New security standards for the mobile industry - NESAS ...

HUAWEI TECHNOLOGIES (KOREA) CO., LTD,

New security standards for the mobile industry

- NESAS(Network Equipment Security Assurance Scheme)



1. NESAS 개요

2. NESAS 평가방법

3. NESAS와 EU 5G Toolbox

4. 결론및요약

목차


1NESAS 개요


5G 보안을 위한노력


GSMA(세계 이동통신 사업자 협회) 3GPP(국제 이동통신 표준화 협력 기구)

GSMA와 3GPP가 공동 제정

네트워크장비보안보증체계( NESAS, Network Equipment Security Assurance Scheme )


GSMA(세계 이동통신 사업자 협회)

GSMA

(세계 이동통신 사업자 협회)


3GPP(국제 이동통신 표준화 협력 기구)

전세계700여개전자 및

이동통신업체회원사

……무선통신

관련국제표준

조직파트너

(표준화기구)

GSM: 세계 무선 통신 시스템WCDMA: 광대역 코드분할 다중접속GPRS:일반 패킷 무선 서비스LTE: 4세대 이동통신기술

3GPP

(국제 이동통신 표준화 협력 기구)

…


• GSMA는 NESAS 사양을 정의 및 유지 관리함.

(공급업체의 개발, 제품 수명 주기 과정의 인증, 테스트 랩 인증, 네트워크 장비의 보안 평가 등)

• 3GPP는 보안 보증 사양(SCAS)에 모바일 네트워크 기능을 구현하는 네트워크 제품의

보안 요구 사항과 테스트 케이스를 정의함.

또한, GSMA는 분쟁 해결 프로세스를 정의하였으며 전체 프로젝트를 관리함.

장비테스트사양

테스트

방법론

보안인증

보안체계

제품 개발 및 수명 주기 관리

프로세스에 대한

서드파티 감사

(표준: NESAS FS.15)

1. 프로세스 감사

a. Vendor 는 GSMA 에 테 스 트신청서 제출

b. 테스트 랩(표준: ISO 17025)은3GPP SCAS 규범을 기반으로보안 테스트 진행

c. 테스트 랩은 테스트 결과 보고정리

d. GSMA에 테스트 보고서 제출

2. 장비 테스트

GSMA NESAS 관리팀

(DT, GSMA CTO 등 포함)

은 최종 합격 결과 통보함.

이후 해당 제품 GSMA

인증 로고 사용 가능

3. 평가 결과

보안 평가, 네트워크 장비 보안을 지키는 최적의 방법

1. 일관성있고엄격한보안기준

2. 독립적이고수준높은전문기관및테스팅연구실

3. 비용적효율성• CC 인증은 IT업계에서 완성도 높은 보안 보장 인증제로 평가되지만, 모바일 네트워크

전용 인증은 X

• GSMA&3GPP, 모바일 네트워크 전용의 표준화된 보안 평가 솔루션 제안

NESAS인증의 배경❑ NESAS(Network Equipment Security Assurance Scheme): 네트워크 장비 보안 보증 체계


미국TCSEC, 유럽ITSEC, 캐나다CTCPEC 등 국가마다서로 다른 정보보호 평가 기준을 연동하고 상호 인증하기 위해

통합하여 제정된 국제 기준 (ISO 표준) 인증

보안 기능이 포함된 IT 제품의 안정성과 신뢰성을평가하고 사용자들이 안심하고 사용할 수 있도록 입증하는 기준

IT 하드웨어, 펌웨어, 소프트웨어 등

IT 제품 보안 기능성 평가 과정

CC인증서를 획득한 IT 제품은 추가

평가 없이 사용할 수 있고,

소비자가 IT 제품이 원하는 보안

요구를 충족하는지를 결정하는데

도움을 줄 수 있음

국제 표준의

보안 인증 방법

현재 31개국에서 CC인증서가 유효하며

보증등급이 높을수록 더 안전하게 자산을

보호받을 수 있고, 내부 데이터 등 중요

자산에 대한 침해를 예방하여 경제적인

손실에 대비할 수 있음

평가 레벨과 장비의 복잡도

높을수록 인증 소요기간長

높은 레벨은 1년 정도 소요되며, 장비가

복잡할수록 더 오래 걸립니다. 인증은

2년마다 갱신되며, 인증을 받았더라도

검토 과정에서 위반사항이 발견될 경우

인증은 취소됨

CC(Common Criteria, 공통평가기준) 인증


3GPP

SA3

3GPP

WG3GPP

WG3GPP

WG

Network Functions Security Assurance Specification

SECAG

WG

defines

NESAS specifications

governs

NESAS governance

NESAS scope:

• Vendor processes

accreditation

• Test laboratory

accreditation

• Dispute resolution

NESAS governance:

• Grant accreditation

decisions

• Maintain

accreditations

• Run dispute

resolution

SCASes for

Network

Products:

• Security

requirements

• Test cases3GPP SA3팀3GPP안전 표준 제정 담당(e.g.4G, 5G 안전 표준)Working Group

SECAG ( Security Assurance Group)GSMA의 security accreditation &

assurance 담당

NESAS는 GSMA와 3GPP가 공동으로 정의한 모바일 네트워크 디바이스 및 공급업체 프로세스에 대한 보안 평가 및 감사 메커니즘임

NESAS 평가를 통해 네트워크 장비가 일련의 보안 요구사항을 충족하고, 해당 장비가 개발 및 제품 수명 주기 프로세스 기준에 따라 개발되었음을 증명할 수 있음. NESAS는 다음 두 가지를 포함:

1. 제품개발 및 제품 생명주기 프로세스 감사: GSMA 인가 감사팀 설비공장, 감사보고서 생성. GMSA NESAS Accreditation Board는 감사보고서 및 감사진의 건의서에 따라 설비업체에인가(Accreditation) 부여를 결정.

