1 % )

- 자서명키 상향조정 등 안 성 강화방안의 공인인증서비스 용(8월~ 재)

․최상 인증기 인증서 갱신(8월) 공인인증기 인증서 갱신(11월)

※ 사용자 공인인증서는 ‘06. 2월부터 갱신발

o 공인인증서 재발 차 개선 등 공인인증서 리체계 강화

- 인터넷뱅킹 사건 련 공인인증서 온라인 재발 개선 등 ' 자거래 안 성

강화 책' 수립(6월~9월)

[ 자 거 래 안 성 강 화 책 ]

o 목

- 인터넷 뱅킹의 해킹사고 등 날로 지능화된 해킹 방지를 해 공인인증서 취약 을

검토하고 개선방안을 마련

- 이를 통해 공인인증서 이용자를 보호하고 자거래의 안 ․신뢰성 제고

o 주요내용

- 공인인증서 온라인 재발 차 개선

※ 보안카드 입력방식을 행 1개 비 번호 입력에서 2개 비 번호 혼합입력으로 변경

(유효 비 번호 수 : 35개에서 1,190개로 확 )

※ '06년도 3월까지 용 완료할 정임

- 자서명키의 안 리 책 마련

․ 자서명키 유출 방지를 해 자서명키 장매체로 HSM 사용 권장

․PC 고유정보를 이용한 자서명키 보호기술 개발

※ HSM : Hardware Security Module

- PC 고유정보를 이용한 자서명키 보호 기술규격(안) 개발(12월)

․기술규격(안) 의견수렴을 한 PKI실무작업반 개최(2회)

일 자 참 석 자 내용

11.17공인인증기 ,

PKI솔루션업체

o 제안된 기술의 보안성 기존PKI소 트웨어와의 호환성

논의

o 개선(안)을 제시하기로 결정

12.16공인인증기 ,

PKI솔루션업체o 개선(안)의 보안성 구 시 문제 논의

- 38 -

기 용 도 발 행 일 비 고

보호진흥원

무선가입자인증서발 용 8. 24. 사용 (2014.11.19.까지 유효)


[P C 고 유 정 보 를 이 용 한 자 서 명키 보 호 기 술 규 격 ( 안 ) ]

o 목

- 인증서 자서명키가 악의 공격자에 의해 유출된다 하더라도 해당 PC가 아니면

사용될 수 없게 하기 해 가입자의 PC 고유정보를 이용하여 자서명키 보호

o 주요내용

- 가입자 PC에 장된 자서명키의 안 한 사용을 해 검증하게 되는 자서명키

검증 값 일 정의

- 자서명키의 이동 복사를 한 차

<최상 인증기 운 >

추진계획

o 최상 인증기 인증업무 수행

- 최상 인증기 시스템․네트워크 24시간 모니터링

- 공인인증체계 유․무선 인증서, ARL CTL 발 ․공고

- 최상 인증기 시스템․네트워크 리

o 최상 인증기 안 성 강화

- 자서명인증시스템 취약성 분석․평가 보호 책 수립

- 최상 인증기 공인인증기 비상 응 모의 훈련

o 최상 인증기 인증업무수행

- 최상 인증기 시스템․네트워크 24시간 모니터링

․ 자서명인증 리센터 24시간 모니터링을 한 아웃소싱 인력 운

․백업사이트(Hot 사이트) 실시간 원격 리

※ 항온항습기 원격 리, 출입통제시스템/CCTV 원격 리, ARL, CTL 원격공고

- 공인인증기 유․무선 인증서 인증서 폐지목록 발 ․ 리(1월~12월)

․최상 인증기 용 3건, 공인인증기 용 22건 정식인증서 발행

- 39 -

가입자인증서발 용 8. 24. 사용 (2025. 8.24.까지 유효)

한국정보인증㈜

시 확인용 4. 8. 사용 (2008. 4. 8.까지 유효)

가입자인증서발 용 11. 10. 사용 (2015.11.10.까지 유효)

공인인증서유효성확인용 11. 11. 폐지


공인인증서유효성확인용 11. 25. 사용 (2008.11.25.까지 유효)

㈜코스콤

시 확인용 3. 18. 사용 (2008. 3.18.까지 유효)

공인인증서유효성확인용 9. 9. 사용 (2008. 9. 9.까지 유효)

가입자인증서발 용 11. 10. 사용 (2015.11.10.까지 유효)

융 결 제 원

시 확인용 4. 7. 사용 (2008. 4. 7.까지 유효)


시 확인용 9. 9. 사용 (2008. 9. 9.까지 유효)

가입자인증서발 용 11. 10. 사용 (2015.11.10.까지 유효)

한 국 산 원

시 확인용 9. 16. 사용 (2008. 9.16.까지 유효)

공인인증서유효성확인용 9. 16. 사용 (2008. 9.16.까지 유효)

가입자인증서발 용 11. 10. 사용 (2015.11.10.까지 유효)

한국 자인증㈜

시 확인용 3. 18. 사용 (2008. 3.18.까지 유효)

가입자인증서발 용 11. 10. 사용 (2015.11.10.까지 유효)


가입자인증서발 용 11. 30. 사용 (2008.11.30.까지 유효)

㈜한국무역정보통신

시 확인용 9. 9. 사용 (2008. 9. 9.까지 유효)

가입자인증서발 용 11. 15. 사용 (2015.11.15.까지 유효)


기 용 도 발 행 일 비 고

보호진흥원



가입자인증서발 용 8. 24. 사용 (2015. 8.24.까지 유효)


가입자인증서발 용 5. 27. 사용 (2008. 5.27.까지 유효)

가입자인증서발 용 8. 24. 사용 (2010. 8.24.까지 유효)


시 확인용 8. 26. 사용 (2008. 8.26.까지 유효)

(주)코스콤


가입자인증서발 용 9. 15. 사용 (2010. 9.15.까지 유효)


․시험용인증서 : 최상 인증기 용 3건, 공인인증기 용 34건 발행

- 40 -

융 결 제 원

시 확인용 4. 1. 폐지

시 확인용 5. 4. 폐지


무선가입자인증서발 용 8. 24. 사용 (2008. 8.24.까지 유효)

무선가입자인증서발 용 8. 24. 사용 (2008. 8.24.까지 유효)

시 확인용 9. 15. 사용 (2008. 9.15.까지 유효)

가입자인증서발 용 9. 15. 갱신

공인인증서유효성확인용 9. 15. 갱신

시 확인용 9. 16. 갱신

가입자인증서발 용 9. 23. 사용 (2006. 9.23.까지 유효)

가입자인증서발 용 9. 30. 사용 (2010. 9.30.까지 유효)

시 확인용 9. 30. 사용 (2008. 9.30.까지 유효)


한 국 산 원

가입자인증서발 용 3. 11. 사용 (2006. 3.11.까지 유효)

가입자인증서발 용 9. 15. 사용 (2010. 9.15.까지 유효)

시 확인용 9. 15. 사용 (2008. 9.15.까지 유효)


한국 자인증㈜

가입자인증서발 용 9. 15. 갱신

시 확인용 9. 15. 갱신


가입자인증서발 용 9. 30. 사용 (2010. 9.30.까지 유효)

시 확인용 9. 30. 사용 (2008. 9.30.까지 유효)




가입자인증서발 용 9. 15. 사용 (2010. 9.15.까지 유효)

시 확인용 9. 15. 사용 (2008. 9.15.까지 유효)


- 자서명인증 리센터 인증서폐지목록 발 ․ 리(1월~12월)

․정식 : 유선(71회), 무선(ECDSA-52회/RSA-52회)

․시험용 : 유선(70회), 무선(ECDSA-53회/RSA-53회)

- 행정 자서명체계와의 상호연동을 한 인증서신뢰목록 발 ․ 리(1월~12월)

․정식 : 73회, 시험용 : 66회

- 최상 인증기 운 을 한 시스템 네트워크 리(1월~12월)

․메인/백업센터 침입차단, 침입탐지 등 총 14종 정기 검 작업결과

보고서 작성(월1회)

․공인인증업무 백업자료 소산(월1회)

․인증 리센터 네트워크 완 이 화 고도화

․최상 인증기 침입시도 분석(국내 : 157건, 국외 : 245건)

- 41 -

o 최상 인증기 안 성 강화

- 자서명인증시스템 취약성 분석․평가 보호 책 수립(1월~12월)

․주요정보통신기반시설 지정에 따른 자서명인증 리시스템의 취약 분석

평가 실시(2월~3월)

․‘04년도 보호 책 이행검사(5월)

․‘06년도 보호 책 수립 ’05년도 보호 책 시행(3월~12월)

※ 취약 분석․평가 지 사항(25건) 조치 완료(8월)

․ 자서명인증 리업무 보안 리지침 개정(3월~4월)

․최상 인증기 인증서비스 업무연속성 확보를 한 비상 응 차 개정

(10월~11월)

[최 상 인 증 기 비상 응 차 개정]

o 목

- 자서명인증 리센터 운 환경 변화에 따른 내용 반 최상 인증기 업무

연속성 계획 수립 결과 반 을 통한 인증서비스 업무연속성 확보

o 주요내용

- 자서명인증 리센터의 주요자산을 재분류하 으며, 장애상황을 심으로 한 원인

분석단계와 장애원인별 세부행동 차를 조합하여 개정

- “장애 검 리스트”를 개발하여 각 장애상황(결과)에 따라 원인을 분석하며, 분석된

장애원인을 바탕으로 장애를 복구하는 방향으로 개정

- 자산 업무의 요도에 따른 응방법 차등화를 통한 효율 인 처 가능

- 최상 인증기 공인인증기 비상 응 모의 훈련(6월~12월)

․비상 응능력 향상을 한 비상모의훈련 실시(4회)

※ 4차 훈련은 공인인증체계 합동 비상 응훈련으로 실시

[비 상 응 모 의 훈 련 ]

o 1차 비상 응 모의훈련 실시 결과

훈련 상황 보안패치작업 네임서버의 오류로 디 토리 서비스 단

훈련 일시 2005. 6. 16. 17:15 ~ 18:30

참가 인원 인증 리 원

훈련 결과o 신속한 응으로 장애원인 조기 악

o 업무 담당자의 빠른 복귀로 인한 신속한 후속 책 마련

개선 요구 사항

o 백업센터의 주요시스템에 한 소 트웨어 모니터링 필요

o 장애발생시 신속히 검 가능한 시스템 검리스트 필요

o 장애원인을 모르고 처할 수 있는 훈련(블라인드테스트) 필요

- 42 -


훈련 상황 잘못된 ARL/CTL 발 공고에 의한 장애

훈련 일시 2005. 9. 21. 19:15 ~ 20:30


훈련 결과o 신속한 비상연락망 가동으로 담당 원의 조기 복귀 가능

o 상황실 근무자에 한 행동 차 미비로 장애처리시간 지연

개선 요구 사항o 최 인지자인 상황실 근무자에 한 행동 차(SOP)가 필요함

o SMS문자발송 시 많은 정보를 달할 수 있도록 개선이 필요함


훈련 상황 하드디스크 에러로 디 토리 시스템 장애

훈련 일시 2005. 10. 27. 19:30 ~ 21:00


훈련 결과

o 비상시를 비하여 비한 비시스템의 소 트웨어 설치시간

지연으로 장애처리 미흡

o 장애발생시 패스워드로 보호된 운 실 PC를 원활히 사용치 못해

장애처리 시간 지연


o 요시스템에 해서는 설정이 동일한 비시스템이 필요

o 운 실의 PC를 장애처리 담당자들이 원활히 사용할 수 있도록

별도의 계정 패스워드 생성 필요

o 4차 비상 응 모의훈련(공인인증체계 합동비상 응훈련) 실시 결과

훈련 상황키 길이 상향조정에 따른 시스템 교체로 인한 공인인증기

인증시스템 장애

훈련 일시 2005. 12. 26. 10:00 ~ 15:00

참가 기 보호진흥원, 융결제원, 한국 산원

훈련 결과

o 훈련시작 실무자회의를 통해 훈련 시나리오를 포함한 제반

사항을 논의 함

o 장애발생과 동시에 공인인증기 에서 최 발생신고를 하 으며,

1,2차 상황보고 후 서면으로 최종결과보고서를 송부 함


o 장애발생 신고/ 수 양식을 육하원칙 등 실에 맞도록 개선이 필요

o 정확한 장애 수를 해 상황실 근무자에 한 PKI기본기술에

한 교육 필요

o 장애발생신고 후 일정 시간간격으로 상황보고를 실시하여 좀 더 신속

하고 정확한 장애상황을 악

o 향후 시나리오 작성 시 실무담당자간의 의를 통해 실효성 있는 시나

리오 작성이 필요

- 43 -

<공인인증기 리업무 안 ․신뢰성 제고>

추진계획

o 공인인증기 정기 검 실질심사

o 공인인증서 상호연동 지원센터 운

o 공인인증기 실질심사

- 공인인증기 설비의 추가․변경 등에 따른 실질심사(24건 완료, 1건 진행)

기 명 심 사 구 분 심 사 기 간


HSM 장비추가 2004.11.~2005.1.

CA설비 변경 2005.1.~2005.3.

가입자설비 변경 2005.4.~2005.5.

CA설비 변경 2005.8.~2005.9.

네트워크 변경 2005.8.~2005.9.

유선 PDA 도입 2005.10.~진행

㈜코스콤

네트워크 변경 2004.12.~2005.1.

CA설비 변경 2005.4.~2005.5.

가입자설비 변경 2005.4.~2005.5.

CA 사용자 설비 변경 2005.9.~2005.11.

융결제원

CA설비 변경 2004.12.~2005.1.

CA설비 변경 2005.4.~2005.5.

가입자설비 변경 2005.4.~2005.5.

OCSP설비 변경 2005.7.~2005.8.

네트워크 변경 2005.7.~2005.8.

한국 산원

백업사이트 변경 2005.3.~2005.4.

CA설비 변경 2005.5.~2005.5.

가입자설비 변경 2005.6.~2005.7.

한국 자인증㈜

보호설비 변경 2005.2.~2005.3.

CA설비 변경 2005.5.~2005.7.

가입자설비 변경 2005.5.~2005.7.


CA설비 변경 2005.6.~2005.7.

사용자설비 변경 2005.6.~2005.7.

네크워크 변경 2005.6.~2005.7.

CA 설비 변경 2005.10.~2005.11.

- 44 -

[실 질 심 사 개 선 ]

o 목

- 실질심사 건수 기술규격 제․개정에 의한 심사항목의 지속 증가에 따라, 실질심사 업무

효율성 향상을 한 실질심사 업무 차 개선 수행

o 개선 주요내용

내용 개 선 개 선 후

심사

해설서

도입

o 공인인증기 에게 심사항목만을

달

- 증빙서류 작성방법, 장심사

비에 한 이해부족으로 잦은

문의 발생

- 이해도 비 미비로 인한 다수

보완요구사항 발생

o 각 심사항목의 목 심사 비

사항 등이 명시된 심사해설서를

심사항목과 함께 배포

- 심사시 보완요구사항 감소

※심사건당 보완요구사항 78% 감소

(‘04년 평균 보완요구 7.3개 →

‘05년 평균 보완요구 1.6개)

- 공인인증기 의 심사항목 이해도

비도 향상

심사

자동화

툴 도입

o 구 여부 육안 는 소스, 로그

기록 등을 통한 심사 수행

- 소스 로그기록 분석에 한

부담 발생

- 소스 로그기록 추가로 인한

증빙 서류양 증가

o 구 합성 심사를 한 자동화 툴

도입

- 블랙박스 테스트에 의한 소스

로그분석 기간 감

※심사건당 소요기간 44% 감소

(‘04년 평균 소요기간 7.9주 →

‘05년 평균 소요기간 4.4주)

- 자동화 툴 이용을 통한 심사 정확성

향상

- 공인인증기 이 주체 으로 테스트

수행

문

심사원제

도입

o 심사분야(S/W, 네트워크, 보호설비

등)의 문성과 련없이 순차

으로 심사원 지정

- 기술문의에 한 처 부족

- 해당분야 문심사원의 별도 교육

필요

o 심사분야별 문심사원을 지정하여

심사

- 고객문의사항에 한 신속한 응

- 심사원 문성으로 인한 보호진흥원

상 강화

o 공인인증기 정기 검

- 공인인증기 시설 장비의 안 운 여부 검

- 45 -

기 명 검 기 간 결 과 보 고시 정 조 치 건 수

시 정 명령 시 정 권 고

한국정보인증㈜ 3.14～5.16 5.18 3 4

㈜코스콤 4.28～6.3 6.10 - 3

융결제원 6. 7～7.29 8. 3 2 4

한국 산원 7.18～8.19 8.24 1 4

한국 자인증㈜ 8.22～11.8 11.10 7 4

㈜한국무역정보통신 9.27～12.1 12.8 4 6

- 공인인증기 의 정기 검에 따른 시정명령 이행여부 검

․'05년도 정기 검 시정명령에 한 공인인증기 이행 여부 검(12월)

o 공인인증서 상호연동지원센터 운

- 공인인증서 상호연동 반신고 수 처리(1월~11월)

※ 신한은행 등 2개 자거래서비스업체의 상호연동 반 신고 수 후 조치완료

- 공인인증서 상호연동 반신고 수․처리 업무 차 개정(11월)

[공 인 인 증 서 상호 연 동 지 원센 터 ]

o 목

- 공인인증서 이용환경 개선을 해 특정 공인인증기 이 발 한 공인인증서만을 요구

하는 자거래서비스업체에 한 반신고 수 처리

o 주요업무

- 공인인증서 상호연동 반신고 수

- 수된 반신고 확인을 한 상호연동 실태조사 수행

- 반업체에 한 시정조치 요구 결과 확인

- 수된 반신고 처리결과 통보

o 반신고 처리 차

- 46 -

<무선 공인인증체계 이용환경 개선>

추진계획

o 무선 공인인증서비스 모델 개발

o 무선 공인인증서비스 사용자 인터페이스 가이드라인개발

o 무선 공인인증서비스 모델 개발

- 성인콘텐츠, 모바일게임 등에서의 무선 공인인증서를 이용한 휴 폰 성인인증

지 결제 방안 마련(4월~9월)

[무 선 공 인 인 증 서 를 이 용 한 성 인 인 증 차 ]

o 목

- 청소년의 무분별한 성인콘텐츠 이용 방지 등 청소년 보호를 해 주민등록번호 신

공인인증서 사용한 성인인증 방안 마련

o 무선 공인인증서를 이용한 성인인증 차

① 성인인증을 해 휴 폰 명의자의 공인인증서 선택

② 공인인증기 에 의한 공인인증서 유효성 공인인증서 소유자의 성인 여부 검증

③ 성인콘텐츠 이용을 한 비 번호 등록

④ 가입자는 등록된 비 번호를 이용하여 성인콘텐츠 이용 가능

- 47 -

[휴 폰 에 서 무 선 공 인 인 증 서 를 이 용 한 지 결 제 차 ]

o 목

- 휴 폰 소액결제 사기 방지를 해 무선 공인인증서 이용한 소액결제 방안 마련

o 무선 공인인증서를 이용한 지 결제 차

- 무선 공인인증서 이용 활성화 TFT 구성 실무작업반 활동(6회)


3. 24.

보호진흥원, 공인인증기 ,

PKI 솔루션 업체,

3개 이동통신사

o 무선 공인인증서 활성화 추진 계획 논의o 무선 공인인증서 발 을 한 등록 행기 확보방안 논의

5. 19.보호진흥원,

공인인증기o 무선 공인인증서 활성화 추진 황 검토o 칩기반 모바일 뱅킹서비스에서의 공인인증서 활용 방안 논의

8. 5.

정보통신부,

보호진흥원, 공인인증기 ,


o 휴 폰 성인콘텐츠, 부모동의 등에 무선 공인인증서 도입 방안 논의 등


공인인증기o 휴 폰 성인콘텐츠, 부모동의 등에 무선 공인인증서 도입 방안

논의 등

10. 12.보호진흥원,

공인인증기

o 무선 공인인증서비스 활성화를 한 공인인증정책 업무 의o 무선 공인인증서의 발 편의성을 고려하여 유선 공인인증서를

이용하여 온라인 신원확인 후 무선 공인인증서 발 허용 필요



o 휴 폰 성인콘텐츠, 부모동의 등에 무선 공인인증서 도입 방안 논의

o 이동통신사는 무선 공인인증시스템 구축시 사용자 불편, 매출감소 등을 이유로 무선 공인인증서 용 기피

- 48 -

o 무선 공인인증서비스 사용자 인터페이스 가이드라인 개발

- 무선 공인인증서비스 사용자 인터페이스 황 분석(3월~6월)

- 무선 단말기 내의 공인인증서 발 의 편의성 제고 방안에 한 의견수렴(3월~8월)

※ 상 : 공인인증기 , 이동통신사, PKI 솔루션 업체

- 무선 공인인증서비스 사용자 인터페이스 가이드라인 개발(11월~12월)

․가이드라인 의견수렴을 한 PKI실무작업반 개최(2회)


11.17.공인인증기 ,

PKI솔루션업체o 제안된 가이드라인 내용 문제 논의

12.16.공인인증기 ,

PKI솔루션업체o 가이드라인 최종안 확정

[무 선 공 인 인 증 서 비 스 사 용 자 인 터 페 이 스 가 이 드 라 인 ]

o 목

- 무선 공인인증서를 사용하는 무선단말기에서의 상호연동성 확보 무선단말기

인터페이스에서의 불편을 최소화하여 사용자 편의성을 극 화한 인터페이스를

제공함으로써, 무선 공인인증서 이용을 확 시키고자 함

o 주요내용

- 공인인증서 상호연동성 확보를 한 무선 공인인증서 장매체 별 공인인증서

이용 방법에 한 표 (안) 권고

- 사 용 자 편 의 성 을 고 려한 인 터 페 이 스 기 제 시 하 기 하 여 , 사 용 자 편 의 성

분석에 의해 문제 을 분석하고, 그 결과를 토 로 사용자 인터페이스 기화면

공인인증서 자동선택 방법 제시

< 자서명인증 련 기술 고도화>

추진계획

o 홈 네트워크 인증 기반 마련을 한 련 기술규격 개발

o 자서명문서 장기 효력 증명 서비스 기반 마련을 한 련 모델

기술규격 개발

o 자서명인증 기술 국내 표 화

- 49 -

o 홈 네트워크 인증 기반 마련을 한 련 기술규격 개발

- 국내․외 홈 네트워크 인증 기술 조사․분석

구 분 문 서 명 일 자 등 록 처

논문홈네트워크에 용가능한 스마트카드와 생체정보 기반

사용자 인증기술 연구2005.5. 정보보호학회

논문안 한 디지털홈 서비스를 한 홈게이트웨이 인증서

리방안 인증서 로 일 연구2005.5. 자공학회

TM 홈게이트웨이 인증서 리방안 인증서 로 일 특징 분석 2005.6. 보호진흥원

TM FIPS201과 NGSCB의 스마트카드 기반 사용자 인증 기술 분석 2005.6. 보호진흥원

논문 국가자격 인증기반 구축을 한 인증서 발 모델 연구 2005.10. 자거래학회

논문Research on Issuing a certificate and Generating a

private key of a Home-gateway2005.11. WSEAS

TM 강한 사용자 인증 솔루션을 한 요구사항 구 황 분석 2005.12. 보호진흥원

TM ID 리기술 분석 2005.12. 보호진흥원

- 홈 네트워크 인증 련 기술규격 개발

․공개키 인증서를 이용한 개체인증 로토콜 표 (안) 개발 제출(7월 ISTF)

․홈 네트워크 인증 련 기술규격 개발을 한 자문회의 운 (총 5회)

일 자 참 석 내용

09. 20

보호진흥원, 학계

o 공개키 인증서를 이용한 개체 인증 로토콜 안 성 효용성 의

o 홈네트워크 기반 자격인증 체계 자격 인증서 발 방안 의

10. 14

o 공인인증서 내 IP 주소 삽입 표 인 RFC3779 검토

o SPKI(Simple PKI) 기반의 권한인증 모델 검토

o 홈네트워크 인증 메커니즘 표 안(TTA) 검토

11. 18

o 홈네트워크 인증서비스를 하여 다양한 인증정보를 통합 으로

리하는 자인증 임워크 개념 검토

o 개인의 라이버시 제공을 한 실명보호 인증기술 검토

12. 07o 디바이스 인증을 포함한 자인증 임워크 기술 방향 검토

o 국가자격인증을 한 속성인증서 도입 검토

12. 26 o IT839 인증서비스를 한 인증체계 논의

o 자서명문서 장기 효력 증명 서비스 기반 마련을 한 련모델 기술규격 개발

- 자서명문서 장기 효력 증명 서비스 모델 개발

․ 자서명문서 장기 효력 증명을 한 자서명형식 분석(9월)

․사용자 리 서비스 제공자 모델 구 가이드라인 개발(12월)

- 50 -

[ 자 서 명 장 기 검 증 서 비 스 모 델 가 이 드 라 인 ]

o 목

- 서비스 모델의 통일성을 부여하여 서비스 제공자 사용자의 혼란을 최소화하고,

재 운 인 PKI 구성 요소와 상호 운 을 보장할 수 있도록 가이드라인 제시

o 주요내용

- 자서명 장기검증 서비스의 필요성, 개념 정리 서비스 모델 분류

- 자서명 장기검증을 한 국외 자서명 장기검증 형식 분석

- 사용자 리/서비스 제공자 모델의 구성요소와 기능 정의 시나리오에 따른

요청 응답 메시지 형식 정의를 통한 구 가이드라인 제시

- 자서명문서 장기 효력 증명 서비스 련 기술규격 개발

․ 자서명문서 장기 효력 증명을 한 자서명형식 가이드라인 개발(12월)

[ 자 서 명 장 기 검 증 형 식 가 이 드 라 인 ]

o 목

- 자서명의 유효성을 장기간 갖기 한 자서명 장기검증 형식을 정의하여 국내

공인인증체계를 통한 자문서 장기검증의 상호연동성을 확보

o 주요내용

- 자서명 장기검증의 개념과 필요성 요구사항 정의

- 자서명 장기검증의 응용 분야에 따라 해당 서비스 구 시 핵심이 되는 자서명

장기검증형식 정의

- 자서명 장기검증 형식의 생성 검증시의 수사항을 정의하여 자서명 장기검증

형식 자체의 호환성을 보장

o 자서명인증 기술 국내 표 화(1월~12월)

- 국내 표 화 안 제출 표 화 추진(완료 7건)

표 화 단체 표 명 추 진 황 ( 일 자 )

TTA인증서 검증기술 표 표 화 완료(2005.12.)

식별번호를 이용한 본인확인기술 표 표 화 완료(2005.12.)

ISTF

자서명 상호연동을 한 CTL기술 표 표 화 완료(2005.12.)

인증서 갱신기술 표 표 화 완료(2005.12.)

공개키 인증서를 이용한 개체간 인증 로토콜 표 표 화 완료(2005.12.)

인증서 정책 인증업무 칙 작성 표 표 화 완료(2005.12.)

공인인증기 간 상호연동을 한 사용자 인터페이스 표 표 화 완료(2005.12.)

- 51 -

< 자서명인증 련 국제 력>

추진계획

o 아시아PKI포럼 상호연동 실무작업반 활동

o 국내 자서명인증 기술 국제 표 화

o 아시아PKI포럼 상호연동 실무작업반 활동

- 아시아 PKI 포럼 상호연동 실무작업반 회의 참석(3월~11월)

[I O W G 활 동 황 ]

일자 장소 참가국 내용

3. 20~ 3. 23

일본

한국, 일본,

싱가폴, 국,만,

마카오, 태국

o 아시아 PKI 상호연동 가이드라인 v2.0 최종 검토

o 아시아 인증기 인증서정책매핑 가이드라인(안) 검토

7. 4~ 7. 8

싱가폴

o 속성인증 장기효력 검증기술 검증기술 발표 련

내용 의

o 한국의 인증서 정책 매핑 발표

9. 12~ 9. 16

만

o 속성인증 장기효력 검증기술 서비스 모델 제안 련

내용 의

o 자서명 이용활성화를 한 각 국의 응방안 토론

11. 1~ 11. 6

국

o 개인키 장방안 발표 련 내용 의

o 속성인증을 이용한 응용 서비스 모델(안) 의

o 공인인증서를 이용한 주민번호 체수단 사례발표

- 아시아 PKI 상호연동 가이드라인 v2.0 개발(1월~6월)

[아시아 PKI 상호연동 가이드라인 v 2. 0 ]

o 목

- 아시아 PKI 상호연동 가이드라인 v1.0에서 정의한 PKI 상호연동을 한 기본 인 기술

요구사항 이외에 어 리 이션 상호연동, 루트키 갱신 기술 등 상세 요구사항 추가

o 주요내용

- 가이드라인 v1.0내용 이외에 최상 인증기 자서명키 갱신 기술, 권한인증서

로 일 추가

- PKCS#11을 용한 PKI 어 리 이션 공통 API 규격 추가

- 52 -

- 자서명 응용 서비스 모델 개발(7월~12월)

․속성 인증을 이용한 응용 서비스 모델(안) 제안(9월)

․속성 인증을 이용한 응용 서비스 모델 연구 TM 작성(12월)

[속 성 인 증 을 이 용 한 응 용 서 비 스 모 델 ( 안 ) ]

o 목

- 아시아 PKI 상호연동 가이드라인 v2.0에서 정의한 PKI 상호연동을 한 기본 인

기술 요구사항을 바탕으로 사용자의 신원 인증뿐만 아니라 다양한 직업이나

권한에 따라 차별화된 응용 서비스를 제공하고자 함

o 주요내용

- 사용자 속성정보 생성방안을 크게 3가지로 구분하여 정의함

① 공개키 인증서 발 ② 속성 인증서 발 ③ 데이터베이스 운

- 각 국가나 단체에서 보장하는 자격이나 권한을 담은 사용자 속성정보를 발 하여

해당 사용자가 다른 국가나 단체에서 제공하는 시스템에서 자신의 속성에 부합한

서비스를 제공받을 수 있도록 속성정보 로 일 발 방안 표 화

o 국내 자서명인증 기술 국제 표 화

표 화 단 체 표 명 추 진 황 ( 일 정 )

아시아

PKI포럼

아시아PKI 상호연동가이드라인 표 화 완료(2월)

속성인증을 이용한 응용서비스모델 표 화 완료(11월)

자문서 장기보존 기술 표 화 완료(11월)

IETF

식별번호를 이용한 본인확인 기술

Last call (8월)

※ 재 2차 Last Call 추진을 해

PKIX 워킹그룹 의장과 문서수정에

한 의견 교환

사용자 통합 인터페이스 사용표

Last call (6월)

※ Last call에 제기되었던 문제 들을

반 하여 ‘06년에 새로운 표 (안)

제안 정


<공인인증서비스 안 성 가용성 강화>

o 공인인증기 자서명키 길이 상향조정, 디 토리 서비스 분산운 등 공인

인증서비스의 안 성 강화방안을 공인인증체계에 용함으로써 자서명인증

체계의 고도화 기반 마련

- 53 -

<최상 인증기 운 >

o 취약 분석ㆍ평가 수행에 따른 지 사항 25종에 한 보완 조치완료

비상 응 모의훈련 등을 통해 자서명인증 리센터 무장애 700일 달성

- 공인인증서비스의 안 ․신뢰성을 보다 공고히 하기 해 향후, 공인인증

서비스 장애 방․ 응체계 구축 비상 응 모의훈련 확 등 수행

<공인인증기 리업무 안 ․신뢰성 제고>

o 공인인증기 실질심사 정기 검 시 윤리강령 선포, 문심사원 제도

심사자동화 툴 도입 등 고객의 입장을 고려한 심사⋅ 검 수행을 통해

공인인증기 의 고객 만족도 향상에 기여

o 향후, 심사⋅ 검의 고객 만족도 문성 향상을 해 심사자동화 툴 용

확 , 외부 심사원 활용 등 개선 방안 마련

< 자서명인증 련 기술 고도화>

o 홈네트워크 기기 인증에 필요한 인증 로토콜 인증서 생성․ 리방안

연구 등을 통하여 기존 사용자뿐만 아니라 기기를 포함하는 자서명인증

체계 기반 마련

o 향후, 사람, 기기, 속성 등이 모두 포함된 통합인증체계 기반을 마련하기

해 IT839 환경에 합한 자인증 임워크, 디바이스 자격 인증

련 인증기술 개발 등 수행

< 자서명인증 련 국제 력>

o IETF에 ｢식별번호를 이용한 본인확인기술 표 ｣ 등 2건의 국제 표 화 추진을

통해 국내 자서명인증기술의 국가 경쟁력 우 확보 상제고에 기여

- 54 -

2. 자서명 이용활성화


o 안 하고 신뢰할 수 있는 자서명 이용환경 조성을 통한 자문서 이용 활성화

- 자서명 법제 정비 정책 제안

- 공인인증시장 환경 인증서 이용방법 개선

- 자서명 교육․홍보 국민 인식제고

- 아시아PKI포럼 사무국 운 자서명 상호인정 국제 력


o 자서명 법제 정비 정책 제안

- 법제정비 정책 제안 : 85건 → 109건(128% 달성)

- 법제 분석서 : 6건(100% 달성)


- 공인인증서 이용자 수 확 : 1,200만(100% 달성)

o 자서명 상호인정 국제 력

- 아시아PKI포럼 회원국 확 : 10개국(100% 달성)

- 아시아PKI포럼 실무작업반 산출물 : 3건(100% 달성)

다. 추진내용

< 자서명 법제 정비 정책제안>

추진계획

o 자서명법 개정 지원

o 공인인증시장구조 개선을 한 정책개발

- 55 -

o 자서명법 개정지원

- 자서명법 개정시안 작성(1월~3월)

- 자서명법 개정안 계부처 의(4월~5월)

- 개정안 입법 고 공청회 개최(4월~5월)

- 규제개 원회 법제처 심사(5월~9월)

- 국무회의 상정 국회통과(10월~12월)

※ 개정 자서명법 공포일(12.30), 시행일(공포일로부터 6개월 후)

[ 자 서 명법 개 정 ]

o 목

- 공인인증시장의 공정한 경쟁환경을 조성하고, 인증업무 리 효율성 확보 공인

인증서 이용자 보호 강화를 해 자서명법 개정 추진

※ ‘공인인증시장 공정경쟁 련사항’은 국회에서 의원입법으로 추진

※ ‘공인인증서 이용자 보호 련 사항’은 정부입법으로 추진

o 주요내용

<의원입법> : 공인인증시장 공정경쟁 환경 조성

- 비 리 공인인증기 의 업무 역 제한, 겸업 공인인증기 의 회계분리, 공인인증

정책 심의 원회 설치․운 등(이종걸 의원 발의안)

- 정보통신부장 이 공인인증기 의 법 반사항에 한 검사를 하고자 하는 경우

검사개시 7일 까지 검사계획을 사 에 통지(김양수 의원 발의안)

<정부입법> : 공인인증업무 리 효율성 확보 이용자 보호

- 공인인증업무 칙 작성 표 마련 인증업무 장애발생 신고 의무화

- 이용자보호를 한 공인인증서 부정사용 지 공인인증기 보험가입 의무화

- 행정기 의 재량행 투명화를 한 련 규정 정비 등

- 법제 분석서 개발 정책 검토(2월~12월)

구 분 비 고

자민원용 공인인증서 발 방안 분석 2월 완료

정보소외계층 보호를 한 공인인증서 이용정책 분석 4월 완료

공인인증기 의 자거래문서보 소 지정방안 분석 10월 완료

아시아지역 자서명법 황 개정 동향 분석서 11월 완료

미국 자서명 상호인정 신뢰수 황 분석서 11월 완료

유럽연합의 국가간 신뢰서비스제공기 인가기 분석서 12월 완료

- 56 -

o 공인인증시장구조 개선을 한 정책개발

- 건 한 공인인증시장 경쟁 환경 조성을 한 방안 마련(1월~4월)

- 공인인증서비스 장애 응체계 구축을 한 방안 마련(5월~8월)

- 국외 사례분석을 통한 디지털통합인증체계 구축 리체계 마련(9월~11월)

- 공인인증서비스 장기로드맵(안) 개발(12월)

[공 인 인 증 서 비 스 장 기 로 드 맵 ( 안 ) ]

o 목

- 유비쿼터스 환경에 합한 인증체계 구축, 공인인증시장 공정경쟁환경 조성

공인인증서비스 사고 응체계 마련을 해 공인인증서비스 장기 로드맵을 수립함

o 주요내용

구분 주요내용

유비쿼터스 환경에

합한 인증체계 구축

o Digital ID, Digital Right, Digital Evidence 등의 디지털

통합인증 인 라 구축

o 다양한 응용서비스의 구 환경 보안수 을 고려한

인증 임워크 개발

o 디지털 통합인증체계 구축을 한 법제도 리체계 확립

o 디지털 통합인증기술의 국제 표 화 국제 력

공인인증시장의

건 한 발 을 한

환경조성

o 공인인증업무 역구분 지정

o 국민 공인인증서 인식제고를 한 공인인증서 홍보

o 무선 공인인증서 활성화방안 마련

공인인증서비스

장애 응체계 구축

해킹방지

o 장애발생 비 합동비상 응훈련 실시

o 공인인증기 장애발생신고 응체계 구축

o 공인인증서비스 백업체계 구축

o 공인인증서 재발 시 온라인신원확인방법 강화

o 공인인증서의 보 ․ 리방법 강화

o 공인인증서 리 로그램 리체계 마련

<공인인증시장 환경 인증서 이용방법 개선>

추진계획

o MS 도우에 최상 인증기 인증서 탑재 추진

o 인터넷상의 주민번호 체수단 마련

o 정보소외계층 보호를 한 공인인증서 발 방안 마련

- 57 -

o MS 도우에 최상 인증기 인증서 탑재 추진

- 한국 MS와 최상 인증기 인증서 탑재 련 의(3회)

※ 인증서 탑재를 한 MS사의 장실사를 서류검토로 체

- MS본사에 탑재를 한 루트인증서 송부 테스트 완료(9월)

- MS 도우에 탑재할 최상 인증기 인증서 탑재시기 의 완료(11월)

※ ‘06년 2월말 탑재 정

- MS 도우에 최상 인증기 인증서 탑재에 따른 공인인증서 활용방안 마련

․공인인증서를 이용한 스팸메일 억제방안 마련(8월)

․보안메일 공인인증서 용에 따른 문제 분석 응방안 마련(11월)

․MS 도우에 최상 인증기 인증서 탑재에 따른 공인인증서 이용활성화

략 수립(12월)

․ 도우 기반 웹서비스에서의 공인인증서 활용 세미나 개최(12월)

※ 정부, 교육기 , 인터넷 사업자 등 70여명 참석

[ 도우 기 반 웹 서 비 스 에 서 의 공 인 인 증 서 활 용 세 미 나 ]

o 개요

- 개최 일시 : 12. 20

- 개최 장소 : 서울 교육문화회

- 참석자 : 인터넷 사업자, 공인인증기 , PKI 솔루션업체 등 55명

o 주요내용

- MS 도우에서의 공인인증서 활용방안 설명(김홍석 차장, 한국MS)

- 웹서비스 정보보호 방안 설명(강희승 실장, 닷네임 코리아)

- 웹서비스 개인정보보호 실무 설명(김재 장, 한국정보인증)

o 세미나 설문조사 결과

- 세미나 유익성 향후 웹서비스 보안을 한 공인인증서 도입 의사

구분 정 보통 부정기타

(무응답 등)

1. 세미나가 웹서비스에서의

정보보호 인식제고에 도움56.1% 39.0% 4.9% 0%

2. 웹서비스 정보보호를 해

공인인증서 도입 의사53.6% 29.3% 7.3% 9.8%

- 웹서비스 보안을 해 재 사용 인 인증서 도입 정 인증서 종류

구분웹서버

보안용코드사인용

자우편

보안용기타

3. 재 사용 인 인증서 46.3% 65.8% 4.9% 4.9%

4. 향후 도입 정 인증서 51.2% 53.7% 22.0% 7.3%

※ 3, 4번 항목은 복 응답 가능 조사로 비율 합계는 100% 과함

- 58 -

o 인터넷상의 주민번호 체수단 마련

- 주민번호 체수단 사업자 설명회 개최(5월)

- 인터넷상의 주민번호 체수단 가이드라인 개발(4월~8월)

※ 본인확인기 인터넷 사업자가 수해야할 사항을 정의

- 본인확인기 합성 평가항목 해설서 개발(8월)

※ 가이드라인을 기반으로 본인확인기 의 기술 재정 능력, 시설 장비 등을

평가하기 한 63개 세부 평가항목 정의

- 5개 본인확인기 가이드라인 합성 평가(8월~9월)

[인 터 넷 상의 주민 번 호 체 수단 가 이 드 라 인 ]

o 목

- 인터넷상의 본인확인을 행함에 있어 본인확인기 인터넷사업자가 수해야할

구체 사항을 정함으로써 인터넷상에서 본인확인의 안 성과 신뢰성을 확보하기 함

o 주요내용

- 인터넷상에서 주민등록번호 본인확인정보를 이용한 본인확인 차 기술

- 본인확인의 시설 장비, 기술능력, 본인확인정보 운 리 서비스에 한 요건

- 인터넷상에서 본인확인정보를 이용한 본인확인시 신원확인의 기 방법 제시

o 정보소외계층 보호를 한 공인인증서 발 방안 개발

- 장애인, 노인 등 정보소외계층 공인인증서 이용교육 실시방안 마련(3월~4월)

- 장애인이 공인인증서 이용할 수 있도록 장애인 회를 등록 행기 으로 활용

는 ‘찾아가는 서비스’제공방안 마련(5월~6월)

< 자서명 교육홍보 국민 인식제고>

추진계획

o 자서명 활용사례 지역별 교육 홍보

o 국민 자서명 활용실태 분석 만족도 조사

o 자서명 국민 인식제고 홍보

- 카자흐스탄 NIT 표단 PKI 교육 실시(3월)

- 59 -

[카 자 흐스 탄 N I T 표 단 P K I 교육]

o 상 : Ms. Nurgul Kaisinova, Mr. Bulat Ashimov

o 주요내용

- 유․무선 인증, 사용자 디바이스 인증솔루션

- 인터넷 제증명 발 , 자계약 솔루션

- 자입찰, 데이터베이스 암호화 솔루션

- 인터넷뱅킹 보안솔루션 등

- 2005년 자서명 활용사례 세미나 개최(울산 : 5월, 부산 : 11월)