2. 제품 안전 테스트 : GSMA 인증 테스트 랩을 통해 3GPP SCAS 표준에 따라 네트워크 제품을 테스트하고, 감사보고서에 기반으로 테스트된 네트워크 제품에 승인된 공급업체 개발 프로세스가적용되었는지 확인 후 평가보고서 생성.

3GPP 제품 보안 테스트를 위한 SCAS표준

GSMA 제품 개발 및 제품 생명 주기 프로세스 감사를 위한 NESAS 표준 제정

제품 개발 및 수명주기 프로세스 감사

보안 테스트랩 인증

제품보안

테스트

NESAS High-Level 프로세스GSMA와 3GPP의 역할과 책임

1

2

NESAS(Network Equipment Security Assurance Scheme) 개요


3GPPWG

❑ GSMA는 NESAS 사양을 정의 및 관리함. (공급업체 개발, 제품 수명 주기 인증, 테스트 랩 인증, 네트워크 장비 보안 평가)

GSMA는 분쟁 해결 프로세스를 정의하고 전체 프로젝트를 관리함.

❑ 3GPP는 하나 이상의 3GPP 네트워크 기능을 구현하는 네트워크 제품에 대한 보안 요구 사항 및 테스트 케이스를 정의하며,

SCAS(Security Assurance Specification)에 규정함.

3GPPSA33GPP

WG네트워크

기능SCAS

(보안보증사양)

성명 정의 네트워크 제품의 SCAS:• 보안 요구 사항• 테스트 케이스

SECAG작업팀

NESAS사양

NESAS관리 방법

관리 정의 NESAS 범위:• 공급업체 프로세스 인증• 테스트 랩 인증• 분쟁 해결

NESAS 관리 방법:• 인증 부여 결정• 인증 유지&관리• 분쟁 해결

NESAS, GSMA와 3GPP의 역할


DEKRA: 유럽 최초로 GSMA 허가를 받은 NESAS 보안 평가 및 테스트 랩UDG: Unified Distributed Gateway (통합·분산형 게이트웨이)UDM: Unified Data Management (통합형 데이터 관리)UNC: Unified Network Controller (통합형 네트워크 컨트롤러)UPCF: Unified Policy Control Function (통합형 정책 제어 기능)

2020.03

화웨이5G gNodeB 및 LTE eNodeB

NESAS 감사 완료2021.02

‘N’ 노키아eNB 및 5G gNB

감사 완료

E/N/Z감사 개시

2020.04/052019.10

NESAS 1.0릴리스

NESAS 2.0릴리즈

화웨이 Cloud Core감사 개시

화웨이 5GC,UDG, UDM, UNC, UPCF

NESAS 감사 완료2020.05

‘E’ 에릭슨eNB 및 5G gNB

감사 완료

2020.06

‘Z’ ZTE5G NR

감사 완료

2020.07

통과 통과

통과 통과 통과

5G&LTE를 위한DEKRA SCAS 테스트

우선적 완료2020.12

통과통과 통과

❑ 2020년 3월, 화웨이 5G 기지국 및 LTE 기지국 NESAS 1.0 감사 완료

❑ 2020년 5월, 화웨이 5GC NESAS 감사 완료, 에릭슨 · 노키아 · ZTE 감사 완료

❑ 2020년 12월, 화웨이 5G 기지국, LTE 기지국 및 5GC SCAS 시험 완료 (2021년 5월 ZTE 완료, 에릭슨 · 노키아 통과 X)

❑ 2021년 4월, 화웨이 5G 기지국 및 LTE 기지국 NESAS 2.0 감사 완료

❑ 2021년 6월, 삼성전자 LTE eNodeB, 5G gNodeB, 5GC product lines 7월, EMS, Analytics and Cloud Management product lines 평가 통과

NESAS 평가 진척도

화웨이5G gNodeB 및 eNodeB

NESAS 2.O 감사 완료

2021.04

통과통과

2021.06

‘S’ 삼성전자 LTE eNodeB, 5G gNodeB

NESAS 감사 완료

2021.07

‘S’ 삼성전자EMS, Analytics and Cloud

Management NESAS 감사 완료

통과

통과


⚫ NESAS는 모바일 네트워크 보안에 대한 정의로, 위협을 분석하고 모델링하는 데에 있어 이동 통신 서비스(예: 무선 인터페이스 및 NAS 신호)

의 특성을 완벽하게 보여주며 CC 프로세스를 단순화함. 또한, 인증/평가 시간이 짧고 비용도 낮으며 클라우드화, 디지털화, 소프트웨어 정의

등 신기술에 대한 개발 요구 사항 충족.