․안 한 공인인증서 이용방안 자법원, 자조달․입찰, 자계약

자세 계산서, 무선 공인인증 분야에서의 활용사례 소개

[ 자 서 명 활 용 사 례 세 미 나 ]

o 상 : 지역 상공회의소 회원사 등 기업종사자 일반인

※ 기업, 교육, 공공부문 종사자 등 2개 지역 총 110여명 참석

o 주요내용

개최지역 일 시 장 소 주요내용

울산‘05.5.20

동천체육

o 정보보호 동향

o 해킹/악성코드 보안

o 자서명 활용사례

o 한국PKI포럼․아시아PKI포럼 소개

부산‘05.11.24

부산상공회의소

o 안 한 공인인증서 이용 자서명 활용사례 소개

- 유․무선 PKI 용 분야

- 자계약 자세 계산서 분야

- 자조달․입찰 분야

- 성공 인 무선 인증 사례

o 한국PKI포럼 소개

- 제6회 자서명인증워크 (PKI-KR 2005) 개최(8월)

․인터넷뱅킹 해킹 응방안 주요 부문별 PKI 용 황, 유비쿼터스 환경의

새로운 인증체계 구축 망 등 소개

- 60 -

[ 자 서 명인 증 워 크 ( P K I - K R 20 0 5 ) ]

o 상 : 산․학․연 자서명 문가 일반인

※ 산․학․연 자서명 문가 일반인 등 159명 참석

o 주요내용

- 유비쿼터스 사회에서의 인증기술

- 인터넷뱅킹 해킹 사건과 정부의 개선 책

- 자서명 이용활성화를 한 정책 방향

- 유비쿼터스 환경에 비한 새로운 인증체계 구축 망 등

- 자 융 이용자 정보보호 수칙 개발 홍보(10월~12월)

․안 한 자 융 이용에 필요한 이용자 정보보호 10 수칙 개발 주요

포탈사이트(Daum) 고, 유 기 홈페이지를 통한 안내와 포스터, 리 렛 등

홍보물 제작․배포

[ 자 융 이 용 자 정 보 보 호 수칙 개 발 홍 보 ]

o 상 : 자 융 이용자 이용 가능한 국민

※ 정보통신부, 보호진흥원, 융결제원, 경찰청, 한국PKI포럼 공동 추진

o 주요내용

- 주요 포탈사이트(Daum) 배 고 유 기 홈페이지를 통한 홍보

※ 포탈사이트(Daum) 배 속 건수(12.5～11) : 10,263회

- 61 -

o 국민 자서명 이용실태 조사(9월~11월)

[ 자서명 이용실태 주요 결과( 한국갤럽조사연구소)]

o 목

- 자서명 이용활성화를 한 요구사항 악을 통해 서비스 개선 등 시장의 변화에

맞는 정책수립을 한 객 기 통계자료로 활용

o 주요내용

조 사 상

o 국 5 도시(서울, 부산, 구, 주, )

o 자거래 이용 가능한 일반인 등 총 906명

※ 자서명 월 4회 이상 이용자 547명 포함

조 사 방 법 o 방문면 조사(Face-to-face Interview)

실 사 기 간 o 2005. 10. 27.~11. 18. (23일간)

조 사 내용

o 자서명에 한 인식 - 인지도 필요성 등

o 자서명 이용실태 - 자서명 이용여부, 이용분야 등

o 자서명 이용활성화 방안 - 만족도, 개선요구사항 등

o 주요결과

구 분' 0 4 년

결 과 ( % )' 0 5 년

결 과 ( % )비 고

(%, (증가율%)

자서명 인지도(%) 77.0 81.7 4.7(6.10%)

자서명 필요성(%) 72.3 79.5 7.2(9.96%)

공인인증서 용도구분에 한 이해도(%) 73.4 88.6 15.2(20.7%)

자서명 이용환경 서비스내용 변화에 한 인지도(%)1)

24.8 54.5 29.7(119.76%)

주1) 변화에 한 인지경로는 인터넷/PC통신(72.5%), 발 행기 의 안내(14.8%) 순으로 나타남

o 공인인증기 PKI 솔루션업체 표자 간담회 3회 개최(5월~10월)

[공 인 인 증 기 P K I 솔 루 션 업 체 표 자 간 담 회 ]

o 목

- 공인인증시장 PKI 솔루션 시장 활성화를 한 의견 교환 발 방향 논의

o 주요내용

행사명 일 시 장 소 주요내용

공인인증기

표자 간담회

2005. 5.24

코엑스

인터콘티넨탈 호텔

o 자서명법 개정 방향

o 인터넷 상의 주민번호 보호수단 마련 황

PKI 솔루션업체

표자 간담회

2005. 6.29

코엑스

인터콘티넨탈 호텔

o 인터넷뱅킹 해킹사고 련 정부 조치 경과 개선방향

o 공인인증체계 업그 이드를 통한 PKI 솔루션 시장 활성화

o 국내 PKI 솔루션 도입 상 국가 황

공인인증기

PKI솔루션업체

표자 간담회

2005.10.7

잠실 롯데호텔

o 자거래서비스업체 툴킷 교체 추진 황

o MS 도우에 최상 인증기 인증서 탑재 추진 황

- 62 -

o 자서명 이용활성화를 한 워크 , 자문회의 개최 한국PKI포럼 분과

원회 활동 지원(1월~12월)

- 자서명법 개정, 자 융 이용자 정보보호 수칙 개발․홍보, PKI 솔루션 확

방안 등 분야별 이슈 논의

※ 운 , 법제도/국제 력, 인증사업, 솔루션사업, 기술 분과 등 5개 원회가 활동

[한 국 P K I 포 럼 분과 원회 별 주요 활 동 황 ]

분과명 원장 주요내용

운이재일

(보호진흥원/한국PKI포럼 단장,

사무국장)

o 포럼 사업 총 ․조정

법제도/

국제 력

강 신(코스콤 실장)

오기 (KTNET 본부장)

o PAA, 개도국 자정부 지원 의체 운 , 아시아PKI

포럼 등 국제 력 활동 추진

o 자서명법 련 포럼의 의견 수렴 반 추진

인증

사업

이규돈(한국정보인증 무)

신상철(한국 산원 단장)

o 아시아PKI포럼 비즈니스 WG 활동 등 국제 력 사업

o 휴 폰 인증, 성인인증 등 국내 인증시장 확 를 한

사업 개

솔루션

사업

안성진(한국 자인증 부사장)

이명용(KT 상무)

o 국외 력단 구성 등을 통한 국외 사업기회 확

o 자정부, 신규 SI 사업 업 발굴 등 솔루션 시장

확 를 한 사업 개

기술김 택( 융결제원 센터장)

정 철(소 트포럼 표이사)

o 국내 인증 련 기술규격 개발 표 화

o 국가간 상호연동 등(아시아PKI포럼 상호연동

WG 활동 등)

o 한국PKI포럼 홈페이지와 뉴스 터 이메일 서비스 실시(1월~12월)

[한국PKI 포럼 홈페이지 뉴스 터 이메일 서비스 실시]

o 목

- 회원사 일반인 상 PKI 련 세미나 PKI 분야 정책․기술동향 정보 제공

※ 한국PKI포럼 홈페이지 속 건수 : '04년 259,692회 → '05년 1,109,568회

※ 홈페이지를 통한 Q&A 건 수 : '04년 7건 → '05년 11건

※ 뉴스 터를 통한 정보 제공 건수 : 10회(신규)

- 63 -

<아시아PKI포럼 사무국 운 자서명 상호인정 국제 력>

추진계획

o 아시아PKI포럼 사무국 운 제반업무 지원

o 국가간 자서명 상호인정 조약체결 방안 연구

o 한․일 FTA 체결 추진시 자서명 상호인정 정책방향 수립

o 아시아PKI포럼 실무작업반 활동

- 인증기 책임에 한 아시아국가간 법제 비교분석 보고서 개발(2월)

[인 증 기 책 임 에 한 아 시 아 국 가 간 법 제 비 교분석 보 고 서 ]

o 목

- 아시아 국가에서 규정하는 인증기 책임에 해 비교․분석하고, 인증서 련 사고

발생 시 인증기 책임에 한 각 국의 사례분석을 통해 국가간 자서명 상호인정에

비하고자 함

o 주요내용

- 아시아 각국의 인증정책과 법체계 내에서의 인증기 책임에 한 규정 비교분석

- 인증서 련 사고발생 시 인증기 책임에 한 가설 사례를 제공

- 아시아 국가간 인증서정책 매핑 가이드라인 개발(2월)

[인 증 서 정 책 매 핑 가 이 드 라 인 ]

o 목

- 인증서정책 비교·분석 작업에서 선행 으로 고려될 수 있는 주요 평가요소를 제시하고,

매핑결과에 한 평가방안을 설계하여 인증서정책 매핑작업에 지침을 제시함

o 주요내용

- 인증서정책 주요평가 요소 정의

․다양한 인증서정책 분석을 통하여 인증서정책 간 보증 벨에 차이가 발생할 수

있는 요소를 주요 평가요소로 정의

- 주요 평가요소를 기 으로 아시아지역 인증기 의 인증서정책을 비교하고, 인증서

정책 매핑작업 시 고려사항을 가이드

- 인증서정책 매핑결과에 한 평가방법

․ 재 인증서정책 매핑결과의 평가방법 사례를 분석한 결과를 제시하고, 아시아

국가간 인증서정책 매핑결과 평가를 해 사용할 수 있는 평가방법 제시

- 64 -

- 아시아 PKI 어 리 이션 사례집 개발(9월)

[아 시 아 P K I 어 리 이 션 사 례 집 ]

o 목

- 각 국의 성공 인 PKI 비즈니스 모델 어 리 이션에 한 정보를 공유하고

향후 국가간 자서명 상호인증 시 한 비즈니스 모델을 도출하기 함

o 주요내용

- 성공 인 PKI 비즈니스 모델 어 리 이션 사례연구

구분 주요내용

한국․공인인증서를 이용한 교육행정정보시스템․미성년자 보호를 한 PKI 기반 부모동의서비스․공인인증서를 이용한 컨텐츠 인증서비스

일본․PKI 기반 의료건강정보 시스템․ 소기업을 한 PKI 기반 자외상매출시스템

만․PKI 기반 자정부 서비스․PKI 기반 융분야 서비스

싱가포르․CORENET(Construction and Real Estate Network) 자문서

제출시스템

o 아시아PKI포럼 조정 원회, 실무작업반 회의 개최(2월, 일본)

[주요 활동 내용]

o 의장단 사 회의 조정 원회 회의개최, 실무작업반 총 등 포럼 의장국 활동 수행

o 차기 의장국 선출을 한 주요 회원국간 의(한․ ․일)

o 아시아 주요국 PKI 기술, 법․제도 서비스 황 악 등

o 아 리카․아랍 PKI 컨퍼런스 참가(6월, 튀니지)


o 아시아 PKI 황 발표

- 일본, 국, 싱가폴 등 아시아 주요 국가 한국 PKI 구축 황 동 황 발표

o 미국, 유럽 등 주요 지역 PKI 황 망 토의 등

※ 참가자 : 유럽, 아시아, 아 리카․아랍 PKI 문가 일반 참석자 약 250명

o 튀니지 통신기술부(MCT), 최상 인증기 (NDCA, National Digital Certification Authority)

방문 향후 PKI를 포함한 정보보호 상호 력 계 구축방안 논의 등

o 아시아PKI포럼 2005회계연도 제1차 정기총회, 조정 원회 실무작업반

회의 참석(7월, 싱가포르)

- 65 -

[주요 논의사항]

o 신임 의장단(의장 : 국, 부의장 : 한국, 일본) 선출, 차기년도 사업계획 논의

신규 회원국(베트남) 가입 승인 등

o 인증기 의 책임에 한 아시아 국가간 법제 비교분석 결과보고, 각국 PKI 비즈

니스 사례 발표, 아시아 PKI 상호연동 가이드라인 v.2.0 발간 등

o 아시아PKI포럼 산 사용 지침안 개발(8월)

- 사무국 운 경비, 실무작업반 활동비, 회원국 당 지원 액 등에 한 체계 인

운 방침 마련을 통해 안정 인 포럼 재정 리 도모

o ‘05회계연도 제2차 조정 원회, 실무작업반 회의, 국제 PKI 컨퍼런스 참석(9월, 만)


o 력회원국(인도)의 자격 갱신 차기 정기회의 의제․일정 의

o 새로운 보안기술 CA 험 리에 한 법 문제 논의 국내 정보보호 정책

기술개발 동향 발표

※ 참석자 : 아시아PKI포럼 회원국 표 련 문가 등 150여명

o ‘05회계연도 제3차 조정 원회, 실무작업반 회의 국제심포지움 참석(11월, 국)


o 새로운 보안기술 CA 험 리에 한 법 문제 분석을 한 질의리스트 검토

국내 PKI 비즈니스 사례로 공인인증서 장서비스 소개

o 미국과 아시아 각국 자정부의 PKI 기술 용 황 발표 국내 PKI 비즈니스

황과 망 발표

※ 심포지움 참석자 : 아시아PKI포럼 회원국 표 련 문가, 일반인 등 200여명

o 보호진흥원-SIC간 공동 시큐리티 워크 개최(11월, 국)


o 주요 정보통신 기반시설보호 정책 활동 황, 소기업 정보보호 책, 스팸메일 응

정책 활동, IT 정보보호제품 평가(CC) 등에 한 양 기 발표 질의․응답을

통해 교류 력방안 마련

※ SIC : State Information Center

※ 참석자 : 보호진흥원, SIC 보안 문가 국 정부 계자 80여명

- 66 -

o 국가간 자서명 상호인정 조약체결 방안 연구

- 일본과 싱가포르 자서명 상호인정 정 분석(1월)

o 한․일 FTA 체결 추진시 자서명 상호인정 정책방향 수립

- 한․일 FTA 자서명 상호인정 조약체결을 한 추진계획 작성(1월)

- 한․일 FTA의 자서명 담당자 사 회의 개최(2월)

일 자 장 소 참 석 자 주요내용

2. 21일본

경제산업성

보호진흥원, METI,

일본정보처리 력원

․한국과 일본의 자서명법 상이규정 검토․국가간 인증기 지정 매핑보고서 검토

※ 양국간 FTA 약체결 활동 단에 따른 한․일 자서명담당자간 의 단

o ｢국가간 자서명 상호인정 조약체결방안 연구｣｢한․일 FTA 체결 추진시 자서명 상호

인정 정책방향수립｣ 과제는 한·일 자유무역 정 체결에 즈음하여 한·일 자상거래 정책

의회에서 자서명이 활성화 되어있는 한·일간 자서명의 상호인정 조약을 목표로

2005년도 사업과제로 추진되었으나,

o 3월 16일 일본의 시마네 의회가 다 시마(竹島·독도의 일본 명칭)의 날을 제정하는 등

독도를 둘러싼 한·일 유권 문제가 심화됨에 따라 한일 FTA 자서명 상호인정 조약

체결을 한 계획 진행에 차질이 발생되었음


< 자서명 법제 정비 정책제안>

o 자서명법 개정안의 국회통과에 따라 공인인증시장의 균형 발 과 공정한

경쟁환경 조성의 토 마련

- 자서명법 개정에 따라 향후 변경 는 신설된 사항의 구체 인 시행방안을

마련하고, 시행령․시행규칙 등 련 규정 정비 필요

<공인인증시장 환경 인증서 이용방법 개선>

o MS 도우에 최상 인증기 인증서 탑재, 인터넷상의 주민번호 체수단

마련을 통해 공인인증서의 이용분야 확 기반 마련

o 향후, SSL용 자우편용 인증서 발 방안, 모바일뱅킹 TV 뱅킹 등에서의

인증서 용방안 마련을 통해 공인인증서 이용분야를 더욱 확 할 정

- 67 -

< 자서명 교육홍보 국민 인식제고>

o 자서명 련 각종 교육, 세미나, 워크 , 간담회 개최 등을 통해 국내 자서명의

국민 인식제고를 통해 공인인증서 이용자 1,200만명 달성

o 향후, 만화홍보물 발간, 세미나 개최 등의 교육 홍보 강화를 통해 자

서명의 국민 인식제고 향상

<아시아PKI포럼 사무국 운 자서명 상호인정 국제 력>

o 아시아PKI포럼 의장국과 실무작업반 활동 등을 통해 동 지역 자서명 련

기술 법․제도 표 화 등을 주도할 수 있는 기반 조성

o 아시아PKI포럼뿐만 아니라 APEC TEL, OECD 등과의 국제 력을 더욱 강화

하여 향후 국가간 자서명 상호인증 환경에 비

- 68 -

- 69 -

제3 정보보호시스템 평가

사업 개요


o 국가 정보보호 수 제고 국내 정보보호 산업의 경쟁력 제고를

해

- 공통평가기 (CC) 기반으로 평가․인증된 정보보호제품 이용환경 조성

※ CC(Common Criteria) : 정보보호제품의 평가․인증시 사용되는 국제기

- 다양한 정보보호제품의 안 ․신뢰성 검증을 해 평가 상 확


o 국제상호인정 정(CCRA) 가입심사 수검 비

- 인증서발행국(CAP) 가입을 한 수검 비 국제활동 강화

- 인증서발행국 수 으로 평가․인증제도 개선

※ CCRA(Common Criteria Recognition Arrangement) : 정보보호제품에 한

CC기반 평가․인증 결과를 회원국간 상호 인정하는 정

※ CAP(Certificate Authorizing Participants) : CCRA 회원국 , 타 회원국에서

인정되는 인증서를 발행하는 국가

o 공통평가기 기반의 정보보호제품 평가 활성화

- 다양한 정보보호제품으로 평가 상 확

- CCRA 인증서발행국 수 의 공통평가기 평가능력 확보

- 고객 만족도 향상을 한 고객 서비스 강화

- 70 -

1. 정보보호시스템 평가․인증제도 운 개선


o 국제상호인정 정(CCRA) 인증서발행국 가입 비

- CCRA 가입 요구사항 반 등 인증서발행국 수 으로 평가․인증제도 개선

- 인증서발행국 상으로 국가별 차별화된 략 홍보활동 개


o 정보보호시스템 평가․인증제도 개선

- 개선(안) 개발 : 4건(100% 달성)

o 평가 상 제품군 확

- 평가 상 제품군 수 : 7개(100% 달성)

- 보호 로 일 등재 개정(안) 개발 건수 : 3건 → 4건(133% 달성)

o 인증서발행국 상 가입 홍보활동 강화

- 국제 력 건수 : 3건(100% 달성)

- 국제회의 발표 : 3건(100% 달성)

다. 추진내용

<인증서발행국 가입을 한 수검 비 국제활동 강화>

추진계획

o 국제상호인정 정 가입을 한 평가역량 심사 비

o 국제상호인정 정 인증서발행국 리 원회를 방문하여 국내 제도

홍보

o ISO/IEC SC 27 ICCC 등 평가 련 국제회의 참석

o 인증서발행국 가입을 한 CCRA 가입심사 수검 비(1월~12월)

- CCRA 가입 요구사항에 부합되는 제도문서, 기술문서 개발 국외 검증

(1월~10월)

- 71 -

구 분 주요내용 검 증 기

제 도심 사 문 서

( 7 종 )

① 정보보호시스템 평가․인증 련법

② 정보보호시스템 평가․인증 지침

③ 정보보호시스템 평가․인증 수행규정

④ 정보보호시스템 평가기 품질 리매뉴얼

⑤ 정보보호시스템 인증기 인증매뉴얼

⑥ 정보보호시스템 인증제품 장

⑦ CCRA 체크리스트 자체 검 결과

독일 TUViT

(10. 4 ～ 14)

일본 IPA

(10.24 ～ 25)

기 술 심 사 문 서

( 8 종 )

① 평가수행계획서

② 보안목표명세서

③ 평가보고서(평가단 보고서 포함)

④ 평가 찰보고서

⑤ 인증보고서

⑥ 인증기 검토의견서

⑦ 평가기 회의록

⑧ 인증기 내부 기술자료

독일 TUViT

(10. 4 ～ 14)

일본 IPA

(10.24 ～ 25)

- CCRA 가입심사 수검 지원(8월~12월)

구 분 주요내용 심 사 자

제 도심 사

기 술 심 사 수검

( 8 . 4 ～ 9 . 29 )

o 국내 제도/기술심사 문서Richard Helliwell(호주)

Hideji Suzuki(일본)

장 심 사 수검

( 1 1 . 21 ～ 29 )

o 평가·인증제도 수검제품 발표, 심사

방법 의

o 평가·인증제도 수 근거자료,

평가·인증 차 기술심사 수검

Richard Helliwell(호주)

Hideji Suzuki(일본)

Rob Huisman(네덜란드)

o CCRA 회원국 상 차별화된 국제 력 홍보(1월~11월)

[그림 3-1] 국제 력 홍보활동 황

- 72 -

- '05년 CCRA 가입심사 상국으로 채택되기 해 국내 평가․인증제도의

우수성 홍보(1월~6월)

추 진 일 정 주요내용

일 본 인 증 기 ,

평 가 기

( 3 . 2 ～ 4 )

o 아시아에서 최 로 CCRA 인증서발행국으로 가입한 일본 가입

사례 벤치마킹

o CCRA 회원국 상 차별화된 국제 력 홍보활동 계획 수립,

CCRA 가입심사 수검 비 계획 수립

네 덜 란 드 , 랑 스 ,

독 일 인 증 기

( 3 . 28 ～ 4 . 6 )

o CCRA　 리 원회 의장국 네덜란드와 인증서발행국 랑스,

독일을 방문하여, ’05년 하반기 CCRA 심사 상 후보국으로

선정해 것을 요청

한 ․ 일 시 큐 리 티

워 크 샵

( 5 . 25 ～ 27 )

o ’05년 하반기 CAP 심사 상국 선정, 신임 심사 원장 선출 등

CCRA 심사 원회 회의에 한 정보 사 입수

C C R A

심 사 원회 ( E S )

( 6 . 9 ～ 1 0 )

o 네덜란드에서 개최된 심사 원회에서 네덜란드, 한국 등 8개 CAP

심사 후보국이 자국의 평가․인증 제도를 발표하여, 우리나라를

포함한 3개국이 ’05년 하반기 심사 상국으로 선정

일 본 , 호 주

뉴질 랜드 인 증 기

( 8 . 1 6 ～ 1 9 ,

8 . 3 0 ～ 3 1 )

o 우리나라의 CCRA 가입 심사국인 일본, 호주 뉴질랜드를 방문

하여, 제도심사 문서 수검 상 정보보호제품에 해 사 설명

- CCRA 가입 지원국 확보를 한 국제 력 홍보활동 개(5월～11월)

․인증서발행국 가입시 회원국의 만장일치 승인이 요구되므로, 모든 회원국이

참가하는 ICCC, ISO 국제회의에서 국내제도 우수성 홍보

- 73 -

추 진 일 정 추 진 내용

독 일 T U V i T 과

M O U 체 결

( 6 . 1 7 )

o 독일의 표 인 평가기 인 TUViT와 정보보호 분야의 상호 교류․

력을 규정한 MOU 체결

- 우리나라의 CCRA 가입 력

- 평가기 방법론 련 정보교류

- IT 보안 컨설 , 기반시설인증

- 개인정보보호 련 상호연구 등에 해 공동 력 추진

랑 스 , 독 일 ,

일 본 심 사 원

청 강 연

( 6 . 1 6 ～ 1 7 )

o 제10회 정보보호심포지움(SIS)에 3개국의 인증 담당자를 청

- CCRA와 일본 IT 산업(일본 IPA, 하루키 타부치)

- 스마트카드 평가인증( 랑스 DCSSI, 토마스 부송)

- 효율 인 CC 인증(독일 TUViT, 볼 강 피터)

I C C C 20 0 5 참 석

( 9 . 28 ～ 29 )

o 평가역량 모범사례 3건 발표, 홍보부스를 이용한 평가결과 자동

생성도구 시연, 홍보 팜 렛 배포 등을 통해 우리나라 평가․인증

제도에 한 국가 인지도 제고

- 모범사례 : “국내 평가제도의 국제 력 사례”, “지문인식제품 평가를

한 BEM 용 사례”, “평가제출물 작성 가이드”

I S O / I E C S C 27

회 의 참 석

( 1 1 . 7 ～ 1 1 )

o WG3 참석자들에게 한국의 CCRA 가입 추진 황 ICCC 활동

등 소개, 홍보 책자 배포

※ 미국 NSA, 독일 BSI 등 10개국 27명 참석

<평가․인증제도 개선>

추진계획

o 정보보호시스템 평가․인증 지침 개정

o 평가수수료 실화를 한 개선(안) 개발

o 공통평가기 버 변경에 따른 국내 평가기 개정 방법론 개발

o 국제표 을 수용한 품질 리시스템 운

o 국제상호인정 정 회원국 평가․인증 동향 분석

o 평가․인증지침 개선(안) 등을 통한 평가․인증제도의 로벌 스탠다드화

(1월～12월)

- 정보보호시스템 평가․인증 지침 공통평가기 개정(1월~4월)

- 74 -

종 개 선

o 국내기 공통평가기 병행 o 공통평가기 으로 평가기 일원화

o 보호 로 일과　암호논리 사용 의무화 o 보호 로 일과 암호논리 사용 의무 폐지

o 침입차단시스템, 침입탐지시스템 등 평가

상 제품을 6종으로 한정 o 평가 상 제한 항목 삭제

- o 인증기 /평가기 /평가신청인의 역할

책임 등 명시

- 의견수렴 제도 수립 과정의 공개․투명성 제공을 한 공청회 개최

o 개최일시 장소 : 4.12(화), COEX 컨퍼런스

센터 330호

o 참석자 : KISIA, 산/학/연, 언론사 등 100여명

o 주요 내용

- 공통평가기 으로 평가기 일원화

- 국가기 용 보호 로 일 수 의무 삭제

- 정보보호제품 평가 상 면 확 등

<정보통신부 고시>

o 고시 일자 : 5.21(토)

o 고시 내용

- 정보보호시스템 평가․인증 지침(제2005-24)

- 정보보호시스템 공통평가기 (제2005-25)

o 평가수수료 실화를 한 수수료 산정 모델 기 (안) 개발(3월~12월)

- 평가보증 등 별로 고정된 수수료가 아닌 투입인력, 제품복잡도 등을 고려한

평가수수료 산정 모델 기 (안) 마련

- 75 -

재 개 선 안

o 과거 K기 에 기반한 평가수수료 체계 o CC 평가체계에 합한 평가수수료 체계

o 평가보증등 별 고정 수수료 용

(단 : 천원)

평 가 보 증 등 평 가 수수료

EAL1 11,878

EAL2 15,018

EAL3 19,386

EAL4 25,668

EAL5 36,318

EAL6 45,741

EAL7 56,391

o 투입인력, 제품기능 수, 제품 복잡도에 비례

하는 변동 수수료 용

- '06년에는 평가수수료를 단계 으로 실화하기 한 방안을 마련하고,

「정보보호시스템 평가․인증 지침」에 반 할 정

o CC/CEM 버 변경에 따른 국내 평가기 개정 방법론 개발(5월~11월)

- CCRA의 공식 문서인 공통평가기 (CC)/공통평가방법론(CEM) 버 이

2.3으로 개정됨에 따라 국내 평가기 방법론으로 수용

버 개 정 시 행 일 C C 개 정 C E M 개 정

C C / C E M

V 2. 2

o 개정 : 5월 ～ 7월

o 시행 : 8. 1

C C / C E M

V 2. 3

o 개정 : 9월 ～ 11월

o 시행 : 11. 14

- 76 -

o ISO/IEC 17025를 수용한 품질 리시스템 운 개선(1월~12월)

- 정보보호제품 평가에 한 품질 향상을 해 지속 으로 개선

구 분 제 ․ 개 정 내용

품 질 매 뉴얼 개 정

o 평가계약 내용 변경 주체를 명확히 정의

o 설문조사 결과 "공개"를 "피드백"으로 변경

o 제출물 리를 한 구체 인 식별항목 신 통제정책 기술

자 문 서 수발 신

차 제 정

o 온라인으로 문서 수발신 시, 일의 비 성 무결성 보장 기능

추가

평 가 신 청 계 약

차 개 정

o 평가신청 시, 평가기 의 자원 역량에 따라 평가신청을 거부

할 수 있는 처리 차 마련

평 가 제 출 물 리

차 개 정

o 평가제출물 식별 표찰 양식 추가

o 제출물 반환 시 을 "평가완료 후"에서 "인증완료 후"로 변경

평 가 수행 차 개 정

o 평가요약보고서 작성 삭제

o 제출물 반환 시 을 "평가완료 후"에서 "인증완료 후"로 변경

(4.5.5항)

향정 도 평 가 기

제 정

o 평가결과에 한 보완사항 발생 시, 요도에 따라 "상, , 하"

로 단하는 기 마련

o CCAR 회원국 등 16개 국가 상으로 평가․인증 동향 분석(1월~12월)

- CCRA 가입을 한 차별화된 국제 력 홍보 방안과 CCRA 가입심사에

한 단계 수검 비 방안 수립 시 기 자료로 활용

상 국 가 주요 내용

C C R A 가 입 국 :

미 국 , 캐 나 다 , 국 등

1 3 개 국

o 정보보호시스템 평가․인증제도 법 근거 연

o 평가․인증 체계 역할

- 인정기 , 인증기 , 평가기 의 구성 책임

o 평가기 인정 승인 차

o CCRA 가입 는 지 변경을 한 국제활동 황C C R A 가 입 비 국 :

러 시 아 , 국 , 만 3 개 국

- 77 -

<평가 상군 확 >

추진계획

o 보호 로 일 개발 장기 계획 수립

o IPS 등 신규 평가 상제품 보호 로 일 개발

o 운 체제보안시스템 보호 로 일 개정

o 평가제출물 작성교육 시행

o 보호 로 일 개발 장기 계획 수립(5월～12월)

- 매년 Rolling Plan으로서, 국가정보원, 정보통신부, 국가보안기술연구소와

공동으로 차년도 보호 로 일 개발 략 수립

[그림 3-2] 차년도 보호 로 일 개발 략

- 설문에 의한 정부/공공기 수요조사, 국내․외 정보보호시장 분석을 통해

보호 로 일 개발 상 후보로 5개 정보보호제품군 선정

순 정 부 / 공 공 기 국 내 시 장 국 외 시 장 선 도제 품

1 바이러스 백신 바이러스 백신 바이러스 백신 무선랜

2 통합보안 리 3A(PKI/EAM/SSO) 통합보안 리 DRM

3 스팸차단 APP보안(DB, 문서) 스팸차단

4 PKI 통합보안 리 통합계정 리

5 웹보안 스팸차단 웹보안

- 78 -

- 인증서발행국과 차별화되고, 국가 경쟁력 있는 보호 로 일 개발을 해

요도, 시 성, 시장성 등을 고려하여 '06년도 보호 로 일 개발 상

정보보호제품 선정

제 품 군 ①바이러스 백신 ②스팸차단 ③통합보안 리 ④무선랜

o 네트워크 침입방지시스템, 역할기반 근통제시스템, 침입차단시스템, 가상

사설망 등의 보호 로 일 제․개정 평가(1월~12월)

P P 명 내용

네 트 워 크 침 입 방 지

보 호 로 일

o IPS PP V1.0 개발

평가

(’05. 1. ～ 5.)

※ 인증기 홈페이지(www.kecs.go.kr) 참고

※ 개정사유：CC 2.3 내용 업체 의견 반

o IPS PP V1.1 개정

(’05. 12.)

역 할 기 반

근통제시스템

보 호 로 일 ( 안 )

o RBAC PP V0.9 개발

평가

(’05. 7. ～ 12.)

- 운 체제보안시스템 보호 로 일 개정의 일환

으로 추진

- CC/CEM V2.3 기반의 RBAC PP(안) 개발

평가 수행

- 평가보증등 : EAL4

침입차단시스템

보 호 로 일 ( 안 )

o FW PP V1.2

개정(’05. 12.)

- CC 버 V2.1 → V2.3로 반

- 평가보증등 을 EAL3+ → EAL4로 상향 조정

o 기본교육 과정 신설 등 개발자를 한 맞춤형 교육 로그램 개발 교육

시행(3월～10월)

- 79 -

교육과 정 상 일 자 주요내용

정 규

과 정

평 가

제 출 물

작 성 법

기 본

교육

( 신 규 )

일반인

학생

산업체

5. 9 ～ 10 o 평가․인증제도, CC/CEM 등 소개

o 11개 업체 19명 수료

8. 30 ～ 31 o 평가․인증제도, CC/CEM 등 소개

o 9개 업체, 2개 기 20명 수료

문

교육산업체

6. 27 ～ 30

o 보안목표명세서, 개발문서 등

평가제출물 작성법 교육

o 17개 업체, 24명 수료

10. 11 ～ 14

o 보안목표명세서, 개발문서 등

평가제출물 작성법 교육

o 9개 업체, 11명 수료

수시

과 정

E A L 4

이 해- 산업체 5. 25

o 보안정책모델, 형상 리 등 소개

o 20개 업체, 36명 참석

평 가

교육

베트남

정보보호원

4. 6

7. 5 ～ 10

o 베트남 보안성평가센터 설립을

한 자문 기술 지원

교유

지 원

평 가 ․

인 증 자

교육

( 신 규 )

기 본

교육

평가자

인증자5. 9 ～ 13

o 제도, 평가․인증자 활동 소개

o 인증기 , 평가기 10명 참석

문

교육

평가자

인증자12. 12 ～ 23

o EAL3+ 평가제출물 평가 실습

o 인증기 , 평가기 10명 참석

- 평가제출물 작성법 교육의 경우, 참석자가 '04년 35명 → '05년 74명으로

111% 증가, 교육 만족도는 '04년 65.0 → '05년 76.7 으로 18% 증가


<추진성과>

o 인증서발행국의 문인력을 극 활용하여 차별화된 홍보활동 개, 평가․

인증 제도를 개선하 으며, 그 결과 CCRA 인증서발행국 가입심사 수검을

성공리에 완수하 고 ‘06년도 상반기에 인증서발행국 가입 상

o 국제 표 에 따른 품질 리시스템 운 개선 등 정보보호제품 평가에 한

품질 제고

o 평가․인증지침 개정 련 공청회 등을 개최하여 의견 수렴 제도 수립

과정에서 공개․투명성 제고

- 80 -

o 정보보호제품의 시장 수요분석을 통하여 차년도 보호 로 일 개발 계획을

수립함으로써 수요가 가장 많은 정보보호제품 개발 유도

<향후계획>

o CCRA CAP가입이 상됨에 따라, 한국의 상 제고를 하여 공통평가기

방법론 개발 등 회원국으로서 기여 방안 마련

o 평가신청업체에 미치는 향을 고려하여 평가수수료를 단계 으로 실화

하는 방안 마련

o 인증서발행국 평가기 으로서 상 강화 국제 경쟁력 확보를 해 국제

시험기 인정서 획득

- 81 -

2. 정보보호시스템 평가시행


o IPS, IPv6기반 정보보호제품 등 다양한 평가수요를 충족하기 하여, 평가

상을 지속 으로 확

o 상호인정 정 인증서발행국 수 으로 평가역량을 지속 으로 확충하여 정보

보호제품의 안 ․신뢰성 검증 능력 향상

나. 성과목표

o 평가 건수

- 제품 평가 건수 : 25건(100% 달성)

o 공통평가기 기반 평가능력 향상

- 평가결과물 국외검증 건수 : 1건(100% 달성)

다. 추진내용

<정보보호제품 평가>

추진계획

o 제품군별 평가

- 침입차단시스템, 침입탐지시스템, 가상사설망, 운 체제보안시스템, 지문

인식시스템, 스마트카드 평가

- IPS 등 신규평가 상 제품 평가

- 평가신청인의 평가제출물 완성도 향상을 한 자문

- 새로운 취약성에 처하기 한 인증제품의 사후 리

o 정보보호제품 평가계획 비 실 (100%)

- ’04년 20개 → ’05년 25개 제품으로 25% 증

- 82 -

구 분20 0 5 년

비 고계 획 실

침 입 차 단 시 스 템

25건

2건

침 입 탐 지 시 스 템 6건

가 상사 설 망 1건

운 체 제 보 안 시 스 템 10건

통 합

제 품

침 입 차 단 + 가 상사 설 망 2건통합제품(3건)

침입차단+ 가상사설망+ 침입탐지시스템 1건

침 입 방 지 시 스 템 2건

지 문 인 식 시 스 템 1건

스 마 트 카 드 -

합 계 25 25 100%달성

o 침입차단시스템, 침입탐지시스템, 가상사설망, 운 체제보안시스템 통합

제품 평가

- 침입차단시스템 2건 평가완료, 1건 평가진행

구 분 제 품 명 신 청 업 체 평 가 기 간 평 가 등

평 가완 료

( 2)

NXG IPS 2000 V1.3 시큐아이닷컴(주) 9. 15 ～ 3. 28 EAL3+

WormBreaker IPS (v2.0) (주)지모컴 1. 27 ～ 7. 10 EAL3+

평 가진 행

SECUREWORKS V3.0

(HP-UX) 어울림정보기술(주) 8. 9 ～ (계속) EAL3+

- 침입탐지시스템 6건 평가완료, 5건 평가진행


평 가완 료

( 6 )

Secuve IDS 2.0 (주)시큐 2. 25 ～ 3. 28 K4

SafezoneNet V3.1 for Solaris LG엔시스(주) 10. 27 ～ 12. 27 K4

Sniper IPS V4.0 (주) 스테크넷 '04.10.29 ～ ‘05.4.28 EAL3+

SafezoneIPS 2.0(SZ-2000) LG엔시스(주) '04.12.22 ～ ‘05.5.30 EAL3+

SafezoneIPS 2.0(SZ-400) LG엔시스(주) '04.12.22 ～ ‘05.5.30 EAL3+

SafezoneIPS 2.0(SZ-4000) LG엔시스(주) 1. 6 ～ 5. 30 EAL3+

평 가진 행

( 5 )

NeoWatcher@ESM Package v4.0 (주)인젠 7. 20 ～ (계속) EAL3+

SafezoneIPS 2.0(SZ-2400) LG엔시스(주) 10. 27 ～ (계속) EAL3+

SafezoneIPS 2.0(SZ-4400) LG엔시스(주) 10. 27 ～ (계속) EAL3+

Sniper IPS V4.0(A1000) (주) 스테크넷 12. 1 ～ (계속) EAL3+

Sniper IPS V4.0(A4000) (주) 스테크넷 12. 1 ～ (계속) EAL3+

- 83 -

- 가상사설망 제품 1건 평가완료


평 가완 료

Soligate VPN-ng200 V1.0 (주)인 니스 '04.6.21 ～ ‘05.9.23 EAL3+

- 운 체제보안시스템 10건 평가완료


평 가완 료

( 1 0 )

REDOWL SecuOS V4.0 티에스온넷(주) '04.8.24 ～ ‘05.1.21 EAL3+

RedCastle v2.0 (주) 드게이트 '04.8.24 ～ ‘05.1.21 EAL3+

SECUREWORKS @Server V1.0 어울림정보기술(주) '04.8.24 ～ ‘05.1.21 EAL3+

Secuve TOS 2.0 (주)시큐 '04.8.24 ～ ‘05.1.21 EAL3+

RedCastle v2.0 for HP-UX (주) 드게이트 4. 25 ～ 6. 14 EAL3+

Secuve TOS V2.0 for HP-UX (주)시큐 4. 25 ～ 6. 14 EAL3+

Syskeeper OS Solaris 9 V2.0 (주)티맥스소 트 1. 6 ～ 6. 14 EAL3+

REDOWL SecuOS V4.0 for AIX 티에스온넷(주) 5. 23 ～ 7. 11 EAL3+

RedCastle v2.0 for AIX (주) 드게이트 7. 29 ～ 9. 26 EAL3+

Secuve TOS 2.0 for AIX (주)시큐 7. 29 ～ 10. 25 EAL3+

- 통합 제품 3건 평가완료, 2건 평가진행

구 분 제 품 명 신 청 업 체 평 가 기 간 평 가 등 비 고

평 가완 료

( 3 )

VForce 1200 V1.0 (주)넥스지 '04.6.21 ～ ‘05.9.27 EAL3+ FW+VPN

SecuwaySuite 6000 V3.0 +IPS (주)퓨쳐시스템 3. 7 ～ 11. 9 EAL3+ FW+VPN+IDS

NXG 500 V1.0 시큐아이닷컴(주) 4. 19 ～ 6. 14 EAL3+ FW+VPN

평 가진 행

( 2)

SECUREWORKS V3.0(HP-UX) 어울림정보기술(주) 8. 9 ～ (계속) EAL3+ FW+VPN

VForce 5200 V1.0 넥스지 11. 1 ～ (계속) EAL3+ FW+VPN

o IPS 등 신규평가 상 제품 평가

- 침입방지시스템, 지문인식시스템 스마트카드 등 3개 제품군에 하여

최 로 평가 착수

- 84 -

- 침입방지시스템 2건 평가완료


평 가완 료

( 2)

SECUREWORKS IPSWall 1000 V4.0 어울림정보기술(주) 7. 4 ～ 12. 12 EAL4

SafezoneIPS V3.0 (SZ-4000) LG엔시스(주) 7. 7 ～ 12. 12 EAL4

- 지문인식시스템 1건 평가완료


평 가완 료

eNDeSS Professional v1.0 (주)니트젠 8. 1 ～ 11. 30 EAL2+

- 스마트카드제품 1건 평가진행


평 가진 행

MULTOS SM10 R2 삼성SDS 12. 3 ～ (계속) EAL4+

o 평가신청인의 평가제출물 완성도 향상을 한 상담 자문

- ’04년 780건 → ’05년 903건으로 16% 증

구 분 주제

상담 자문

o 정보보호시스템 평가 자문을 실시하여 개발 공 업체의 평가 비 지원

계 평가자문 일반상담

903 441 462

- 정보보호제품 평가 자문 : (주)시큐아이닷컴 등 25개 업체 총 441회 자문

- 평가․인증 체계 평가 련 일반상담 : 삼성 자 등 총 462회 상담

o 새로운 취약성에 처하기 한 인증제품의 사후 리

- 하드웨어 사양 변경 등 인증제품의 형상 변경에 따른 안 성 검증

- 85 -

구분 제품명 신청업체 일정

통합제품

(FW + VPN) o SecuwaySuite 6000 v3.0 (주)퓨쳐시스템 1. 26 ～ 27

침입차단시스템 o WormBreaker IPS v2.0 (주)지모컴 9. 15 ～ 9. 20

통합제품

(FW + VPN) o SECUREWORKS IPSWall 2000 V4.0 어울림정보기술(주) 10. 24 ～ 10. 26

통합제품

(FW + VPN) o SECUREWORKS IPSWall 3000 V4.0 어울림정보기술(주) 10. 24 ～ 10. 26

침입탐지시스템 o SNIPER IPS V4.0 (주) 스테크넷 12. 1 ～ '06. 1월

- 신규 발견 취약성에 한 인증제품 취약성 분석 보안 요청

신규 발견 취약성 조치내용 추진일정

VPN 제품에 한 ESP 로토콜

취약성(5월)

o ESP 로토콜 자체 취약성에 해

평가 인증된 제품의 취약여부 분석

※ 9개사 30개 제품 분석 수정

요구

5월 ～ 6월

자바컴포 트(JCE 1.2.1) 유효기간

만료에 따른 취약성(7월)

o JCE 1.2.1 유효기간만료에 따라

평가인증제품의 사용여부 검

※ 12개사 39개 제품 분석 수정

요구

7월

VPN제품의 IPSec ISAKMP

로토콜 구 취약성(11월)

o 평가인증된 제품에 해 키교환

로토콜 취약여부 분석

※ 6개사 27개 제품 분석 제품

수정요구

11월

- 인증제품의 안 성 확보를 한 실태조사

상 업 체 주요내용 일 정

LG엔시스 등 10개사 o 평가제출물 상제품의 무결성 검을 통한

인증제품의 임의변경 검사12. 7 ～ 14

- 86 -

<공통평가기 기반 평가능력 확보>

추진계획

o 국제상호인정 정 가입국 수 의 공통평가기 기반 평가능력 확보

- 암호모듈 취약성 신규 제품 평가기술 확보

- 평가결과 자동 생성도구 기능 강화 등 로세스 개선

- 상호인정 정 평가역량심사에 비한 평가결과 사 검증

o 암호모듈 취약성 신규 제품 평가기술 확보

- 암호모듈 구 의 합성 검증을 강화하기 해 암호모듈 취약성 평가도구

기능 강화 세부평가방법론 개발

구 분 주요내용 기 간

평 가 도구

기 능 강 화

o 스마트카드용 DES에 한 DPA 분석도구 기능강화

o 암호모듈 구 검증도구 기능강화1월～7월

평 가 기 술

개 발

o 스마트카드 차분공격 평가도구 개발

o 스마트카드 오류주입공격 평가도구 개발4월～12월

기

평 가 방 법 론

개 발

o 신원확인기능 보안강도 분석 기 평가방법론 개발

- 패스워드, PIN, 해쉬함수 등 신원확인기능 보안기능강도 분석

기 개발

- 시뮬 이션을 통한 도우즈 리 스 인증메커니즘 보안

강도 분석

※ 미확보된 보안메커니즘의 기능강도분석 기 분석방법

확보

4월～10월

- IPv6 상용서비스에 비하여 안 ․신뢰성이 확보된 정보보호제품을 기에

공 하기 하여 IPv6 기반 정보보호제품 평가기술 조기 확보

- 87 -

구 분 주요 내용 추 진 일 정

평가기술

확보

o IPv6 기반 정보보호제품 평가를 한 기반기술 확보

- IPv6 로토콜 환 기술 7건 확보

- IPv6 기반 취약 24건 수집 분석

- IPv6 기반 시험도구 12종 확보

- 시험도구 활용 가이드 5종 개발

o IPv6 구 합성 상호운용성 검증

o IPv6 평가시험망 구축

- 6to4 터 링 모드 용망 구축

- 시험 환경 구축 가이드 5종 개발

1월 ～ 6월

모의 평가

o IPv6 기반 정보보호제품 모의평가 수행

※ 통합제품(침입차단시스템+가상사설망), 침입탐지시스템

운 체제보안시스템 3종 수행

1월 ～ 6월

홍보 o IPv6 기반 정보보호제품 평가 비 홍보

※ 간담회 평가자문 등을 통한 지속 인 홍보1월 ～ 12월

- IPS 등 평가 상 확 에 따른 신규 정보보호제품 평가기술 확보

구 분 주요 내용 추 진 일 정

평가기술

확보

o 평가제품에 한 취약성 평가기술 확보

- 침입탐지회피, 인코딩 등 IPS제품 취약 86종 확보

- 웹보안제품의 SQL Injection, XSS 등의 취약성 분석과 무선랜

보안제품의 WEP 로토콜 상의 취약성 분석

o IT839 등 최신 정보보호기술 동향 악 정보보안 련 문

교육을 통한 평가기술 습득

- 유비쿼터스 정보보호 워크 등 33건 참석

- Software Testing(STEN) 등 28건

- 정형명세, 검증 도구 활용 등 문가 세미나 26건 개최

o 정보보호 련 문자격증 확보

- 정보보호 문가(SIS) 등 85% 취득

o 국내․외 정보보호제품 평가기술 발표

- 논문발표 : 국외(1건) 국내(4건)

- 88 -

o 평가결과 자동 생성도구 기능 강화 등 로세스 개선

- 평가 결과물 자동 생성 평가정보 통합 리 등 평가결과 자동생성도구

기능 강화를 통한 평가일 성 효율성 향상

구분 주요 내용 추진일정

국외사례

벤치마킹

o 일본 JEITA의 보안목표명세서 작성도구 분석

- 사용자 인터페이스 기능 분석

※ 기능 분석을 통하여 도구 개선에 활용

3월

평가결과

자동생성

도구 개선

o 평가자문, 평가신청/계약 등 평가 업무 통합 리

o 품질매뉴얼, 차서, 지시서, 련 양식 등 품질 리시스템

통합

o 평가기 , 방법론, 모범사례 등 평가정보 DB 구축

o 평가 통계 황 리 기능과 원 홈페이지와 연동 실시간

평가정보 제공

3월 ～ 11월

시범 운 o Hizard 3.0 for HP-UX 등 2건의 제품에 용․운 12월

- 세부평가방법론 평가 환경 개선을 통해 인증서발행국 수 으로 평가역량

확보


세부평가방법론개선

o 등 별(EAL2+/EAL3+/EAL4) 평가템 릿 개발 등 인증서

발행국 수 으로 세부평가방법론 개선

※ EAL2+ : 18종, EAL3+ : 21종, EAL4 : 24종

o 등 별(EAL2/EAL3/EAL4) 개발환경 보안평가 체크리스트

개선을 통한 업체 부담 최소화

※ EAL4등 기 160항목→88항목으로 간소화하여 업체

실사 부담 45% 감소

o 찰보고서 향정도/시험항목 샘 링방법(안) 마련

1월～11월

평 가 시 험 실

개 선

o 평가제품군 확 IPv6 등 신규 정보보호제품에 한

평가환경 구축4월

o 국제상호인정 정 평가역량심사에 비한 평가결과 사 검증

- 인증서발행국 독일의 인증기 TUViT에 의한 평가 방법 평가결과 검증을

통해 인증서발행국 수 의 평가 능력 확보

- 89 -


평 가 결 과 검 증

o EAL4 등 의 평가 산출물 50건 검증

- 평가수행계획서 1건, 평가단 보고서 24건

- 찰보고서 24건, 평가보고서 1건 검증

5월～11월

평 가 방 법

템 릿 검 증

o EAL4 등 의 평가템 릿 24종 검증

- 보안목표명세서 평가 1종, 형상 리 평가 3종 검증

- 배포 운 평가 2종, 개발 과정 평가 6종 검증

- 설명서 평가 2종 검증, 생명주기지원 평가 3종 검증

- 시험서 평가 4종, 취약성분석 평가 3종 검증

o 평가자 독립 시험 방법 등 평가 방법 3건 검증

※ 평가방법론 평가템 릿 27개 항목 개선

10월

평 가 차 검 증

o 품질 리매뉴얼 등 평가 차 검증

- 내부 감사 방법 등 품질매뉴얼 검증

- 평가 수수료 산정 방법 검증

- 기능강도분석 상 등 평가 안사항 15건 검증

10월

- 90 -

<고객만족도 제고>

추진계획

o 평가․인증제도에 한 홍보물, 가이드 제작․배포

o 정보보호시스템 평가 련 홈페이지 운

o 평가신청업체 애로사항 등 의견수렴을 한 간담회 실시

o 고객 서비스 강화

o 평가․인증제도에 한 홍보물, 가이드 제작․배포

- 정보보호제품 개발자, 사용자 등 고객 상으로 평가․인증제도에 한

이해도 향상 활용도 제고 차원에서 홍보물, 가이드 등 제공

홍 보 물 내 용 자 료 표 지

평 가 ․ 인 증

가 이 드

o 주요내용

- 정보보호시스템 평가․인증제도

- 북미, 유럽, 아시아 등 국가별 평가․인증제도

- 국내․외 평가․인증 제품 황

- CCRA 체계, 국제 컨퍼런스 등 설명

o 개발업체, 사용자, 인증기 등 500부 제작․배포

평 가 ․ 인 증

스 킴

팜 렛

o 기간 : '05. 2. ～ 3.

o 주요내용

- 국내 평가․인증제도 목 , 체계, 평가․인증 차, 평

가․인증 제품 황 등

o 독일, 일본, 네덜란드 등 인증기 평가기 에 200

부 제작․배포

E A L 3 +

평 가 제 출 물

작 성 가 이 드

o 기간 : '05. 4. ～ 6.

o 주요내용

- 평가신청 업체의 제출물 작성 시, 도움을 제공하기 해

제출물별로 제 심으로 작성방법을 제시하고, 고려

사항 등도 기술하여 이해도 향상

o 홈페이지를 통해 배포

- 91 -

o 정보보호시스템 평가 련 홈페이지 운

구 분 주요내용

실 시 간

평 가 진 행 상황

공 개 시 스 템

o 평가진행 황 온라인 정보제공 로그램 개발

- 보호진흥원 홈페이지와 연동하여 개발

- 제출물별 진행률 등 평가진행 황 정보 실시간 제공

- 평가종료 정일 등 일반 사용자에게

평가 황 공개 확

o 평가 황 속자수 년 비 약 50%

증가

※ 월평균 3,905회(04년) → 5,958회(05년)

고 객 소 리 함

온 라 인

시 스 템 구 축

o 투명하고 신속한 민원 처리 기반 마련을 해 정보보호제품평가 고객

소리함 구축

- 민원처리 소요시간을 알려주는 민원처리 시간보증제 도입

- 민원 수에서 민원처리완료까지 메일을 통해 자동으로 고객에게

알려주는 민원처리 결과 자동 알림 기능

- 민원처리 담당자의 실명을 공개하는 민원처리 담당실명제 도입

- 민원처리 진행 황을 확인할 수

있는 민원처리 황조회 기능

o 시범 운 시스템 기능보완

- 3개의 운 시나리오로 시범 운

- 15개 개선사항 도출 보완

온 라 인 자 문 신 청

시 스 템 구 축

o 홈페이지를 통한 온라인 평가자문 일반상담 신청

- 화나 직 방문을 통해 신청하 던 자문을 온라인으로 신청하는

시스템으로 구축

- 자문 약 시 자문 신청자 자문 담당자에게 약 황 알림

서비스 등 제공

- 92 -

o 평가신청업체 애로사항 등 의견수렴을 한 간담회 실시

구 분 추 진 내용

평 가 신 청 업 체

1 : 1

방 문 간 담 회

o 방문기간 : '05. 4. ～ 6(상반기), 9. ～ 11(하반기)

o 방문업체 : 시큐 등 17개 업체(상반기), 어울림 등 15개 업체(하반기)

o 상 자 : 개발자 평가인증담당자 등 평가신청제품 련 실무자

o 주요 내용

- 평가신청업체를 직 방문하여 평가

차/제도 개선사항 홍보

- CCRA 가입 진행 황 발표

- 애로사항 청취/의견 수렴 조치

※ 상반기 32건, 하반기 84건 답변

조치

o 1:1 방문 간담회 만족도 조사

- 설문조사결과 84 으로 높은 만족도를 보임

※ 15개업체 71명 응답


사 장 단

조 찬 간 담 회

o 개최일시 장소 : '05. 6. 28(상반기), 10. 6(하반기)

o 청업체 : 퓨쳐 등 15개 업체(상반기), 지모컴 등 12개 업체(하반기)

o 상 자 : 평가신청업체 표자

o 주요 내용

- 2004년도 간담회 후속조치 결과

- CCRA 가입추진 진행 황 평가․인증 제도개선 사항 소개


실 무 자 간 담 회

o 개최일시 장소 : '05. 5. 4(상반기), 12. 15(하반기)

o 청업체 : 넥스지 등 23개 업체 37명(상반기), 드게이트 등

22개 업체 37명(하반기)

o 상 자 : 평가신청업체 실무자

o 주요 내용

- 평가 상확 련 제도 평가기 지침 개정사항 소개

- IPS PP RBAC 세부평가기 소개

안 티 바 이 러 스

업 체 간 담 회

o 개최일시 장소 : '05. 12. 9

o 청업체 : 한국맥아피 등 11개 업체 20명

o 상 자 : 안티바이러스 제품 련 실무자

o 주요 내용

- 평가체계 기 , CCRA 가입 황 설명

- 평가 차 자문신청 방법 설명

- 93 -

o 고객 서비스 강화

구 분 주요내용

“ 고 객 과 함 께 하 는

보 안 성 평 가 센 터 ”

선 포 식

o 고객만족 조직 문화 구축 고객우선 서비스 인식 제고를

한 고객만족 5 실천 강령 선언 실천서약

- 공정/투명한 서비스 제공

- 고품질 서비스 제공

- 신속한 고객 불만 해결

- 편안한 서비스 제공

- 고객약속/비 보장 수

클 린행 정 조 서

서 약 서 작 성

o 투명하고 공정한 업체지원을 한 조서 서약서 작성

※ 클린행정 서약서 46매 발행, 조서 33매 회수

고 객 불 만 수 안 내문

o 평가신청업체 상으로 안 애로사항 처리에 한 “고객

불만 수 안내문” 발송

※ 1차(3/8) 15개 업체 15명, 2차(7/5) 20개 업체 31명 담당 부서장을 상

평가신청제품 평가/ 인증

축 발 송

o 평가․인증 시 평가신청업체에 해 축하문구 발송

※ 스테크넷 등 14개 업체 발송

※ 원장→ 표이사, 단장→ 표이사, 장→연구소장

평가자→실무자

평 가 상담 실 환 경 개 선 o 난방기 설치 조명 밝기를 개선하여 쾌 한 평가상담실 환경

조성


< 추진성과 >

o 평가․인증제도 개선에 한 지속 인 홍보에 의해, CC기반 신규 평가신청

업체수가 2개→6개로, 제품 평가는 20건→25건으로 증가되는 등 평가제도

활성화에 기여

o 신규 평가제품군 수가 년 비 1종→3종으로, 평가등 수가 1개 등 →3

개 등 으로 확 되는 등 다양한 신규 정보보호제품 평가수요를 충족

o 등 별 정형화된 평가템 릿을 개발․ 용하고 국외 선진평가기 을 통하여

검증함으로써, 평가결과의 품질을 CCRA 가입국 수 으로 향상

- 94 -

o 간담회 개최, 온라인 고객 소리함 구축 “고객과 함께하는 보안성평가센터”

선포식 개최 등을 통한 고객 서비스 강화 고객만족도 향상

< 향후계획 >

o IT839 략 추진 등으로 소형․경량화되는 정보보호제품의 안 ․신뢰성을

제고하기 해 디바이스, 하드웨어 고등 평가역량을 지속 으로 확보

할 계획임

- 95 -

제4 해킹․바이러스 응체제 구축

사업 개요


o 상시 인 인터넷 이상징후 모니터링, 분석, 처방안 수립

를 통한 인터넷침해사고 방 피해 최소화

o 국가 기반시설의 자 침해사고 증가에 따라 기반시설의

취약 분석․평가 보호 책 수립․이행 등의 종합 보호체계

수립이 필요

o 정보통신망 리자들의 해킹‧바이러스 방 응 능력 향상을

하여 사이버 공간에서 정보보호기술 훈련 로그램 제공

o 산, 문인력 등이 부족한 정보보호 취약계층인 소기업의 정보

보호를 통한 기업 경쟁력 강화 국가 인 외 신인도 향상 필요

□ 추진방향 추진과제



o 인터넷침해사고 방․분석 응기술 강화


o 주요정보통신기반시설에 한 능동 ․자율 운 환경 조성

o 문업체 (재)지정, 사후 리 심사제도 개선

o 안 진단 제도 인식 수검률 제고를 한 안 진단 제도의 정착

o 정보보호 리체계 인증 활성화 지속 인 심사기 개선

o 정보보호기술훈련장 신규 훈련공간 로그램 개발

o 소기업 스스로 비용으로 조치가 가능한 정보보호 책(안) 개발

- 96 -

1. 인터넷침해사고 응지원센터 운


o 공격 상이 개별시스템에서 네트워크로 변화되고, 피해범 가 시스템 수

에서 국가 수 으로 확

- 이상징후 신속 단 피해확산 방지를 한 동 응 강화 필요

- CERT 확 를 통한 민간차원의 자체 침해사고 응능력 제고 필요

- 사이버 공격에 한 로벌 모니터링 체계 구축의 필요성 증

- 국가간 피해확산 방지를 한 국제 응 공조의 필요성 증


o 24시간 종합상황실 상시 운 정보제공기 /수집개소 확

- 정보제공 기 /수집개소 : 50개기 /120개소(100% 달성)


- 홈페이지 변조국가 : ’05년 12월 기 5 → 10

- 세계 악성 BOT 감염 국내 PC가 차지하는 감염비율 감소 : 12% →

9.2%(130% 달성)

o 인터넷 침해사고 방․분석 응기술 강화

- 취약성 웜․바이러스 분석건수 : 90건 → 111건 (123% 달성)

- DNS 모니터링 체계 개발․구축완료


- CONCERT 가입기 수 : 275개 → 322개(117% 달성)

- 모의훈련 참여 국가수 : 5개 → 9개국 10개 기 (200% 달성)

- 97 -

다. 추진내용

<24시간 종합상황실 상시 운 정보제공 기 /수집개소 확 >

추진계획

o 인터넷침해사고 이상징후의 신속한 단․상황 체계 강화

- 신종해킹․웜․바이러스 /경보 발령 상황 실시

- 국내․외에서 발생되는 해킹․바이러스 사고 수 기술 지원

- 이상징후 단 정확성 확보를 한 정보제공기 /수집개소 확

- 인터넷침해사고 단지표 용을 통한 이상징후 신속 단

- 비상시를 비한 ISP, 백신업체 등과 침해사고 응 정기모의훈련 실시

- 침해사고 응 정보제공 력체계 강화를 한 ISP 워크샵 개최

- 인터넷 침해사고 동향 분석월보 발간

o 인터넷 침해사고 이상 징후의 신속한 단․상황 체계 강화

- 신종 해킹, 웜․바이러스 경보 발령 상황 실시

․ 량 홈페이지 변조에 한 ‘주의’ 경보 발령(1월)

․침해사고 사 방 응을 한 국내 ISP에 상황 실시(42회)

․악성코드 유포 사이트에 한 국내 국외사이트 조치(2,085)

※ 국내 사이트 조치: 해당 사이트 리자에게 통보 악성코드 삭제, 필요시 장출동을

통한 상세 원인분석 실시

※ 국외 사이트 조치: 국내 주요 ISP와 공동 력하여 국외사이트 연결 차단

- 신규 취약 , 웜․바이러스에 한 분석(2,432건) 홈페이지 보안공지

(40회)를 통한 일반에게 보안패치 주의 안내 실시

- 사안별 침해사고 응 강화

․「2005 APEC 정상회의」사이버안 분야 지원 인터넷망 행사 련 홈

페이지 모니터링 강화(10.24~11.28)

․사이버외교사 단(VANK) 사이트에 한 일본 측 공격 사 응(8월)

․ 국해커의 한국 경유 일본사이트 공격 련 응(7월~8월)

․한․일 네티즌의 독도 유권 분쟁 련 모니터링 강화(3월~5월)

- 인터넷침해사고 단지표 용을 통한 이상징후 신속 단

․상황실 모니터링시스템에 국내 인터넷트래픽 이상징후 단 임계치 최 화

하여 반 하고 경보발령을 한 험도 평가 활용(1월~12월)

- 침해사고 응 력체계 강화를 한 ISP 워크샵 개최(분기별 1회)

- 98 -

․사업자별 침해사고 응체계, 차 등 정보 공유 최근 보안동향과 주요

이슈 의

- 비상시를 비한 국내 ISP, 국외 유 기 과 침해사고 응 정기모의훈련

실시(분기별 1회)

․인터넷침해사고 응지원센터 자체훈련 실시(3월, 9월)

․인터넷침해사고 응지원센터와 국내 ISP 공동훈련 실시(6월)

․국제공동 응훈련 지원 : 한국, 국(2개 기 ), 일본, 호주 등 9개 국가

10개 기 참여(12월)

[그림 4-1] 침해사고 국제 공동 응훈련 시나리오

- 인터넷침해사고 분석 동향 월보 발간(월별 1회)

․최근 침해사고 동향을 반 한 홈페이지 변조 피싱, 악성 Bot 감염비율

지표 신설 용(1월~12월)

o 정보수집 상기 /개소 확

- 국내 인터넷 이상징후의 신속․정확한 탐지를 통한 침해사고 방 피해

최소화를 해 침해사고 련정보 제공기 을 유선방송사업자(SO) ․

소형 ISP 사업자로 확

※ ‘04년(24개 기 , 85개소) → ‘05년(50개 기 , 120개소)

- 데이터 수집의 정확성 안정성 확보를 해 수집서버 이 화 구성

- 침해사고 정보수집 내부 업무지침 작성(7월)

․정보수집 기 , 내용 등 내부 업무처리 차 확립

- 99 -

일 시 상기 약 문 서 주요내용

‘03.10 Microsoft MOU(양해각서)o Cisco 보안정보 DB 연결/수신 허용

o 양사간 교육 로그램 개설

‘03.11 Cisco MOU(양해각서)

o 상호간 보안성 증진 사이버 에

처하기 해 공동 노력

o 한국내 취약성분석센터 설립

o 보안 련 정보 교류

o MS는 운 체제 소 트웨어 제공

o 보호진흥원 ISP 교육 실시

o 보안, 라이버시, 스팸메일에 한 공동

세미나 개최

o 스팸메일 해결을 한 공동 력

‘04.5 MicrosoftNDA

(비 수동의)o 력 과정에서 얻은 정보 비 유지

<침해사고 방․분석 응기술 강화>

추진계획

o 취약 웜․바이러스 기법 분석을 통한 침해사고 방 응

- 취약 , 웜․바이러스 기법 분석, 응책 보

- 시스템취약성분석센터 운 참여 벤더사 확

- 취약성 웜․바이러스 분석역량 강화

- 최신 공격동향 분석을 한 시험망 활용 정보공유 시스템 구축

- IT839 인 라(BcN, IPv6) 보안 취약 측 분석

o 취약 웜․바이러스 응책 수립(1월~12월)

- MSN 메신 를 통해 확산되는 Bropia, 메일로 확산되는 Bagle AQ, Santy 등

웜․바이러스 19건 분석 책 제시

- 불법 침입에 악용될 수 있는 Cisco IOS SSH 서버 취약 등 네트워크 장비

취약 7건 분석

- 게임 아이디/비 번호를 유출하는 GrayPigeon 등 트로이 4건 분석 책 수립

- Mozilla Firefox 라우 등 공개소 트웨어 취약 11건 분석

- 기타 침해사고 정보보호기술에 한 분석 등 총 111건

o 시스템취약성분석센터 운

- 시스템취약성분석센터 운 황

- 100 -

‘04.6 Microsoft MOU(양해각서)

o 상호간 보안성 증진 사이버 에

처하기 한 공동 노력

o 보호진흥원은 MS 보안패치 검증 로그램

(SUVP) 에 참여

o MS는 취약성분석센터 운 지원 (SW,

취약성분석도구 등)

o MS의 보안 련 교육 제공

o MOU 취득한 지식에 한 NDA 수

‘05. 4. 소 트웨어진흥원 MOU( 력 계)o 공개소 트웨어 취약 침해사고 응

상호 력

‘05. 8. MicrosoftSCP

(보안 력 로그램)

o MS의 침해사고 응 정보, 교육 등 제공

o 보호진흥원의 침해사고 통계 제공

'05. 12 (주)한 과컴퓨터 MOU( 력 계) o 리 스에 한 취약 응 력

- 도우즈 운 체제, 응용소 트웨어, 네트워크 장비의 취약 사 검증을

통해 침해사고 책 사 수립 체계 확보(1월~12월)

[표 4-1] 월별 MS 취약 검증 실

분류 1 월 2월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 0 월 1 1 월 1 2월 계

심 각 2 6 5 4 1 2 4 3 3 30

요 2 2 1 4 3 1 3 1 1 18

보 통 1 1

합계 4 6 7 1 9 1 5 1 7 4 4 4 9

- MS와 보안 력 로그램을 통하여 도우즈 취약성 련 침해사고 응

력체계 강화(8.4)

․MS는 도우 운 체계 응용소 트웨어의 취약 분석을 한 문가

교육 등 지원

※ IE, 도우 보안리소스 킷 등 도우 응용소 트웨어 교육 실시

․MS의 신규 제품 서비스에 한 보안기능 확인을 통해 상되는 향력

사 비

※ 도우 비스타, 시큐리티 라이 콜, 도우 FLP 등 사 시험 책 마련

- MS SCP 로그램에 의한 침해사고 응교육, 침해사고 응지원센터 정보공유를

통해 취약 분석 침해사고 응능력 강화

※ SCP 약에 의한 침해사고 응 취약성 분석 교육(10월～11월, 1주)

- 공개소 트웨어에 한 취약 침해사고에 효과 으로 응할 수 있도록

련 문기 (KIPA(4.6), 한 과컴퓨터(12.8))과 공동 응 체계 구축

- 101 -

- 소 트웨어 취약 증가에 의한 해킹 사고 발생에 따라 보안업체 개발자

상 시큐어 로그래 교육 실시(7.19~20)

※ 해킹방지 솔루션 업체, PKI 솔루션 업체 등의 보안 련 업체와 공인인증기 , 교육

기 등 총 25개 기 소속 보안 문가 32명 참가

o 능동 웜샘 수집 분석체계 구축

- 시험망에 한 정도 측정을 통해 인터넷 사용자 보호(1월~12월)

․ 도우 사용자 PC의 웜 감염시간 측정을 통한 험도 분석 책수립

․신규 취약 을 공격하는 웜 탐지 방안 강구(12월)

- 시험망에서 수집된 웜의 정보보호업체 공유로 신속한 악성코드 응체계 확보

․시험망에서 수집한 웜 12,000여 종을 국내 14여개 업체와 공유

․악성코드 분석보고서를 ISP 정보보호업체에 제공

- 시험망 웜분석 공유시스템 구축을 통하여 악성코드를 신속하고 정확하

게 분석하여 응할 수 있는 응체계 확보(12월)

o 홈페이지 은닉 악성코드 피해 증 에 따른 응책 마련(6월~12월)

- ‘05년 6월부터 발생하기 시작한 홈페이지 악성코드 은닉에 의한 침해사고를

능동 으로 처리하기 한 자동탐지시스템 개발(6월~11월)

․주요 70,000여 사이트에 하여 검서비스 제공 (12월)

․악성코드 은닉사이트 2,000여 사이트를 탐지하여 악성코드 감염에 의한 사용자

피해 방지(12월)

[그림 4-2] 악성코드 은닉 침해사고자동탐지시스템 탐지 차

- 102 -

o 휴 폰 바이러스 방지 책 마련

- 국외 휴 폰바이러스 황 분석 국내 휴 폰 환경의 바이러스 발생 시나리오

개발(6월)

- “휴 폰 바이러스 방지 책 의회“ 발족 운 (11월)

<국내 사용자 악성코드 피해 방 활동>

추진계획

o 해킹모니터링 시스템 구축․운

o 가상기업환경 구축을 통한 해킹시험․분석능력 강화

o 해킹 분석 환경 구축을 통한 응기술 개발

o 악성BOT, 홈페이지 변조 등 침해사고 지표 감활동 강화

o 주요해킹사고 장 출동 기술 지원

o 제2회 해킹방어 회 개최

o 2005 을지훈련 지원

o '05년 모의 사이버테러 응 훈련(을지훈련) 기술 지원

- 훈련 상 민간기 사 교육 실시(8.4)

- 모의 사이버 테러 응훈련 실시(8.23~24.)

․훈련 주 기 : 정보통신부

․훈련 실시기 : 보호진흥원

․훈련 상기 : ISP, 이동통신사, 은행, 보험사 등 40개 기

․주요 훈련내용 : 웹 스캔공격 응, 모의 바이러스 제작 유포, 취약

검 모의침투 실시

- 을지훈련 후속 웹서버 취약 재 검(10.26~27)

․을지훈련시 취약 이 발견된 23개 기 의 웹서버를 상으로 기발견된

취약 에 하여 수동으로 재 검하여 조치여부 확인

- 정보통신부 산하기 사 검 실시(2회)

․모의 사이버테러 응 훈련에 비하여 사 취약 응체계 수립 지원

․ 검 상 : 정보통신부 6개 산하기 (한국소 트웨어진흥원 등)

․ 검 기간 : 1차 검(7.19~20), 2차 검(8.9~15)

- 103 -

o 공개 웹 S/W 취약 찾기 회 개최(6월)

- 잠재 인 웹 보안 요소를 사 에 탐지하여 제거하기 해 국내 에서

많이 사용되는 공개 웹 S/W들의 보안 취약 찾기 회 개최

- 참가 상 : 보안 문가, 정보보호 공 학생 등 총 54명 참가

- 회 결과 : 총 20개 웹 S/W에서 136개 보안 취약 발견

․취약 이 발견된 웹 S/W 제작자에게 취약 보안 책 련 정보 제공

․제작자에 의한 보안패치 개발 여건이 되지 않는 5개 공개 웹 S/W에 해

보안패치 개발 달(10월)

o 홈페이지 변조 국가 순 하락을 한 홈페이지 해킹 방 응(12월)

※ 홈페이지 변조 국가 순 10

- 홈페이지 해킹 응 정보 공유를 한 홈페이지 보안기술 세미나 개최(2회)

․제1차 홈페이지 보안 기술 세미나(5.31, 한국과학기술회 , 166명 참석)

․제2차 홈페이지 보안 기술 세미나(10.19, 섬유센터, 626명 참석)

- IDC 공동 웹 서버 취약 무료 검 행사(8월)

․행사 기간 : 8월 1달간

․참여 기 : 보호진흥원, KT IDC, KIDC, 하나로텔 콤 IDC, 호스트웨이

․총 3,576개의 웹 사이트에 한 취약 검(약 33%에서 취약 발견)

- 「홈페이지 개발 보안 가이드」 작성 배포

․국내 주요 ISP, 웹 호스 업체, 정부기 등 상 총 3,300부 배포

o 2005 부산 APEC 행사 사이버안 지원(10.24~11.19)

- 취약 사 검(10.24~11.11)

․언론사, 숙박시설 등 17개 기 홈페이지 보안 취약 원격 검

․8개 주요 숙박시설 유․무선 인터넷망 취약 장 검

․부산 KT 백본 BEXCO 유․무선 인터넷망 취약 장 검

․APEC WiBro망 취약 장 검

- 침해사고 응 모의훈련(11.10)

․훈련 참가 기 : 정보통신부, 보호진흥원(서울, 부산), KT(서울, 부산)

- 장 응(11.12~11.19)

․이상 트래픽 모니터링 응

o 게임 해킹 방지 책 지원(11월~12월)

- 온라인 게임해킹 방지 책(안) 작성(11월)

- 「게임정보보호 의회」구성(12월)

- 104 -

- 보호진흥원-MS 공동 웹 애 리 이션 개발보안 교육 실시(12월)

․교육 상 : NHN, 한빛소 트 등 8개 온라인 게임업체의 웹개발자 14명

o 악성 Bot 국내 감염 비율 감소를 한 방 응활동(12월 세계 악성

Bot 감염 PC 비 국내 감염율 9.2%)

- 악성 Bot 경유지 차단 (7월~12월)

․국내/외에서 운 인 악성 Bot 경유지 1,000여건을 국내/외 ISP 사업자

CERT 정보 공유하고,

․국내 악성 Bot 감염시스템/경유지 서버 목록 입수 사고이 자동화하여

신속하게 사고 응하 으며

․국내에 치한 Bot 명령/제어 서버 639 여개 사이트를 신속하게 차단하여

국내에 감염피해 확산 차단

- 악성 Bot 명령/제어 서버 싱크홀 차단

․KT, 하나로, 데이콤, 두루넷 등 주요 ISP/IDC 9개 사업자 싱크홀 용하여

5,278 여개 Bot 명령/제어 서버 싱크홀 차단함으로써 국내 PC 사용자에게

미칠 수 있는 추가 인 피해발생을 미연에 방지

- 악성 Bot 샘 수집 백신업체 달(1월~12월)

․악성 Botnet에서 수집된 샘 23,250건을 안철수연구소, 하우리, MS, Sophos 등

15개 국내/외 백신업체 달하여 국내 피해 방 강화

- 국내/외 악성 Bot 감염시스템/경유지 서버 모니터링 시스템 운

․1,200여개 경유지 서버 모니터링, Bot을 이용한 이상행 IP에 하여 차단

하여 Bot 피해 확산 방

- 스 이웨어 방(7월~12월)

․스 이웨어 기 (안)과 스 이웨어 사례집 제작하여 보호나라 등 인터넷 홈

페이지를 통하여 배포하여 스 이웨어 방 강화 효과

- 악성 Bot 세미나 개최(12월)

․국내/외 악성 Bot 황, 분석 응 등의 내용으로 침해사고 응 의회

(CONCERT) 세미나에서 기업내 서버나 PC가 Bot에 감염시 응방법을 수

하여 기 응 강화할 수 있도록 기여

o 해킹사고 장/원격 출동 지원

- 은행 장 사이트 사고등 주요 해킹사고에 한 장/원격 분석을 통한 기술

지원 분석보고서(52건) 작성

- 악성코드 유포지 사이트 분석사례, 디폴트 패스워드 취약 사례 등 17건의

사고노트를 월보 홈페이지 배포를 통해 유사사고 재발 방지효과

- 105 -

o 제2회 해킹방어 회 개최(6.2~15)

- 해킹방지 기법 련 기술 동향 악을 통해 침해사고 응능력을 높일 수

있는 계기를 마련하고, 보안 문가의 해킹 방어 시스템 운 기술의 향상을

도모함을 목 으로 해킹방어 회 개최

․62개 105명 참가하여 해킹방어 기술 역추 기술 경연

․ 선(6.2~6.3), 결선(6.15) 회 개최

<국내․외 침해사고 력체계 공동 응활동 강화>

추진계획

o 민간분야 CERT 구축 활성화 침해사고 공조체계 확

- 침해사고 응 의회(CONCERT) 강화를 통한 침해사고 응능력 제고

- 민간CERT 구축 활성화 등을 통한 침해사고 인식제고 확산

- 침해사고 민․ 합동조사단 문가 풀 운

- 민간분야 침해사고 방활동 강화

o 효과 인 국제 침해사고 공동 응체계 강화

- FIRST, APCERT 등 국제기구에서 주도 인 활동 수행

- 국제 침해사고 응을 한 공동 모의훈련 실시(한․ ․일 포함)

- 아․태 정보보호센터(APISC)를 구축하여 APEC 회원국 개발

도상국에 한 정보보호교육 실시 기술지원

- 국제 인터넷 침해사고 공동 모니터링 로젝트 수행을 통해 침해사고

련 기술교류 력 강화

o 「 학 CERT 추진단」구성 운

- 추진단 모집(3월~4월, 77개 학(교) 129명 신청)

․ 상 : 국 사립 학(교)의 산․보안 담당자

- 기본/실무교육 총 6회 실시(5.9~6.10)

- 「 학 CERT 추진단」 발 식 개최(6.20, 은행회 , 53명 참석)

- 「 학 CERT 추진단」5개지역 순회강연 실시(9월~10월, 370명 참석)

o 침해사고 민․ 합동조사단 문가풀 운

- 정보통신망에 한 침해사고 발생시 원인분석을 해 구성하는 민․ 합동

- 106 -

조사단의 원활한 활동 수행을 한 응체제 유지를 해 운 회의(3.16),

세미나(10.23), 워크샵(12.13) 개최 모의훈련(12.21) 실시

o 한국침해사고 응 의회(CONCERT) 운

- 한국침해사고 응 의회 사단법인 출범(6.28)

- CONCERT 회원증 활동을 통해 72개 기 신규가입(총 322개)

- ‘05년도 CONCERT 운 원회 회의 개최(총 3회)

- 해킹방지워크샵, 기술세미나, 정회원 워크샵 등 개최(총 4회)

o 피싱사고 방 응 강화(1월~12월)

- 국내 피싱사고 방 응을 한 조치 시행

․국내 피싱 경유지사고 처리(총 1,087건), 국내 피싱 련 상담(15회)

년 도 1 월 2월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 0 월 1 1 월 1 2월 총 건 수

2005년 61 64 64 66 97 116 112 125 90 94 107 91 1 , 0 8 7

2004년 2 5 2 6 0 21 22 27 43 16 36 40 220

[표 4-2] 월별 피싱 경유지 신고건수

․피싱 방 안 한 자 융거래를 한「 자 융 이용자 정보보호수칙」을

융감독원과 공동 제정(11월)

․「 자거래이용자 정보보호수칙」홍보물(웹 래쉬배 ,포스터,리 렛) 제작

※ 포스터(13,000부), 리 렛(110,000부) 배포 웹 래쉬 배 게시

․피싱 응 융정보보호 기술세미나 융감독원과 공동개최(12.21, 경련회 ) :

은행, 증권사, 보험사, 카드사 등 융권의 정보보호 담당자 상

- 국제 피싱방지 의체인 APWG에 Research Partner로 활동(‘04.10월~계속)

․매월 ‘월간 피싱통계 분석보고서’ 문화 자료를 APWG에 송부(2월~)

․APWG 정기회의 참석 발표(11.7~12, 캐나다)

o ASEM, APEC, OECD 등 국제기구에서의 한국 정보보호 상강화

- 2005 ASEM 사이버보안 워크샵(6.23~24) 개최(36개국 199명 참여)

․ASEM 회원국 간의 사이버보안 역량강화를 한 공동 응 방안 논의 합의문

도출

- APISC 교육사업, APEC 정식 로젝트 채택

․개발도상국의 침해사고 응역량 강화를 한 침해사고 교육사업이

2006년 APEC정식 로젝트로 채택, 2만불 지원 확정

- APCERT, APEC-TEL GUEST 지 획득 주도

- 107 -

․APEC-TEL에서 회원국 표단 일부가 아닌 APCERT 회원기 으로 공식

참여 문서제출 권한 획득(10월)

- APEC-OECD 워크샵 침해사고 응 세션 좌장 발표(9.5~6)

․아시아․태평양 지역 침해사고 응 황 발 방향 논의

․APCERT 한․ ․일 침해사고 응 련 국제 력 사례

o FIRST, APCERT 등 국제 침해사고 응 력기구의 주도 역할

- FIRST/APCERT 운 원회 활동 련 국가와의 력활동 강화

․FIRST/APCERT 운 원 FIRST교육 원장 활동 수행

- APCERT 차원의 국제 침해사고 공동 모의훈련 실시(12.21)

․APCERT 내 9개국 10개 CERT 국내 5개 ISP가 참여하여 악성 Botnet에

의한 규모 분산서비스거부(DDoS) 공격 차단 훈련

o APISC 침해사고 응 교육과정 운 (8.29~9.2, 11개국 30명 참석)

- 아시아․태평양 지역 개발도상국 침해사고 응역량 강화지원을 한

침해사고 응 (CERT) 구축․운 교육과정 운

o 한․ ․일 침해사고 공동 모니터링 체계 확

- ‘04년 한․일 간에 구축된 침해사고 모니터링 시스템을 향후 확장성

통계 유연성 확보를 하여 시스템을 재구축, 모니터링 참여 국가를 국

까지 확

o 침해사고 력강화를 한 주요 ISP 침해사고 담당실무자 회의개최(4회)

- 긴 사고 발생시 신속한 사고처리를 한 비상연락망 체계 구성 력 강화

․KT, 데이콤, 두루넷, 드림라인 등 주요 ISP 침해사고 담당실무자

o 437개의 소기업 상 무료 웹서버 취약성 원격 검 지원 (11.3~12.31)

o 국민 정보보호 인식제고를 한 홍보활동

- 정보보호 8 실천수칙 홍보

․리 렛(10,000부) 동 상물CD(600장) 배포, 웹배 고 게재

- 정보보호 10 실천수칙 신규제정 발표(9.6)

․ 국민 홍보 책 수립 래쉬, 마우스패드 등 홍보물 제작․배포

- 사이버 방역 서비스 체계 구축을 한 보호나라 웹사이트 개편(11.1)

- 108 -


<24시간 종합상황실 상시 운 정보제공 기 /수집개소 확 >

o 침해사고 이상징후 단의 요 지표인 침해사고 정보수집개소를 유선방송

사업자 소 ISP등 50개 기 120개소로 확 하여 이상징후 단의 정확성

제고

<침해사고 방․분석 응기술 강화>

o 게임사이트 아이디/비 번호 탈취를 목 으로 한 악성코드은닉 사고를 신속

하게 확인하고 차단할 수 있도록 사이트자동탐지 시스템을 개발하여 운

하 으며, 이를 통하여 게임이용자들의 피해 방

o 취약성분석센터의 력 상 기 을 공개소 트웨어 분야로 확 하여

- 2개 기 과 력 계를 마련함으로서 공개소 트웨어의 확산에 따른 침해

사고 증가에 효과 으로 응

- 기존의 MS 력 계를 보안 력 로그램(Security Cooperation Program)으로

확 하여 침해사고 응 력 강화

o 시험망을 통한 웜․바이러스 수집 자동 분석 시스템, 악성코드은닉사이트

자동탐지시스템 등 능동 침해사고 응을 한 기반기술을 자체 으로

개발하고 3건에 하여 특허신청

<국내 사용자 악성코드 피해 방 활동>

o ’05년 침해사고의 주요원인이었던 BOT C&C 서버에 한 극 처로 한국의

BOT 감염율을 50%이상 감소

- 세계 악성 Bot 감염 PC 비 국내 감염율 9.2%

- BOT 감염, 스팸발송, DDoS 공격 등의 피해 방

<국내․외 침해사고 력체계 공동 응활동 강화>

o 9개국 10개 기 이 참여한 국제공동모의훈련을 성공 으로 실시하여 국제

침해사고 발생시 련 기 간 신속한 정보공유 공동 응 기반확보(목표

200% 달성)