⚫ CC는 IT업계에 집중되어 있으나 모바일 통신의 장비 테스트 사양을 정의하지 않음. 일반적인 R&D 프로세스 및 수명 주기 관리 감사 등이

포함되기는 하나 5G 등과 같은 통신 분야에 대한 전문성은 낮음. 또한, 인증이 복잡하고 시간이 오래 걸리며 비용이 높음.

인증/평가 체계 NESAS CC (Common Criteria)

기구 Owner GSMA/3GPP CCRA

표준 범위 & 완전성 무결성 감사/평가 보고서, NESAS-CCS 인증 1-7EAL(평가 보증 수준)

표준 진행률 NESAS 2.0/SCAS 표준 사양 완성도 높은 운영 환경 보유

인증 랩 및 감사 업체 수 7개 랩, 2개 감사 기관 전 세계 약 77개 랩

통신업계 인식 높음 낮음

통신업계보안 보장 통신 분야의 전문가 표준 N/A

프로세스 & TTM 간단한 프로세스 & 3- 6개월 복잡한 프로세스 & 12-18개월(EAL4+)

NESAS 및 CC 비교


네트워크 장비 보안 보증 체계(NESAS)는 3GPP와 GSMA가 공동 릴리즈한 모바일 업계를 위해 정의된 자발적 인증 체계. 공급업체의 네트워크 장비가 보안 사항을

충족하고 공급업체의 개발 및 제품 수명 주기 프로세스가 안전 표준에 부합하는지 확인할 수 있는 보안 기준과 단일화된 보안 감사 방법론 제시.

GSMA에는 체계를 관리·감독 및 제정하고 공식 인증을 부여하는 인증 위원회 존재

NESAS 인증의 장점:

⚫ NESAS는 통신 장비에 대해 비교적 완전한 위협 분석을 진행하며,

무선 인터페이스, 3GPP 프로토콜(NAS 등) 및 웹 보안 등과 같이

CC에 없는 리스크 포인트 및 케이스를 포함하고 있음

⚫ 통신 장비 공급업체 간에 보안 수준을 측정·감시·비교·파악할 수

있는 일반적인 표준을 제공. 이로써 통신 설비의 파편화된 인증

체계를 보완하고 장기적으로 장비 공급업체들의 보안 인증 비용을

낮춤

⚫ CC/ND cPP보다 짧은 기간, 낮은 비용

⚫ GSMA/3GPP 주도하에 완성된 통신 장비 맞춤형 인증, 통신 분

야에서의 권위 확보

공급업체의 이점:

⚫ 보안성에 대한 확신을 보여줌으로써

고객 리스크 감소

⚫ 수동 감사 작업 감소

⚫ 모바일 업계를 위한 전문적 인증 제공

⚫ 글로벌 수준에 맞는 보안 관련

프로세스 감사 제공

⚫ 단일화된 보안 감사 솔루션 제공

⚫ 각 국가별 파편화되고 상충되는 보안

보장 요구 사항 방지

모바일 통신사업자 MNO의 이점:

⚫ 공급업체 감사에 별도의 비용 및

시간 투자 필요 없음

⚫ 자격을 갖춘 담당자가 감사를

진행하며 통신사업자 별도 납부 비용

없음

⚫ 엄격한 보안 표준으로 공급업체의

제품 보안 수준을 높임

⚫ 공급업체에 적절한 안전 조치를

시행하도록 하여 MNO에 안심

서비스 제공

GSMA/3GPP NESAS 인증의 장점


2NESAS 평가방법


NESAS 평가

감사/테스트

개요

• GSMA에서 인증한 감사 회사는 NESAS 보안 요구사항에 따라 공급업체

의 제품 개발 및 제품 수명 주기 프로세스를 감사한 후 감사 보고서 발행

• GSMA NESAS Accreditation Board는 감사 결과를 기준으로 자격

증명 인증서의 부여 여부 결정

*GSMA Accreditation Board에서 NESAS 관리·감독, GSMA이 운영을

담당하며, 공급업체 개발 및 제품 수명 주기 승인과 충돌 해결을 담당.

아래 테스트 및 보고서 검증을 기준으로 제품을 평가 후 평가 보고서 생성

• 보안 준수 테스트: 네트워크 제품이 해당 3GPP SCAS표준을 준수하는지 확인.

• 취약성 테스트 : Basic Vulnerability Testing(테스트 툴을 사용하여 네트워크 제품의 외부

인터페이스 테스트)과 Enhanced Vulnerability Testing으로 구분.

• 1단계의 감사 보고서 및 공급업체가 제공한 자체 평가 보고서(감사 된 프로세스가 해당 제품의

개발에 효과적으로 적용되었음을 증명)에 의거하여 해당 프로세스가 테스트 제품에

적용되었는지 검증.

근거 표준

GSMA NESAS 표준

현재까지 NESAS 2.0 4가지 기준 릴리즈 완료 (FS.13,14,15,16), 추후

3.O 릴리즈 예상

3GPP SCAS (Security Assurance Specification)표준

감사/평가

감사 회사

• GSMA 공인 감사 업체, 현재까지 두 곳

(영국 NCC 그룹과 독일 Atsec 그룹)

테스트 실험실

• GSMA에서 FS.14에 따라 승인한 테스트 랩. 테스트 랩은 타사 또는 장비 공급업체의 테스트

랩일 수 있음.

유효 기간명확한 유효 기간이 없는 경우, 혹은 NESAS 승인 프로세스가 변경되거나

공급업체가 새 버전의 NESAS를 준수하기 원하는 경우 재감사 승인 필요.

유효 기간이 없음. 네트워크 제품이 새 버전으로 업그레이드된 경우 다음 방법 중 하나로 네트워

크 제품을 평가할 수 있음.

1) SCAS에서 정의한 모든 테스트 케이스를 사용하여 각각 새 버전을 평가.

2) 공급업체는 제품 업데이트에 대한 상세한 정보 제공 및 테스트 용례를 새로운 버전 검증에

적용하여 테스트 실험실과 공급업체가 합의하여 평가함.

1단계 - 제품 개발 및 제품 수명주기 프로세스 감사 2단계 - 제품 보안 테스트


▪ 표준 준수

• FS.13 NESAS Overview v.2.0: NESAS 전체 개요

• FS.14 NESAS Security Test Laboratory Accreditation v.2.0: 테스트 실험실의 인증 데스트 실험실 인증 요구

• FS.15 NESAS Development and Lifecycle Assessment Methodology v.2.0: 제품 개발 및 제품 수명주기 프로세스

• FS.16 NESAS Development and Lifecycle Security Requirements v.2.0: 제품 개발 및 제품 수명주기 보안 요구사항

프로세스 감사 장비 평가

제품 개발 및 제품 수명 주기 프로세스 감사에 대한 규범


▪ FS.15 – NESAS Development and Lifecycle Assessment Methodology v.2.0 에서는 21개 항목에 대한 평가 요구사항을 설명함

프로세스감사의보안요구사항


[REQ-DES-01] 설계에 의한 보안 (Security by Design) 설계에 따른 보안은 제품 개발 수명 주기 전반에 걸쳐 구현

[Req-GEN-01] 버전 관리 시스템 （Version Control System）

[Req-GEN-02] 변경 내용 추적（Change Tracking）

[Req-GEN-03] 직원 교육（Staff Education）

[Req-GEN-04] 정보 보안 관리 시스템 （Information Security Management System）

[Req-GEN-05] 지속적 개선（Continual Improvement）

[Req-GEN-06] 제3자 구성요소 선택（Sourcing of 3rd Party Components）

해당 시스템을 통해 소스 코드 제출의 부인방지(Non-repudiation) 보장 필요

모든 요구 사항 및 관련 변경 사항을 체계적이고 시기 적절하게 관리 및 추적할 수 있도록 문서화된 절차 수립

제품 설계, 엔지니어링, 개발, 구현, 유지 관리에 관여하는 직원에 대한 지속적인 교육

ISMS를 사용하여 민감한 정보 노출 방지

[Req-IMP-01] 소스 코드 검토（Source Code Review）

[Req-IMP-02] 소스 코드 관리（Source Code Governance）

[Req-TES-01] 보안 테스트（Security Testing）

코딩 표준에 따라 신규 및 개정된 제품 코드 검토. 해당하는 경우 소스 코드 분석 통계 사용

제품 취약성을 야기할 수 있는 문제 파악 및 해결

[Req-OPE-01] 보안 담당자（Security Point of Contact）

[Req-OPE-02] 취약점 정보 관리（Vulnerability Information Management）

[Req-OPE-03] 취약점 개선 프로세스（Vulnerability Remedy Process）

[Req-OPE-04] 취약점 개선 독립성 （Vulnerability Remedy Independence）

[Req-OPE-05] 보안 문제 해결 커뮤니케이션 （Security Fix Communication)

보안 문제 담당자를 지정하고 통신사 고객에게 연락처 정보를 제공해야 함. 담당자는 공급업체 조직 내 고객 보안 문제와 관련된개인 또는 부서를 찾을 수 있어야 함

신뢰할 수 있는 프로세스를 통해 사용하는 타사 구성 요소의 잠재적 취약점을 인식하고 제품 취약점을 야기할 수 있는지 여부를 평가 해야 함

프로세스를 구축하여 이미 릴리스된 제품에서 발견되거나 이와 관련된 취약성을 해결하고, 해당되는 경우 모든 통신 사업자가 패치/소프트웨어 업데이트를 이용할 수 있도록 제공

패치/소프트웨어 업데이트를 제공하여 취약점 보완이 가능한 시설 보유 (제품 기능 수정과 관련된 패치/소프트웨어 업데이트 분리)

사용 가능한 보안 수정 사항과 관련된 정보가 통신 사업자에게 전달할 수 있는 프로세스 보유 (수정 프로그램 릴리즈 시, 사업자가유지 보수 계약이 있어야 함)