- 109 -

o 실천수칙 개정, 보호나라 홈페이지 개편, 검서비스 홍보물 제공 등

정보보호 취약계층을 상으로 홍보활동 무료 서비스 제공

- 일반국민의 침해사고에 의한 피해 방, 정보보호 인식확산 생활화

<향후계획>

o 홈페이지 변조 침해사고 사실을 외부 기 의존하는 체계 탈피 필요

- 사용자들이 많이 찾는 주요 사이트에 한 집 리를 통하여 인터넷의

실질 안 성 확보하고 통계 자료의 독립 확보체계 구축 추진

o 주로 국외에서 발견되고 있는 휴 폰 등 모바일 기기에 한 바이러스 공격의

국내 확산에 비

- 사고분석체계 응체계를 확보하는 등 국내 환경에 합한 휴 폰 바이러스

응체계 구축 추진

o 기존 사고처리 시에는 사고 사실과 간단한 조치방법을 설명하는 메일만 송

- ’06년부터 능동 으로 사고 피해자에게 원격지원 로그램을 활용한 화

상담 지원서비스 제공 추진

o 잠재 침해사고 원인으로 작용할 수 있는 BOT 감염 PC에 한 치료 등

극 인 응활동의 강화 추진

o 침해사고의 발견 응을 능동 체계로 환할 수 있도록 지원해 수

있는 기술의 극 개발 추진

- 110 -

2. 정보통신기반보호지원


o 해킹, 웜․바이러스 유포 등의 자 침해행 로 통신, 융, 국방 등 국가

주요기반시설 서비스의 교란․ 단으로 인한 경제 손실과 사회 혼란의

발생 가능성이 차 증 됨에 따라,

- 앙행정기 기반시설 리기 등이 소 기반시설을 안정 으로 운 할

수 있는 기반시설 지정, 취약 분석․평가, 보호 책 수립 이행검사

등의 종합 인 보호체계 확립이 필요


o 주요정보통신기반시설의 정보보호 수 제고

- 이행검사/보호계획/ 책수립 지원 건수 : 36건 → 46건(128% 달성)


- 보고서 : 1종 → 3종(300% 달성)

다. 추진내용

<주요정보통신기반시설의 정보보호 수 제고>

추진계획

o 주요정보통신기반시설 보호 책 보호계획 수립 지원

- ‘06년도 보호 책․보호계획 작성지침 개발 워크 개최

- 정보통신부 소 기반시설 보호 책 수립 지원 이행검사

o 주요정보통신기반 보호동향 분석 제도 정비

- 국외 정보통신기반 보호동향 분석 뉴스 터 발간

o 정보통신기반보호 강화를 한 국내․외 력활동 추진

- 2005년도 주요정보통신기반보호 워크샵(WIPRO) 개최

o 주요정보통신기반시설 보호 기술 지원(연 )

- 정보통신부 직할․산하․유 기 상 원격 취약 검

- 111 -

o 주요정보통신기반시설 보호 책 보호계획 수립 지원

- ‘06년도 기반시설 보호 책 수립 앙부처 보호계획 수립을 한 지침 개발(1.1~2.28)

※ 재정경제부 등 9개 앙 부처 KT 등 74개 기반시설 리기 에 배포하여 보호계획

보호 책 수립시 활용

’06년도 보호계획 수립시 추진 사항

o 백업시스템 운 역량 고도화 백업시스템 도입․

증설 계획 등 주요정보통신기반시설 백업체계

강화 방안 마련

o 소 리기 의 ’05년도 보호 책 이행 검방안

마련

- 통신분야 기반시설 ‘06년도 보호 책 수립을 한 워크 개최(3.24)

․‘06년도 보호 책 작성 요령, 보호 책 수립검토 이행검사 일정 등 설명

※ KT, SKT 등 17개 리기 정보보호담당자 등 45명 참석

- 정보통신부 소 17개 리기 22개 기반시설 ‘06년도 보호 책 검토

․12개 리기 ‘06년도 보호 책 문가 분석 검토의견 작성(4.25~29)

․12개 리기 ‘06년도 보호 책 장 검 개선의견 작성(5.13~24)

※ 정통부 소 17개 기반시설(신규시설 2개 포함) 총 325개 검 항목 완료 292개,

권고 29개, 보완 4개로 완료율은 94%임

※ 권고 보완 사항에 하여는 ‘06년 보호 책 이행 검 시 이행여부를 확인하는 차가 있음

구 분A B C D E F G H I J K L 종 합

% % % % % % % % % % % % % %

완료 88 96 92 92 100 98 96 92 92 96 94 94 96 94

권고 8 4 4 4 0 2 4 4 8 4 6 6 4 4

보완 4 0 4 4 0 0 0 4 0 0 0 0 0 2

- 112 -

앙 행 정 기 주요 검 토 내용

융감독 원회

기반시설보호계획

o 기반시설(세부시설 포함) 취소 등 변경 련 사항은 기반보호 원회

의결사항이나 별도 심의안건으로 분리하지 않고 있음

재정경제부


o 재경부 소 시설은 2차 지정(‘02.9) 시설로 ‘05년 3월까지 취약 분석

평가를 정식수행해야하므로 향후 이를 반 토록 권고함

외교통상부


o 시설별 백업체계 황에서 회복시간이 타부처(즉시~30분이내)에

비해 다소 떨어져(1시간~3시간) 향후 개선 검토 필요

행정자치부


o 최근의 인터넷민원서류 ․변조사고의 경우, 서비스 제공 경로상

문제가 발생하 으므로 향후, 망 심보다는 서비스 심으로 기반

시설의 신규지정 노력이 요구됨

산업자원부


o IT 산 증액(40%) 비 정보보호 산의 증가(1%)가 미약하여 균형

산편성의 검토가 요구됨

정보통신부


o 리기 보호계획의 이행 검 활동을 모범사례로 타부처에 확

용할 수 있도록 이행 검 모범사례 계획을 ‘06년도 보호계획에

포함시켜 추진할 필요가 있음

보건복지부


o 시설별 백업체계 황에서 회복시간이 타부처(즉시~30분이내)에

비해 다소 떨어져(30분~5시간) 향후 개선 검토 필요

건설교통부


o 소 기반시설 리기 이(국토지리정보원) 정보보호 담인력을

확보할 수 있도록 지도가 필요함

국회사무처

기반시설보호계획o 타기 의 CERT와 정보교류 는 긴 연락체계 구성이 필요함

․5개 신규 기반시설 ‘06년도 보호 책 문가 분석 검토의견 작성(8.10~11)

- 정보통신부 소 12개 리기 15개 기반시설 ‘04년도 보호 책 이행 검

․‘04년도 보호 책 이행검사 검항목 도출 워크 개최(4.13~14)

※ 총 12개 기 15개 시설에 하여 598개 검항목 도출

․12개 리기 ‘04년도 보호 책 이행상태 장 검(5.13~24)

※ 년 비 부분 리기 의 이행율이 향상(‘04년:88%→’05년:96%(8%p↑)) 되었으며,

특히, 두루넷과 정통부 지식 리센터가 20%p이상 향상됨. 이는 보호진흥원이 평가 세부

검 항목을 사 개발․배포하고, 리기 이 철 하게 사 비한 것으로 분석됨

구 분 A B C D E F G H I J K L 종 합

총항목수 53 39 56 49 52 69 59 51 63 39 43 25 598

항 목수 건수 건수 건수 건수 건수 건수 건수 건수 건수 건수 건수 건수 건수

이 행 5 1 3 8 5 1 4 4 5 2 6 7 5 3 4 8 5 9 3 8 3 7 24 5 6 2

미 흡 2 1 3 3 0 2 4 3 4 1 6 1 3 0

미 이 행 0 0 2 2 0 0 2 0 0 0 0 0 6

※ 미흡 미이행 사항에 하여는 ‘06년 보호 책 이행 검 시 이행여부를 확인하는 차가 있음

- 국회 사무처 등 9개 앙행정기 보호계획 수립 지원(9.23~10.7)

․재정경제부 등 9개 부처 ‘06년 주요정보통신기반시설 보호계획을 아래

표와 같이 분석 보완 권고하여 반

- 113 -

- 정보통신기반보호(실무) 원회 지원(7.1~10.7)

․ 앙선거 리 원회 기반시설 신규지정(안) 검토(9.6~10.7)

안 건 명 검 토 의 견

주요정보통신기반

시설 신규지정(안)

( 앙선거 리 원회)

o 주요정보통신기반시설 지정(안) 제출자 등의 변경 요청

- 안건 제출자 변경 필요 : 사무처장 → 앙행정기 의 장

o「III.신규지정 심사결과」내 용어의 변경 필요 :

단 시설 → 하 시설

o「 Ⅴ .향후 추 진 계 획 의 」 의 신 규 지 정 (안 ) 기 반 보 호 실 무 원회

제출을 기반보호실무 원회 상정으로 변경

※ 앙선거 리 원회에서 상기 검토의견을 반 하여 안건 수정 후, 기반보호 원회

심의를 거쳐 최종 으로 기반시설로 지정되어 고시됨(12.14)

․기반시설 지정 차 방법을 명시한「주요정보통신기반시설 지정평가

기 (안)」개발

- 주요정보통신기반시설 취약 분석․평가 수행(2개 시설)

※ 자서명인증 리시스템(2월～3월), 인터넷침해사고 응지원시스템(3월～4월)

o 주요정보통신기반 보호동향 분석 제도 정비

- 국외 최신 기반보호동향 분석을 통한 정보통신기반보호 뉴스 발간(21건)

- 미국 CERT Incident Report System, Cyber Security, SP 800-53 등 국외

기반보호 동향 분석 보고서 작성 정책기 (정보통신부) 제공(4건)

- 정보통신기반보호법․제도 개선반 운 을 통한 제도개선(안) 개발(8.1~12.30)

※ 주요 개선 이슈 :

① 기반시설 지정 활성화를 한 지정방식 보완

② 기반시설 보호계획․ 책 수립 상범 일정 개선

③ 기반시설 보호 책의 사후 리 체계 마련

④ 기타 제도 운 상의 미비 개선

- 114 -

o 정보통신기반보호 강화를 한 국내․외 력활동 추진

- 정보보호 책 우수사례 공유 등을 한 2005년도 주요정보통신기반보호워크

(WIPRO) 개최(11.29~30)

․취약 분석․평가 산출물 품질 리 방안, 융분야 내부통제 련 법령

변경에 따른 기반시설 향 등의 정보 공유를 통한 보호체계 강화

※ 국가정보원 등 앙행정기 , 기반시설 리기 , 정보보호컨설 문업체 등의

기반시설 담당자 170여명 참석

개회식 만족도(보통이상 : 98%) 내용별 선호도

※ 리기 업무에 즉각 활용 가능한 주제가 높은 호응을 얻었으며, CyLab 공동연구

황, SIS 자격증 소개 등 기반보호 업무 련성이 낮은 주제에 해 만족도가 낮아

업무 련성이 높은 로그램을 개발하여 개선할 계획임

- 제2차『한․ ․일 통신망 안 과 정보보호 실무 의회』참석(일본, 6.9)

․각국 정보보호정책 사고 응 황 소개, 최근 이슈가 되고 있는

BotNet, Phishing 등에 한 정보공유 제안과 스팸 응방안에 한 논의

․1차 실무 의회 력과제의 이행, 침해사고에 한 상호공조, 스팸 응을

한 법제도, 기술, 교육 등에 한 특별한 력의 필요성에 해 합의

공감 를 형성하 으며, 차기 회의는 국에서 개최하기로 함

- 국 정보통신기반보호워크 (The Meridian) 참석을 통한 국제 력채

확보(The Meridian, 국, 10.5~7)

․미국, 국, 랑스 등 18개국 정보통신기반보호 련 기 연락처 확보

정보공유 방안 의(Trafficlight Protocol)

- 국제컨퍼런스 참석을 통한 국내 기반보호활동 소개 IT 서비스분야의 사

안 성 확보방안을 홍보

※ Development of Methodology for Evaluation of Information Security Level in CIIP 제5회

IBIMA 국제 컨퍼런스 (12.13～15)

※ “Information Security Pre-Evaluation Model for New IT Service”, 제4차 ISCOCO 컴퍼런스

(스페인, 12.18～20)

- 115 -

o 주요정보통신기반시설 보호 기술 지원

- 정보통신부 소속 산하기 (총39개) 상 원격 취약 검(6.1~12.6)

․취약 검 결과 SQL Injection(21개 기 ), XSS(20개 기 ), 일 업로드

취약 (18개 기 ), 부 한 라미터 처리(16개 기 ), 다운로드 취약

(12개 기 ) 등 125개 취약 을 발견하여 정통부에 통보

․원격 취약 검 결과 등 (A~E)과 상세 취약 황 조치방법을

각 기 에 통보함으로서 홈페이지 정보보호 수 을 지속 으로 개선해

나갈 수 있도록 유도

등 A B C D E 총 계

기 수 16 9 6 7 1 39

- 우정사업본부 등 정보통신부 11개 직할기 ‘06년도 보호 책 검토(11.28~12.2)

․‘06년도 보호 책 작성지침 수 여부 검토 침해사고 방 응․

복구계획의 합성 등을 검토

※ 정통부 11개 직할기 검토결과 우정사업본부(96 ), 강원체신청(91 )이 상 으로

높은 수를 나타냈으며, 체 으로 평균 84 으로 낮은 수 임

기 명

계A B C D E F G H I J K L

합( 64) 1 4 8 7 2 5 1 0 6 0 5 7 5 0

권고(129) 4 1 0 1 1 1 6 1 3 8 1 2 1 7 1 2 1 0 1 1 1 6

부 합 (5) 0 0 0 0 0 0 0 1 1 1 2 2

수(18 ) 1 7 . 2 1 6 1 5 . 8 1 4 . 8 1 5 . 4 1 6 . 4 1 5 . 6 1 3 . 6 1 4 . 6 1 5 1 3 . 8 1 2. 8

수(100 ) 9 6 8 9 8 8 8 2 8 6 9 1 8 7 7 6 8 1 8 3 7 7 7 1

※ 이는, 정보보호 문인력 부재(3개 기 )와 정보보호 산의 미편성(7개 기 ), 시행

첫해로 인한 담당자의 정보보호 책 작성 미숙이 원인으로 단됨

- 시티은행 등 주요정보통신기반시설 지정 지정취소 차, 방법 등 자문

- 주요정보통신기반시설 정보보호 수 평가 방법론 개발(7.1~11.31)

․총 12개 통제분야, 54개 통제항목, 89개 세부평가항목 각 세부평가 항

목별 5단계 평가기 , 평가 차, 평가방안 등 개발

※ 방법론 개발의 의의 : 국내 최 기반시설 정보보호수 측정 방법 개발을

통하여 정량 정보보호 목표 설정 정보보호 로세스 개선 활동 방안 마련

- 116 -

<IT839 략 8 서비스의 정보보호 책 수립>

추진계획

o 8 서비스의 신뢰체계 기반구축 지원

- 8 서비스의 공통보안 임워크 연구

- 8 서비스 상 정보보호 사 향평가 모델 개발

- 8 서비스 상 자 침해시 장애 응 략 수립

o 8 서비스의 신뢰체계 기반구축 지원

- 8 서비스의 상호 공통 이고 필수 인 보안요구사항을 악하여, 체

서비스의 안 성을 제공하기 한 공통보안 임워크 개발

․8 서비스의 정보보호 임워크 도출 차를 정의

․8 서비스의 정보보호기술 추출 상 계 분석을 통한 정보보호기술

참조모델 제시

- 117 -

※ 인증/ 근제어/부인 쇄 보장, 데이터 기 성/통신보안/데이터 무결성 보장,

가용성/개인정보보호 보장을 한 8 서비스의 공통보안기술 제시

정 보 보 호 임 워 크 도출 차 정 보 보 호 참 조 모 델

보호할 대상의 계층 분류

Infrastructure/Service/Application

보호할 대상의 네트워킹 행위별 분류

Management/Control/End-user Plane

Technology Tree 작성을 통해 상세 요소기술 도출 및 신규기술개발 요소 발굴

ITU-T X.805 ,ISO 18028Reference Security Architecture 적용

정보보호 프레임워크 도출 절차 정의

서비스 대상

WiBro, DMB, VoIP, DTV, 홈네트워크, 텔레매틱스, RFID, WCDMA

환경 이해 및 보호대상 식별

위협 분석

취약성 분석

위험 평가

정보보호 목표 및 요구사항 도출

보호대책 도출

서비스간 상호 연관기술 분석

8대 서비스 통합정보보호프레임워크 도출

8개 대상 분석 완료?

예

아니오

8대서비스 보안목표 설정 및 요구사항 도출

Access control, Authentication, Non-repudiation, Data confidentiality, Communication flow security, Data integrity, Availability, Privacy

보호할 대상의 계층 분류

Infrastructure/Service/Application

보호할 대상의 네트워킹 행위별 분류

Management/Control/End-user Plane

Technology Tree 작성을 통해 상세 요소기술 도출 및 신규기술개발 요소 발굴

ITU-T X.805 ,ISO 18028Reference Security Architecture 적용

정보보호 프레임워크 도출 절차 정의

서비스 대상

WiBro, DMB, VoIP, DTV, 홈네트워크, 텔레매틱스, RFID, WCDMA

환경 이해 및 보호대상 식별

위협 분석

취약성 분석

위험 평가

정보보호 목표 및 요구사항 도출

보호대책 도출

서비스간 상호 연관기술 분석

8대 서비스 통합정보보호프레임워크 도출

8개 대상 분석 완료?

예

아니오

8대서비스 보안목표 설정 및 요구사항 도출

Access control, Authentication, Non-repudiation, Data confidentiality, Communication flow security, Data integrity, Availability, Privacy

정보보호 참조모델

홈 네트워크 텔레매틱스 RFID WiBro DMB W-CDMA D-TV VoIP

PKI/PMI

802.11i (무선랜) PKMv2 UMTSCAS

IPSec/TSL/WTLS

Basic Authentication & advanced Authentication Mechanisms (OTP, etc.)

XML Digital Signature, 지불/결제 시스템, etc.

생체 인식생체 인식 &스마트카드

생체 인식 &스마트카드

PAN 보안

PKI/PMI 기술의 경량화디바이스인증 강화

디바이스인증 강화

Roaming

스트리밍데이터 보호


안티 바이러스, 안티 스팸, 유해정보 차단

Embedded System 보안

무선/이동에 특화된 침입 탐지/차단/감내 시스템

위치 정보 보호 시스템

정보보호체계확립

- 취약성 진단 -- 평가 및 인증 -

8대 서비스간통합 및 연동을

고려한보안기술 연구

정보보호 참조모델

홈 네트워크 텔레매틱스 RFID WiBro DMB W-CDMA D-TV VoIP

PKI/PMI


IPSec/TSL/WTLS





PAN 보안



Roaming










고려한보안기술 연구홈 네트워크 텔레매틱스 RFID WiBro DMB W-CDMA D-TV VoIP

PKI/PMI


IPSec/TSL/WTLS





PAN 보안



Roaming










고려한보안기술 연구

- 신규 IT서비스의 기획 설계단계부터 정보보호 책을 수립․ 용하는 방법을

제시하기 한 정보보호사 평가모델(안) 개발

․정보통신서비스제공자 자율평가를 통한 보호 책 수립 임 정의

․신규 IT서비스 개발과정에 따른 사 평가 차 용방안 수립

정 보 보 호 사 평 가 차 서 비 스 개 발 과 사 평 가 차 용

서비스 아키텍쳐 및 환경 분석11단계단계

보호대상 식별 및 위험분석22단계단계

위험 감소를 위한 보호대책 도출33단계단계

보호대책 세부구현계획및 시험계획 수립

44단계단계

55단계단계 보호대책 구현 및 시험

보호대책 적정성

검토 (필수)

11차차 자문자문

세부구현계획

및 시험계획 적정성

검토 (선택)


시험 결과 및 구현

적정성 검토 (필수)


서비스제공자의 자체평가 절차 외부 자문

신규 서비스 개발 과정

정보보호사전평가절차

기획, 분석 단계 설계 단계 구축 단계 시험 단계 서비스 운영

1단계 : 서비스 아키텍쳐 및 환경분석

2단계 : 보호대상 식별 및 위험분석

3단계 : 위험감소를 위한 보호대책 도출

4단계 : 보호대책 세부구현 계획

및 시험계획 수립

5단계 : 보도대책 구현 및 시험수행

서비스운영이전에서비스운영이전에

정보보호대책정보보호대책 적용적용신규 서비스 개발 과정

정보보호사전평가절차

기획, 분석 단계 설계 단계 구축 단계 시험 단계 서비스 운영

1단계 : 서비스 아키텍쳐 및 환경분석

2단계 : 보호대상 식별 및 위험분석

3단계 : 위험감소를 위한 보호대책 도출

4단계 : 보호대책 세부구현 계획

및 시험계획 수립

5단계 : 보도대책 구현 및 시험수행

서비스운영이전에서비스운영이전에

정보보호대책정보보호대책 적용적용

※ 정보보호사 평가 차 : 5단계(3외부자문), 15개 태스크, 29개 활동으로 정의

․정보보호사 평가모델 검증을 한 사 평가기 개발 시험 용

※ 정보보호사 평가기 개발 : 홈네트워크 사 평가기 (구성요소별(46), 송

기술별(21))개발 RFID 사 평가기 (구성요소별(21)) 개발

※ 홈네트워크 시범사업을 상으로 사 평가기 시험 용(5.18～23)

- 118 -

홈 네 트 워 크 사 평 가 기 R F I D 사 평 가 기

- 8 서비스의 업무연속성 확보를 해 8 서비스의 자 침해시 장애

응 략 수립

․8 서비스의 발생 가능한 자 침해요소 장애유형 분석

※ 정보 괴, 변조, 서비스거부 등 기존 침해행 와의 상 계 분석 발생원인,

로세스, 정보시스템 요인 등의 에서 장애유형 분류

․8 서비스의 장애 응을 한 응조직 구성, 응 차 장애 리 세부

로세스 정의

※ 장애 응 조직 : 앙장애 응 , 분산장애 응 , 조정 으로 구성

장 애 응 조 직 구 성 장 애 리 로 세 스

o 장애 응 유형

① 앙 장애 응

② 분산 장애 응

③ 조정

o 장애 응 원 구성

① 조직내 사내 직원으로 구성

② 부분 인 외부 탁

③ 체업무의 외부 탁

장애관리 세부 프로세스

문제관리 프로세스

장애등록등급 지정

장애식별/접수

장애배정

1차해결

문제

관리2차해결

프로세스점검

장애종료

근본원인도출

문제등록

해결 방안모니터

해결 방안선택

해결 방안점검

해결 방안실행

문제종료

- 119 -


<주요정보통신기반시설의 정보보호 수 제고>

o 보호 책․보호계획 작성지침의 배포, 보호 책 수립시 분야별 문기술 지원,

보호 책에 이행검사 등을 통하여 리기 이 자율 으로 보호 책을 수립하고

이행할 수 있는 체계를 확립

o 국외 정보통신기반보호 동향의 분석정보를 정부기 , 기반시설 리기 등에

제공하여 최신 정보통신 환경에 부합하는 기반보호 정책수립에 기여하 으며,

정보보호수 평가방법을 개발하여 정량 정보보호 목표 설정 정보보호

로세스 개선 유도 방안 마련

o 향후, 통신분야 기반시설을 상으로 정보보호수 평가방법을 시범 용하고

체 기반시설로 확 시행하여 보호 책 사후 리체계를 강화

<IT839 략 8 서비스의 정보보호 책 수립>

o 8 서비스의 공통 필수 보안요구사항 분석, 사 평가모델 개발, 업무연속성을

한 장애 응 략수립을 통해 8 서비스의 안 ․신뢰성 확보 방안 마련

o 향후, 신규 IT 서비스의 안정 인 보 을 하여 각 별 정보보호 책의

베이스라인 개발 정보보호사 평가방법론 개발

- 120 -

3. 정보보호컨설 문업체 지정지원


o 정보통신기반보호법(‘01년 제정)에 따라 정보보호컨설 문업체 지정제도를

도입․운 이나,

- 컨설 수행능력 향상 등에 따른 환경변화와 재지정 기 불필요한 차

간소화 요구 등 개선 필요

- 공공기 의 윤리문제 강화추세에 따른 문업체 심사제도의 객 성, 투명성 등

공정성 강화 필요

나. 성과목표

o 정보보호컨설 문업체 심사 지원

- (재)지정/사후 리 심사 : 9건(100% 달성)

※ 재지정 심사 상 퓨쳐시스템이 재지정 미 신청으로 최 목표 10건을 9건으로 수정

o 정보보호컨설 문업체 지정 제도 개선(안) 마련

- 제도 개선(안) : 1건(100% 달성)

다. 추진내용

< 문업체 (재)지정, 사후 리 심사>

추진계획

o 정보보호컨설 문업체 (재)지정 심사 지원

o 정보보호컨설 문업체 사후 리 지원

o 정보보호컨설 문업체 업무 양도․양수에 따른 이니텍(주) 지정심사(3월)

- 세부심사 수행계획서 작성(3.28)

- 서류심사, 장실사, 종합심의 수행(3.29)

- 심사결과 보고서 작성(3.30)

※ 시큐어소 트(주)가 이니텍(주)에게 정보보호컨설 업무 양도

- 121 -

o 정보보호컨설 문업체 재지정심사(9월~10월)

- 상 업체 재지정 심사 서류 수(6.7)

※ 상 업체 : 인포섹, 코코넛, 한국IBM(미신청 업체 : 퓨처시스템)

※ 기술심의 원회를 구성․운 하여 심사 진행

- 서류심사 장실사 세부심사기 설명 자료 작성(7월)

※ 작업반별 주요 심사항목, 세부심사항목 설명

- 문업체 재지정 서류심사․ 장실사 계획 수립 작업반 구성(8월)

※ 정통부(1명), 보호진흥원(2명), 학계(2명), 회계사(1명), 연구계(2명) 총 8명으로 작업반 구성

- 문업체 재지정 서류심사, 장실사(8.23~31)

※ 재지정 신청업체(3개)를 상으로 5명의 심사 원(작업반)이 인력․자본요건․

설비․정보보호요건․업무수행능력요건에 해서 서류심사와 해당 업체를 방문

하여 장실사 수행

- 문업체 재지정 종합심사 계획 수립 기술심의 원회 구성(9.3)

※ 정통부, 보호진흥원, 학계, 연구계, 산업계, 산감사, ISP 등 9명의 기술심의 원 구성

- 문업체 재지정 종합심사(9.7)

※ 신청업체의 정보보호컨설 방법론, 기술책임자의 자질 경험, 정보보호 책,

문지식 등 비계량 항목(30 )을 평가

- 2개 문업체 재지정 확정 지정서 교부(10.7)

※ 재지정 신청 업체 인포섹(주), (주)안랩코코넛, 한국 IBM(주) 한국 IBM(주)는

기 수 미달로 탈락

번 호 업 체 명 ( 재 ) 지 정 일 자 지 정 만 료 일

1 시큐아이닷컴(주)

2004. 11. 30 2007. 11. 29

2 (주)인젠

3 (주)안철수연구소

4 에스티지시큐리티(주)

5 (주)에이쓰리시큐리티컨설

6 이니텍(주) 2005. 4. 1 2008. 3. 31

7 (주)안랩코코넛2005. 10. 8 2008. 10. 7

8 (주)인포섹

9 한국IBM(주)

2002. 10. 8

재지정 탈락에 의한 지정 취소(2005. 10.)

10 (주)퓨처시스템재지정 미신청에 의한

지정 취소(2005. 10.)

[표 3-3] 정보보호컨설 문업체 지정 황(10월)

o 정보보호컨설 문업체 사후 리 장실사(10월~11월)

- 122 -

- 문업체 사후 리 장실사 계획 수립(10.20)

- 문업체 사후 리 장실사반 구성(10.22)

- 5개 문업체 사후 리 장실사(11.1, 11.4)

※ 장실사 업체 : 안철수연구소(주), 인젠(주), 시큐아이닷컴(주), 에이쓰리시큐리티

컨설 (주), 에스티지시큐리티(주)

※ 신고의무 락, 컨설 인력에 한 보안 책 미비 등 지 사항 시정조치

- ‘05년 사후 리 장실사 결과보고서 작성(11.6~10)

기 검 내용 정 기

인력요건 인력변동사항, 재직확인 합여부

자본요건 자본 20억원 이상 합여부

설비요건 설비요건의 지정기 충족 유지 여부 합여부

정보보호요건 정보보호 리규정의 변경사항 수여부 합여부

변동사항 신고의무 변동사항에 한 30일 이내 신고의무 합여부

[표 3-4] 정보보호컨설 문업체 사후 리 장실사 검내용

o 5개 문업체 상 사후 리 장실사 결과 미흡한 사항에 해 재 검(12월)

- 11월 장실사 시 지 된 사항에 한 조치 결과 검토(12.10~12.15)

- 지 사항 조치 결과 합여부 각 업체에 통보(12.30)

o 8개 문업체 상 (재)지정, 사후 리 심사에 한 만족도 조사(12.22~28)

매우만족17%

만족 71%

보통 13%

매우만족 만족 보통 불만족 매우 불만족

구 분 매 우 만 족 만 족 보 통 불 만 족 매 우 불 만 족 평 균 수

심사자태도 0 7 1 0 0 3.9

심사처리 차 1 5 2 0 0 3.9

보호진흥원의공공성 3 5 0 0 0 4.4

※ 만족도는 매우만족과 만족의 비율을 합산 : 88% 만족도 달성

- 123 -

o 정보보호컨설 문업체 신규지정 필요성 검토(안) 마련(7월)

주요내용

o ‘05년 4월 재 정보보호컨설 문업체로 지 정 받 기 를 희 망 하 는 업 체 는 없 었 으 며 ,

o 기반시설에 한 컨설 시장 황 조사 결과, 수요(기반시설)보다는 공 ( 문업체)이

과다한 상태여서 추가 인 문업체 지정은 수요, 공 의 불균형을 악화시켜 과다경쟁

으로 인한 컨설 의 질 수 하 를 래 할 수 있고,

o 정보보호 안 진단의 경우도, 10개 문업체 3개 업체의 실 이 체의 80% 이상을

차지하고 나머지 7개 문업체도 안 진단을 수행할 수 있다는 을 고려하면, 7월

말까지 완료하도록 되어 있는 안 진단 상자의 수검에는 문제가 없을 것 으로 보여,

o 시 에서 문업체의 추 가 지 정 은 불 필 요

- 정보보호컨설 실 황조사(3월~7월)

- 정보보호컨설 문업체 신규지정 련 의견 조사(4.6)

※ 문업체 실무자로 구성된 한국정보보호산업 회 컨설 분과 실무자 의회를

통해 조사

- 정보보호컨설 문업체 신규지정 필요성 검토(안) 마련(7월)

< 문업체 (재)지정, 사후 리 심사 제도 개선>

추진계획

o 정보보호컨설 문업체 지정 제도 개선(안) 마련

o 문업체 (재)지정, 사후 리 심사제도 개선(안) 개발

※ 지정기 3건, 재지정 기 1건, 사후 리 기 1건 총 5건 도출

구분 내용

지정기

국내 정보보호자격증(SIS) 소지자도 기술인력으로 인정하여

국내․외 자격인정에 한 형평성 유지

신규 컨설 업체 진입 장벽 해소

1천만원 미만의 컨설 실 도 수행실 으로 인정

재지정 기 문업체 재지정기 간소화를 통한 심사 효율화

사후 리 심사 문업체 사후심사 범 시기 련 규정 명확화

[표 3-3] 정보보호컨설 문업체 제도개선(안) 주요골자

- 124 -

- 제도개선반 구성․운 (3월~6월, 4회)

※ 학계, 연구계, 산업계 문가 등으로 구성

[그림 4-3] 제도개선연구반 추진체계

- 문업체 제도와 유사한 국외 제도 분석(8.16~9.14.)

- 문업체 (재)지정, 사후심사 제도 개선(안) 마련(10.10)

- 문업체 (재)지정, 사후심사 제도 개선(안) 정보통신부 건의(10.12)

※ 내년 정보통신기반보호법 개정시 반 하는데 합의

- 문업체 (재)지정 제도 개선(안) 법 신․구 비표 작성(11.3)

- 문업체 (재)지정 제도 개선(안) 법률자문(11.17)

- 8개 문업체 상으로 개선(안)에 한 필요성 조사(12.16)

․필요성 조사 결과

구 분 필 요 보 통 불 필 요

SIS 자격인정 6 2 0

1천만원 미만 실 인정 5 1 2

재지정심사 간소화 6 2 0

사후심사 명확화 8 0 0

o 건 한 정보보호컨설 시장 환경조성 등 국내 정보보호 발 방향 논의

- 정보보호컨설 문업체 표자 간담회(6.24, 10.28)

※ 문업체 인지도 정보보호 컨설 의 질 향상 노력 필요 공감 형성

- 125 -

< 문업체 표자 간담회, 6.24> < 문업체 표자 간담회, 10.28>

- 정보보호컨설 문업체 임원 간담회(12.16)

※ 문업체 제도 개선(안) 정보보호컨설 시장 활성화 방안 논의

o 정보보호 분야 분리 발주 방안 마련 문업체 홍보

- SI 사업 발주시 정보보호 분야 분리 발주 방안 마련(11.17)

※ 정보보호 산업발 과 품질향상을 하여 국가차원에서 정보보호제품 서비스의

분리발주 극 권장의 필요성을 정보통신부에 건의(11.18)

- 보호진흥원 뉴스 터 홈페이지를 통한 문업체 홍보(12.10~)

․정보보호컨설 문업체 홍보 고페이지 업체 의견수렴(11.20~24)

※ 8개 문업체 로고 홍보내용을 담은 고페이지 제작(11.25)

< 문업체 심사제도 객 성 공정성 강화>

o 사후 리 심사 해설서 개발 배포

- ISMS, 공인인증기 실질심사 등 원내 심사 련 로세스 분석 등을 통하여

장 벤치마킹 가능한 로세스 도출(9.25~10.6)

- 정보통신기반보호법 시행규칙, 고시 등 심사 기 세분화(10.7~13)

- 심사 항목에 한 수검 비사항 심사 방법론 개발(10.14~19)

- 심사 해설서 안 개발 문가 자문(10.19~21)

- 심사 해설서 심사 원 수검 상 업체 배포(10.24)

o 계획→ 검→지 사항 재 검 3단계로 사후 리 심사 로세스 개선(안) 마련(10.22)

※ 11월 진행된 5개 문업체 사후 리 장실사 진행시 용

- 126 -

정보보호컨설팅전문업체 정보통신부한국정보보호진흥원

현장실사

단계

준비

단계

완료

단계

사후관리 완료확인

업체 통보

준수여부

YES

NO

현장실사 준비

공문 접수 공문 접수

예산 및 인력지원

서면 통보(목적, 인적사항 기재)

현장실사반 구성

현장실사

종 료종 료

시정명령(또는 시행규칙

별표 3)

시정명령 조치

조치완료 통보 재점검

[그림 4-4] 정보보호컨설 문업체 사후 리 업무 차도

o 문업체 재지정 사후 리 심사 진행시 윤리강령 선언(8.31, 11.1, 11.4)


< 문업체 (재)지정, 사후 리 심사>

o 기존 문업체의 양도․양수에 따른 지정심사 시, 양도․양수 상황을 고려하여

업무 수행 차를 개선함으로써 심사기간 단축 상 업체의 만족도 제고

※ 컨설 경험 등 양도인에 의존 인 사항보다는 양수인의 자본 설비요건 등 양수인에

종속 인 사항을 심으로 심사

o 재지정 심사 시, 매년 실시하는 사후 리 심사와 복된 항목은 서류심사로 가름

하는 등 재지정 심사 차 효율화

o 학계, 연구계, 산업계로 심사 원 구성하여 심사의 공정성 강화 문업체 제도

취지에 합한 건 한 컨설 시장 환경 조성 기반 마련에 기여

< 문업체 심사제도 객 성 공정성 강화>

o 정보보호컨설 문업체 사후 리 심사시 심사항목 구체화 계획→ 검

→지 사항 재 검 3단계 로세스 도입을 통한 사후 리 기능을 강화

- 127 -

- 정보보호컨설 문업체의 질 하를 방지하고 주요정보통신기반시설에 한

안 ․신뢰성 제고에 기여

<향후 계획>

o 정보보호컨설 문업체 기술수 제고를 해 최신해킹기술 방어기법 등 고

기술 등을 제공함으로써 주요정보통신기반시설의 정보보호수 향상 도모

o 문업체 (재)지정심사 사후 리 장실사의 차개선 자동화하여 업무의

효율성 제고

- 128 -

4. 정보보호 안 진단 지원


o 인터넷을 기반으로 한 정보통신서비스 제공자의 정보보호수 을 강화하여

정보통신망의 안정성 정보의 신뢰성을 확보


o 정보보호 안 진단 상자의 효과 수검 지원

- 안 진단 상자 진단 수검률 : 90% → 100%(111% 달성)

※ 안 진단 수검 상 업체 : 142개

- 안 진단 모범사례 국제 발표 : 2건(100% 달성)

다. 추진내용

<정보보호 안 진단 상자의 효과 수검 지원>

추진계획

o 안 진단 수검률 제고를 한 활성화 방안 추진

- 안 진단 상자 세사업자 지원 방안 추진

- 안 진단 교육 모범사례 발표 세미나 개최

- 안 진단 비지원 상담반 운

o 안 진단 황 리시스템 구축 이행 진

- 안 진단 진행 황 리 진단 기 , 범 설정, 차․방법 등 자문

- 안 진단 정보공유체계 수립 운

o 안 진단 수검률 제고를 한 활성화 방안 추진(1월~12월)

- 안 진단 제도에 한 인식제고 안 진단 수검 활성화를 한 세부방안

수립 시행(1월)

※ 설명회, 세미나 등 제도인식 로그램 개최, 상담 기술자문, 세업체 수검

지원방안 도출 등 안 진단 제도 시행을 한 업무를 조기에 수립하여 수행

- 안 진단 목표 수검률 달성 수검 진을 한 험 리기반의 안 진단 조기

경보체계 구성 운 (2월)

- 129 -

행사명 일시 장소 참 석 자 ( 참 석 자 수) 주요내용

안 진단 방법․ 차

교육

1.26

(명동 은행회 )

안 진단 상업체,

문업체, 정통부,

보호진흥원 등(190명)

o 안 진단 제도 추진방향,

상 기 선정, 기 ․

방법․ 차 설명

o 안 진단 업무지침 실무

사례 소개 등

VIDC 안 진단 수검

지원을 한 CEO

간담회

3.17

(삼성동

섬유센터)

VIDC 업체 표자,

보호진흥원(30명)

o 안 진단 제도 추진방향,

기 ․방법․ 차, 수검

지원사항 등

o 안 진단 수수료 실화 방안,

문업체의 안 진단 수행 조 등

o VIDC 업체 의견수렴

정보보호컨설

문업체 CEO간담회

3.22

(소공동

조선호텔)

문업체 표자,

정통부,


o 안 진단 제도 취지, 세

업체의 조한 수검률 해결

방안, 수검업체의 쏠림 상

응방안 등

인터넷기업 회

안 진단 제도

설명회

3.24

(정보통신

윤리 원회)

쇼핑몰, 포털업체 등

인터넷기업 회원,

정통부,


o 안 진단 제도 취지, 기 ․

방법․ 차, 효과 수검

방법 지원사항 등

o 기업 회 업체 의견수렴

․안 진단 수검 법정기한인 ‘05년 7월까지 상업체 100% 수검 완료

※ 안 진단 상자의 월별 안 진단 계약 진단완료 황에 한 지속 인

모니터링을 통해 진행목표 비 실 을 분석하 으며, 양호, 주의, 비상 3단계로

구분하여 단계별 응조치를 수행

- VIDC업체 실태조사 의견청취를 통해 세업체 자율 수검유도를 한

지원방안 수립 시행(2월)

※ VIDC 실태조사를 통한 VIDC업체 통합수검 검토 추진, 안 진단 업무지침

실무지침 작성을 한 템 릿 제공, 문가를 활용한 장 방문 상담 기술 자문

- 안 진단 제도에 한 인식제고를 해 안 진단 해설서, 지침, 홍보

로셔 로고 제작․배포(2월)

배포목 배포물 배포처 주요내용

안 진단 제도에

한 인식제고

수검 활성화

안 진단 해설서,

지침, 홍보 로셔

로고 등


문업체 등

(우편 발송, 홈페이지

게시)

o 안 진단 기 방법․ 차․

수수료에 한 해설서

o 안 진단 계획서 작성, 안 진단

상 설비 시설 선정, 안 진단

결과보고서 작성을 한 지침

o 안 진단 제도 도입배경, 법

근거, 추진체계, 상자, 진단

범 상 선정, 면제범 ,

문업체 연락처 등

- 안 진단 제도 인식제고 제도정착을 한 설명회, 세미나 개최 등 수검

지원업무 수행(총7회, 1월~12월)

- 130 -

안 진단 모범사례

발표 세미나

4.14

(명동 은행회 )




o 안 진단 제도 소개 효과

수검방법

o 안 진단 정보보호실무지침

모범사례 소개 등

웹호스 기업 회

일 수검 추진을 한

설명회

4.22

(일산 정보넷)

VIDC업체,

웹호스 기업 회원,


o VIDC업체 수검 지원방안

일 수검 의

안 진단을 통한

기업보안 리 세미나

12.8

(명동 은행회 )

안 진단(신규 상자

포함) 상업체,


보호진흥원 등(227명)

o ‘05년 안 진단 성과

’06년 안 진단 추진방향

o 안 진단 모범사례 등

- 문업체간 정보공유 황 악을 한 실무자 의회 구축 운 (총4회,

2월~11월)

회의명 일 자 참석자수 주요 의 내용

문업체

실무자

의회

1차 2.2 15명

o 정보공유 황 악을 해 문업체 실무자로

구성된 의회 구성

o 문업체의 안 진단 진행 황 보호진흥원 제공

o 안 진단 활성화를 해 문업체간 정보공유 방안

2차 3.2 12명

o 안 진단 상자 스스로 사 컨설 선택할 수 있도록 홍보 추진

o 안 진단 조기수검을 한 홍보 지원 방안

o VIDC 안 진단 수검 지원 방안

3차 4.6 8명

o 웹호스 기업 회를 통한 VIDC업체의 안 진단 일 수검

o 안 진단 상 범 템 릿 작성방법에 한 교육

o 안 진단 결과보고서 작성 제출 방법

4차 11.23 12명

o ‘05년도 안 진단 시행 결과 ’06년도 추진계획

o 안 진단 결과보고서의 질 수 향상 방안

o 안 진단 수검 쏠림 상 방지 안 진단 세미나 개최

- 안 진단 수검 진 수검 편의 극 화를 한 상담운 SOP 개발

상담 시행(2월~12월)

구분 수행방법 수행 건 수 주요 상담 내용

안 진단

상담반 운화, 자우편, 장방문 등 총500건

o 안 진단 기 , 진단 수수료, 안 진단

면제, 안 진단 결과 제출 등에 한

상담 기술자문

o 고객의 불만사항 청취 애로사항 해결 등

※ 역무별로 4개 그룹(ISP, IDC, VIDC, 쇼핑몰 등)으로 구분, 각 그룹별 담당자 지정을

통한 고객맞춤형 서비스 제공

※ 안 진단 수검에 수동 는 부정 인 43개 업체에 해 장방문 홍보를

통해 안 진단 수검 유도

- 131 -

o 안 진단 황 리시스템 구축 이행 진

- 안 진단 수검 황에 따른 단계별 응조치를 취하기 해 그룹별, 역무별

안 진단 진행 황(주간/월간)을 주기 으로 악․ 리(1월~7월)

․종합 인 수검 진행 황 리 단계별 응으로 ‘05년도 총142개 안

진단 상업체 138개 업체 수검완료

※ 4개 업체는 면제(정보보호 리체계 인증 3개 업체, 취약성 분석․평가 1개 업체)

- 안 진단 상자의 수검 편의제공 이용 만족도 향상을 해 홈페이지

개선 주기 업데이트를 통한 정보공유 강화(1월~12월)

․안 진단 진행 황의 주기 (주간/월간) 업데이트, 해설서 지침 등

련자료의 홈페이지 게시

- 안 진단 상자의 자율 인 수검 비를 한 Self-Test 도구 개발(7월~12월)

․안 진단 일정 리, 진단계획서 수립, 결과보고서 작성

․ 상설비 시설 선정, 자가 진단, 해설서 지침 참고 기능 등

- ‘06년도 안 진단 시행을 해 상업체에게 안 진단 수검 안내(8월~12월)

․‘06년도 안 진단 상여부 확인을 해 후보업체인 총318개 업체에 공문발송

․안 진단 상여부 확인(사실확인서 수) ‘06년도 안 진단 수검 안내

※ 제도소개 련 상담 190건, 이의신청 77건 수(12월 기 )

<정보보호 안 진단 결과 검토 상자 선정 지원>

추진계획

o 안 진단 상자의 안 진단 결과 검토 확인

- 진단 결과보고서 검토 부실화 방지를 한 진단결과 장 확인

o ‘06년 안 진단 상자 선정을 한 황조사

- ‘05년도 안 진단 상자 ’06년도 추가 상자에 한 세부 황조사

o 안 진단 상자의 안 진단 결과보고서 검토 확인

- 안 진단 수행의 성 이행여부 확인을 해 업체별 진단 결과보고서

검토회의(총4회, 5월~9월)

․총142개 업체 138개 업체(안 진단 면제업체 제외)의 결과 보고서 검토

※ 검토방법 : 학계․산업계 등 외부 문가로 구성된 검토 원 활용

※ 업체별 진단 결과보고서에 한 분석자료를 기반으로 ‘05년도 안 진단 결과

보고서 작성 개선방안 도출

- 132 -

구분 일정 업체수 검 토 결 과 개 선 사 항 도출

결과보고서

검토

1차 5.27 11개

총138개

o 총138개 업체의 결과보고서

검토결과 44개 업체에 해

자료보완 장검사 확인

필요

o 양호(94개 업체), 자료보완

(33개 업체), 장확인(11개

업체)

o 안 진단 결과검증

차 강화 필요

o 안 진단 결과보고서

보완 요청 장

확인 근거 규정마련

필요

2차 8.2 ~ 3 63개

3차 8.30 ~ 31 56개

4차 9.21 ~ 22 8개

- 업체별 결과보고서 검토결과에 일부 문제 혹은 확인사항이 발견된 안

진단 수검업체에 해 안 진단 기 이행의 사실여부 결과검증을 한

장 확인(11월)

․ISP(2개 업체), 쇼핑몰(3개 업체) 총5개 업체에 해 사후 리 성격의 장

확인을 실시하여 안 진단 질 수 을 향상

o 안 진단 개선명령 결과 검토 이행확인 지원

- 안 진단 기 미이행 혹은 부 합 사유 발생에 따른 개선명령 발생시 개선명령

이행결과 확인 결과보고서 검토를 한 표 업무 차(SOP) 작성

o ‘06년 안 진단 상자 선정을 한 황조사

- 객 이고 신뢰성있는 ‘06년 안 진단 상자를 악하기 해 ‘05년도 안 진단

상자를 포함하여 정보통신서비스 사업자에 한 세부 황조사(5월~7월)

․안 진단 상업체 황 악에 요구되는 자료에 한 객 성 신뢰도가

높은 기 의 자료 활용, 상업체 직 연락 확인 등 다단계 검증

구 분 주요 내용

조사목 o ‘06년도 안 진단 상자 선정을 한 기 자료로 활용

조사방법

o 안 진단 상자 선별을 해 외부 문기 을 활용하여 객

이고 공정한 작업 수행

- 통신조사( 화, FAX, E-mail 등)와 문헌조사 병행 실시

- 매출액, 이용자수 확인을 해 랭키닷컴, 통계청, 코참비즈,

한국신용평가정보, 한국정보통신산업 회의 검증자료 활용

조사기간 o 5월 ~ 7월(3개월)

조사내용

o 주요정보통신서비스사업자(ISP), 집 정보통신시설사업자(IDC, VIDC),

쇼핑몰 등 기타 정보통신서비스제공자들의 일반 황 매출액 등 조사

o ‘06년도 안 진단 상 상업체 악 : 총318개 업체

- 주요정보통신서비스제공자(ISP) : 13개 업체

- 집 정보통신시설사업자(IDC, VIDC) : 136개 업체

- 쇼핑몰 등 기타정보통신서비스제공자 : 169개 업체

- 133 -

<정보보호 안 진단 제도 개선 고도화 연구>

추진계획

o 안 진단 제도 개선 지원

- 안 진단 련 정보통신망법 개정 지원

o 안 진단 제도 발 방안 검토

- 침해사고시 책임문제, 부실화 방지방안, 인센티 부여 방안 등

o 안 진단 실무지침 개발․보 - IT 환경 변화에 따른 안 진단 기 개선안 마련

- 안 진단 기 도메인별 실무지침 작성 진단 결과검증 SOP 개발

o 정보보호 안 진단 국제 활동 강화

- 국내외 유사사례 벤치마킹

- 안 진단 기 등 문자료 제공 안 진단 사례(2회) 국외컨퍼런스 발표

o 안 진단 제도 개선 지원

- IDC 보호지침과 안 진단 기 과의 비교․분석을 통해 IDC 보호지침 개정(안)

도출(9월~12월)

- 안 진단 수행업체 확 를 해 정보통신망법 개정 법률안 작성 국회의원

발의안으로 입법추진(10월~12월)

※ ‘안 진단 수행업체 확 ’건은 규제개 원회 지 사항(5월)으로, 안 진단 수행

업체를 정보보호컨설 문업체에서 일정 요건(정보보호 기술인력 보유, 정보

보호컨설 수행실 )을 갖춘 법인 등으로 다양화하는 방안임

o 정보보호 안 진단 제도 발 방안 검토

- 안 진단 제도의 실질 개선방안 마련 검토를 해 산․학․

연․ 등 다양한 문가들로 구성된 담반 구성․운 (7월~12월)

․안 진단 기 개발, 제도운 , 제도개선 등 3개 역으로 구분하여 공정하고

실효성 있는 제도 발 방안 마련

※ 안 진단 제도 개선 발 방안 : 안 진단 상자 확 , 침해사고시 책임문제,

부실화 방지, 인센티 부여방안, 특정시기 안 진단 편 상 방지 등

- 134 -

구분 회의명 일정 장소 참석자 주요 내용

안 진단 제도

개선

발 방안 마련

‘05년도 안 진단

성과평가 제도

발 방안 마련 워크샵

개최

8.11~12

(잠실

올림픽 크텔)

보호진흥원, 학계,

정보보호업체,

문업체,

안 진단 상업체

등 외부 문가

(총12명)

o ‘05년도 안 진단 수행결과

분석 제도 개선(안) 도출

정보보호 안 진단

제도에 한 쟁 사항

검토회의

11.10

(보호진흥원)

보호진흥원, 학계,

정보보호업체,

문업체,

안 진단 상업체

등 외부 문가

(총12명)

o 안 진단 수검 편 상 해결 방안

o 안 진단 상자의 침해사고

응논리 방강화 방안

o VIDC업체 안 진단 상

포함 여부

안 진단 제도 개선

발 방안 마련을

한 외부 문가

활용회의

11.29~ 12.20

(총 7회 ,

보호진흥원,

)

보호진흥원,

학계, 문업체

등 외부 문가

(4명)

o 안 진단 기 개선방향

o 효율 안 진단 운 을 한

제도 홍보 수검지원 강화 등

o 안 진단 상자 선정 수행

업체 확

o 안 진단 책임소재 분쟁조정

o 안 진단 수검업체 인센티

부여 방안 등

- “정보통신서비스제공자를 한 안 진단 기 ”을 인터넷보안기술포럼(ISTF)에

제안하여 표 으로 채택(12월)

o 안 진단 실무지침 개발․보

- 안 진단 수검(진단 기 이행)에 어려움이 있는 세업체의 수검 비 지원을 해

실무지침 7종( 리, 기술, 물리 분야) 개발․보 (4월)

구분 기 분야 정 보 보 호 실 무 지 침 명 성 과

안 진단 기

리 분야(4종)

o 정보보호 방침서

o 정보보호조직 운 지침서

o 정보자산 리지침서

o 침해사고 응지침서

※각종 지침서 규정

샘 을 제공하여

세업체의 정보보호

체계 구축의 효율성

제공기술 분야(2종)

o 서버 보안지침서

o 네트워크 보안지침서

물리 분야(1종) o 물리 보안지침서

- 안 진단 결과검증 SOP 기법 개발(9월~12월)

- 135 -

․외부 문가들의「업체별 진단 결과보고서」검토시 주의 등 방법 차를

기술한 지침 개발(3월)

․진단 결과 검토시 각 기 에 따른 항목별 세부 검사항 제시

- IT839 등 IT 환경변화에 따른 안 진단 기 정보보호지침 개선방안

마련(12월)

․안 진단 기 정보보호지침 개선방안 도출로 정보통신환경 변화

신규 서비스 도입에 따른 안 진단 기 용의 신속한 사 응 가능

- 안 진단 상자의 수검편의 업무 효율성 향상을 해 안 진단 해설서(2종),

안 진단 업무지침(3종) 등 개정․배포(12월)

※ 재 운 인 안 진단 실무 차와 일 성을 유지하고 고객의 요구사항을 최 한

반 하여 안 진단 수검 비 수행에 따른 부담을 최소화함

구분 종류 배 포 처 성 과

안 진단

해설서

(2종)

정보보호 안 진단 기

해설서 안 진단 상업체,

문업체 등

※우편발송, 홈페이지

게시 등

o 안 진단 기 에 한 해석을

명확히 하여 진단업체간 검

수 의 객 성 확보

정보보호

안 진단․방법․ 차․

수수료에 한 해설서

o 안 진단 방법․ 차에 한 상세

설명으로 제도에 한 이해도

인식 향상

o 업체간 과당경쟁, 답합 등을 통한

수수료 과다, 과소 책정을 방

안 진단

업무지침

(3종)

안 진단 계획수립 지침


문업체 등

※우편발송, 홈페이지

게시 등

o 안 진단 상자의 수검 비 기간

단축, 업무효율성 제고, 결과보

고서의 질 수 향상

안 진단 결과보고서

작성 지침

안 진단 상

정보통신설비 시설

선정 지침

o 정보보호 안 진단 국제 활동 강화

- 안 진단 제도의 수 향상 장기 발 방안 마련을 해 국내․외

유사제도 황조사 용방안 도출(9월~10월)

※ 국내외에서 시행하고 있는 유사제도의 운 방법․ 차 성공요인 분석을 통해

안 진단 제도의 개선계획 수립을 한 기 자료로 활용

구분 주요 내용

국내외 유사제도 황조사

국내 o 기․가스 , 교통, 소방 안 진단 제도

국외o 국 IT HealthCheck, 캐나다 ITIPSPS, 독일 IT

Baseline Protection, 미국 Safeguard FISMA

국내외 유사제도간 비교․분석 내용

o 상업체 신고를 한 제도 장치, 진단 방식의 다양화,

안 진단 수행 문인력 양성 등 안 진단 제도에서의

용방안 도출

- 136 -

- 안 진단 모범사례 해외발표(2회)

․국내 정보보호제도인 안 진단 제도에 한 국제 홍보와 인지도 확보를 해

국외 컨퍼런스에 논문 제출․발표(2건)

․안 진단 기 ․방법․ 차 향후 발 방향 등 제도 소개

컨퍼런스명 일시 장소 논 문 명

WEC ICIS'05터키

이스탄불(6월)

o ISCS(Information Security Check Service) for the

Safety and Reliability of Communications

4th WSEAS미국

마이애미(11월)

o ISCS(Information Security Check Service) for

Strengthening the Stability and Reliability of

Information Communication Service

- 안 진단 제도에 한 인식 역을 확 하기 해 안 진단 기 ․방법․

차에 한 문 버 의 설명자료( 문 로셔 포함) 작성


<안 진단 상자의 효과 수검 상자 선정 지원>

o 안 진단 상자 142개 업체 모두 정보보호컨설 문업체로부터 안 진단

기 을 수한 것으로 평가되어 안 진단 수검 100% 완료(안 진단 수검률

목표인 90% 과달성)

구 분상

업체수안 진단

완료 업체수면제

업체수

ISPKT, 하나로텔 콤 등

주요정보통신서비스제공자 13개 12개 1개

IDC KIDC, KT-IDC, 삼성SDS 등 집 정보통신시설사업자 24개 22개 2개

VIDC

정보넷, 오늘과내일 등 집 정보통신시설사업자

39개 39개 -

쇼핑몰등

롯데닷컴, 인터 크, 다음 등 정보통신서비스제공자 66개 65개 1개

합계 1 4 2개 1 3 8 개 4 개

안전진단 수행 시기

05년 1월0.7%

04년 12월0.7%

05년 2월2.2%

05년 6월37.7%

05년 3월2.2%

05년 4월2.9%

05년 5월10.9%

05년 8월4.3%

05년 7월38.4%

- 국내 정보통신서비스의 안정성을 강화하고 안 진단 제도 정착 활성화에 기여

- 안 진단 상자들이 안 진단 수검을 통해 정보보호조직 구성(30.5%→86.3%),

정보보호 규정마련(34.7% → 73.7%), 정보보호시스템 도입(52.9%→76.5%) 등 기업

반의 정보보호체계를 마련하여 정보보호 수 향상

- 안 진단 상자, 문업체, 련 회 등과 조체계 구축 안 진단 진행

황 모니터링 등을 통한 안 진단 제도 시행의 조기정착 기반 마련

- 137 -

※ 한국정보보호산업 회가 설문조사한 2005년도 정보보호 10 뉴스에서 ‘정보보호

안 진단 성공 수행’이 5 에 선정되어 안 진단 제도의 수행이 성공 이었다는 정 인

평가를 받았음

o 안 진단 상자의 안 진단 수검 결과에 한 검토를 통해

- 각 기업의 정보보호의 문제 개선사항을 악․통보하 으며, 해당 기업으로

하여 이에 한 재발방지 보완요청을 통해 기업의 보안 리 수 을 향상

- 안 진단 질 수 향상을 한 개선사항 도출 향후 추진과제를 발굴

- 국내 정보통신서비스 제공자의 황 객 데이터는 ‘06년 안 진단 상자

선정을 한 기 자료 제공

<안 진단 제도 개선 고도화 연구>

o 민간부문인 정보통신서비스 제공자의 정보보호수 을 제고하고 안 진단 제도

발 을 한 환경 마련

- 안 진단 상자에게 최소한의 정보보호조치를 수하게 함으로써 정보보호

조직 구성, 침해사고 응체계 구축 등 기본 인 정보보호체계를 마련하고

반 인 정보보호 수 을 향상시킴

- 국내 정보보호 안 진단 제도를 국외에 홍보하는 기회를 가짐으로써 인지도를

강화하고 지속 으로 제도 수 을 높임

<향후계획>

o 안 진단 상자의 침해사고 방을 한 능동 인 상시 보안 리체계를 구축

하기 한 기반 조성

- 상시보안 리 체계 마련 임워크 개발, 안 진단 자체 비 사후

리도구 개발․보 , 정보보호 련 정보 제공

o 안 진단 부실화 방지 자율 수검환경 조성 등 제도개선 고객 맞춤형

실질 지원체계 수립․시행

- ‘05년도 안 진단 시행결과를 바탕으로 안 진단 부실화 방지 등 제도 개선을

한 정보통신망법 개정 등 법제 정비

- 안 진단 상자의 역무 서비스 환경에 합한 안 진단 기 세부

체크리스트, 실무가이드 개발, 사업자의 특성에 합한 진단지침 개발

- 138 -

5. 정보보호 리체계 인증


o 최근 개인정보 노출사고, 인터넷뱅킹 사고 등 각종 보안사고가 발생함에

따라 정보통신망의 안 한 운 정보의 신뢰성 확보를 한

- 정보통신서비스제공자에 한 종합 인 정보보호 리체계 수립 진


o 정보보호 리체계 인증 상 확

- 인증심사 수행 : 34건(100% 달성)

- 인증상담 기술자문 : 40건 → 45건(112% 달성)

o 정보보호 리체계 인증심사 수 제고

- 인증심사 만족도 평가 : 85 이상 → 90.8 (108% 달성)

다. 추진내용

<정보보호 리체계 인증 상 확 >

추진계획

o 정보보호 리체계 인증심사 기술지원

- 정보보호 리체계 최 심사 사후 리 심사

- 정보보호 리체계 인증상담 기술자문

- 정보보호 리체계 수립 사례 발표 세미나 개최

※ 정보보호 리체계 수립 모범사례, 구축 방법론 등 발표

o 정보보호 리체계 인증제도 개선

- 국내․외 유사 인증제도 벤치마킹

- 정보보호 리체계 인증제도 개선(안) 개발

- 국내․외 인증기 과의 상호 력 방안 마련

- 139 -

o 정보보호 리체계 인증심사 기술지원(1월~12월)

- 정보보호 리체계 인증 상 확 (34건) : 년도 비 74% 증가

분 류 인 증 심 사 상

최 심 사 (9건 )

소 기 업 은 행 , 시 큐 아 이 닷 컴 (주), (주) 이 티 리 텔 (보 안시스템운 ),

(주) 한항공, 한진정보통신, 넷시큐어테크놀러지(주), (주)안철수연구소,

상호 축은행 앙회, 한국통신인터넷기술(주)

사후 리

심사(24건)

인포섹(주), (주)인젠, SK텔 콤(주), 농업 동조합 앙회, (주)시큐어소 트,

(주)코코넛, (주) 이티 리텔(K-merce쇼핑, 보안 제체계), 한국정보인증(주),

KT IDC 12개 사업장(분당, 목동, 마포, 혜화, 동, 부산, 주, 구, ,

주, 원주, 청주), 한국과학기술정보연구원, 법원행정처

갱신심사(1건) (주)에이쓰리시큐리티컨설

※ KT IDC 혜화, (주)시큐어소 트는 자사 내부사정으로 인하여 인증유지 불가

- 기술지원 확 방안으로 기업들의 ISMS 수립 인증 비과정의 애로사항 등을

해결하기 해 화상담, 장방문 등을 통한 기술자문(총45회) 실시(1월~12월)

․ 화상담 장방문 : 한진정보통신, 상호 축은행 앙회 등 45회 실시

․기술자문 건수 : ‘04년 28건 → ’05년 45건( 년 비 61% 증가)

o ISMS 인증제도 활성화(10월~12월)

- 인터넷 쇼핑몰, 포털업체 등 신규 인증 상 확 를 해 정보보호안 진단 제도와

연계한 기업 보안 리 강화 략 세미나 개최(12.8, 은행회 , 227명 참석)

․기존의 인증제도 소개 심의 세미나를 ISMS 수립 성공사례 발표 심으로

환하여 ISMS를 수립하는 기 에 도움이 되도록 지원

- 인증제도 활성화 방안 수립

․정보보호 안 진단 상자, 인증상담업체 등으로 그룹화하고, 각 그룹별에

한 화상담 장방문 실시 등

인 증 제 도 활 성 화 방 안 주요 내용

화상담

장방문

o 삼성SDS, 드림라인 등 안 진단 상자 14개 업체

o 엠피씨, 삼성카드 등 인증상담 5개 업체

수립지원 교육

설명회

o 소기업 상 ISMS 수립지원 교육 실시(연 1~2회)

o 소기업 상 ISMS 수립 설명회 개최(연 1~2회)

홍보 로셔, CD 등

배포

o 의료, 교육 등 신규 분야 홍보 로셔 배포

o ISMS 수립가이드 5종 배포

보호진흥원 외부계약시

입찰조건화o 인사, 여 아웃소싱업체들에 한 ISMS 인증 추진

- 140 -

o ISMS 인증신청률 기반 ․경보체계 구축(11월~12월)

- 안정 이고 체계 인 인증수요 리를 해 산책정 유무, 인증신청 시 인증

신청 실 을 분기별로 검하고, 인증신청 실 이 조할 경우를 비하여

험 리기반 조기경보체계 운

- ․경보 단계를 인증희망업체의 분기별 ISMS 인증신청건수에 따라 양호,

주의, 비상의 3단계로 분류

단 계 구 분 설 명 표 시 색

양호 분기별 목표 비 실 이 양호 록색

주의 분기별 목표 비 실 이 험한 수 노란색

비상 분기별 목표 비 실 이 매우 험한 수 빨간색

- 분기별 목표 수검률을 고려한 ․경보 단계 정의

구 분 1 / 4 분기 2/ 4 분기 3 / 4 분기 4 / 4 분기

분기별

인증신청 건수3건 4건 5건 6건

․경보단계

양호 건수 3건 이상 4건 이상 5건 이상 6건 이상

주의 건수 2건 2~3건 3~4건 4~5건

비상 건수 1건 이하 1건 이하 2건 이하 3건 이하

※ ․경보단계에서 양호 단계를 유지할 경우 인증서 목표율 90~100% 달성

o 정보보호 리체계 인증제도 개선(3월~12월)

- ISMS 인증제도 개선 인증활성화 성공요인 분석 등을 해 국외 벤치마킹

․일본 JIPDEC, BSI Japan, TUV Rheinland Japan, JQA 총 4개 기 방문

※ 일본 ISMS 인증 활성화의 성공은 ISMS 인증이 국가 조달 조건으로 의무화

되어 있는 것이 가장 큰 요인으로 분석됨

- BS7799와의 상호 력 방안 등 주요 쟁 사항의 해결을 한 ISMS 인증제도

개선 계획 수립 개선 안 마련

․인증기 업무의 민간 임 방안(규제개 원회 요청사항)

․BS7799와의 상호 력 방안

․유사제도(안 진단, 취약 분석․평가) 간의 상호 력 방안

- 141 -

<정보보호 리체계 인증심사 수 제고>

추진계획

o 정보보호 리체계 인증심사 기 개선

- 정보보호 리에 한 국내․외 표 동향 조사․분석

- 정보보호 리에 한 국내․외 유사 기 지침 조사․분석

- 정보보호 리체계 인증심사 기 개정(안) 개발

o 인증심사 업무 로세스 개선

- 정보보호 리체계 인증 수행요령 개선

- 정보보호 리체계 인증 업무지침 개선

- 인증심사 련 문서의 보안성 강화 방안 마련

o 정보보호 리체계 인증 심사원 모집 교육

- 인증 심사원 모집 선발

- 인증 심사원 교육교재 개발

- 정보보호 리체계 인증 심사원 교육

o 정보보호 리체계 인증심사 기 개선(3월~12월)

- 정보보호 문가, 인증심사원, 인증 취득기 등의 문가로 구성하여 ISMS

인증심사 기 개선을 한 기 개선반 운

- 기존 통제항목간의 복 문제 검토, 실성이 없는 기 검토, 개인정보보호

분야 통제항목(21개) 추가 등 인증심사 기 개선(안) 개발

※ 개인정보보호분야 : 개인정보보호체계 수립(2개), 개인정보보호제도와 차수립

(3개), 개인정보취 인력의 리(4개), 개인정보 취 시스템의 보호(9개), 검

교육(3개)

- ISMS 인증심사 기 을 TTA(정보보호 리표 개정)에 상정(9.23)하여 개정 작업

※ ’04년도 정보통신표 활용실태 향후 표 화 수요조사 보고서에 의하면

정보보호 기술분야에서의 활용도가 체 3

o 인증심사 업무 로세스 개선(6월~12월)

- 인증업무지침(안) 개발 : 고객의 요구사항 반 을 해 2개 조항 별지 2건

신규 추가, 6개 조항 별지 3건 개정

※ 련조항 : 9조(인증심사원), 13조(사 검), 별지 7, 8호 신규제정(2, 4, 6, 15,

18, 23조), 별지(2, 4, 5호) 개정

- 142 -

- 심사수행요령(안) 개발 : 재 운 인 실무 차와 일 성 유지를 해

신규 항목 6개 신규제정, 14개 개정

․유사한 양식의 통합으로 양식 2건 삭제

※ 사 검, 종결회의, 인증심사원 선발, 인증 원 자격기 등

- ISMS 인증 원회 서면결의 방식 개편(오 라인 방식 → 온라인 방식)

․자료 송을 해 기존 오 라인 방식에서 온라인 방식으로 개선함으로써

인증 원회 개최 기간 단축(기존 7일 → 2일 소요, 5일 단축 효과)

※ 요 자료 유출 방지 등을 한 문서보안 시스템(DRM) 구축, 문서의 생성,

사용, 폐기 등을 통합 리하는 문서 리시스템 구축, ISMS 인증업무 환경에

합하도록 신규 시스템에 한 최 화 작업 등

- 고객 심의 업무 신을 통한 제도 개선

․‘04년 고객만족도 조사 결과에 따른 고객의 지 사항을 6 과제로

수행하고, 그 결과를 고객에게 장방문을 통해 피드백 실시

6 과 제 결 과

ISMS 인증신청 문서의 간소화(7종 → 1종) 수행완료

ISMS 홈페이지 개편 수행완료

고객 요청사항의 신속한 처리를 한 인증업무 PM 방식 도입 수행완료

ISMS 인증 원회 온라인 심의시스템 구축 수행완료

ISMS 련 고객주요 요구자료 모음 CD 인증패 제작․배포 수행완료

각종 양식에서 신청인의 불필요한 개인정보(주민번호) 표기 삭제 수행완료

o 인증심사 수요 증가를 비한 ISMS 인증심사원(총 107명 배출) 양성(5월~7월)

- ‘05년 4월 보호진흥원 홈페이지를 통해 수된 신청자를 상으로 1차, 2차

교육 평가를 통해 107명의 최종 인증심사원 선발

- 각 분야별 문가들을 ISMS 인증심사원으로 양성함에 따라 산․학․연

력체계 구축


<정보보호 리체계 인증심사 수 제고>

o 최 인증심사, 사후 리심사 등 ‘05년 인증심사 34건 수행

- ‘05년 목표 34건 비 100% 수행

- 인증심사 수행 건수 : ‘04년 25건 → ’05년 34건 수행, 약 36% 증가

- 143 -

’0 4 년 도 ’0 5 년 도

인 증 심 사누 적 건 수

인 증 심 사누 적 건 수

총 2 5 건

총 3 4 건

- ‘06년도에는 정보보호 소외계층인 의료, 소기업 등을 상으로 인증신청

유도하여 심사 정

o ISMS 인증 원회 온라인 심의시스템 구축을 통해 기존 오 라인 방식에서

온라인 방식으로 환(서면 결의시 5일 단축 효과)

7 일

오 프 라 인 방 식 ( 기 존 방 식 ) 온 라 인 방 식

2 일

5 일 단 축 효 과

- 향후, 인증심사의 공정성, 객 성 인증 원회 업무의 간소화, 편리성을

한 온라인 심의시스템 개선 방안 마련

o 기획 산처와 동일한 설문지를 통해 자체 인 모의 만족도 실시

- 모의 만족도 조사 결과 90.8 으로 '04년 89.2 에 비해 1.8% 상승

※ '05년 기획 산처 고객만족도 결과 : 93.5 ( 년 비 : 43 향상)

- 업무성과를 제외하고 ISMS 서비스, 반 만족도, 업무성과, 기 성과 등은

‘04년도 비 상승된 결과를 보임

- 향후, 고객만족도 제고를 한 CORE.COM을 지속 으로 수행

평 가 단 계 매 우 만 족 만 족 약 간

만 족 보 통 약 간 불 만 족 불 만 족 매 우

불 만 족

’ 0 5 년만 족 도

수

’ 0 4 년만 족 도

수

I S M S 서 비 스 36.3% 46.3% 12.5% 3.8% 1.3% 0% 0% 89.8 86.1

반 만 족 도 43.8% 31.3% 15% 10% 0% 0% 0% 89.2 88.8

업 무 성 과 43.6% 43.6% 12.8% 0% 0% 0% 0% 90.6 91.7

기 성 과 65.6% 31.3% 3.1% 0% 0% 0% 0% 93.7 88.9

계 46.4% 38.4% 11.3% 3.6% 0.3% 0% 0% 90.8 89.2

- 144 -

89 .2 점89 .2 8 9 .2 점점

90 .8 점90 .8 9 0 .8 점점

고 객 만 족 도고 객 만 족 도

’’0404 년년

’’0505 년년

1.8%1 .8%향 상향 상

’0 4 , ’0 5 년 간 전 체 만 족 도 비 교’0 4 , ’0 5 년 간 전 체 만 족 도 비 교

89 .2 점89 .2 8 9 .2 점점

90 .8 점90 .8 9 0 .8 점점


’’0404 년년

’’0505 년년

1.8%1 .8%향 상향 상

89 .2 점89 .2 8 9 .2 점점

90 .8 점90 .8 9 0 .8 점점


’’0404 년년

’’0505 년년

1.8%1 .8%향 상향 상

’0 4 , ’0 5 년 간 전 체 만 족 도 비 교’0 4 , ’0 5 년 간 전 체 만 족 도 비 교

o ISMS 인증심사기 의 통폐합으로 ISMS 인증심사 일수 감소 상

- 기존의 보호 책 복되는 부분을 조정함으로써 보호 책 항목수를

120개에서 109개로 으며, 이를 통해 심사일수를 0.5M/D 정도 단축시킴

변 경 전 변 경 후

1 0 9 개

0 .5 M /D 단 축 효 과1 2 0 개

- 국제 수 의 인증심사 심사기법을 개발하여 수 높은 인증심사 수 향상과

심사 일수의 단축으로 고객의 요구에 응할 수 있는 방안 마련 정

o ISMS 수립지원을 한 장방문, 화상담 등 인증 활성화 방안의 이행을

통해 ‘05년 상반기 신청건수가 ’04년 동기 비 300% 향상

- 지속 인 인증제도 활성화 방안 이행 구축된 인증 신청률 기반 ․경보

체계를 용하여 활성화의 정착에 집 할 정

o 안 진단 제도와 연계한 기업 보안 리 강화 략 세미나를 통해 ‘06년

ISMS 인증 활성화를 한 환경 조성

- 세미나 장에서 ISMS 인증 심을 갖는 업체와 인증상담(20개 기업 확보)

- '06년 안 진단 상자 에서 ISMS 인증에 정 인 반응 확인

- 정보보호 소외계층을 상으로 맞춤형 교육 세미나 개최 정

o 세미나 만족도 조사 결과 만족이상이 체 74%를 차지하고, 보통 24%,

불만족 2%로 조사되었으며, 불만족의 원인은 세미나 내용의 미흡을 지 함

- 145 -

6. 정보보호 기술훈련장 운


o 정보통신망 리자들의 해킹‧바이러스 방 응능력 향상을 하여 사이버

공간에서 정보보호기술 훈련 로그램 제공

- 소기업의 열악한 투자 수 보완을 하여 소기업 시스템 리자들이

온라인상에서 보안 기술을 습득할 수 있는 서비스 제공

- 신규 취약 정보보호 이슈를 훈련 로그램으로 신속하게 반 하여

사 방 효과 극 화


o 신규 훈련공간 구축 훈련 로그램 개발

- 훈련 로그램 개발건수 : 30건 → 40건(133% 달성)

o 훈련장 이용활성화 안정 운

- 이용자수 : 1,100명 → 2,923명(266% 달성)

※ ‘05년 실 : 9,312명

다. 추진내용

<신규 훈련공간 구축 훈련 로그램 개발>

추진계획

o 소기업 시스템 리자용 훈련공간 구축

- 훈련 로그램 시나리오 개발 시스템 개발

o 리‧방어 침해사고 응 훈련공간 신규 훈련 로그램 개발

o 도우 훈련공간 신규 훈련 로그램 개발

o 소기업 시스템 리자용 훈련공간 구축

- 공개용 보안 S/W를 활용한 정보보호시스템 구축 등의 훈련 로그램 20건 개발

온라인 훈련공간 구축(1월~12월)

- 146 -

※ 소기업이 비용투자 없이도 정보보호 환경을 구 하는 방법을 훈련하는

로그램

※ 훈련 로그램 내용 : 공개용 보안 S/W를 이용한 침입차단 시스템 구축, 침

입탐지 시스템 구축, 바이러스 월 구축, 침해사고 응 등

o 훈련공간별( 리‧방어, 침해사고, 도우, 선택형문제은행) 신규 훈련 로그램 개발

- 최신 정보보호 이슈를 반 한 훈련 로그램 신규 개발을 통하여 이용자들의

해킹 응 능력 고도화(1월~12월)

․“ 리‧방어 침해사고 응 훈련공간”에 IT 환경변화에 따른 20건의

신규 훈련 로그램 개발

․“ 도우 훈련공간”에 최신 해킹기법을 반 한 훈련시나리오 15건 개발

․“선택형문제은행”에 최신 보안기술을 반 한 학습내용 문제 추가(200건)

<훈련장 이용활성화 안정 운 >

추진계획

o 훈련장 실습교육 기술문서 개발

- 외부 교육 로그램과 연계한 훈련장 실습교육

- 시스템 보안 리자를 한 기술문서 개발

※ 훈련 로그램 개발과 연계하여 기술문서 개발

o 훈련 로그램 훈련장 시스템 운 리

- 5개 훈련공간 훈련 로그램, 선택형문제은행

※ 훈련공간 황 : 취약 분석, 리‧방어, 침해사고 응, 스팸메일 응, 도우

※ 시스템 황 : 시스템 47 , 네트워크 장비 9 , 어 리 이션 17종 등

- 훈련 로그램 수정 보완, 홈페이지 리, 이용자 질의응답

o 기술훈련장 이용활성화

- 기술훈련장 이용활성화 종합계획 수립 추진(7월~12월)

․이용자들의 만족도 향상을 한 훈련장 홈페이지 개편 웹서버 이 화

․기술훈련장의 컨텐츠(문제 이론학습 내용 등)를 SIS 문제 출제시 활용토록 지원

․기술훈련장을 활용하는 방법에 한 홍보 로셔 DM 발송 등

※ 정보통신 련학과(330개), 정보통신 련 동아리(100개) DM 발송, 포털사이트

정보통신 동호회 황 악 이용 의 등

․국내 포털(네이버, 다음, 엠 스 등)에 정보보호기술훈련장 등록

※ 검색어 : 정보보호기술훈련장, 정보보호, 보안, SIS, 보안학습 등

- 147 -

o 훈련장 실습교육 기술문서 개발

- 국방부, 학 기업 CERT 추진단 등 훈련장을 이용한 실습교육 13회(약

800명)실시

※ 유․무선 통신사업자 실무교육(4.13, 9.26)), 국방부(4.20, 9.29), 목포 (4.28), 단국 (5.2),

순천향 (5.3), 남 (5.13, 9.23), 동명 (9.22), 숙 (9.27), 충남 (9.28), 건국 (9.27)

- 실습교육 이용활성화 추진으로 인한 학의 정보통신 련 학과에서

기술훈련장을 활용한 보안실습교육과 학 정보보호동아리, 학 CERT

등에서 이용 증가

※ 보안실습교육( 학별 : 1회 이상 최소 40명 참여) 실시 : 목포 학교, 명지

문 학, 순천향 학, 남 학교, 단국 학교, 조선 학교, 동부산 학 등

- 소기업 리자를 한 “공개용 S/W를 활용한 소기업의 정보보호시스템

구축 가이드“ 4종 개발(1월~6월)

※ 소기업이 비용투자 없이도 정보보호 환경을 구 할 수 있도록 설명한 가이드

o 업무 신을 통한 업무 효율성 제고

- 각 훈련공간별 이용 황, 고객별 이용패턴 등의 통계를 실시간 확인 가능

하도록 시스템으로 개발(7월~12월)

․통계업무 자동화를 통한 통계데이터 오류 최소화 실시간 통계처리

※ 통계자료 작성에 소요되는 평균시간을 연간 약 94시간 감

[ 96시간((8시간/건)×(12회/년)) → 약 2시간((10분/건)×(12회/년)) ]

- 이용자들의 만족도 향상을 한 훈련장 홈페이지 개편 웹서버 이 화

o 5개 온라인 학습공간 선택형문제은행의 안정 운 (연 )

- 훈련 로그램 수정 보완, 홈페이지 리, 이용자 질의응답 등

※ 취약 분석, 침해사고 응, 리․방어, 스팸메일, 도우 훈련 로그램 훈련장

시스템 운 리


<신규 훈련공간 구축 훈련 로그램 개발>

o ‘05년 신규 훈련 로그램 개발목표 30건 → ’05년 개발 실 40건

※ ‘05년 목표 비 133% 달성

o 소기업, 학 등 정보보호 취약계층이 비용 투자 없이도 스스로 정보보호

조치를 수행할 수 있는 서비스 제공 기반을 마련

- 148 -

o 향후, 외부 교육 로그램과 연계한 훈련장 실습교육 확 추진

o IT 환경변화에 따른 신규 취약 정보보호 이슈를 훈련 로그램으로 신속하게

반 하여 신규 해킹기법에 한 응능력 향상에 기여

o 향후, IT 839 정보통신망 서비스의 융․복합화에 의한 신규 취약 으로

확 추진

<훈련장 이용활성화 안정 운 >

o ‘05년 이용자수 목표 7,500명 → ’05년 실 9,312명

※ ‘05년 목표 1,100명 → 실 2,923명 목표 비 266%달성

o 이용자 편의도 향상을 통한 이용률 제고 고객만족도 향상

※ ‘04년 설문조사 결과 이용 만족도 89% → ’05년 설문조사 결과 이용 만족도 90%

o 단기 으로 기술훈련장의 이용활성화 기반을 마련하여 사업 강화 기반마련

o 육군본부, 공군본부, 기무사 등 타 기 의 벤치마킹 모범사례가 됨

o 향후, 국방부와 력하여 국방정보화 인력에 하여 정보보호기술훈련장을

이용한 보안 실습훈련 강화 추진

- 149 -

7. 소기업 정보보호 지원


o 국내 총 기업수의 99.9%, 총생산의 50% 이상을 차지하는 소기업은 정보

보호 필요성은 인식하고 있으나, 비용 문인력 부족 등으로 침해사고

발생 비율이 매우 높음

o 미국, 국, 독일 등 부분 선진국의 경우에도 소기업은 정보보호가 매우

취약하여,

- ‘05년 9월 23개 회원국이 참여하는 APEC-OECD 공동 정보보호 워크샵에서도

소기업 정보보호가 주요 의제로 다루어진바 있음

o 따라서, 국내 다수를 차지하는 소기업의 정보보호는 소기업의 자체

인 기업 경쟁력 국가의 외 신인도 향상 향상을 해 실히 필요


o 소기업 정보보호 책 수립

- 소기업 정보보호 책(안) 1종 개발 완료

다. 추진내용

추진계획

o 소기업 정보보호 책 수립

- 장 주재 소기업 CEO 상 조찬회 개최

o 기업 정보보호지원센터 구축 계획 작성

o 정보보호제품 클린넷 서비스 활성화 방안 마련 홍보

- 소기업청 등 유 기 을 통한 클린넷 서비스 홍보

o 소기업 정보보호 의체 회의 개최

※ 의사항 발생시 수시개최

- 150 -

o 소기업 정보보호 책(안) 개발(1월~12월)

- 소기업 CEO, 정통부, 유 기 등이 참석하여, 소기업의 정보보호 문제

애로사항 등을 수렴하기 한 장 주재 간담회 개최(6월, 7월)

※ 간담회를 통해 소기업 정보보호 책(안) 개발을 한 활성화 5개 안건 도출

- 소기업 정보보호 책(안) 개발 1종(8월)

o 교육 로그램 계획

CEO 인식제고 방안

o 정보보호 가이드라인

o 사업모델

o 정보보호제품 홍보자료 마련

소 기 업 정 보 보 호 책 ( 안 ) 주요내용

- 최소 필수 정보항목의 무료 조치방법을 제시하는 팜 릿 개발(11월~12월)

※ 14개 필수 정보보호 항목의 조치방법 차, 무료 정보보호시스템 구축 훈련 방법 제공

1. 도우 자동업데이트2. 사용자 암호설정3. 공유폴더 설정4. 화면보호기 설정5. 웹 라우 보안 설정6. 이메일 보안설정7. Windows XP 방화벽 설정8. Windows 서버 권한설정9. Windows MBSA 활용10. 사설망 구성11. 백업의 생활화12. 해킹․바이러스 멀리하기13. 스팸메일 멀리하기14. 개인정보 지킴이15. 정보보호기술훈련장