[Req-BUI-01] 자동화 구축 제어（Automated Build Process）

[Req-BUI-02] 환경 제어 구축（Build Environment Control）

[Req-REL-01] 소프트웨어 무결성 보호（Software Integrity Protection）

[Req-REL-02] 고유 소프트웨어 릴리스 식별자（Unique Software Release Identifier）

[Req-REL-03] 문서 정확도（Documentation Accuracy）

[Req-REL-04] 보안 문서화（Security Documentation）

자동화 빌드 도구를 사용하여 소스 코드 컴파일 및 빌드 로그 저장

컴파일 빌드 환경에 대한 모든 데이터는 버전 제어 시스템에서 직접 가져와야 함

방법을 설정하고 유지 관리를 통해 컨트롤 가능한 조건에서 제품 딜리버리를 진행하고, 통신 사업자에게 수신된 소프트웨어의 진실여부를 식별하기 위해 사업자에게 적절한 수단을 제공해야 함

릴리즈된 모든 소프트웨어 패키지 버전에는 고유한 식별자 존재

사용자 설명서의 보안 관련 부분은 최신 버전을 사용하여 현재의 기능을 반영하여 고객에게 제공되어야 함


구축(set up)

감사 팀에 대한 프레젠테이션 및 문서(Presentation and Documentation for the Audit Team)

감사 팀 검토 문서 - 라운드 1 (Documentation Review by the Audit Team – First Round)

중간 감사 결과 회의

(Intermediate Audit Result Meeting)

감사 팀 검토 문서 - 라운드 2(Documentation Review by the Audit Team – Second Round)

현장 감사(On-Site Audit)

결과 프레젠테이션(Presentation of the Results)

인증 (Accreditation)

감사 준비(Audit Preparation)

• 공급업체 신청 제출, 감사 팀과 감사 날짜 협상, GSMA와 계약 체결

• 감사 팀은 감사 범위, 잠정 의제(감사 시작 최소 일주일 전 확정) 등에 대해 공급업체와 협상

• 공급업체는 프로세스와 관련된 문서와 공급업체가 NESAS 요구 사항을 충족하는 방법과 이유 제출

• 감사가 시작되면, 공급업체와 감사 팀은 온라인 또는 현장 회의를 열어 공급업체는 제출된 정보의 개요를 설명하고, 감사 팀은 추가설명 필요 여부를 지명할 수 있음

• 감사 팀은 제출된 문서의 프로세스가 NESAS 요구 사항을 충족하는지 여부를 검토. 이 과정에서 감사 팀은 제공된 정보를 통해누락된 문서와 충족되지 않은 요구 사항에 대해 공급업체에 알림

• 감사 팀은 보유 정보를 기준으로 충족되지 않은 요구 사항에 대해 공급업체에게 통지

• 보충 또는 개정된 문서의 제출 일자를 양측 상의 후 결정

• 감사 팀은 제출된 문서의 프로세스가 NESAS 요구 사항을 충족하는지 여부를 검토. 이 과정에서 감사 팀은 제공된 정보를 통해누락된 문서와 충족되지 않은 요구 사항에 대해 공급업체에 알림

• 감사팀은다음사항을평가 (1) 문서에기록된프로세스가실제로공급업체의일상적인업무에적용되는지여부 (2) 해당공급업체가문서에기록된프로세스를준수하기위한직원, 기술, 장비, 업무수행및자원등보유여부 (3) 사원이프로세스교육을충분히받았는지여부및 프로세스에대한이해여부

• 현장 감사는 약 4일(영업일 기준) 소요• 감사 팀은 검토 결과를 공급업체에게 제공 및 감사 보고서를 도출하고, 감사 팀과 공급업체는 감사 보고서 및 감사 결과에 대해 의견

일치

• NESAS Accreditation Board는 감사 보고서를 받은 후 인증 여부를 결정. 승인 획득 후, 공급업체는 Accreditation Certificate를취득하고, 공급업체가 이의를 제기하지 않을 경우 GSMA 웹 사이트에서 인증서 사본을 공개

프로세스감사절차



테스트 랩 인증

랩의 주요 인증 요구사항

• ISO 17025 인증 요건 충족

• 3GPP SCAS 및 GSMA NESAS 기반 테스트 수행 능력

3GPP SCAS

• 범위는 기본적으로 CC/PP와 동일

• 보안 기능 요구 사항, 보안 강화 요구 사항, 기본 BVT(Basic

vulnerability testing) 요구 사항 및 해당 테스트 케이스 포함


네트워크제품보안평가

PP: Product Profile

네트워크 제품 평가


TR 33.805네트워크 제품의 보안보증 방법 연구 및 선정

TR 33.916네트워크 제품 보안 평

가 방법론

TR 33.926위협 분석 및 중요 자산

TS 33.117일반적인 보안 요구사항 및 테스트 사례

4GNE 보안 평가 기준

5GNE 보안 평가 표준

특정 4G NE의 보안 요구사항 도출

보안 기능 요구사항에서 Technical Baseline 도출

3 가지 유형의 NE:

MME, eNB, PGW

9 가지 유형의 NE:

GNB, AMF, UPF, UDM, SMF, AUSF, SEPP, NRF,NEF

• 제품 보안 테스트는 3GPP SCAS 표준을 기반으로 하며, 표준 간 관계 및 리스트는 다음과 같음

보안 보증 방법, 위협 분석 및 일반적인 요구 사항

TS 33.117 일반적인 보안 보증 요구 사항 카탈로그일반적인 NE 보안 보증 요건 및테스트 사례

TR 33.805 3GPP 네트워크 제품의 보안 보증 방법론에 관한 연구네트워크 제품의 보안 보증 방법연구 및 선정

TR 33.916 3GPP 네트워크 제품용 SCAS(Security Assurance Methodology) NE 제품 보안 보증 방법론

TR 33.926 3GPP 네트워크 제품 클래스의 보안 보증 사양(SCAS) 위협 및 핵심 자산 3GPP NE의 위협과 중요자산

4G NE 보안 평가 표준

TS 33.116 MME 네트워크 제품 클래스의 보안 보증 사양(SCAS)MME 이동성 관리 컴포넌트의보안평가기준

TS 33.216eNB(Developed Node B) 네트워크 제품 클래스의 SCAS (Security Assurance Specification)

ENodeB 보안평가기준

TS 33.250 PGW 네트워크 제품 등급별 보안 보증 명세PGW 공용 데이터네트워크 게이트 웨이 보안평가기준

가상화 네트워크 제품의 보안 평가

TR 33.8183GPP 가상 네트워크 제품을 위한 SECAM(Security Assurance Methodology) 및 SCAS(Security Assurance Specification)

가상네트워크 제품 안전보증 기법 및보장기준에 관한 연구

5G NE 보안 평가 표준

TS 33.511 5G 보안 보증 사양; NR 노드 B(gNB) 5G 기지국용 gNB 보안평가기준

TS 33.512 5G 보안 보증 사양, 액세스 및 이동성 관리 기능(AMF)AMF NE(액세스 권한 및 이동성 관리 제어기능)의 보안평가기준

TS 33.513 5G 보안 보증 사양, UPF(User Plane Function)UPF NE(사용자 평면 기능 및 사용자 평면데이터 전달 등 기능) 보안평가기준

TS 33.514UDM(Unified Data Management) 네트워크 제품 등급의 5G 보안 보증 규격

UDM NE의 보안평가기준(통합 데이터베이스, 사용자 가입 데이터 저장 등)

TS 33.515 5G 보안 보증 사양, SMF(Session Management Function)SMF NE(세션 관리 네트워크 기능)보안평가기준

TS 33.516 5G 보안 보증 사양, AUSF(인증 서버 기능)AUSF NE(권한 네트워크 기능)보안평가기준

TS 33.517SEPP(Security Edge Protection Proxy) 네트워크 제품 등급에따른 5G 보안 보증 규격

SEPP NE(보안 프록시, 로밍 시나리오에서HPLMN 및 VPLMN 연결) 보안평가기준

TS 33.518NRF(Network Repository Function) 네트워크 제품 등급에 대한5G 보안 보증 명세

NRF NE(서비스 등록, 발견, 수권 등 기능) 보안평가기준

TS 33.519 네트워크 노출 기능(NEF)을 위한 5G 보안 보증 기술 규격NEF NE(대외 개방 네트워크 기능 및 서비스) 보안평가기준


제품보안테스트

NE:network element


흔한위협

• 3GPP에서 정의된 인터페이스 관련 위협

• 아이덴티티 스푸핑(Identity spoofing)

• 변조(Tampering)

• 거부(Repudiation)

• 정보 누출(Information disclosure)

• 서비스 거부(Denial of service )

• 권한 상승(Elevation of privilege )

TR 33.926 위협 분석 TS 33.117 일반 SCAS 요구사항 특정 NE 에 대한 SCAS 요구 사항

일반적인 보안 위협

특정▁NE 에대한보안위협

• MME: 5가지 범주, 15개의 MME 보안 위협

• PGW: 3가지 범주, 총 3개 PGW 관련 보안 위협

• ENB: 1가지 범주, 총 4개의 eNB 관련 보안 위협

특정 NE 에 대한 보안 위협

1. 안전 기능 요구 사항

(1) 관련 3GPP 규범을 기반으로 한 보안 기능 요구사항

(2) 기술적 기준(총 23가지 요구사항)

• 데이터 및 정보 보호(Protecting data and information)

• 가용성 및 무결성 보호(Protecting availability and integrity)

• 신분 인증 및 권한 부여(Authentication and authorization)

• 세션 보호(Protecting sessions)

• 로그(Logging)

(3) 운영 체제(5개 요구 사항)

(4) 웹 서버(4개의 요구사항)

(5) 네트워크 장비(4개 요구 사항)

2. 보안 강화 요구 사항

(1) 기술 베이스라인(7가지 요구 사항)

(2) 운영 체제(6개 요구 사항)

(3) 웹 서버(14개 요구 사항)

(4) 네트워크 장비(1개 요구 사항)

3. 기본 취약성 테스트 요구 사항

(1) 포트 스캔

(2) 취약점 스캔

(3) 완건성 및 Fuzz 테스트

export TS 33.116 MME SCAS 요구사항

• TS 33.117 에 명시된 요건 적용

• TR 33.926에 해당하는 15개의 보안 기능 요구 사항추가

TS 33.116 MME SCAS 요구사항

• 다음의 특정 NE의 SCAS 요구사항은 TS 33.117의

일반 요구사항을 인용하고 (구조는 좌측과 동일) TR

33.926 위협 분석 또는 기타 3GPP 규범을 바탕으로

해당 NE의 보안 기능 요구사항을 보충

TS 33.116 MME SCAS 요구사항

• TS 33.117 에 규정된 요건 적용

• TR 33.926 및 기타 3GPP 사양에 따라 PGW에9가지 보안 기능 요구 사항이 추가되었으며 네트워크장치에는 2가지 보안 강화 요구 사항이 추가 됨

TS 33.250 PGW SCAS 요구 사항

• TS 33.116 MME SCAS 요구사항

• TS 33.117 에 규정된 요건 적용

• TR 33.926 및 기타 3GPP 규범을 기반으로 15개

eNB 특정 보안 기능 요구 사항 추가

TS 33.216 eNB SCAS 요구 사항

export




• 테스트 랩은 SCAS 테스트 사례를 기반으로 테스트를 수행, 증거 수집, 보안 준수 테스트 보고서 도출

제품 개발 프로세스 및 수명주기 관리 평가

Network product development process and network product lifecycle management

• 공급업체는 테스트 랩에 다음 내용을 제공

• 위의 정보를 바탕으로 테스트 랩에서는 테스트 대상 제품이 승인된 프로세스를 준수했는지 판단

SCAS 인스턴스화 평가

SCAS instantiation evaluation

보안 규정 준수 테스트

Security compliance testing

기본 취약성 테스트

Basic vulnerability testing

• 공급업체는 SCAS 인스턴스화 문서집을 랩에 제공 (랩의 피드백을 기반으로 수정 또는 보완 진행) 테스트 랩은 테스트 대상 네트워크 제품과SCAS 인스턴스화의 일치 여부를 확인

Self-declaration

• 보안 테스트 도구를 사용한 포트 스캔, 취약성 테스트, 완건성 및 /FUZZ 테스트

• 공급업체는 평가 결과를 검토하여 해당 제품의 평가 결과에 대한 종합 의견 제출



평가 종료, 평가 보고서 도출

1. 평가 범위: 특정 유형의 SCAS 제품의 정의에서 요구 사항 및 네트워크 제품의 모든 구성 요소, 네트워크 제품의 외부 통신 인터페이스

2. SCAS 보안 요구 사항을 네트워크 제품 및 자산에 매핑: 평가자는 SCAS의 모든 자산이 SCAS 인스턴스화에 적용 여부, SCAS 인스턴스화에 새로운 자산이 도입될 경우 SCAS와 일치하는 방식으로 보호, SCAS 인스턴스화에는 최소한 SCAS에서 기존 식별할 수있는 위험의 방치 여부를 확인

3. 운영 가이드 문서 및 평가 대상 네트워크 제품 구성: 평가자는 운영 가이드 문서에 따라 테스트 베드를 구축하고 운영 가이드에 현실에부합하지 않는 환경 가정이 없는지 평가함. 공급업체는 해당 문서를 생성할 때 SCAS 보안 요구 사항을 고려해야 함

4. 보안 준수 테스트 및 기본 취약성 테스트 수행에 필요한 정보: 테스터는 SCAS 인스턴스화에 해당 테스트를 수행하기에 충분한 정보가포함되어 있는지 여부를 평가

1. 공급업체의 제품 개발 및 수명 주기 프로세스가 NESAS Accreditation 에서 인가했다는 근거

2. 승인된 프로세스가 제품 개발에 효과적으로 적용됨을 증명하기 위해 테스트 대상 제품의 개발 및 수명 주기 프로세스에 대한 자체 평가 보고서


3NESAS와 EU 5G Toolbox


유럽연합 5G Toolbox

1 '5G 툴박스'란?2020년 1월, 5G 네트워크의 보안 위협에 대응하기 위해 네트워크 장비 제조사의위험도를 툴박스에 따라 평가하고, 고위험 사업자 장비의 사용을 제한토록 EU 집행위가 각 회원국에 권고한 장비 제조사 평가툴

2 '5G 툴박스’의 내용은?툴박스에서 제안하는 보안 대책은 전략 대책(Strategic Measure) 8개 항목과 기술대책(Technical Measure) 11개 항목, 추가적인 보조 대책 (Supporting Action) 10개 항목과 각 보안대책의 수행을 위한 계획 방법론을 제시함

3 ‘5G 툴박스’의 역할은?유럽 툴박스는 실제 유럽의 통신 관련 이해당사자들이 통신 망 보안을 위해 협업하여도출하고 있는 결과물임. 유럽 5G 보안 툴박스는 다양한 서비스로 인해이해당사자가 복잡해지는 5G 통신망에 적용될 수 있는 사이버보안 가이드라인으로활용될 수 있음


유럽은 불완전한 보안 인증을 방지하기 위해 통합된 사이버 보안 인증을 수립해야 하며, 모든 EU 회원국들이 인정을 받아야 함.

• CSA(사이버 보안 법)은 EU 사이버 보안 인증 시스템의 수립하여, 모든 EU 회원국들이 인정하는 인증서를 발급하도록 요구함.

• Toolbox는 EU의 5G 네트워크에 대한 보안 완화 조치로 기술 조치에서는 5G 네트워크에 대한 EU 인증(TM09)을 요구함. CSA 를 통해 구축.