팜 릿 표 지 주요내용

- 151 -

o 기업 정보보호지원센터 구축계획 작성

- 정보보호 실천기반 조성 상시 정보보호지원체계 수립을 통한 소기업의

정보보호 수 향상을 한 센터 구축계획 작성(2월)

※ 사무실, 취약 진단 테스트, 소기업 상담, 세미나용 공간 20여명 운 계획(안) 수립

o 취약 검 서비스

o 정보보호 자가진단

o 정보보호 교육 인식제고

기 업 정 보 보 호 지 원센 터 구 축 계 획 ( 안 ) 주요내용

o 소기업 정보보호 서비스 사업모델 개발 1건

- ISP(KT, 데이콤)와 정통부, 보호진흥원 력을 통해 소기업 환경에 합한

정보보호 서비스 모델 개발(8월~9월)

※ 3개의 소기업 유형에 따라 정보자산(네트워크, 서버, PC)별로 렴한 가격으로 정보보호

책을 구 할 수 있는 서비스 모델 제시

I S P ( K T / 데 이 콤 ) 의 소 기 업 정 보 보 호 서 비 스 모 델

- 152 -

※ 상기 개발된 정보보호 서비스 모델 홍보 서비스 개시는 ISP의 자체 인 환경을

고려하여 추진

※ ‘05년 사업계획서 내용 ’클린넷 서비스 활성화 방안 마련 홍보‘ 사업 항목이

장 주재 간담회 이후 개발된 ’ 소기업 정보보호 책(안)‘에 따라 하반기 산

용시 본 건으로 변경하여 추진

o 소기업 정보보호 의체 회의 개최

- 소기업 정보보호 워크 개최(6월)

※ 소기업, 정보통신부, (주)오공 등 5개 소기업, 한상공회의소 등 5개 유 기 과

소기업 정보보호 활성화 방안 도출을 한 애로사항 정보보호 요구사항 수렴

업무 력 체계 구축

- 소기업 정보보호 책(안) 마련을 한 TFT 구성․운 (8월~10월, 8회)

※ TFT 구성기 : 정통부, 보호진흥원, ISP(KT․데이콤), 유 기 (한국정보보호산업 회) 등

총 15명으로 구성


o 책(안) 개발을 통한 체계 인 소기업 정보보호 추진방향 추진체계 마련

o 소기업 환경에 합한 정보보호 서비스 개발을 통해 소기업의 정보보호

책 구 비용 감효과 기

o 소기업 유 기 의체 회의 개최를 통해 력 계 구축 업무추진의

효율성 제고

o 소기업 장에 한 취약 검을 통한 정보보호 사례 개발 보 추진

- 153 -

제5 개인정보보호 업무지원

사업 개요


o 유비쿼터스 시 에 부합하는 개인정보보호 법․제도 정비 정책개발,

신규․신유형의 서비스에 한 개인정보보호 방안 마련을 통한 국민의

라이버시 보호

o 사이버 공간에서 무분별하게 수집․이용되는 개인정보의 취 ․ 리에

한 법규 수율을 제고하여 안 한 개인정보 이용환경 조성

o 개인정보 피해의 신속․공정한 구제를 통한 국민의 라이버시 보호

강화

o 휴 화, 이메일 등 리 이용되는 매체를 통해 송되는 불법스팸에

한 사 차단 시스템 구축 스팸발송자 규제 등을 통해 스팸수신량

감소 추진

o 신종 스팸과 국내발 는 국내경유 국외스팸에 한 기술 응책 마련


o 개인정보 침해방지 개인정보분쟁조정 원회 운

- 2010년까지 자기 정보를 가, 어떤 내용으로, 어디에 보 하고 있는지

본인이 항상 알 수 있는 u-Privacy 환경 구축

․24,000개 정보통신서비스제공자에 한 실태조사 계도활동을 강화

하여 개인정보보호 법규 수율 제고

․u-Korea IT839 략의 성공 추진을 한 개인정보보호 정책 개발 지원

․개인정보침해에 한 신속․공정한 고충처리 분쟁조정으로 고객

만족도 제고

o 불법스팸에 의한 피해 방 응체계 비

- 휴 화 문자․음성스팸 수신량 감축

- 이메일 스팸경로별 스팸메일 유통량 감소를 통한 수신량 감축

- 불법스팸 민원처리 기간 단축 민원인의 만족도 제고

- 154 -

1. 개인정보 침해방지 개인정보분쟁조정 원회 운


o 유비쿼터스 시 에 부합하는 개인정보보호 법․제도 정비 정책개발,

신규․신유형의 서비스에 한 개인정보보호 방안 마련을 통한 국민의

라이버시 보호

o 사이버 공간에서 무분별하게 수집․이용되는 개인정보의 취 ․ 리에 한

법규 수율을 제고하여 안 한 개인정보 이용환경 조성

o 개인정보 피해의 신속․공정한 구제를 통한 국민의 라이버시 보호 강화


o 사업자 개인정보보호 법규 수율을 2008년까지 95%로 향상

- 법규 수율 : 80% → 80%(100% 달성)

- 실태조사 사업자 수 : 23,000개 → 27,051개(118% 달성)

o u-Korea IT839 략의 성공 추진을 한 개인정보보호 정책 개발 지원

- 정책제안 : 8건(100% 달성)

o 개인정보침해에 한 신속한 고충처리 분쟁조정으로 고객만족도 제고

- 라이버시넷 구축 사업자 수 : 500개(100% 달성)

다. 추진내용

<사업자 개인정보보호 수 제고>

추진계획

o 기통신사업자, 용사업자, 기타 홈페이지 보유 사업자 등에 한

개인정보 리 실태조사 실시(24,000개)

o 취약 는 이슈 분야에 한 개인정보 실태조사 실시

o 조사 결과를 기 로 법규 반사항 시정 요구 는 개인정보를 침해

하는 행에 한 개선권고 등 계도 활동 실시

- 155 -

o 사업자 개인정보보호 법규 수율 향상('04년 66% → ‘05년 80%)

- 정보통신망법상 고지의무 수 여부에 한 웹사이트 모니터링, 서면 검

장 검 실시

- 사업자의 무분별한 개인정보 수집 행을 개선하기 해 개선권고(3,661개 업체)

행정처분(321개 업체)

- 개인정보보호방침 개선을 한 연구반을 구성․운 하여 표 개인정보보호방침

(안) 마련

[표 5-1 ] 2005 개인정보 리 실태조사 사업자 황

구 분웹 사 이 트

모 니 터 링서 면 검 장 검 계

통신사업자 5,131 528 19 5,678

용사업자 1,277 757 25 2,059

인터넷사업자 17,680 1,571 63 19,314

계 24 , 0 8 8 2, 8 5 6 1 0 7 27 , 0 5 1

※ “ 용 사 업 자 ” 는 호텔, 여행사 등으로 기통신사업자나 인터넷사업자가 아니면서

정보통신망법에 의한 개인정보보호 규정을 수하여야 하는 사업자를 의미함(법률 용어임)

※ “인터넷사업자”는 리목 으로 홈페이지를 운 하고 있는 사업자로서 기통신사업자와

용사업자와의 구분을 하여 사용하고 있는 용어임(법률 용어는 아님)

인터넷사업자 = 체 리목 홈페이지 운 사업자 - 기통신사업자 - 용사업자

[표 5-2 ] 사업자 개인정보보호 법규 수율 황

구 분홈 페 이 지

운 사 업 자

20 0 5 년 도 조 사법 규 수율

( B / A )개 인 정 보

수집 사 업 자 ( A )수사 업 자 ( B )

기간통신사업자 70 60 59 98%

부가통신사업자 1,634 861 515 60%

인터넷사업자 15,744 4,862 4,176 86%

용사업자 977 713 491 68%

신규 용사업자 252 206 174 85%

계 1 8 , 6 7 7 6 , 7 0 2 5 , 4 1 5 8 0 %

※ 모니터링 상 사이트(24,088개) 5,411개 사이트는 폐쇄되었거나, 운 하지 않음

o 취약․이슈 분야를 발굴하여 잘못된 사업자의 행을 개선

- 156 -

- 데이콤, KT의 이벤트를 통한 개인정보 수집 황 조사 후속조치(2월)

※ 정통부에 법사실 통보 시정명령(4월)

- “옥션”의 기술 ․ 리 조치 미비로 인한 개인정보 노출 장조사 웹

페이지 보안기능 강화 계도조치(3월)

- 배송업체 개인정보보호 취약분야 조사 개선방안을 마련하여 100개 배송업체에

기술 보안 강화 개선 권고(4월)

- 경품응모 행․경품정보제공업체(17개)의 개인정보보호 취약분야 조사

53개 업체에 해 경품응모시 고지 고지 차 등 개선 권고(4월~5월)

- 고PC 정보보호 방안 마련 60개 고PC 매매 계사업자에 해

(前)사용자에 한 개인정보 삭제 후 매토록 개선 권고(5월)

- 고 휴 폰 정보보호 방안 마련 15개 고 휴 폰 매매 계사업자에

해 (前)사용자에 한 개인정보 삭제 후 매토록 개선 권고(5월)

- 경품행사 업체(185개 업체)에 한 모니터링 실시 이벤트 팝업창을 통해

개인정보 수집 시 고지 동의 차를 개선하도록 권고(65개 업체)(3월~12월)

- 인터넷상 회원 가입 시 본인인증 목 으로 주민번호를 수집하는 인터넷

사이트에 한 고지의무 반 여부에 한 모니터링(95개 업체) 장

검(13개 업체) 실시(12월)

- 패 리사이트(180개 업체)의 개별 가입․탈퇴 가능 여부를 조사하여 109개

사업자에게 개별 가입․탈퇴 차를 마련하도록 권고

- 54개 업체 128개 제휴사이트에 한 개인정보 제3자 제공 제휴서비스 황 조사

- 포털사이트 등의 기술 ․ 리 보호조치 황 경품행사 시행 업체에

한 장 검(11월)을 실시하여 법 반 사업자에 해 행정처분(2개 업체)

개선권고(8개 업체)

o 사업자 이용자 개인정보보호 교육 실시

- 44개 기 8,386명을 상으로 사업자 이용자 교육 실시(2월~12월)

․사업자 교육 : 엘지카드(주) 등 22개 기 1,744명

․비 리 단체(학교, 공공 기 등) : 부산학부모교육원 등 22개 기 6,642명

- 학부모 정보감시단과 공동으로 개인정보보호를 포함한 정보통신윤리 강사

양성 교육 과정 공동 운 (6월)

- 한국정보문화진흥원과 공동으로 경기도 지역 10개 ․고교 청소년을 상

으로 개인정보보호 교육 실시(11월 ~ 12월)

- 157 -

<개인정보보호 정책지원 개발>

추진계획

o IT839에서의 개인정보보호 방안 수립 개인정보보호 법제정비 지원

- RFID, 텔 매틱스 등 IT839에서의 개인정보보호 방안 수립

- 개인정보보호 법제 정비방안 지원

- 개인정보보호에 한 이용자 의식 만족도 조사

o 개인정보 향평가 수행지침 개발 시범 향평가 시행

- 개인정보 향평가 수행지침(방법론, 차 등) 개발

- 향평가 수행지침 시범 용

- 개인정보보호기술(PET) 활용 진을 한 동향 조사

o IT 839에서의 개인정보보호 방안 수립

- RFID 라이버시보호 방안 수립

․RFID 라이버시보호 가이드라인 제정(5월) 해설서 발간(12월)

※ RFID 라이버시보호 공청회(’05. 5.) 개최

- 텔 매틱스 서비스에서의 개인정보보호 방안 수립

․미국․유럽․일본 등 주요 텔 매틱스 사업자(20개사)의 개인정보보호

방침 회원 규약 조사․분석(6월)

․텔 매틱스 개인정보 침해요인 분석(6월) 사업자 개인정보 리 실태 조사(7월)

․텔 매틱스 개인정보보호 가이드라인(V1.0) 작성(11월)

※ 개인정보 생명주기별 라이버시 침해요인 분석 응방안 마련

- 홈네트워크 서비스에서의 개인정보보호 방안 수립

․KT HomeN, LG 자 홈넷, 삼성 자 홈비타 등 상용서비스 황 분석(4월)

․KT, SKT 시범사업 응용서비스 분석(4월)

※ 원격검침, 홈뷰어, 양방향DTV, 원격진료, 원격교육 등

․홈뷰어, VoD, 헬스 어 등에서의 개인정보 침해 요인 분석(6월~)

․홈네트워크 개인정보 보호 가이드라인(안) 작성(12월)

- VoIP 서비스의 주요 이슈별 황 라이버시 침해요인 분석(6월~)

- DMB 서비스에서의 개인정보보호 방안 수립

․DMB 기술 제공 서비스, 사업 모델, 시장 운 체계, 참여 사업체, 련

법률 등 조사(4월)

․ 성 DMB서비스 사업 모델에서의 개인정보 흐름에 따른 라이버시 침해

요인 분석(6월~)

- 158 -

- 국내․외 WiBro 서비스 기술 동향 사업 추진 황 조사(9월)

o 개인정보보호 법제 정비 지원

-「개인정보보호법」제정 지원(1월~12월)

․정부 신 (안) 7회 국무조정실(안) 2회 검토의견서 작성

- 「정보통신분야 개인정보보호법」제정 지원

․조문별 검토 의견 법(안) 설명 자료 작성(1월)

․개인정보보호 규정 개정(안) 동법시행령, 시행규칙 안 마련

- 「정보통신망법」개정 지원

․규제개 원회 규제심사 상(21건) 보고서 4회 작성

․법제처 정통망법 수정의견(3건)에 한 답변서 작성

※ 총 24건 규제 14건 수용, 10건 보류 결정

- 치정보보호법 하 법령 제정지원

․시행령․시행규칙(안) 작성(4월)

※ 문가간담회(2회) 사업자 설명회(3회) 개최

-「 치정보법」해설서 발간(5월~6월)

- 치정보 질의․상담 창구 개설․운 (5월 ~)

- 「개인정보보호지침」개정(안) 해설서 작성(8월~12월)

․규제개 원회 의과제(1건) 반 을 한 해설서 수정․게시

․개인정보보호지침 개정(안) 안(11월) 지침 해설서 수정안 작성(12월)

- 이동통신사 개인정보보호 지침(안) 작성(8월)

․ 리 ․ 매 에 한 감독방안 과 정보 기지국 정보의 보

필요성 등 검토

※ 공청회 개최(3월)

※ 정통부 고시(9월) : 통신비 보호법 개정사항 반

- 이동통신사 리 ․ 매 개인정보보호 책(안) 마련(8월~10월)

․ 매자실명제, 고객정보 열람 이상 징후 기능 구 , 매 교육의무화

가입신청서 회수 등에 한 세부추진 방안 작성

- 동의 방법(자필서명, 자서명) 동의 상(계약명의자 는 법인명의) 등

이통사 화번호 안내 서비스 개인정보보호 방안 마련(7월)

- 웹호스 을 사용하는 세 쇼핑몰사업자의 개인정보 기술 ․ 리 보호

조치 기 수를 제고하기 한 방안 마련(8월)

- 개인정보보호 장기 종합 책(안)을 마련하여 개인정보보호 업무 추진 방향

설정(8월)

- 인터넷상의 개인정보보호 가이드라인 마련(10월)

- 159 -

․인터넷상의 개인정보보호를 한 가이드북 마련 사업자, 공공기 등에 배포

․가이드북의 내용을 통해 샘 사이트 구축(12월)

- 「개인정보 DB마 에서의 개인정보 보호 방안」마련

․일본, 미국, 국, EU 등 국외 개인정보 DB마 황 법제 조사(5월~12월)

․마 목 의 개인정보 제공을 한 가이드라인 작성(11월~12월)

- 주민번호 체수단 활성화 책수립

․사업자 상 설명회(5월) 개최

※ 인터넷사업자, 기간통신사업자 등 약 250명 참석

․소비자․사업자․정책담당자의 의견조사를 한 공동 설문조사 실시(6월~8월)

※ 소비자단체 사업자단체와 간담회 4회 개최

․ 체시스템 도입에 따른 사회․경제 비용분석(6월~10월)

※ DB 교체의 상 문제 소요시간, 경제 인 체수단 용방법 등

․ 체수단 수립을 한 워크샵 개최(7월)

※ 사업자, 소비자 표, 학계 등 100여명 참석

․ 체수단 공청회 개최(10월)

※ 사업자, 소비자 표, 학계 등 300여명 참석

- 개인정보보호 이용자 신뢰지수 평가(6월~12월)

․호주, 미국, 홍콩 등 주요국의 선행 조사결과 수집․분석(6월)

․개인정보보호에 한 이용자의 신뢰수 설문조사(12월)

o 개인정보 향평가 수행지침 개발 시범 향평가 실시

- 업체 실무자(컨설 문가 포함)를 심으로 향평가 지침 개발을 한

실무 작업반 구성․운 (3월)

- “개인정보 향평가 법제화 방안”을 작성하여 제도화를 한 기반 마련(10월)

※ 변재일 의원실에서 입법화 검토

- 개인정보 장기 종합 책에 개인정보 향평가 도입을 반 (9월)

※ “개인정보 향평가 제도 개요 추진 경과”를 국무조정실에 제출

- 이동통신 3사 개인정보 향평가 실시(8월)

※ 개인정보 향평가단 구성(6월) : 보호진흥원(2명), 이통사 실무자(9명), 컨설

문가(2명)

※ 향평가 상범 의 향평가 수행을 한 체크리스트 작성

․이동통신 3사 장방문을 통한 개인정보보호 련 문제 분석 개선

방안 도출

․이동통신 3사에 향평가 결과 통보 자체 개선 방안 수립 권고

- 개인정보 향평가 수행 지침(Ver 1.0) 개발

※ 사업자 설명회 개최(2005. 11. 29.)

- 160 -

․호주, 뉴질랜드 등 국외 개인정보 향평가 수행 련 자료 수집․분석(11월)

․“개인정보 향평가 수행 지침(기 , 방법론 등)” 개발 사업자 배포(12월)

- 본인확인기 (5개 업체)을 상으로 주민번호 체 서비스 개인정보 향

평가 시행(9월~10월)

※ 상기 : 한국 자인증, 한국정보인증, 한국신용평가, 한국신용평가정보,

서울신용평가정보

․개인정보 수집․이용․제공 시 구체 인 고지 내용, 동의받는 문구 등을

작성하여 각 본인확인기 사이트에 용토록 권고(12월)

o 개인정보보호를 한 기술지원

- “개인정보의 기술 ․ 리 보호조치 기 ”(정통부 고시) 후속 조치

※ 보호조치 기 설명회 개최(2005. 4. 28, 소기업 동조합 앙회)

․기술 ․ 리 보호조치 기 용에 따른 련 사업자 추가 비용 발생

여부 조사(6월)

․보호조치 기 의 문제 검토 출력․복사시 기록 승인에 한 개선

방안 마련

․개인정보의 기술 ․ 리 보호조치 기 해설서(개인정보보호 핸드북)

발간 배포(8월)

․ 화․이메일 등을 통해 보호조치 기 에 한 사업자 문의사항 수․응

- P3P 연구반 구성․운 을 통해 P3P 정책생성기 S/W 개발(12월)

․한국형 P3P S/W 개발 계획(안) 작성 한국형 P3P 스펙(안) 개발

․P3P S/W 개발 워크샵 개최(11월, KT) KT에이 트와 정책생성기 상호

연동개발 의

※ P3P : 개인정보보호방침을 자동으로 작성하고, 이용자로 하여 사업자의 개인

정보보호방침 핵심내용을 쉽게 알 수 있도록 도와주는 S/W

- 고 PC 구삭제 로그램(국산 2종, 국외 3종)을 분석하여 삭제 후 데이터

복원가능 여부 확인(7월)

- 161 -

<개인정보 민원처리 고객만족도 제고>

추진계획

o 사업자와의 력체계를 강화하여 민원처리의 효율성 신속성 확보

- 약 500여개 주요사업자와 개인정보 고충처리 등을 한 Hot-Line

( 라이버시넷) 구축

o 개인정보 침해신고센터 개인정보분쟁조정 원회 운

- 개인정보 상담 고충처리

- 개인정보분쟁조정 원회 운 지원

- 개인정보 상담․신고 분쟁조정 사례집 작성 보

o 사업자 력체계 강화를 통한 민원처리 효율성 신속성 확보

- 웹기반 one-stop 민원처리시스템 구축완료(12월)

․사업자 개인정보 리책임자 연락처 검색시스템, FAQ 검색시스템

․고충처리 메일발송 시스템, 실시간 알리미(SMS) 발송시스템 등

o 개인정보침해신고센터 개인정보분쟁조정 원회 운

- 상담․피해구제 신청 수 처리(1월~12월)

․개인정보침해 상담 정보제공 16,925건, 분쟁조정결정 26건, 조정

합의(고충해결) 605건

[표 5-3] 개인정보 피해구제 신청 황

(단 : 건)

구 분 2004년 2005년 증감율

피해구제 신청 건수 17,569 18,206 3.6%

- 162 -

[표 5-4] 조치내역별 황

(단위 : 건)

조 치 내 역건 수

20 0 4 년 20 0 5 년

고충처리 1)

조정 합의 495 78

고충 해결 647 477

법사실 시정 147 50

조정결정 2)

인용결정 조정성립 14 15

조정불성립 19 4

기각결정 20 6

각하결정 28 1

법사실통보 정보통신부 10 11

경찰 48 3

타기 이첩 - 1

신청철회 3)

398 138

법 반사항 없음 4) 101 84

사실확인 불가능 5)

176 177

상담 정보제공 6) 15,466 16,925

사실확인 - 2368)

합 계 1 7 , 5 6 9 7 ) 1 8 , 20 6

1) 원회의 합의권고, 신고센터의 고충해결 시정권고 등에 의해 고충처리가 완료된 경우

2) 원회의 분쟁조정결정을 통하여 피해가 구제된 경우

3) 민원인 스스로 민원철회의사를 밝힌 경우

4) 사실조사 결과 피신청인의 법률 반사항이 없는 것으로 확인된 경우

5) 당사자 소재불명, 사실조사 비 조 등으로 인하여 사실조사가 불가능한 경우

6) 련 법률 안내, 자율 피해구제방법에 한 정보제공 등

7) 불법스팸 련민원 제외

8) 2005년 12월 31일 재 사실확인이 진행 인 건

o 분쟁조정 원회 운 지원

- 신속한 피해구제를 한 원회 개최(총 20회, 1월~12월)

․ 체회의 5회, 조정부회의 15회

․ 원회 안건 작성 : 조정안건 29건, 보고안건 27건, 의결안건 19건

※ 조정 성립율(조정 합의사건 포함) : 99.4%

- 원회 홍보를 한 언론보도 자료 배포

․‘04년 피해구제 동향발표 분쟁조정사례집 발간(1월)

․온라인 미 서비스 개인정보 침해사건에 한 분쟁조정 결과(1월)

․과도한 주민번호 수집 행 개선에 한 분쟁조정 결과(5월)

․인터넷 검색사이트 정보노출에 한 분쟁조정 결과(10월)

- 163 -

o 개인정보 상담․신고 분쟁조정 사례집 작성 보

- 개인정보 피해구제 동향분석

․'05년 개인정보 상담 피해구제 사례분석집 발간 (12월)

․'05년 개인정보분쟁조정사례집 발간(12월)

․'05년 개인정보 FAQ 상담집 발간(12월)

․'05년 개인정보 피해구제 연차보고서(국, 문) 발간(12월)

[표 5-5] 개인정보 피해구제 사업자 유형별 황

(단 : 건, %)

구 분20 0 4 년 20 0 5 년

건 수 비 율 건 수 비 율

정보통신서비스

제공자1)

통신사업자 1,186 6.8 1,770 9.7

온라인 게임․포털 7,357 41.9 5,647 31.0

기타 5,059 28.8 4,495 24.7

소 계 1 3 , 6 0 2 7 7 . 5 1 1 , 9 1 2 6 5 . 4

정보통신망법

제58조에 의한

용사업자2)

여행업․호텔업 19 0.1 30 0.2

항공운송사업 3 0.05 9 0.05

학원․교습소 175 1.0 67 0.3

휴양콘도미니엄업 - - 5 0.05

할인 ․백화 20 0.1 57 0.3

체인사업 4 0.05 26 0.1

소 계 221 1 . 3 1 9 4 1

정보통신서비스제공

자 외의 사업자

융기 497 2.8 599 3.3

의료기 7 0.05 28 0.2

기타 616 3.5 874 4.8

소 계 1 , 1 20 6 . 3 5 1 , 5 0 1 8 . 3

비 리단체․공공기 262 1.5 276 1.5

개인 164 0.9 2,103 11.6

피신청인 불명 2,200 12.5 2,220 12.2

합 계 1 7 , 5 6 9 1 0 0 1 8 , 20 6 1 0 0

1) 정보통신망법 제2조제1항제3호 “ 기통신사업법 제2조제1항제1호의 규정에 의한

기통신사업자와 리를 목 으로 기통신사업자의 기통신역무를 이용하여

정보를 제공하거나 정보의 제공을 매개하는 자”

2) 정보통신망법 제58조 시행령 제28조, 시행규칙 제11조의4의 규정에 의해 동법

제4장 ‘개인정보의 보호’가 용되는 사업자

- 164 -

- 개인정보 특이사례 분석 응방안 마련

․KT 네스팟스윙 련 침해여부 검토(1월)

․KT 개인정보처리 탁 련 검토(2월)

․인터넷 졸업앨범서비스 련 검토(3월)

․옥션에서의 휴 폰 매 련 개인정보침해여부 검토(3월)

․안티 스 이웨어 서비스 련 검토(6월)

․언론사 유료 인물정보 DB 서비스의 법성 검토(8월)

․인터넷사업자 사외유통망의 개인정보침해여부 검토 응 방안(9월)

․구 검색엔진 개인정보침해 황 응방안 마련(10월~12월)

※ 구 미국본사 한국사무소와 조체계 구축(10월～11월)

※ 민원인이 구 에 직 삭제요청 가능하도록 하는 문 표 서식 개발(12월)

․ 국 네티즌의 한국인 주민번호 도용 련 황 응방안(11월~12월)

※ 웹호스 , 웹하드 등 유 사업자 간담회 개최(12월)

※ 국 SIC에 조요청(12월)

- 웹사이트 개인정보 노출방지 캠페인 추진(11월~12월)

․캠페인 배 안내페이지 구축(11월)

․캠페인 시행 련 언론홍보 민원창구 운 (12월)

※ 캠페인 결과 집계 : 총 신고건수 425건(노출 인원수 118,738명)에 해서 삭제

조치 요청(12.31 재)

<개인정보보호 국제 력>

추진계획

o 개인정보보호 국제 력

- 홍콩 라이버시보호원(PCO)와 ‘온라인 신원확인 방법’에 한 공동

조사․연구

- 개인정보 피해구제 Best Practice를 개발하여 APT에 제출

o 홍콩 라이버시보호원(PCO)과 온라인 본인인증 방법 공동 조사(2월~12월)

- 홍콩 PCO 원장 Tony Lam과 실무회의 개최하여 공동연구 방향 의(보호

진흥원, 2월)

- 인터넷 웹사이트에서의 신원확인 방법 조사 연구보고서 작성

- 미국, 캐나다, 국, 호주, 일본, 국, 한국 등 총 7개국의 3개 분야별( 자

상거래, 융, 엔터테인먼트) 30개 사이트 신원확인 방법 조사, 비교

- 165 -

o APEC ECSG 개인정보보호 실무작업반 참여

- APEC 라이버시 서 그룹회의 참석(2월)

․Privacy Principle(APP) 이행방안 검토회의 참석 의견 교환(2월)

․APEC 라이버시 서 그룹 회의 결과보고서 작성(11월)

- APEC 제1차 라이버시 서 그룹 세미나 참석(6월, 홍콩)

․‘한국의 개인정보침해 피해구제 모델’ 발표

- 미국이 제안한 Privacy Principle(APP) 이행모델에 한 한국 의견 달(6월)

o OECD 정보보호작업반(WPISP) 참여

- 제18차 제19차 OECD 정보보호작업반(WPISP) 회의 참석(5월, 10월, 랑스 리)

․한국의 RFID 라이버시 보호 가이드라인 제정경과 주요내용 발표

․기타 OECD 회원국의 개인정보보호 련 동향정보 수집

o 아․태 통신 의체(APT)가 의뢰한 「개인정보 피해구제 Best Practice」작성(8.)

- 국내․외 ADR 기 의 피해구제 차를 분석하여 피해구제 집행모델 제시(5월)

o 기타 국제 력 활동

- 국제소비자분쟁해결시스템 회원기구 가입(2월)

․주요내용 : 아국과 련한 국제거래상 분쟁발생시 극 참여 해결유도

․ 황 : 10개국 16개 분쟁조정기구 참여(미국 FTC 총 )

o 국내․외 개인정보 동향 분석

- Country Report 작성 ICDPC, IWGDPT 등 국제 회의 제출

- EU의 정보보유(Data retention) 지침 안 주요 내용검토(8월)

- 美, 2005년 개인정보 라이버시와보안법안 발의(7월)

- 라이버시 침해 사실 통보 련 미국 동향 보고(10월)


<사업자 개인정보보호 수 제고>

o 사업자에 한 개인정보 리 실태조사를 강화하고, “인터넷상의 개인정보

보호 가이드라인”, “이동통신사 개인정보보호 가이드라인” 등 사업자가

수하여야 할 다양한 기 제시

- 166 -

<개인정보보호 정책지원 개발>

o 개인정보 향평가 기 마련 한국형 P3P 정책생성기 S/W 개발, 주민

번호 노출 검색 S/W 개발 등을 통하여 자율 ․기술 개인정보보호를

한 토 마련

o RFID 라이버시 보호 가이드라인 제정, 홈네트워크 텔 매틱스 개인정보

침해요인 분석 등 IT839에 한 연구․분석을 통한 u-Privacy 침해에 응

o 치정보보호법 시행에 따른 질의․상담 창구를 개설․운 하여 동법률의

안정 인 정착을 한 기반 마련

<개인정보 민원처리 고객만족도 제고>

o 개인정보침해신고센터와 분쟁조정 창구 일원화 민원처리 차 표 화를

통하여 보다 신속한 피해구제 체계 정립

<향후계획>

o u-Privacy 문화운동 추진을 통하여 이용자 사용자의 개인정보보호 인식을

제고하고, 자발 으로 개인정보보호 규정을 수하도록 유도

o 개인정보 자가진단 S/W 개발, P3P 정책생성기 시범보 등을 통한 기술

개인정보보호 환경 구

o 인터넷상의 주민번호 체수단 보 확산, IT839 등 신규서비스에 한

개인정보보호 방안 마련을 통한 u-Privacy 보호 책 강구

- 167 -

2. 불법스팸 응체계 구축


o 휴 화, 이메일 등 리 이용되는 매체를 통해 송되는 불법스팸에 한 스팸

차단시스템 구축 스팸발송 규제 등을 통해 스팸수신량 감소

o 고객 우선의 고충처리 기반 구축으로 국민 불만 해소하고, 신종 스팸에 한

응기술을 개발․ 용하여 안 하고 신뢰성 있는 정보통신 공간 조성


o 1인당 1일 휴 화 스팸 수신량 감축 : 0.8통 → 0.74통(108% 달성)

o 1인당 1일 이메일 스팸 수신량 감축 : 7통 → 6.9통(101% 달성)

o 불법스팸 민원처리 기간 단축 : 1.5개월 → 1.46개월(103% 달성)

다. 추진내용

< 1인당 1일 휴 화 이메일 스팸 수신량 감축 >

추진계획

o 스팸 응 교육․홍보 강화 사업자 자율규제 유도

o 국외 스팸 응기 과 정보교류채 확보 국경간 스팸 문제 해결을

한 국제공조 강화

o 국내․외 Black/White IP DB 시스템 구축

o 스팸 응 력 정보공유를 한 문가 회의 실시

o 이메일주소 추출방지 로그램(NeverSpam) 간편 스팸메일 신고

로그램(SpamCop) 보완개발

- 168 -

0.350.61

0.13 0.15

0.19

0.51

0.27 0.3

0.36

0.58

0.22 0.29

1.7

0.9

0.620.74

0

0.5

1

1.5

2

2.5

04년

상반기

04년

하반기

05년

상반기

05년

하반기

통

총계

일반광고

대출/금융

성인

[그림 5-1] 휴 화 스팸 수신량 추이

3 1.2 0.9 0.6

5.16.3 6.9

21

6.3 7.5

4.5

6.9

1.8

29.1

13.8 15.3

0

10

20

30

40

03년 04년 05

상반기

05

하반기

통

계

일반광고

대출/보험

성인

[그림 5-2] 이메일 스팸 수신량 추이

o 스팸 응 교육홍보 강화

- 유․무선통신사(7사)와 공동으로 12개 일간지 공익 고 게재 (3.30, 31)

- 화스팸방지 가이드라인 개발 공청회 2회 실시 (3월)

- 2005 한민국 우표 시회에서 스팸 응 홍보 (8월)

- 2005 스팸메일 차단 솔루션활용 가이드 발간 보 (12월)

o 이메일 사업자 등의 스팸차단 자율규제 유도

- KT의 국제 문국 Outbound 스팸필터링 시스템 구축 시행 지원(10월)

- 주요 포탈에 RBL(스팸차단리스트) 포함하여 제공하여 차단에 이용(11월)

- 주요 포탈의 스팸필터링 설정수 강화 유도

※ ( 고)문구가 표기된 스팸이 자동으로 필터링 되도록 설정 변경

- 169 -

o 휴 화 스팸 단속강화 련사업자의 자율규제 유도

- 화․Fax에 한 Opt-in제도 시행에 따라 “ 화스팸방지 가이드라인” 개발 보

- 기간통신사 약 개정을 통한 이용제한 정보제공 근거 마련(2월)

- 휴 화 Trap시스템 구축을 한 추경 산 확보(7월) 개발 완료(12월)

※ 휴 화 Trap시스템 : 행 정 처 분의 증 거 자 료 동 향분석 에 활 용 하 기 하 여

문자․녹음음성 스팸 등을 수집하는 가상휴 화 시스템

o 국외 스팸 응기 과 정보교류채 확보

- 국외 스팸 응 문기구인 스팸하우스, 소포스와 스팸발송 IP 통계자료

등 정보공유를 한 연락채 의 창구 확보

o 국경간 스팸문제 해결을 한 국제공조 강화

- 아․태지역 10개국 12개 기 간 ‘서울․멜버른 다자간 스팸 응 MOU’ 체결(4월)

※ 국(SIC), 만(TWCERT-CC), 일본(총무성), 호주(통신미디어감독원) 등

※ 면회의(10월, 서울) 온라인회의 2회(7월, 12월) 개최

- 국 SIC와 스팸 련 정보공유 표 형식 마련 발송자 이용제한 공조(11월)

- OECD 스팸 태스크포스의 'Anti-Spam Toolkit' 개발 참여

- APEC 스팸 응원칙 실행 가이드라인 제정 작업 참여

- 런던활동계획(London Action Plan) 참여기 간 법집행 국제공조방안 논의 참여

- ICPEN(International Consumer Protection and Enforcement Network) 주최

인터넷 청소의 날 행사 참여(2월)

o 국내․외 Black/White IP DB 시스템 구축

- 국내 주요 포탈 국외 스팸 응기 (스팸하우스, 소포스)의 스팸차단 IP정보를

실시간 취합․분석․확인하는 RBL(스팸차단리스트) 개발 운 (11월～)

※ RBL 용 후 포탈업체 메일서버의 스팸차단 건수가 평균 23% 증가

※ 매시간 6～9만개 스팸차단 IP 리스트를 포탈 포함 100여개 사이트에 배포

- 주요 10개 포탈에서 메일 수신단에 SPF(메일서버등록제) 확인기능 활용(11월～)

※ SPF 용에 따른 벤치마킹테스트 결과 약 15% 차단효과

- 총 75개 사업자 상 SPF 도입 활용 설명회 개최(11월)

※ 융기 (18개), ISP(11개), 호스 (31개), 온라인쇼핑(8개), 기타(7개)

o 스팸 응 력 정보공유를 한 문가 회의 실시

- 스팸 응 력 정보공유를 한 문가/ 계자 회의

․개정 정보통신망법 홍보 자율규제 유도를 한 유․무선사업자 회의(3월)

․포탈 스팸 응 담당자 기술 워크샵(6월)

․이메일 스팸 수신량 감축 련 포탈사업자 회의 (10월, 2회)

- 170 -

․유선사업자 스팸수신량 감축 책회의(11월)

․망 개방 황 조사 URL 스팸 책 마련을 한 회의(4~5월, 3회)

- 스팸 응연구 원회 개최(12월)

- 정보통신망법 개정 지원

[표 5-6] 정보통신망법 개정 황

1 차 개 정 ( ‘ 0 4 . 1 2월 ) 2차 개 정 ( ‘ 0 5 . 1 2월 )

o 화․Fax에 한 Opt-in제도 도입,

o 게시 스팸규제 신설 등

※‘ 화스팸방지 가이드라인’ 공청회 개최(3월)

o 번호자동생성, 발송지 변조

o 마약, 음란물, 불법재화 o 정보통신사업자 불법스팸 역무제공 거부 o 불법스팸 련 사용자 정보제공 명문화 o 스팸발송자 고의뢰자 동시처벌

‘05. 3. 31시행 ‘06. 3. 31시행( 정)

o 이메일주소 추출방지 로그램 (NeverSpam) 간편 스팸메일 신고 로그램

(SpamCop) 보완(12월) 보

※ 보 건수 : NeverSpam 1,173건, SpamCop 10,866건

< 불법스팸 민원처리 자동화로 민원처리속도 증 민원인의 만족도 제고 >

추진계획

o 민원처리시스템 고도화 로세스 개선

o 개정된 정보통신망법에 따른 불법스팸 송자 단속 계도

o 민원처리시스템 고도화 로세스 개선

- 피신고업체의 복신고 정도를 활용한 업무처리 로세스 개선 (7월)

- 이메일스팸 신고에서 정보추출 통계기능 개선작업 (9월~12월)

- 불법스팸 응신고센터 민원처리 담당자 체신청 담당 공무원 교육 실시

․상담원 직무교육(4월, 10월) 고객응 요령 교육(12월)

․체신청 담당 공무원 상 사실조사 방법, 증거확보 차 교육(11월) 메일

헤드 분석 등 스팸발송자 추 방법 교육(12월)

- 1336 불법스팸 응신고센터 상담실 개선작업

- 171 -

1 차 개 선 작 업 ( ‘ 0 5 . 3 월 ) 2차 개 선 작 업 ( ‘ 0 5 . 1 1 월 )

o 휴 화 스팸신고 자동화 (ARS도입)

o 신고 화 회선 증설(16회선)

o 상담원 주3일 ⇨ 주5일 근무제로 환

o 상담시간 확 ( 심시간에도 수 가능)

o 신고번호 1336 국 역화

o 신고 화 회선 증설(30회선)

o 개정된 정보통신망법에 따른 불법스팸 송자 단속 계도

- 불법스팸 민원 수 : 389,371건

0

5000

10000

15000

20000

25000

30000

35000

40000

45000

50000

1 2 3 4 5 6 7 8 9 10 11 12

월

건수

휴대전화

이메일

기타

월별 처리건수

행정처분 의뢰 수사 의뢰 고차단 의뢰 계도조치, 이월 등 복 등 계

1,230건 1,393건 276,576건 51,404건 58,768건 389,371건

- 행정처분을 한 과태료 부과 원회 개최(10회)

․ 과태료 부과 510건, 시정명령 148건 등

[표 5-7] 년 비 과태료부과 실

구 분 ’ 0 4 년 ’ 0 5 년 비 고

휴 화 2건 (7백만원) 111건 (1,846백만원)

이메일 296건 (783백만원) 358건 (1,563백만원)

FAX 7건 (9백만원) 41건 (80백만원)

계 3 0 5 건 ( 7 9 9 백 만 원) 5 1 0 건 ( 3 , 4 8 9 백 만 원) 년 비 6 7 % ( 3 3 6 % ) 증 가

- 수사기 과의 공조를 통한 악성 스팸 발송자 발

※ 휴 화 불법스팸 발송업체 장 합동단속 실시(경기, 부산, 북 경찰청 등 7회)

※ 스팸 발송 060업체 신고 황 등 자료 제공(13개 업체/사업주 입건)

- 172 -

- 스팸 송 실태 악을 한 장 검 실시(이통3사․KT 등 총 9개 업체, 11월)

- 불법스팸 발송자 서비스 이용제한( 화번호, IP․도메인 등) 실시

․휴 화 스팸 련 화번호 : 644건

․이메일스팸 련 스팸발송 IP․도메인 : 1,274건

※ 이용제한 근거 확보를 한 사업자(116개) 이용약 개정(2～8월)