• NESAS-CCS(NESAS Cybersecurity Certification Scheme)는 5G 네트워크 보안 인증 후보 방안으로 BSI에서 추진 중.

NESAS

기술 지원

CSA-5GToolbox

실행 보증5G 사이버 보안 요구 사항

NESAS-CCSTM 09

NIS CG EC

NIS CG: Network and Information Systems Cooperation GroupEC: European CommissionSDO: Standards Development Organization

GSMA/3GPP(SDO)

EU, 5G 사이버보안통합인증추진


• Proposals discussed at NIS CG 5G Sub-Group

➢ Option 1:The Commission shall be encouraged to ask ENISA to accompany Member States in their cooperation with GSMA/3GPP…

➢ Option 2: The Commission …shall additionally be encouraged to request ENISA to establish an ad-hoc Group for the development of a 5G certification candidate scheme in accordance with the art.48 of CSA

➢ Option 3:The Commission …shall additionally be encouraged to start a communication with GSMA/3GPP to clarify formal aspects, like licensing of standards etc. …

• Possible Phased implementation

➢ Step 1. A transfer of current schemes(GSMA’s NESAS, eUICC and SAS)under the governance of the CSA

➢ Step 2. Analyze gaps and improve schemes …

• NIS CG 5G Sub-Group은 EU 5G Toolbox 요건에 따라 설정되었으며 EU 회원국의 규제 당국으로 구성됨. 이는 5G 보안 표준에 대한 EU의 공식 견해를 대변함.

• 5G Sub-Group(독일과 폴란드)의 공동 의장국은 공개 강연(EU-wide 5G Certification Scheme)에서 다음과 같이 권고함.

- GSMA/3GPP와 협력

- ENISA, 5G ad-hoc WG 설립

- 5G 네트워크 측에서는 GSMA NESAS가 현재 유일한 후보 방안임

출처: EU-wide 5G Certification Scheme- Information from NIS CG 5G Security Standardization Sub Group

NIS CG 는 EU와 GSMA/3GPP 의협력권장


EC(European Commission )：EU 위원회ECCG（European Cybersecurity Certification Group ）：유럽 사이버보안 인증 그룹ENISA（European Union Agency for Cybersecurity ）： 유럽 네트워크 정보 보호원Ad-hoc WG: 인증 그룹

2021.02: 유럽 위원회(EC)가 ENISA에 5G 보안 인증 체계 구축을 요청

2021.H1(E): 5G Ad-hoc 업무팀을 구성하여 ENISA에 건의사항 제공

EC요청

ENISA후보 방안 준비

ENISA컨설팅 업계, 표준화기구,

기타 이해 당사자

EC후보 방안 채택

ENISAAd hoc Working

Group은 방안에 대한의견 제시

유럽 사이버 보안 인증 그룹, NIS 협력 그룹(회원국)

2021.02

ECCG와 NIS CG는5G 보안 인증 후보로 NESAS 를 제안

EU 5G 보안 인증 방안 제정


4결론및요약


10대주요이통사,

5G 입찰서에 포함

(그중유럽기업 5개)

통신사

5대주요공급업체

모두인증 참여

공급사

감사기관 2개소,

연구소 7개소등

8개의평가기관 권한획득

감사 및테스트

감사 기관:

연구소 (*CAICT 총 2곳 )

정부 기관

EU 회원국의 인정:

독일 BSI의 주도 하에 NESAS를 향후

EU 5G 보안 인증의 기본 수준의 솔루션

으로 하는 것에 ECCG의 인정을 받음

이통사, 장비 공급업체, 감사 기관 및 연구실, 정부 및 관리·감독 기관이 공동으로

NESAS를 5G 시대의 이동통신 네트워크 보안 인증 글로벌 표준으로 추진 중

NESAS 생태계

ECCG:European Cybersecurity Certification Group

http://upload.wikimedia.org/wikipedia/en/6/6b/Etisalat_logo.png


계획:

1) 침투 테스트

2) 암호화 구현 평가

3) 소프트웨어 엔지니어링 능력 강화

NESAS 진화 평가

공식 GSMA NESAS:

”NESAS is designed to be improved iteratively. All the

lessons learnt from the application of NESAS will be considered and reflected in

future releases”

TUVIT 3GPP 기조 연설:

“We believe NESAS will further evolve to fulfill the high level requirement. ”

EU 사이버보안법 (CSA)보안 보장 레벨

NESAS1.0&2.0

NESAS2.0 이상

Substantial

High

Basic

순위 가정 공격자 평가자/조직

Basic - 자체 평가 또는 제3자 평가

Substantial 기술 및 자원 제한 제3자 평가

High 중요한 기술 및 자원 국가 사이버 보안 인증

신뢰성 높은 보안 테스트 능력 지속적 강화


URL: https://www.huawei.com/en/facts/voices-of-huawei/nesas_huawei

화웨이 NESAS 영상

https://www.huawei.com/en/facts/voices-of-huawei/nesas_huawei


Thank you.

Joon Ho Lee

[email protected]

New security standards for the mobile industry - NESAS ...

Documents

Transcript of New security standards for the mobile industry - NESAS ...