- 스패머 색출 증거확보를 한 정보제공 요청

․휴 화 스팸 련 : 3,427건,

․이메일스팸 련 스팸발송 IP․도메인 : 2,193건


< 휴 화 스팸 수신량 감축 >

o ‘05. 11월 1인당 1일 휴 화스팸 수신량은 0.74통으로 측정되어 ‘04.12

월(1.7통)에 비하여 56.5% 감소

[표 5-8] 유형별 휴 화 스팸 수신량 추이

구 분‘04년 ‘05년

상반기 하반기 상반기 하반기

성인 0.35 0.61 0.13 0.15

출/ 융 0.19 0.51 0.27 0.30

일반 0.36 0.58 0.22 0.29

계 0 . 9 0 1 . 7 0 0 . 6 2 0 . 7 4

(단 : 통)

o 스팸유형에서 출/ 융 련 스팸의 비 (40%)이 높은 비율을 하고 있어 향후

출 련 스팸감축에 우선 응 필요

o VoIP기반 음성스팸 출 컨텐츠 이용을 부추키는 URL-SMS 스팸이 증가할

것으로 상되는 바, 이러한 신종 스팸의 법 ․기술 응방안 마련 필요

< 이메일 스팸 수신량 감축 >

o ‘05. 11월 1인당 1일 이메일스팸 수신량은 6.9통으로 측정되어 ‘04.12월(13.8통)에

비하여 50% 감소

- 173 -

[표 5-9] 유형별 이메일 스팸 수신량 추이

구 분‘03년 ‘04년 ‘05년

하반기 하반기 상반기 하반기

성인 3.0 1.2 0.9 0.6

출/ 융 5.1 6.3 6.9 1.8

기타 21.0 6.3 7.5 4.5

계 29 . 1 1 3 . 8 1 5 . 3 6 . 9

(단 : 통)

o 포탈의 웹메일의 스팸 수신량은 1.6통으로 매우 낮았으나, 일반 기업 등에서

운 하는 메일의 수신량은 13.1통으로 상 으로 스팸에 취약한 것으로 명

- 공서, 학교, 기업 등 자체 메일계정을 발 ․ 리하고 있는 기 을 상으로

서버용 스팸메일 차단솔루션 설치를 권장하는 등 극 인 책 필요

[표 5-10] 메일 계정별 스팸 수신량 비교

구 분 일 평 균 수신 량 일 최 수신 량 표 본 비 율

웹 메일 1.6 13 94%

일반 메일 13.1 172 6%

(단 : 통)

o 국내 규제법망을 피하기 한 국경간 스팸 송이 차 증가함에 따라, 불법스팸

규제강화를 한 국제공조 정보교류 강화 필요

o RBL(스팸차단리스트), SPF(메일서버등록제) 등 이메일스팸에 한 기술

차단책이 효과 인 반면 과차단․오차단 우려가 많으므로

- White IP DB운 등 신뢰도 향상조치가 필요하며, SPF 용기 을 확

하는 등 스팸방지 기술 용확 필요

- 174 -

- 175 -

제6 정보보호산업지원센터 운

사업 개요


o 국내 정보보호업체의 부분은 아직 소규모 벤처업체로서 고가의 첨단

제품 성능시험장비 마 자 부족 등으로 인하여 경쟁력

확보를 한 기 여건이 취약하므로 육성할 필요가 있음



- 정보보호업체가 개별 으로 구비하기 어려운 최신 성능시험장비 시설

제공, 연구용 생체 DB 운 등을 통해 정보보호산업 발 을 한 기

여건 조성

- 정보보호제품 시험환경 제공을 통해 정보보호업체의 제품 연구개발

경쟁력 강화 지원

- 정보보호업체가 개발한 제품의 홍보, 신제품․기술 발표, 교육 등을 한

교육실 , 회의실 세미나실 등 제공

- 생체인식 제품의 성능시험 등을 지원하기 한 지문․얼굴 DB 운

o 정보보호산업 구조개선 방안 수립

- 미래 고부가가치 략산업으로 정보보호 산업의 극 인 육성을 해 산업

구조 개선을 통한 경쟁력 강화


- 국외 시회, 비즈니스 상담회 제품 지화 지원

- 국외(동남아) 정보보호 시장 기술동향 조사 제공

- 정보보호 산업 포털사이트 운 제품편람 발간 등 홍보활동 강화를

통한 국내 정보보호 산업의 국외진출 진

- 176 -

1. 정보보호산업지원센터 운


o 세계 정보보호시장의 통합화․ 형화 경쟁심화에 따라 세한 국내

정보보호산업의 활성화를 통한 국제 경쟁력 강화 필요성 증

o 국내 정보보호업체의 부분은 아직 신생 벤처업체로서 고가의 첨단 제품

성능시험장비 마 자 부족 등으로 인하여 경쟁력 확보를 한

기 여건이 취약

- 정보보호제품 연구․개발 시 필요한 성능시험장비 등을 공동으로 사용할 수

있도록 최신 시험환경(Test Lab)을 구축․운 하여 정보보호업체의 제품

개발을 지원

- 국내 정보보호업체들의 국외진출을 진하기 해 각종 지원


o 정보보호산업지원센터 이용활성화 : 85% → 88%(104% 달성)

※Test Lab(5실) : 네트워크/시스템 보안(3), 안티바이러스-암호/인증(1), 생체인식(1)

o 정보보호업체 국제경쟁력 강화 : 29건 → 37건(128% 달성)

다. 추진내용

<정보보호산업지원센터 운 >

추진계획

o 정보보호산업지원센터 운 환경 개선을 통한 이용활성화

- 성능시험장비 운용교육 이용가이드북 제작 배포

o 산업지원센터 시험환경 개선

- 산업체 수요조사를 통한 최 의 Test Lab 환경구축

- 연구용 생체 DB 이용확

o 정보보호업체 수출활로 개척지원

- 국외 시회, 제품 지화 등 다각 국외진출지원

- 177 -


- 정보보호산업 분야별 Test Lab 총 5실 운

※ 네트워크/시스템보안(3실), 암호/인증/안티바이러스(1실), 생체인식(1실)

- 인터넷 등을 이용한 원격테스트 환경 제공을 통해 원거리에 있는 업체가 자유롭게

센터내의 장비를 사용 할 수 있는 환경 제공

․IPv6 시험망 구축․운 , 노후장비 교체 업그 이드 등 정보보호 제품의

기술수 에 맞는 최 의 시험환경 제공

- 성능 분석장비 이용교육(3회), 장비이용 가이드북(8종) 등 센터 이용

활성화를 통한 고객만족도 제고

o 생체인식 Test Lab 운 환경 개선을 통한 고객만족도 제고

- 규모 연구용 지문․얼굴 DB 운 확 구축을 통해 생체인식 기술

개발과 제품의 성능 향상 지원

․생체정보(지문, 얼굴DB) 유출방지를 한 보안시스템(DRM) 설치, 이용자의

출입 리 요시스템에 한 근제한 등을 할 수 있는 시설 등 차 개선

․시험 환경구성용 PC 서버 성능 업그 이드

․휴게공간 인터넷 사용 지원 등 편의시설 제공

․내부 네트워크 역폭(Bandwidth) 증설(100Mbps → 1Gbps)

o 정보보호 산업정책 지원

- 국내 정보보호 생체인식 산업 통계조사

- 정보보호산업 구조개선 방안

․국내․외 정보보호산업의 기술, 시장 환경변화 경쟁력 심화에 따른 규모의

경제실 필요성 증 에 따라,

․미래 고부가가치 략산업으로 정보보호 산업의 극 인 육성을 한 산업구조

개선 방안으로「정보보호 지주회사 설립방안 연구」「정보보호 기업 DB

가치평가시스템 구축방안 연구」등 추진

o 정보보호산업체 국외진출 지원

- 국내 정보보호 산업체의 국외진출을 극 으로 추진하기 해 국외 시회 참가

비용 지원

- 수출 상국의 언어로 제작하는 제품 매뉴얼 UI(User Interface) 번역

지원

- 비즈니스 상담회 개최지원 등 다각 인 국외마 활동 지원을 통한 국외시장

로개척 지원

- 업계, 학계, 유 기 등 외부 문가로 구성된「국외진출지원 원회」를 통해

- 178 -

시회 제품 지화 지원 규모 상 선정

- 국외 시회 비즈니스 상담회 12개 업체, 제품 지화 25개 등 37개 업체

지원

- 국외(동남아) 정보보호시장 기술동향 조사 제공

․국외진출을 추진 인 국내 정보보호업체가 진출 상 국가(동남아)의

정보부재로 겪고 있는 애로사항의 해소를 하여, 문 조사기 을 활용

하여 주요 국외 략 시장의 정보 기술동향을 조사․분석하여 제공

※ 동남아 4개국 : 인도, 인도네시아, 태국, 말 이시아

- 정보보호산업 포털사이트 운 제품편람 발간/배포

․외국 바이어들을 상으로 국내 정보보호업체 제품에 한 체계 인 정보

제공과 진 으로 사이버 비즈니스 상담회 공간으로서의 정착을 목 으로

국․ 문, 국어, 일본어 등 포털 사이트 개편 운

․국내 정보보호 기업/제품정보, 포털사이트 등에 한 홍보를 해 제품편람

(3,000부) 카달로그(1,000부)등을 제작하여 국외 시회 iPark 등을

통해 배포


<추진성과>

o 정보보호산업지원센터 운 을 통해

- 정보보호제품․기술 개발에 필요한 기반시설을 정부가 제공해 으로써

정보보호산업 발 을 한 기 여건 조성

- 시에 필요한 성능시험 장비를 활용한 시험을 수행할 수 있는 고객 지향

정보보호 산업지원센터 운 체계 구축

- 세한 정보보호업체가 구매하기 어려운 고가의 제품시험 장비를 구축한 시험

환경(Test Lab) 부 시설을 제공함으로써 제품 개발비 감 제품 경쟁력

강화 지원

- ‘05년 산업지원센터 평균이용률

구 분 평 균 이 용 률 이 용 건 수

목 표 85% 235건

실 88% 312건

달성도 104% 133%

- 179 -

o 정보보호산업체 국외진출지원

- 주요 국외시장에 한 략 트 쉽 구축 등을 통한 국외시장 진출 확

- 국외 시회 참가, 비즈니스 상담회, 제품 지화 지원을 통한 수출 증

- 국내 정보보호업체 제품에 한 체계 인 정보를 제공해 주는 정보보호

산업 포털사이트 운 을 통한 랜드 이미지 제고

- ‘05년 국외진출지원 실

구 분 지 원업 체 수국 내․ 외 시 장 기 술 동 향

자 료 제 공

목 표 29 2

실 37 3

달성도 128% 150%

<향후계획>

o 정보보호 기술개발 추세에 맞는 시험환경구축 Test-Lab 기능의 확 운

- BcN, IPv6, USN 등 IT839 련 정보보호 기술개발을 한 시험환경 구축

- 정보보호제품․기술 개발 시 필요한 다양한 테스트 장비․시설․기술 지원을

해 첨단 장비의 추가․업그 이드 추진

o 업체의 국외시장 진출 지원 등 정보보호 산업지원 기능을 종합 으로 수행

- 다각 인 국외 마 사업의 추진 지원으로 국외 략시장의 신수요 창출,

랜드인지도 제고 등을 통한 정보보호 산업의 활성화에 기여

- 180 -

< 부 록 >

정보보호 체계강화 사업

산출물 목록

1. 보고서(RR : Research Report) ···············································1

2. 기술문서(TM : Technical Memo) ··········································6

3. 기 , 지침, 고시 등(TD : Technical Document) ···············9

4. 해설서, 법령서 등(TR : Technical Report) ·······················12

5. 논문(Paper) ···············································································13

6. 로그램 등록 ··········································································15

7. 특허 출원/등록 ········································································15

8. 기술이 ····················································································15

9. 평가 실 (제품평가, 취약 평가, IDC평가) ······················16

10. 상담지원 건수(평가자문 포함) ···········································20

11. 문교육과정 시행 건수 ······················································21

12. 세미나, 공청회, 심포지엄 개최 등 ····································25

13. 취약 웜바이러스 분석보고서 목록 ··························28

14. 언론홍보 ··················································································31

- 1 -

1. 보고서(RR : Research Report)

순번 제 목 소 속 작성자 발행일 비고

1 RedCastle v2.0 평가보고서 평가2 최용 , 진승만 1월

2 REDOWL SecuOS V4.0 평가보고서 평가2 이강석, 이승환 1월

3 Secuve TOS 2.0 평가보고서 평가2 정재훈, 용진 1월

4 SECUREWORKS @Server V1.0 평가보고서 평가2 백남균, 천재호 1월

5SecuwaySuite 6000 v3.0 변경승인시험

결과보고서평가2 이승환 1월

62004년도 취약성분석/평가 결과에 따른

취약 사후조치 결과인증 리 김재성 외 2인 2월

72005년 자서명인증 리시스템 취약

분석․평가인증 리 김재성, 박정환 2월

8 NXG IPS 2000 V1.3 평가보고서 평가1 방지호, 박 우 3월

9 Secuve IDS 2.0 평가보고서 평가2 용진, 병기 3월

10 ISMS 인증심사 보고서/ 소기업은행 보안 리 홍시환 3월

11 Sniper IPS V4.0 평가보고서 평가2 김찬일, 김민경 4월

12 홈페이지 개발 보안 가이드 해킹 응 해킹 응 4월

13 2006년 자서명인증 리시스템 보호 책 인증 리 김재성, 박정환 4월

14 ISMS 인증심사 보고서/시큐아이닷컴 보안 리 홍시환 4월

15 ISMS 인증심사 보고서/KTF(보안시스템운 ) 보안 리 고규만 4월

16 SafezoneIPS V2.0(SZ-400) 평가보고서 평가1 안재 , 외 3인 5월

17 SafezoneIPS V2.0(SZ-2000) 평가보고서 평가1 안재 외 3인 5월

18 SafezoneIPS V2.0(SZ-4000) 평가보고서 평가1 안재 외 3인 5월

19 한국정보인증㈜ 정기 검 결과보고서 인증 리 이석래 외 5인 5월

20 ISMS 사후 리심사 보고서/인포섹 보안 리 홍시환 5월

- 2 -


21 ISMS 사후 리심사 보고서/코코넛 보안 리 고규만 5월

22 ISMS 사후 리심사 보고서/KTF(보안 제체계) 보안 리 고규만 5월

23 NXG 500 V1.0 평가보고서 평가2 박순태 외 2인 6월

24 Syskeeper OS Solaris 9 V2.0 평가보고서 평가2 안성수, 신화종 6월

25 RedCastle v2.0 for HP-UX 평가보고서 평가2 최용 , 송규철 6월

26 Secuve TOS 2.0 for HP-UX 평가보고서 평가2 용진, 병기 6월

27 IPv6 기반 침입탐지시스템 모의평가 보고서 평가2 백남균, 진승만 6월

28 IPv6 기반 운 체제보안시스템 모의평가 보고서 평가2 용진, 병기 6월

29정보보호 포털사이트 운 제품편람 발간

결과보고서기술표 맹두열, 박지형 6월

30 정보보호 지주회사 설립방안 연구 기술표 맹두열 6월

31 정보보호 기업 DB 가치평가시스템 연구 기술표 맹두열 6월

32IPv6 기반 침입차단시스템 가상사설망

모의평가 보고서평가1 윤여웅외 4인 6월

33 ㈜코스콤 정기 검 결과보고서 인증 리 이석래 외 5인 6월

34 ISMS 인증심사 보고서/ 한항공 보안 리 홍시환 6월

35 REDOWL SecuOS v4.0 for AIX 평가보고서 평가2 김찬일, 김민경 7월

36 WormBreaker IPS (v2.0) 평가보고서 평가1 장형진, 손경호 7월

37 융결제원 정기 검 결과보고서 인증 리 이석래 외 5인 7월

38 ISMS 인증심사 보고서/한진정보통신 보안 리 고규만 7월

39 ISMS 사후 리심사 보고서/인젠 보안 리 홍시환 7월

40 ISMS 사후 리심사 보고서/KTF(K-merce쇼핑) 보안 리 홍시환 7월

- 3 -


412005년도 정보보호 안 진단 상자 황조사

결과보고서보안 리 장상수, 김정희 7월

42 ‘05년도 암호이용기반구축사업 간실 보고서 암호응용 길수 외 4인 8월

43 한국 산원 정기 검 결과보고서 인증 리 이석래 외 5인 8월

44 인터넷상의 주민번호 체수단 련 설문조사 개인정보기획시노베이트코리아(수탁기 ) 8월

45 Redcastle v2.0 for AIX 평가보고서 평가2 최용 , 박 미 9월

46 Soligate VPN-ng200 V1.0 평가보고서 평가1 안재 , 김선미 9월

47 VForce 1200 V1.0 평가보고서 평가1 방지호, 박 우 9월

48 WormBreaker IPS (v2.0) 변경승인시험 결과보고서 평가1 장형진 9월

49 한국 자인증(주) 정기 검 결과보고서 인증 리 이석래 외 5인 9월

50 Secuve TOS 2.0 for AIX 평가보고서 평가2 용진, 병기 10월

51 개인정보보호 장기 기술개발 기획보고서 암호응용 길수 외 2인 10월

52신원확인기능 보안강도 분석 기

평가방법론 개발성균 학교 김승주 교수 10월

53SECUREWORKS IPSWall 2000/3000 V4.0

변경승인시험 결과보고서평가1 장형진 10월

54 한국무역정보통신(주) 정기 검 결과보고서 인증 리 이석래 외 5인 10월

55 IT839 8 서비스의 공통보안 임워크 연구 충남 등 류재철 외 7인 10월 탁

56 동남아 정보보호 시장 기술동향조사 기술표 맹두열 11월

57 주요정보통신기반보호 수 평가방법론개발 기반기획학교

박진섭 11월 탁

58 SecuwaySuite 6000 V3.0 +IPS 평가보고서 평가2 백남균, 진승만 11월

59 eNDeSS Professional v1.0 평가보고서 평가1 장형진, 진수 11월

60 ISMS 사후 리심사 보고서/SK텔 콤 보안 리 권성호 11월

- 4 -


61 소기업 시스템 리자용 훈련공간 구축 보고서 보안 리 이기호 11월

62 정보보호산업지원센터 운 결과보고서 기술표 조은래 12월

63 국내 정보보호 생체인식 산업통계조사 기술표 맹두열 12월

64 SafezoneIPS V3.0(SZ-4000) 평가보고서 평가2 박순태 외 3인 12월

65 IT839 정보보호기술개발 계획 기술표 박희운, 이승훈 12월 -

66 정보보호기술 표 화 로드맵 기술표 박희운, 이승훈 12월 -

67

u- 라이버시 환경 구축을 한 개인정보

보호기술 개발 추진 방향 : 장기 기술개발

계획(안)

암호응용 길수 외 2인 12월

68 암호이용기반구축보고서 암호응용길수 외 4인 12월

69 평가수수료 개선을 한 수수료 모델 타당성 연구 한 회계법인 김진홍 외 3인 12월

70 스마트카드 사이드 채 공격 분석 도구 개발 나사렛 학교 하재철 교수 12월

71 SECUREWORKS IPSWall 1000 V4.0 평가보고서 평가1 오용석 외 3인 12월

72 SafezoneNet V3.1 for Solaris 평가보고서 평가1 조 일 12월

73 아시아PKI포럼 활동 결과보고서 기반기획 윤재석 12월

74 IT839 략 8 서비스의 정보보호사 평가모델 기반기획 김성훈, 신동훈 12월

75 8 서비스의 자 침해시 장애 응 략연구 기반기획 김성훈, 신동훈 12월

76 홈네트워크 개인정보보호 방안에 한 연구 개인정보기획 김지훈 12월

77 텔 매틱스 개인정보보호 방안에 한 연구 개인정보기획 김진태 12월

78각 국의 인터넷 웹사이트에서의 신원확인

방법에 한 조사 연구개인정보기획 변순정 12월

79아시아․태평양 지역의 개인정보피해구제 제도

개선방안개인정보기획 박홍성 12월

80 인터넷상의 주민등록번호 체수단에 한 연구 개인정보기획 김태 12월

- 5 -


81개인정보보호에 한 인터넷 이용자의

신뢰수 련 설문조사개인정보기획

(주)한국갤럽조사연구소 12월

82개인정보보호 법규 수율 조사 법규

수율 제고방안 연구 보고서지원조사 추 우 12월

83 2005 개인정보 피해구제 상담 사례집 심의지원 강달천,김민섭 12월

84 2005 개인정보 피해구제 연차보고서 심의지원 강달천 12월

85 해킹바이러스 황 응보고서 상황 제 상황 제 12월

86 ISMS 인증심사 보고서/넷시큐어테크놀러지 보안 리 홍시환 12월

87 ISMS 인증심사 보고서/상호 축은행 앙회 보안 리 고규만 12월

88 ISMS 인증심사 보고서/안철수연구소 보안 리 홍시환 12월

89 ISMS 인증심사 보고서/한국통신인터넷기술 보안 리 권성호 12월

90 ISMS 갱신심사 보고서/A3SC 보안 리 홍시환 12월

91 ISMS 사후 리심사 보고서/STG 보안 리 홍시환 12월

92 ISMS 사후 리심사 보고서/농 보안 리 권성호 12월

93 ISMS 사후 리심사 보고서/시큐어소 트 보안 리 조태희 12월

94 ISMS 사후 리심사 보고서/한국정보인증 보안 리 고규만 12월

95 ISMS 사후 리심사 보고서/KTIDC 12개 사업장 보안 리 조태희 12월

96 ISMS 사후 리심사 보고서/KISTI 보안 리 고규만 12월

97 ISMS 사후 리심사 보고서/법원행정처 보안 리 조태희 12월

98정보보호 안 진단 제도 개선 발 방안

연구보고서보안 리 장상수외 3인 12월

99 2005년도 정보보호 안 진단 결과 검토 보고서 보안 리 장상수외 3인 12월

100 인터넷침해사고 동향 분석월보 상황 제 상황 제 1월~12월

- 6 -

2. 기술문서(TM : Technical Memo)

순번 제 목 소 속 작성자 작성일 비고

1PHP 웹 게시 련 침해사고 분석

보안 책해킹 응 해킹 응 1월

2 피싱사이트 악용서버 분석사례 해킹 응 해킹 응 3월

3악성 로그램 유포로 이용된 국내 사고

시스템 분석해킹 응 해킹 응 4월

4 악성 Botnet 명령/제어 서버 사고 분석 해킹 응 해킹 응 4월

5 규모 홈페이지 변조사례 보안 책 해킹 응 해킹 응 4월

6스팸메일 발송으로 이용된 악성 Bot감염

시스템 분석보고서해킹 응 해킹 응 4월

7웹 해킹을 통한 PHPBB웜(Shell Bot)유포

시스템 분석 보고서해킹 응 해킹 응 4월

8스팸 Bot을 이용한 피싱 스팸 발송 시스템

분석 보고서해킹 응 해킹 응 4월

9phpBB취약 을 이용한 홈페이지 변조

웜 감염 시스템 사고 분석해킹 응 해킹 응 4월

10 Ransom 웨어 사례 분석 해킹 응 해킹 응 5월

11자체 개발 홈페이지의 취약 을 이용한

홈페이지 변조사고 분석해킹 응 해킹 응 5월

12 ID기반 공개키 암호기술에 한 연구 암호응용 주학수 외 2인 5월

13디지털콘텐츠 성인인증에서의 공인인증서

활용방안인증 리 인경 5월

14 웹 해킹을 통한 악성코드 유포 사이트 사고 사례 해킹 응 해킹 응 6월

15RFID 검색시스템 보안을 한 공개키

암호기술 분석암호응용 이향진 외 2인 6월

16RFID/USN환경에서 보안 라이버시

노출 요인 요구사항 분석암호응용 주학수 외 2인 6월

17 FreeBSD를 이용한 6to4 변환 네트워크 구성방법 평가2 백남균 외 3명 6월

18자서명문서 장기 효력 검증을 한

자서명형식 분석인증 리 정찬주 6월

19FIPS201과 NGSCB의 스마트카드 기반

사용자 인증 기술 분석인증 리 박배효외 2인 6월

20홈게이트웨이 인증서 리방안 인증서

로 일 특징 분석인증 리 박배효외 2인 6월

- 7 -


21 악성 Botnet명령/제어 서버 사고 분석 해킹 응 해킹 응 7월

22SQL injection 취약 을 이용한 원도우즈

웹서버 사고 사례해킹 응 해킹 응 7월

23 IPv6를 한 RIPng 분석 평가2 백남균 외 3명 7월

24 자서명생성키 리기술분석 인증 리 윤재호 7월

25자서명문서 장기 효력검증을 한

자서명형식 분석인증 리 정찬주 7월

26웹 게시 취약 이용 침입후 서비스 거부

공격 사례해킹 응 해킹 응 8월

27데이터베이스 보안 라이버시보호기술

동향 분석암호응용 주학수, 박해룡 8월

28 홈네트워크 서비스의 정보보호사 평가기 (안) 기반기획 신동훈 외 2인 8월

29 RFID 서비스의 정보보호 특성 분석 기반기획 신동훈 외 2인 8월

30 모바일RFID 환경에서의 라이버시 분석 암호응용 이향진, 김지연 9월

31 EPC 네트워크에서의 네임서비스에 한 분석 암호응용 이향진, 김지연 10월

32 업로드 취약 을 이용한 악성코드 유포 사례 해킹 응 해킹 응 11월

33네트워크 장비의 디폴트 로그인 패스워드

취약해킹 응 해킹 응 12월

34 미국과 국의 평가기 승인 차 차이 분석 평가기획 성윤기 외 2인 12월

35 RBAC 기술 참조모델 분석 평가기획 김 태, 유연정 12월

36역할기반 근통제시스템보호 로 일

보안목표명세서 분석평가기획 유연정, 김 태 12월

37 공통평가기 V3.0 개요 평가1 이은경 외 1명 12월

38 DBMS 취약성 분석 평가1 이은경 외 1명 12월

39 고등 평가방법론 평가1 이은경 외 1명 12월

40 KAME를 이용한 IPv6 VPN 구축 평가1 이 정 12월

- 8 -


41 FreeBSD를 이용한 IPv6 Firewall 구축 평가1 이 정 12월

42 무선랜 표 화 기술동향 평가1 박 우 외 2명 12월

43강한 사용자 인증 솔루션을 한 요구사항

구 황 분석인증 리 박배효, 윤재호 12월

44 속성인증을 이용한 응용서비스 모델 연구 인증 리 박배효, 윤재호 12월

45 국 자서명인증정책 황분석 인증 리 이정 , 김정희 12월

46 ID 리기술 분석 인증 리 박배효, 윤재호 12월

47무선 공인인증서 사용자 인터페이스 개선

방안 연구 인증 리 이원철 12월

48무선 인증서비스 모바일뱅킹 서비스

비교․분석 인증 리 이원철 12월

49MS 도우내 최상 인증기 인증서 탑재를

한 웹트러스 CA 감사항목 분석인증 리 인경 12월

- 9 -

3. 기 , 지침, 고시 등(TD : Technical Document)


1 IETF RFC4009 - SEED 암호 알고리즘 표 암호응용 이향진 2월

2IETF RFC4010 - 보안 자우편에서의 메시지

암호화를 한 SEED 암호 사용 표암호용응 이향진 2월

3 감사기록백업업무지침 인증 리 박윤식, 박정환 2월

42006년도 주요정보통신기반시설 보호계획

작성 지침(안)기반기획 심재 , 최 희 2월

52006년도 주요정보통신기반시설 보호 책

작성 지침(안)기반기획 심재 , 최 희 2월

6 정보보호 방침서 보안 리 최 숙외 2인 4.15

7 정보자산 리 지침서 보안 리 최 숙외 2인 4.15

8 정보보호조직 운 지침서 보안 리 최 숙외 2인 4.15

9 서버 보안 지침서 보안 리 최 숙외 2인 4.15

10 네트워크 보안 지침서 보안 리 최 숙외 2인 4.15

11 물리 보안 지침서 보안 리 최 숙외 2인 4.15

12 침해사고 응 지침서 보안 리 최 숙외 2인 4.15

13 리 스를 활용한 방화벽 구축 보안 리 장상수외 2인 5.3

14 snort 로그램 활용법 보안 리 장상수외 2인 5.3

15 antivir-mailgate 로그램 활용법 보안 리 장상수외 2인 5.3

16 라우터를 활용한 네트워크 보안설정 보안 리 장상수외 2인 5.3

17 공개용 보안 로그램을 활용한 취약성 검 보안 리 장상수외 2인 5.3

18 ISMS 인증업무지침 개정(안) 보안 리 고규만외 3인 6.3

19 ISMS 인증업무수행요령 개정(안) 보안 리 고규만외 3인 6.3 ISO/IEC

20 개발자용 스마트카드 평가제출물 작성가이드 평가1 이병권 외 4월

- 10 -


21 자서명인증 리업무 보안 리지침 인증 리 김재성, 박정환 4월

22 네트워크 침입방지시스템 보호 로 일 V1.0 평가기획 성윤기, 강필용 5월

23 정보보호시스템 평가․인증 지침 평가기획 강필용 외 2인 5월

24 정보보호시스템 공통평가기 평가기획 강필용 5월

25 EAL4+ 평가제출물 검가이드 평가1 이병권 외 5월

26 신청서수발업무지침 인증 리 박윤식, 박정환 5월

27 EAL3+ 평가제출물 작성 가이드 평가기획 이완석 외 6월

28 인증서 정책 등록․발 지침 인증 리 박윤식, 박정환 6월

29 TTA- 자서명 인증서 경로처리 알고리즘 표 인증 리 인경 6월

30 정보보호시스템 보안 지침서 보안 리 이진태, 김정희 7월

31 DB서버 보안 지침서 보안 리 이진태, 김정희 7월

32 취약 검 지침서 보안 리 이진태, 김정희 7월

33 모바일RFID 라이버시보호 가이드라인 암호응용 이향진 9월

34IETF RFC4162 - TLS를 한 SEED 암호

알고리즘 사용표암호응용 이향진 9월

35IETF RFC4196 - IPsec을 한 SEED

암호알고리즘 사용표암호응용 이향진 10월

36 인터넷상의 주민등록번호 체수단 가이드라인 개인정보기획 김본미 10월

37IS 18033-3 : Encryption algorithms Part 3 :

Block ciphers암호응용 김지연, 길수 11월

ISO/IEC

38 공통평가기 2.3(한 ) 평가기획 유연정 11월

39 공통평가방법론 2.3(한 ) 평가기획 이 호 외 2인 11월

40 RFID 라이버시 보호 가이드라인 심의지원 강달천 11월

- 11 -


41ISMS 인증 원회 온라인 심의시스템 구축

사용 매뉴얼보안 리 홍시환 11월

42 RFID 라이버시보호 가이드라인 표 암호응용 주학수, 길수 12월 TTA

43IETF RFC4269 - SEED 암호알고리즘 표

(IETF RFC4010 bis)암호응용 이향진 12월

44 모바일RFID 라이버시보호 가이드라인 암호응용 이향진 12월 TTA

45 128비트 블록암호알고리즘 개정 표 암호응용 이향진 외 4인 12월 TTA

46해쉬함수표 -제2부 해쉬알고리즘표

(HAS-160) 개정 표암호응용 이향진 외 4인 12월 TTA

47 네트워크 침입방지시스템 보호 로 일 V1.1 평가기획 성윤기, 유연정 12월

48 정보보호시스템 평가수수료 산정기 (안) 평가기획 성윤기, 홍원순 12월

49 IPv6 시험도구 활용가이드 평가1 이 정 외 3인 12월

50 IPv6 시험망 구축 가이드 평가1 이 정 외 3인 12월

51 IPv6기반 침입차단시스템 구축가이드 평가1 이 정 외 3인 12월

52 IPv6기반 가상사설망 구축가이드 평가기획 김 태, 유연정 12월

53 국가기 용 침입차단시스템 보호 로 일 V1.2 평가기획 김 태, 유연정 12월개정(안)

54 국가기 용 가상사설망 보호 로 일 V1.2 평가기획 김 태, 유연정 12월개정(안)

55 소기업 정보보호 가이드라인 기반기획 김호성,외 2인 12월

- 12 -

4. 해설서, 법령서 등(TR : Technical Report)

순번 제 목 소 속 작성자 발간일 비고

1 성능 분석장비 이용가이드 북 제작 기술표 맹두열, 조은래 1월

2 정기 검 해설서 인증 리 안성룡 3월

3 정기 검 지침서 인증 리 안성룡 3월

4 공인인증체계 업그 이드 실질심사 해설서 인증 리 황보성 외 3명 3월

5 공인인증기 백업센터 구축가이드라인 인증 리 김재성, 박정환 3월

6 인터넷상의 개인정보보호를 한 가이드북 개인정보기획 김본미 10월

7 RFID 라이버시 보호 가이드라인 해설서 심의지원 강달천 11월 팜 릿

8정보보호컨설 문업체 사후 리 장실사

해설서 기반기획 박정환 10월

9 소기업 정보보호 DIY 기반기획 안미 , 김호성 12월

10 자서명법 개정안 인증 리 인증 리 12월

11 자서명법 시행령 개정안 인증 리 인증 리 12월

12 자서명법 시행규칙 개정안 인증 리 인증 리 12월

13 WebSuite_LoadBalancer 이용 가이드북 기술표 맹두열, 조은래 12월

14 WebSuite_Firewall 이용 가이드북 기술표 맹두열, 조은래 12월

15 TeraVPN 이용 가이드북 기술표 맹두열, 조은래 12월

16 SmartWindow 이용 가이드북 기술표 맹두열, 조은래 12월

17 SmartFlow 이용 가이드북 기술표 맹두열, 조은래 12월

18 SmartApplications 이용 가이드북 기술표 맹두열, 조은래 12월

19 Reflector 이용 가이드북 기술표 맹두열, 조은래 12월

20 Avalanche 이용 가이드북 기술표 맹두열, 조은래 12월

21 생체정보 보호 가이드라인 해설서 기술표 신용녀 12월

- 13 -

5. 논문(Paper)

순번 제 목 소 속 자 게제처 발표국가게제/

발표일

1

A New Detection Method Using

Naive Bayesian Classifier for

Unknown Malicious Code

취약성분석 이기호 APIS2004 오스트리아 1.26

2SHA-1 해쉬알고리즘 취약성발견에

따른 자서명인증체계 향분석인증 리 이석래, 윤재호 정보보호학회지 한국 3월

3스마트카드와 생체정보 기반의

2-factor 사용자 인증기술 연구인증 리 박배효 외 2인 정보보호학회지 한국 3월

4 국내․외 암호 련 법제도 황 암호응용 권 조, 길수한국정보보호

학회지 한국 4월

5Simple and Secure Wireless

Certificate Request Protocol인증 리 정찬주 외 3인 ICCSA2005 싱가폴 5월

6

ISCS(Information Security Check

Service) for the Safety and

Reliability of Communications

보안 리 신종회 WEC ICIS'05 터키 6.24

7 ISMS Certification Scheme in Korea 보안 리 고규만, 장상수 RAISS 싱가폴 6.29

8주소 장 서비스 거부 공격에

응한 비정상 행 탐지 기법평가2 백남균 외 4인

한국통신학회 하계 종합 학술발표회

한국 6월

9Intrusion Detection Modeling and

Simulation for Network Security평가2 김찬일 GESTS 미국 6월

10디지털컨텐츠 성인인증에서의 공인

인증서 활용 방안에 한 연구인증 리 박상환 외 2인

정보보호학회 하계종합학술

회한국 6월

11

안 한 디지털홈 서비스를 한

홈게이트웨이 인증서 리방안

인증서 로 일 연구

인증 리 박배효한 자공학

회지 한국 6월

12 PKI Interoperability in Asia 인증 리 인경

Europe Forum for Electronic Signature

폴란드 6월

13자 융거래시스템 취약 분석

안 성 강화방안 연구 논문 게재인증 리 이원철 정보 한국 6월

14 Cryto-CER 디지탈서명기법 기술표 박희운 보안공학회 한국 7월

15ISO/IEC JTC1 SC27/WG2 제 30차

비엔나 회의 활동기술표 박희운 외

정보보호학회(춘계) 한국 7월

16IPv6 기반 보안시스템 우회공격

기술에 한 연구 평가2 백남균 외 3인 COMSW2005 한국 7월

17국가자격 인증기반 구축을 한

인증서 발 모델 연구인증 리 박배효 외 2인 정보 한국 10월

- 14 -

순번 제 목 소 속 자 게제처발표국

가

게제/

발표일

18

Trust Building of online transaction;

Case study of Internet banking hacking

incident in Korea and its countermeasure

기반기획 윤재석 IBER 2005 미국 10월

19

ISCS(Information Security Check Service)

for Strengthening the Stability

and Reliability of Information

Communication Service

보안 리 이진태 4th WSEAS미국

마이애미 11.19

20 바이오메트릭스정보보호 가이드라인 기술표 김재성 외 정보보호학회 한국 11월

21 다 생체인식을 이용한 개인인증 기술표 김재성 외 정보과학회 한국 11월

22 Crypto-Cert Digital Signature mechanism 기술표 박희운ICCMSE2005(

SCI/E) 그리스 11월

23EPC 네트워크에서의 네임서비스에

한 보안 이슈암호응용

이향진, 길수 한 자공학회지 한국 11월

24RFID/USN 환경에서 상호인증

메커니즘 검증/평가 방법평가2

김찬일 외 3인 한국정보처리학회 한국 11월

25 인터넷상에서의 안 한 성인인증방안 인증 리 인경 WSEAS 미국 11월

26

Research on Issuing a certificate

and Generating a private key of

a Home -gateway

인증 리박배효 외

3인 WSEAS 스페인 11월

27

A Study for Vulnerability Analysis

and Security Reinforcement Plan

of Accredited Certification Service

인증 리백종 외

3인 WSEAS 스페인 11월

28

New DVCS-Based Service

Model for Long-Term Electronic

Signature Validation

인증 리황보성 외

2명

International Journal of Computer

Science and Network security

- 11월

29

A Lightweight And Secure

Wireless Certificate Management

Protocol Supporting Mobile Phone

인증 리이재일 외

3인IEEE ICCE

2006 미국 11월

30Safety Enhancement Measures

for Online Transaction기반기획

윤재석, 강원 WSEAS 미국 11월

31신규 IT서비스에 한 정보보호

사 평가모델 연구기반기획

신동훈 외 2인

정보처리학회 추계학술발표회 한국 11월

32

나이 베이즈 분류자를 이용한

악성 IPv6 단편화 패킷 탐지 기

법 연구

보안 리 이기호 NCS 한국 11월

33

Development of Methodology

for Evaluation of Information

Security Level in CIIP

기반기획민복기외

4명 IBIMA 이집트 12월

34

Study of Information Security

Pre-Evaluation Model for New

IT Service

기반기획신동훈 외

3인 ISCOCO 스페인 12월

- 15 -

6. 로그램 등록

순번 로그램등록명창/개작

구분라인수 소 속 등록자 등록국 등록일 등록번호

1침해사고 응훈련

로그램창작 보안 리 이기호 한국 4.11

2005-01-132-0

02906

2

ISO/IEC BioAPI 기반의

BSP 표 합성 시험

소 트웨어

창작 2.3M 기술표

김재성,

신용녀,

이동근

한국 12월2005-01-199-0

06519

7. 특허 출원/등록

순번 특 허 명 소 속 발명자 출원/등록국 출원/등록일 출원/등록번호

1

온라인망을 기반으로 하는

해킹/바이러스 학습 리

시스템

보안 리

이재일,

장상수 ,

이기호

한국 4월 10-2005-0014783

2 자서명된 문서의 검증 방법인 라

보호단

이향진,

이재일,

이홍섭

한국 10월 제0525124호

3

BioAPI 임워크와 독립 인

BSP 기반의 표 합성

시험 방법

기술표 기술표 한국 12월

4 악성코드분석시스템 분석기술

최 섭

심원태

김우한

이홍섭

한국 11월 10-0106692

5악성코드은닉사이트 검색

시스템분석기술

박성우

심원태

김우한

이홍섭

한국 11월 10-0106697

6 하니넷 운 기술 분석기술

김지상

심원태

김우한

이홍섭

한국 11월 10-0106698

8. 기술이

순번 기술명 기술이 기업명 소속 기술담당자 이 일 비고

1 SEED 소스코드(주)한 과컴퓨터 외 251개

국내․외 업체/학교/연구소암호응용 주학수 1월~12월

- 16 -

9. 평가 실 (제품평가, 취약 평가, IDC평가)

순번 평가제품/피평가기 명 소 속 평가자평가기간

(종료일시)비고

1한국정보인증(주) 공인인증시스템 변경

실질심사 보고서(CA, TSA 설비)인증 리 이석래 외 4인 1월

2(주)코스콤 공인인증시스템 변경 실질심사

보고서(보호설비) 인증 리 이석래 외 4인 1월

3융결제원 공인인증시스템 변경 실질심사

보고서(CA, RA 설비)인증 리 이석래 외 4인 1월

4 RedCastle v2.0/(주) 드게이트 평가2 최용 , 진승만 1월 최 평가

5 REDOWL SecuOS V4.0/티에스온넷㈜ 평가2 이강석, 이승환 1월 최 평가

6 Secuve TOS 2.0/(주)시큐 평가2 정재훈, 용진 1월 최 평가

7 SECUREWORKS @Server V1.0/어울림정보기술㈜ 평가2 백남균, 천재호 1월 최 평가

8 CA, TSA 설비 변경심사/한국정보인증(주) 인증 리 이석래 외 4인 1월

9 보호설비 변경심사/(주)코스콤 인증 리 이석래 외 4인 1월

10 CA, RA 설비 변경심사/ 융결제원 인증 리 이석래 외 4인 1월

11 정보보호 리체계인증/코코넛 보안 리 고규만, 조태희 2.18~2.22 사후 리

12 정보보호 리체계인증/인포섹 보안 리 홍시환, 고규만 2.23~2.25 사후 리

13 CA 설비 변경심사/한국정보인증(주) 인증 리 이석래 외 4인 3월

14 보호설비 변경심사/한국 자인증(주) 인증 리 이석래 외 4인 3월

15 NXG IPS 2000 V1.3/시큐아이닷컴(주) 평가1 방지호, 박 우 3월 최 평가

16 Secuve IDS 2.0/(주)시큐 평가2 용진, 병기 3월 재평가

17정보보호컨설 문업체 업무 양수에 따른

이니텍(주)지정심사기반기획 이강신, 김호성 3월

18 자서명인증 리시스템 취약 ․분석 평가 기반기획 민복기 3월

19 정보보호 리체계인증/KTF(보안 제체계) 보안 리 고규만, 권성호 4.26~4.28 사후 리

20통신분야 ‘06년 기반시설 보호 책 검토

/KT 등 12개 기기반기획 심재 , 최 희 4월

총 17개 시설

- 17 -



21 침해사고 응지원시스템 취약 ․분석 평가 기반기획 민복기 4월

22 보호설비 변경심사/한국 산원 인증 리 이석래 외 4인 4월

23 Sniper IPS V4.0/(주) 스테크넷 평가2 김찬일, 김민경 4월 최 평가

24네트워크 침입방지시스템 보호 로 일 V1.0

평가보고서평가기획 유연정 4월

25 정보보호 리체계인증/KTF(K-merce쇼핑) 보안 리 홍시환, 조태희 5.02~5.04 사후 리

26 정보보호 리체계인증/인젠 보안 리 홍시환 5.24~5.26 사후 리

27 정보보호 리체계인증/ 한항공 보안 리 홍시환외 3인 5.9~5.13 인증심사

28통신분야 ‘06년 기반시설 보호 책 장 검토

’04년 보호 책 이행검사/KT 등 12개기기반기획 심재 , 최 희 5월

29 가입자 설비 변경심사/한국정보인증(주) 인증 리 이석래 외 4인 5월

30 CA, 가입자설비 변경심사/ 융결제원 인증 리 이석래 외 4인 5월

31 CA설비 변경심사/(주)코스콤 인증 리 이석래 외 4인 5월

32 가입자설비 변경심사/(주)코스콤 인증 리 이석래 외 4인 5월

33 CA설비 변경심사/한국 산원 인증 리 이석래 외 4인 5월

34 SafezoneIPS V2.0(SZ-400)/LG엔시스㈜ 평가1 안재 외 3인 5월 최 평가



37 정보보호 리체계인증/한진정보통신 보안 리 고규만외 3인 6.3~6.10 인증심사

38 Syskeeper OS Solaris 9 V2.0/(주)티맥스소 트 평가2 안성수, 신화종 6월 최 평가

39 IPv6 기반 침입탐지시스템 모의평가 평가2 백남균, 진승만 6월 모의평가

40 IPv6 기반 운 체제보안시스템 모의평가 평가2 용진, 병기 6월 모의평가

41 NXG 500 V1.0/시큐아이닷컴㈜ 평가2 박순태 외 2인 6월 재평가

42 RedCastle v2.0 for HP-UX/(주) 드게이트 평가2 최용 , 송규철 6월 최 평가

43 Secuve TOS 2.0 for HP-UX/(주)시큐 평가2 용진, 병기 6월 추가평가

- 18 -



44 IPv6 기반 침입차단시스템 가상사설망 평가1 윤여웅 외 4인 6월 모의평가

45 CA설비 변경심사/(주)한국무역정보통신 인증 리 이석래 외 4인 7월

46 가입자설비 변경심사/(주)한국무역정보통신 인증 리 이석래 외 4인 7월

47 보호설비 변경심사/(주)한국무역정보통신 인증 리 이석래 외 4인 7월

48 CA설비 변경심사/한국 산원 인증 리 이석래 외 4인 7월

49 CA설비 변경심사/한국 자인증 인증 리 이석래 외 4인 7월

50 WormBreaker IPS (v2.0)/(주)지모컴 평가1 장형진, 손경호 7월 최 평가

51 REDOWL SecuOS v4.0 for AIX/티에스온넷㈜ 평가2 김찬일, 김민경 7월 추가평가

52 정보보호 리체계인증/안철수연구소 보안 리 홍시환외 2인 8.22~8.26 인증심사

53 정보보호 리체계인증/넷시큐어테크놀러지 보안 리 홍시환외 2인 8.30~9.7 인증심사

54 정보보호 리체계인증/상호 축은행 앙회 보안 리 고규만, 조태희 8.30~9.7 인증심사

55 보호설비 변경심사/ 융결제원 인증 리 이석래 외 4인 8월

56 OCSP설비 변경심사/ 융결제원 인증 리 이석래 외 4인 8월

57정보보호컨설 문업체 재지정 심사

※ 인포섹, 코코넛, 한국 IBM기반기획 이강신, 박정환 8월～9월

58 정보보호 리체계인증/SK텔 콤 보안 리 권성호외 2인 9.14~9.15 사후 리

59 정보보호 리체계인증/한국정보인증 보안 리 고규만 9.28~9.30 사후 리

60 디 토리 설비 변경심사/한국정보인증(주) 인증 리 이석래 외 4인 9월

61 본인확인정보 발 시스템/한국 자인증 인증 리 이석래 외 4인 9월

62 본인확인정보 발 시스템/한국신용평가정보 인증 리 이석래 외 4인 9월

63 본인확인정보 발 시스템/한국정보인증 인증 리 이석래 외 4인 9월

64 본인확인정보 발 시스템/한국신용정보 인증 리 이석래 외 4인 9월

65 본인확인정보 발 시스템/서울신용평가정보 인증 리 이석래 외 4인 9월

66 Soligate VPN-ng200 V1.0/(주)인 니스 평가1 안재 , 김선미 9월 최 평가

- 19 -



67 VForce 1200 V1.0/(주)넥스지 평가1 방지호, 박 우 9월 최 평가

68 Redcastle v2.0 for AIX/(주) 드게이트 평가2 최용 , 박 미 9월 재평가

69 정보보호 리체계인증/KISTI 보안 리 고규만 10.10~10.11 사후 리

70 정보보호 리체계인증/한국통신인터넷기술 보안 리 권성호, 이재로 10.10~10.14 인증심사

71 정보보호 리체계인증/STG 보안 리 홍시환, 변 용 10.12~10.14 사후 리

72 정보보호 리체계인증/KTIDC 12개 사업장 보안 리 조태희, 고규만 10.17~10.24 사후 리

73 정보보호 리체계인증/농 보안 리 권성호외 2인 10.24~10.26 사후 리

74 Secuve TOS 2.0 for AIX/(주)시큐 평가2 용진, 병기 10월 재평가

75 정보보호 리체계인증/KTF(보안시스템운 ) 보안 리 고규만, 조태희 11.15~11.19 인증심사

76 정보보호 리체계인증/A3SC 보안 리 홍시환외 2인 11.22~11.25 갱신심사

77 정보보호 리체계인증/법원행정처 보안 리 조태희, 김성훈 11.23~11.25 사후 리

78 가입자 설비 변경심사/(주)코스콤 인증 리 이석래 외 4인 11월

79 가입자 설비 변경심사/(주)한국무역정보통신 인증 리 이석래 외 4인 11월

80ISO/IEC BioAPI/ 시큐트로닉스, 슈 리마,

디젠트 기술표 이동근 11월 모의시험

81 SecuwaySuite 6000 V3.0 +IPS/(주)퓨처시스템 평가2 백남균, 진승만 11월 최 평가

82 eNDeSS Professional v1.0/(주)니트젠 평가1 장형진, 진수 11월 최 평가

83 정보보호컨설 문업체 사후 리 심사 기반기획 박정환 11월

84 정보보호 리체계인증/시큐어소 트 보안 리 조태희 12.19~12.19 사후 리

85정통부 39개 직할/소속/산하 홈페이지

취약 검기반기획 민복기 12월

86역할기반 근통제 시스템 보호 로 일 V1.0

평가보고서평가기획 라은주 12월

87 SafezoneNet V3.1 for Solaris 평가보고서 평가1 조 일 12월 재평가

88SECUREWORKS IPSWall 1000 V4.0/어울림

정보기술㈜평가1 오용석 외 3인 12월 최 평가

89 SafezoneIPS V3.0(SZ-4000)/LG 엔시스㈜ 평가2 박순태 외 3인 12월 최 평가

- 20 -

10. 상담지원 건수(평가자문 포함)

순번 상 담 명 소 속 상담자 상담일 비고

1 성능시험 기술지원 자문 기술표 맹두열, 조은래 7월~12월 252건

2 산업지원센터 이용상담 자문 기술표 맹두열, 조은래 7월~12월 350건

3 산업지원센터 이용업체 방문 상담 기술표 맹두열, 조은래 11월~12월 30건

4 정보보호 교육 자격제도 련 문의 지식 리 지식 리 1월~12월

5 정보보호 문화운동 련 문의 정보 략 정보 략 1월~12월

6 정보보호시스템 평가자문 평가1/2 평가1/2 1월~12월 441건

7 정보보호시스템 일반자문 평가1/2 평가1/2 1월~12월 462건

8 개인정보 피해구제 심의지원심의지원

직원1월~12월 1,281건

9 개인정보침해 련 상담․정보제공 심의지원심의지원

직원1월~12월 16,925건

10 ISMS 화상담 기술자문(방문) 보안 리 조태희외 3인 1월~12월 45건

11안 진단 상담(방문상담, 화

자우편 상담 포함)보안 리 신종회외 3인 1월~12월 500건

- 21 -

11. 문교육과정 시행 건수

순번 교 육 명 소 속 교육자 교육기간 비고

1 보안성평가센터 입자 교육 보안성평가센터 백남균외 12명 1.27～2.1 내부교육

2 정보보호 실습교육(538명) 지식 리 지식 리 11월~12월(29회) 내부교육

3개인정보보호 교육 - ㈜정호

종합시스템(68명)개인정보보호단 정상호 2.19 내부교육

4개인정보보호 교육 - 부산

학부모교육원(30명)개인정보보호단 정상호 2.25 내부교육

5 개인정보보호 문교육(439명) 지식 리 지식 리 2월~11월(7회) 내부교육

6개인정보보호 교육 - 한

십자사교육원(61명)개인정보보호단 윤수 3.11 내부교육

7 개인정보보호 교육 - 엘지카드㈜(30명) 개인정보보호단 김민섭 3.16 내부교육




11 사업자 개인정보보호 일반 교육(120명) 개인정보보호단 윤수 외 3.22 내부교육

12카자흐스탄 방문단 PKI 운 자

교육(암호알고리즘 )암호응용 이향진 3.25 내부교육

13카자흐스탄 NIT PKI 정책

기술 교육인증 리

김정희, 윤재호 3.25 내부교육

14 개인정보보호 교육 - 농 진흥청(40명) 개인정보보호단 김민섭 3.25 내부교육


16소기업 CEO 정보화

략과정(40명)지식 리 지식 리 3월~7월 내부교육

17개인정보보호 교육 - 한국

마이크로소 트(10명)개인정보보호단 윤수 4.1

18 네트워크 웹해킹 보안교육(67명) 지식 리 지식 리 4.9(2회) 내부교육

19 유무선 통신사업자 실무역량강화교육 보안 리고규만, 김정희 4.13

20 사업자 개인정보보호 일반 교육(148명) 개인정보보호단 윤수 외 4.15

- 22 -


21국방부 상 네트웍 웹 해킹

보안교육보안 리 김정희 4.2

22 개인정보보호 교육 - 한화그룹(38명) 개인정보보호단 정연수 4.21

23자서명인증 리체계 운 자

교육(11명)지식 리 지식 리 4.25~29 내부교육

24제10차 자서명 인증 리체계

운 자 교육인증 리 백종 외 14명 4.25~29

25자서명인증 리체계 운 자

교육(암호키 인증서 리)암호응용 박해룡 4.27

26개인정보보호 교육 - 삼성

정보보안센터(180명)개인정보보호단 정상호 4.27

27학 정보통신학과 학생에 한

기술훈련장 실습 교육(목포 학교)보안 리 이기호 4.28

28유․무선통신사업자 실무역량

강화교육(76명)지식 리 지식 리 4월~10월(2회) 내부교육


기술훈련장 실습 교육( 남 학교)보안 리 김정희 5.13



기술훈련장 실습 교육(단국 학교)보안 리 김정희 5.2

32정보보호개론, 기술훈련장 실습교육

(미취업자 상, jobkorea주최)보안 리 김정희 5.2

33EAL4등 평가제출물 작성교육

(20개업체 38명)평가1 권 조외 2명 5.25


기술훈련장 실습 교육(순천향 학교)보안 리 김정희 5.3

35 개인정보보호 교육 - ㈜신세계(43명) 개인정보보호단 윤수 5.4

36 평가제출물 작성교육- 기본과정 평가기획 평가기획 5.9~5.10 내부교육

37정보보호시스템 평가·인증자

교육 지원(상반기)보안성평가센터 조 일외 7명 5.9～5.13 11명

38 CC기반 평가 비교육(110명) 지식 리 지식 리 5월~10월(5회) 내부교육

39 CERT 구축 운 교육(180명) 지식 리 지식 리 5월~6월(6회) 내부교육

40 ISMS 인증심사원 교육 1차(32명) 보안 리 장상수 6.14~17

- 23 -


41개인정보보호 교육 - 학부모

정보감시단(50명)개인정보보호단 김민섭 6.15

42 ISMS 인증심사원 교육 2차(38명) 보안 리 장상수 6.21~24

43 평가제출물 작성교육- 문과정 평가기획 평가기획 6.27~6.30

44 평가제출물 작성 교육- 문 과정 보안성평가센터 이태승외 9명 6.27～6.30 20명

45정보보호 리체계 인증심사원

양성 교육(63명)지식 리 지식 리 6월(2회) 내부교육

46사업자 개인정보보호 일반

교육(95명)개인정보보호단 윤수 외 7.2

47 시큐어 로그래 교육(32명) 지식 리 지식 리 7.19~20 내부교육

48 정보보호 순회강연회(2,350명)(28회) 지식 리 지식 리 7월～12월 내부교육

49 개인정보보호 교육 - ㈜CJ(50명) 개인정보보호단 정상호 7.22

50개인정보보호 교육 - 노인

복지센터(20명)개인정보보호단 추 우 7.27


정보문화진흥원(50명)개인정보보호단 강달천 8.26

52 평가제출물 작성교육- 기본과정 평가기획 평가기획 8.30~8.31

53개인정보보호 교육 - 학부모

정보감시단(50명)개인정보보호단 정상호 9.12

54 개인정보보호 교육 - 서울 시청(48명) 개인정보보호단 정연수 9.15

55개인정보보호 교육 - MPC

콜센터 직원(60명)개인정보보호단 추 우 9.21

56개인정보보호 교육 - 한화

그룹(20명)개인정보보호단 윤수 9.22


58 개인정보보호 교육 - 네오 즈(50명) 개인정보보호단 정상호 9.8

59개인정보보호 교육 - 네오 즈

콜센터(50명)개인정보보호단 정상호 9.9

60개인정보보호 교육 - 아시아나

IDT(10명)개인정보보호단 정연수 10.26

- 24 -


61 개인정보보호 교육 - 삼성그룹(200명) 개인정보보호단 정상호 10.4

62 개인정보보호 교육 - KT(150명) 개인정보보호단 정연수 10.6

63 평가제출물 작성교육- 문과정 평가기획 평가기획 10.11~10.14

64 평가제출물 작성 교육- 문가 과정 보안성평가센터 이태승외 9명 10.11～10.14

65개인정보보호 교육 - 경기

공업 학(190명)개인정보보호단 KAIT 조 11.3

66개인정보보호 교육 - (재)부산

발 연구원(80명)개인정보보호단 KAIT 조 11.15

67개인정보보호 교육 - 농

앙회(500명)개인정보보호단 김민섭 11.16

68 개인정보보호 교육 - KTF(45명) 개인정보보호단 정상호 11.18

69개인정보보호 교육 - 부동산

114(20명)개인정보보호단 윤수 11.21

70개인정보보호 교육 - 경기도

․고교(5973명)개인정보보호단 KADO 조 11월~12월

71정보보호시스템 평가·인증자

교육 지원(11명)보안성평가센터 안성수외 7명 12.12～12.23

72보호진흥원-MS 공동웹 애 리

이션 개발보안 교육(14명)해킹 응 해킹 응 12.27.~12.28.

73개인정보보호 교육 - 인덕

학교(100명)개인정보보호단 정상호 12.1


정보문화진흥원(50명)개인정보보호단 김민섭 12.2

- 25 -

12. 세미나, 공청회, 심포지엄 개최 등

순번 제 목 소 속 담당자참석

인원(명)개최일 비고

1 안 진단 방법․ 차 교육 보안 리 장상수 190 1.26

2 실질심사 해설서 설명회 인증 리 인증 리 13 1월

3 1차 문업체 실무자 의회 보안 리 신종회 15 2.2

4 모바일RFID포럼 정보보호 분과회의 암호응용 암호응용 19 2월


6 VIDC 조기수검유도 표자회의 보안 리 장상수 50 3.17

7정보보호컨설 문업체 CEO

조찬 간담회보안 리 장상수 15 3.22

8인터넷기업 회 안 진단 제도

설명회보안 리 장상수 30 3.24

9 화스팸방지 가이드라인 공청회 스팸 응 스팸 응 150 3월

10모바일RFID포럼 정보보호분과

워킹그룹장 회의암호응용 암호응용 9 3월

11정통부 소 2006년도 주요정보통신

기반시설 보호 책 수립 워크 기반기획 기반기획 50 3월


13정보보호시스템 평가․인증제도

개선 공청회평가기획

보호진흥원/정통부/국

정원100 4.12

14 안 진단 모범사례 발표 세미나 보안 리 장상수 200 4.14

15웹호스 기업 회 일 수검 추진을

한 설명회보안 리 장상수 13 4.22

16제11회 정보통신망 정보보호

워크샵 개최정보 략 윤 범 1,000 4.20~4.21

17제2차 모바일RFID포럼 정보보호

분과회의암호응용 암호응용 12 4월

18 자서명법 개정 원회 인증 리 인증 리 15 4월

19바람직한 자서명법 개정방향

마련을 한 토론회인증 리

인증 리, 이종걸

의원100 4월

20 IPS 보호 로 일 설명회 평가기획 보호진흥원 30 5.2

- 26 -



21 평가신청업체 실무자 간담회 1차 보안성평가센터보안성평가

센터 37 5.4

22치정보보호법 시행령, 시행

규칙(안) 공청회개인정보기획 윤주연 100 5.4 워크샵

23인터넷상의 주민등록번호 체수단

설명회개인정보기획 김태 150 5.12

24RFID 라이버시보호가이드라인

공청회개인정보기획 김지훈 90 5.26

25 제1차 홈페이지 보안 기술 세미나 해킹 응 해킹 응 166 5.31.

26제3차 모바일RFID포럼 정보보호

분과회의암호응용 암호응용 10 5월

27 자서명 활용사례 세미나(울산, 부산) 기반기획 기반기획 약 110 5월, 11월

28 소기업 정보보호 책수립 워크샵 기반기획 기반기획 20 6월

29 정보보호심포지움 정보 략 윤 범 2,300 6.16~6.17

30 국방정보보호컨퍼런스 정보 략 윤 범 1,000 6.2.

31 정보보호교육워크샵 정보 략 윤 범 100 6.24.

32 평가신청업체 사장단 간담회 1차 보안성평가센터보안성평가

센터 15 6.28

33 스 이웨어 련 공청회 개최 해킹 응 해킹 응 - 6월

34 주민번호 체수단 정책 워크샵 개인정보기획 김태 80 7.28~29


36 Avalanche/Reflector 분석장비 운용 기술표조은래, 맹두열 7월

37모바일RFID포럼 정보보호 분과

워크샵암호응용 암호응용 10 8월

38 자서명인증워크 (PKI-KR2005) 기반기획 기반기획 159 8월

39인터넷상의 개인정보보호를 한

가이드북(안) 설명회개인정보기획 김본미 100 9.13 2회

40RFID 라이버시 보호 가이드라인

설명회심의지원 강달천 약 100 9.14.

- 27 -



41 개인정보보호 종합 책 공청회 심의지원 강달천 약 120 9.27.

42 Avalanche/Reflector 분석장비 운용 기술표조은래, 맹두열 9월 5.4 워크샵

43 평가신청업체 사장단 간담회(하반기) 보안성평가센터보안성평가

센터 21 10.6

44 제2차 홈페이지 보안 기술 세미나 해킹 응 해킹 응 626 10.19

45 주민번호 체수단 도입 련 공청회 개인정보기획 김태 200 10. 31


47데이터베이스 보안기술 련

문가 청 세미나암호응용 암호응용 10 10월

48제6회 정보보호기술 표 워크샵

(ISSW2006)기술표 기술표 약 220 11.3

49 4차 문업체 실무자 의회 보안 리 서정훈 12 11.23

50모바일RFID포럼 정보보호 분과

워크샵암호응용 암호응용 12 11월

51 Avalanche/Reflector 분석장비 운용 기술표조은래, 맹두열 11월 6.24.

52 생체인식 공동 표 화 워크샵 개최 기술표김재성 외

2인 11월 6.28

53 2006 주요정보통신기반보호워크 기반기획 기반기획 170 11월

54 평가신청업체 사장단 간담회 2차 보안성평가센터보안성평가

센터 37 12.15

55ISMS, 안 진단을 통한 기업

보안 리 세미나보안 리 장상수 227 12.8

56 안티바이러스 업체 간담회 평가1 조 일 20 12.9

57도우 기반 웹서비스에서의

공인인증서 활용 세미나인증 리 인증 리 70 12월

58데이터베이스 보안제품 련

문가 청 세미나암호응용 암호응용 8 12월

59 평가신청업체 1:1 방문간담회 보안성평가센터보안성평가

센터32개 업체

상/하반기 2회

- 28 -

13. 취약 웜바이러스 분석보고서 목록

순번 분석보고서 제목 내용 분류 작성자 작성일자

1 MS04_031 POC 발표 분석(취약 ) 심원태외 5 1.1

2 Anti_santy worm 분석 분석(웜) 심원태외 5 1.4

3MS IE DHTML Edit ActiveX 컨트롤 Cross domain

취약 (MS05-013)분석(취약 ) 심원태외 5 1-6

4 phpBB PHP Script Injection 취약 분석보고서 분석(취약 ) 심원태외 5 1.7

5 웹메일 Cross Site Scripting 취약 분석(취약 ) 심원태외 5 1.11

6 ANI 일 버퍼오버 로우 취약 분석(MS05-002) 분석(취약 ) 심원태외 5 1.14

7 취약 PC Survival Time 감형 유형 분석 보고서 (1월) 기타 심원태외 5 1.18

8 Bropia 원형 웜/바이러스 분석 보고서 분석(웜) 심원태외 5 1.21

9 Sun Java Plug in 취약 보고서 분석(취약 ) 심원태외 5 1.21

10 Cisco IOS BGP 취약 분석 보고서 분석(취약 ) 심원태외 5 1.27

11 MPLS 패킷 처리시 Cisco IOS의 취약 분석 보고서 분석(취약 ) 심원태외 5 1.27

12 Bagle.AQ 웜/바이러스 분석 보고서 분석(웜) 심원태외 5 1.28

13 Bropia 변형 웜/바이러스 분석 보고서 분석(웜) 심원태외 5 2.3

14 MSN 메신져 PNG 취약 분석 보고서(MS05-009) 분석(취약 ) 심원태외 5 2.15

15 MS Windows SMB 패킷 검증 취약 분석 보고서(MS05-011) 분석(취약 ) 심원태외 5 2.15

16 MyDoom.BB 웜/바이러스 분석 보고서 분석(웜) 심원태외 5 2.18

17 Mozilla Firefox 스코롤바 원격코드 실행 취약 분석 보고서 분석(취약 ) 심원태외 5 2.28

18 제로보드 웜 분석 보고서 분석(웜) 심원태외 5 3.3

19 MS IE CSS 처리 원격 버퍼오버 로우 취약 분석 보고서 분석(취약 ) 심원태외 5 3.10

20MS05-019 다 벤더 Loopback(Land Attack) DoS 취약

분석 보고서분석(취약 ) 심원태외 5 3.11

21썬 자바 시스템 애 리 이션 서버의 크로스 사이트

스크립 취약분석(취약 ) 심원태외 5 3.31

22 IE의 사용자 로 일 폴더 노출 취약 분석 분석(취약 ) 심원태외 5 4.6

23 Cisco IOS SSH 서버 취약 분석 보고서 분석(취약 ) 심원태외 5 4.7

24 MS IE 형 이미지 처리 시 원격 DoS 취약 분석 보고서 분석(취약 ) 심원태외 5 4.12

25 Cisco IKE 인증 구 시 취약성 분석 보고서 분석(취약 ) 심원태외 5 4.12

26 IE 로컬 XML 문서 노출 취약 분석 분석(취약 ) 심원태외 5 4.13

27 MS05-016 Windows Shell 원격코드실행 POC 실험 분석(취약 ) 심원태외 5 4.15

28 IP 유효성 검사 취약 분석 보고서(MS05-019) 분석(취약 ) 심원태외 5 4.19

29 도우 탐색기 미리보기 취약 분석 보고서 분석(취약 ) 심원태외 5 4.20

30 TCP/IP 스택 ICMP 처리 취약 분석 보고서(MS05-019) 분석(취약 ) 심원태외 5 4.21

- 29 -


31 RealPlayer/RealOne ram 일 처리 취약 분석 보고서 분석(취약 ) 심원태외 5 4.22

32 Nopir.156658 웜 분석 보고서 분석(웜) 심원태외 5 4.24

33 MS05-020 DHTML 오 젝트 메모리 손상 취약 POC 실험 분석(취약 ) 심원태외 5 4.25

34 MS05-021 Exchange 서버 원격코드 실행 취약 POC 실험 분석(취약 ) 심원태외 5 4.25

35 MS05-020 내용 리자 메모리 손상 취약 POC 실험 분석(취약 ) 심원태외 5 4.28

36 Sober.P 웜 분석 보고서 분석(웜) 심원태외 5 5.4

37 IPSec ESP 설정 취약 분석보고서 분석(취약 ) 심원태외 5 5.10

38Mozilla Firefox Install 메소드의 원격 코드 실행 취약

분석보고서분석(취약 ) 심원태외 5 5.11

39 Cisco FWSM 근통제(ACL) 우회 취약 분석 보고서 분석(취약 ) 심원태외 5 5.12

40 MyTob 29550 웜 분석 보고서 분석(웜) 심원태외 5 5.18

41Mozilla Firefox Wrapped javascript URL의 보안검사

우회 취약분석(취약 ) 심원태외 5 5.24

42 DNS Message Compress 구 DoS 취약 분석(취약 ) 심원태외 5 5.25

43 Mytob.P 웜 분석 보고서 분석(웜) 심원태외 5 6.3

44Cisco Voice VLAN 근을 허용하는 802.1x 인증 우회

취약분석(취약 ) 심원태외 5 6.9

45 Mytob.41727 분석(웜) 심원태외 5 6.13

46 ViRobot Linux Server Cookie 오버 로우 취약 분석 분석(취약 ) 심원태외 5 6.16

47 여러 웹 라우 의 다이얼로그박스 출처 스푸핑 취약 분석(취약 ) 심원태외 5 6.22

48MS Windows SMB 패킷 검증 취약 분석보고서

(MS05-011) - POC 테스트 업데이트분석(취약 ) 심원태외 5 6.25

49 IE javproxy.dll의 힙 오버 로우 취약 (간략) 분석(취약 ) 심원태외 5 6.30

50 phpBB Viewtopic.php 원격코드 실행 취약 분석(취약 ) 심원태외 5 7.1

51 피싱 기법을 이용한 악성 로그램 배포 분석(사고) 심원태외 5 7.2

52 Keylogger 로그램 기능 분석 분석(악성코드) 심원태외 5 7.12

53 Winamp ID3v2 태그 버퍼오버 로우 취약 분석(취약 ) 심원태외 5 7.16

54 MS Network Connections Manager Vulnerability 분석(취약 ) 심원태외 5 7.18

55 자바 암호 확장 모듈 구동 장애 문제 기타 심원태외 5 7.20

56 SurfinGuard 보안모델 기능 분석 분석(보안도구) 심원태외 5 7.21

57 MSN 메신져 통신에 한 Snifferring 험성 분석 기타 심원태외 5 7.26

58 하우리 livecall 임의 일 다운로드 취약 분석(취약 ) 심원태외 5 7.29

59 Muma Hantian Trojan 분석 보고서 분석(악성코드) 심원태외 5 8.8

60 Zotob.A 웜 분석 보고서 분석(악성코드) 심원태외 5 8.16

- 30 -


61MS Windows PnP 서비스 원격코드실행(MS05-039)

POC 테스트분석(취약 ) 심원태외 5 8.16

62 Jview 취약 Trojan 분석 분석(악성코드) 심원태외 5 8.29

63 20050907 MS05-018 CSRSS 취약 POC 테스트 분석(취약 ) 심원태외 5 9.7

64 CISCO IOS Firewall authentication proxy 취약 분석 분석(취약 ) 심원태외 5 9.8

65 MS Windows keybd_event의 권한상승 취약 분석(취약 ) 심원태외 5 9.8

66 웹 사이트 통한 Trojan (rundll32.exe) 분석 분석(악성코드) 심원태외 5 9.12

67 Internet Explorer 7 Beta 1의 피싱 필터 TM 심원태외 5 9.23

68 리 스용 Realplayer의 원격 포맷스트링 취약 분석(취약 ) 심원태외 5 9.28

69 Redir 도구 기능 분석 기타 심원태외 5 9.30

70 NateonDownloadManager의 임의 일 다운로드 취약 분석(취약 ) 심원태외 5 9.30

71 Grey Pigeon Trojan 분석 분석(악성코드) 심원태외 5 10.1

72MS05-044 인터넷익스 로러 FTP 클라이언트 취약성으로

인한 경로 조작 POC 테스트분석(취약 ) 심원태외 5 10.14

73 Mytob.48640.C 분석(악성코드) 심원태외 5 10.17

74 10월 Oracle의 Critical Patch Update 기타 심원태외 5 10.20

75 Samy 웜 분석( 안) 분석(악성코드) 심원태외 5 10.20

76 웹 라우 URL 스푸핑 취약 정리 TM 심원태외 5 10.27

77 Trojan(Kerne121.exe) 분석보고서( 안) 분석(악성코드) 심원태외 5 10.27

78 Snort의 백오리피스 처리기 버퍼오버 로우 취약 분석 분석(취약 ) 심원태외 5 10.27

79 PLSQL PoC 웜 분석(악성코드) 심원태외 5 11.4

80 IPSec ISAKMP 구 취약성 분석(취약 ) 심원태외 5 11.15

81 Windows 러그앤 이 서비스거부 취약 POC 테스트 분석(취약 ) 심원태외 5 11.17

82 Sober.55390 웜 분석 보고서 분석(웜) 심원태외 5 11.23

83 IE 문서객체모델 처리 취약 분석 분석(취약 ) 심원태외 5 11.25

84 모바일 악성코드 Cabir 웜 분석 응방안 분석(악성코드) 심원태외 5 11.23

85 MS 그래픽스 더링 엔진 취약 POC 테스트(MS05-053) 분석(취약 ) 심원태외 5 12.1

86인터넷익스 로러 CSS Import 시 Domain Security

우회 가능 취약 분석분석(취약 ) 심원태외 5 12.5

87 다수 국내 웹 메일 서버의 CSS Import 시 XSS 취약 발견(취약 ) 심원태외 5 12.5

88 Windows OneCare Live TM 심원태외 5 12.19

89 Cisco EIGRP 다 취약 향력 분석 분석(취약 ) 심원태외 5 12.21

90 Dasher 웜 분석 분석(웜) 심원태외 5 12.26

- 31 -

14. 언론홍보

순번 제 목 매체명 소속 일자 비고

1유비쿼터스 환경에서의 정보보호

추진 략

한국통신학회

지신기획 1월호 기고문

2 u-Korea, 추진 략과 정보보호 일본 e-Gov 신기획 1월호 기고문

3 표 화를 통한 정보보호 산업의 육성 TTA Journal 신기획 1, 2월호 기고문

4 정보보호에 투자할 때 자신문 신기획 3.7 기고문

5 스팸메일과의 쟁 디지털타임스 신기획 3.14 기고문

6 자 융 안 과 공인인증서 자신문 신기획 3.25 기고문

7 정보보호 실천이 필요할 때 머니투데이 신기획 3.31 기고문

8 지진보다 무서운 인터넷침해사고 제일경제신문 신기획 4.6 기고문

9 휴 폰 스팸 퇴치하기 디지털타임스 신기획 4.2 기고문

10 자서명과 인터넷 연애편지 자신문 신기획 5.11 기고문

11 문단속과 정보보호 디지털타임스 신기획 5.27 기고문

12

10만개이상의 악성코드가 넘치는

인터넷망 능동 보안의식이 실히

필요하다

Micro

Business

Focus

신기획 5,6월호 기고문

13 인터넷뱅킹과 정보보호 디지털타임스 신기획 7.4 기고문

14 따뜻한 디지털 세상, 안 한 U-Korea 진흥 신기획 7,8월호 기고문

15 피싱으로부터 안 하십니까 자신문 신기획 7.26 기고문

16 증가하는 해킹조선일보

이코노미 러스사업총 8월호 기고문

17 홈네트워크의 보안 디지털타임스 사업총 8.9 기고문

18 기 정보보호 이 론 안된다 자신문 사업총 8.1 기고문

19 사이버공간의 제방 디지털타임스 사업총 9.14 기고문

20 자신문 축하메세지 자신문 사업총 9.22 기고문

21 유비쿼터스시 의 “주자십훈” 자신문 사업총 10.19 기고문

22 싸이월드와 개인정보보호 디지털타임스 사업총 10.24 기고문

23 휴 폰 바이러스와의 쟁 경향신문 사업총 11.12 기고문

24 휴 폰 바이러스에 비하자 서울경제 사업총 11.15 기고문

25 사이버 암세포 스팸과의 쟁 디지털타임스 사업총 11.29 기고문

- 32 -


26 유비쿼터스 정보사회와 자서명 인증 한변 신문 사업총 12.12 기고문

27신뢰성 높은 정보사회를 만들기 한

책

일본 NIKKEI

GLOCAL신기획 1.17 인터뷰

28 세계 최고 정보보호 문기 으로 도약 제일경제 신기획 1.19 인터뷰

29 휴 폰 불법스팸 해결 원년 자신문 신기획 1.31 인터뷰

30인터넷강국 상에 맞는 견고한

정보보호 체제 갖춰야 e-Biz Focus 신기획 2월호 인터뷰

31 안 한 IT 세상...정보보호 첨병 役 최선 이낸셜뉴스 신기획 2.11 인터뷰

32인터넷 침해 응 정보보호, PKI의장

맡아 국제 력도월간뉴미디어 신기획 3월호 인터뷰

33개인정보보호에 역 … 빠르면 연말

CCRA 가입디지털타임스 신기획 4.8 인터뷰

34 따뜻한 디지털세상 만들기 총력 자신문 신기획 4.8 인터뷰

35 국제 수 평가로 정보 강국 앞장 자신문 신기획 4.28 인터뷰

36보안인증 불편하지만 사고방지 해

활용해야서울경제 신기획 5.6 인터뷰

37 생활속의 정보보호 머니투데이 신기획 5.12 인터뷰

38개인정보 지키는 일 온라인시

요과제 세계일보 신기획 6.21 인터뷰

39 유비쿼터스시 의 정보보호 일본e-Gov 신기획 7월호 인터뷰

40 보안사고의 ‘구원투수’ ITODY 신기획 7,8월호 인터뷰

41남으로 오는 공공기

“ 자정보 심지로 발 시킬 것”호남매일신문 신기획 7.8 인터뷰

42 공공기 지방시 - 릴 이 인터뷰 남일보 신기획 7.12 인터뷰

43 정보유출, 어떻게 막을 것인가 KTV 신기획 8.12 인터뷰

44 기업 정보보호의 요성 삼성SDS 신기획 8월 인터뷰

45 인터넷 사고 응 세계최고 뉴스매거진 사업총 9.5 인터뷰

46자신의 건강 지키듯 정보도 스스로

리해야 서울경제 사업총 10.25 인터뷰

47KT정보보호본부 설립 1주년 기념

상메세지KT 사업총 11.25 인터뷰

48 유비쿼터스 시 의 보안사령 뉴시스 사업총 1월호 인터뷰

49 불우이웃 돕기, 인사동정 자신문 외 신기획 1.3 보도자료

50 규모 웹 변조 자신문 외 신기획 1.5 보도자료

- 33 -


51 정보보호가이드라인 자신문 외 신기획 1.1 보도자료

52 정책사업 집행강화 조직개편 자신문 외 신기획 1.12 보도자료

53 SIS 1 국가공인 자신문 외 신기획 1.14 보도자료

54 실단장 장 인사 자신문 외 신기획 1.14 보도자료

55 베트남 방문단 자신문 외 신기획 1.28 보도자료

56 말 이시아 방문단 자신문 외 신기획 2.03 보도자료

57 인터넷침해사고 통계자료 자신문 외 신기획 2.11 보도자료

58한국PKI포럼 의장에 이홍섭 KISA원장

연임 자신문 외 신기획 2.18 보도자료

59 Cylab 개소 사진 보도 자신문 외 신기획 2.22 보도자료

60 홍콩 라이버시보호원 방문 자신문 외 신기획 2.28 보도자료

61 장애우 채용 아이뉴스24 신기획 3.2 보도자료

62 PKI포럼 가이드라인 V2 자신문 외 신기획 3.2 보도자료

63아시아권서 IETF보안분야 RFC 표

최다 보유국 된다자신문 외 신기획 3.3 보도자료

64

이홍섭 KISA원장, 2005년

아시아-태평양 보안 비즈니스

연속성 로드쇼'서 기조연설

자신문 외 신기획 3.11 보도자료

65 개도국들 “한국의 정보보호를 배우자” 자신문 외 사업총 3.28 보도자료

66 KISA와 공동SW보안 약 체결 자신문 외 신기획 4.7 보도자료

67 2006년 CCRA 가입 비 자신문 외 신기획 4.13 보도자료

68 자서명법 개정을 한 토론회 개최 자신문 외 신기획 4.14 보도자료

69 ISMS인증심사원 선발 아이뉴스24 신기획 4.18 보도자료

70KISA-CMU 세계 인 연구 력모델

추진자신문 외 신기획 4.19 보도자료

71 “나도 정보보호 문가가 될 수 있다“ 자신문 외 신기획 4.21 보도자료

72 서울-맬버른 다자간 스팸 응MOU체결 자신문 외 신기획 4.27 보도자료

73 홈페이지개발 보안가이드 무료 배포 자신문 외 신기획 4.28 보도자료

74 정보보호 리체계인증(ISMS) 신청 증아이뉴스24,

머니투데이 신기획 5.6 보도자료

75 불필요한 주민번호 수집 자제 권고 자신문 외 신기획 5.13 보도자료

- 34 -


76 국방정보보호컨퍼런스 자신문 외 신기획 5.17 보도자료

77 헝가리 방문단 사진보도 아이뉴스24 신기획 5.19 보도자료

78 한-일 정보보호 공동연구 자신문 외 신기획 5.28 보도자료

79 KISA, 제 10회 정보보호 심포지움 개최 자신문 외 신기획 6.16 보도자료

80 정보보호주간행사 자신문 외 신기획 6.2 보도자료

81KISA, 독일최고 정보보호 문업체와

력체계 구축 자신문 외 신기획 6.2 보도자료

82 한국- 만, 정보보호 력 논의 자신문 외 신기획 6.27 보도자료

83한항공, 국내항공사 최 로

정보보호 리체계인증 받아자신문 외 신기획 6.28 보도자료

84 CCRA인증서발행국 가입심사 자신문 외 신기획 7.6 보도자료

85 아시아PKI 포럼 이홍섭 의장임기 마쳐 자신문 외 신기획 7.7 보도자료

86차세 인터넷기반 정보보호 제품

보안성평가환경 구축자신문 외 신기획 7.7 보도자료

87 한-베트남 정보보호 교류 본격 자신문 외 신기획 7.8 보도자료

88 FIRST 운 원 재선 자신문 외 신기획 7.8 보도자료

89 ISMS인증심사원 장 수여 자신문 외 신기획 7.14 보도자료

90 래쉬애니메이션 공모 자신문 외 신기획 7.15 보도자료

91 안 한 소 트웨어 개발 교육 자신문 외 신기획 7.21 보도자료

92KISA, 한진정보통신(주)의 IDC 안 성

확인자신문 외 신기획 7.21 보도자료

93 홈페이지 무료 검 받으세요 자신문 외 사업총 8.3 보도자료

94 피싱 련 정정보도 사업총 8.1 보도자료

95 안 한 홈네트워크 환경을 만든다 자신문 외 사업총 8.11 보도자료

96최신 도우즈 취약 을 이용한

조톱(Zotob)웜 감염주의자신문 외 사업총 8.17 보도자료

97원장님 인물동정기사 (일본 오이타

방문)자신문 외 사업총 8.17 보도자료

98 PKI워크 개최 자신문 외 사업총 8.29 보도자료

99국내 최 개도국 상 규모

정보보호교육 실시자신문 외 사업총 9.2 보도자료

100 웹 취약 검결과 자신문 외 사업총 9.02 보도자료

- 35 -


101개인정보유출방지 방법제시 핸드북

선보여자신문 외 사업총 9.13 보도자료

102인터넷회원 탈퇴시 신분증 사본없어도

가능하게 돼자신문 외 사업총 9.15 보도자료

103 일본ICCC 행사 자신문 외 사업총 9.27 보도자료

104메일서버등록제(SPF), 스팸차단율

2배효과 자신문 외 사업총 10.5 보도자료

105 보안 요성 인식 련 세미나 이어 자신문 외 사업총 10.13 보도자료

106 개인정보보호교육 동 상아이뉴스24,

머니투데이사업총 10.17 보도자료

107개인정보분쟁조정 제39차

체회의조정

아이뉴스24,

머니투데이사업총 10.25 보도자료

108한국, 아시아권에서 IETF 보안분야

표 최다 보유국가로 부상자신문 외 사업총 11.2 보도자료

109 홈페이지 무료 검해 니다 자신문 외 사업총 11.3 보도자료

110KISA제안 자문서 장기보존

권한인증기술 아시아표 안 채택자신문 외 사업총 11.4 보도자료

111KISA, 국 국가정보센터와 공동보안

세미나 개최 자신문 외 사업총 11.7 보도자료

112 KISA, 보안성평가센터 제2의 출범 자신문 외 사업총 11.17 보도자료

113 제6회 정보보호기술표 워크샵 자신문 외 사업총 11.28 보도자료

114 한․일정보보호문화운동제휴 자신문 외 사업총 11.29 보도자료

115 일일타부서 체험제도 자신문 외 사업총 12.03 보도자료

116 한컴과 리 스 보안 약 자신문 외 사업총 12.9 보도자료

117 정보보호수 평가방법 최 개발 자신문 외 사업총 12.11 보도자료

118 KISA, 경 신 회 개최 머니투데이 사업총 12.13 보도자료

119 개인정보보호 공청회 자신문 외 사업총 12.19 보도자료

120 악성코드 탐지서비스 자신문 외 사업총 12.19 보도자료

121 공인인증서 활용세미나 자신문 외 사업총 12.21 보도자료

122 국제공동 모의훈련 자신문 외 사업총 12.22 보도자료

정보보호 체계강화 사업 최종 결과보고서

2006년 2월 인쇄

2006년 2월 발행

● 발행인: 이 홍 섭

● 발행처: 한국정보보호진흥원

서울시 송 구 가락본동 78번지

IT벤처타워(서 )

Tel: (02) 4055-114

● 인쇄처: 호정씨앤피

Tel: (02) 2277-4718

<비매품>

1. 본 보고서는 정보통신부의 출연 등으로 수행한 정보보호

체계강화 사업의 결과입니다.

2. 본 보고서의 내용을 발표할 때에는 반드시 정보통신부

정보보호 체계강화 사업의 결과임을 밝 야 합니다.

3. 본 보고서의 권은 한국정보보호진흥원이 소유하고 있으며,

당 진흥원의 허가 없이 무단 재 복사를 합니다.

Documents

정보보호체계 강화사업 최종 결과보고서cfs2.tistory.com/upload_control/download.blog?fhandle=...제 출 문 정보통신부장관 귀하 본 보고서를 “한국정보보호진흥원