T T A T e c h n i c a l R e p o r t 기술보고서
23
T T A T e c h n i c a l R e p o r t 기술보고서 TTAR-12.0016 제정일: 2013년 12월 20일 취약점 DB의 정보 분배와 공유 요구 사항(기술보고서) Requirements for Distribution and Sharing of Information in the Vulnerability DB (Technical Report)
Transcript of T T A T e c h n i c a l R e p o r t 기술보고서
T T A T e c h n i c a l R e p o r t
기술보고서
TTAR-12.0016 제정일: 2013년 12월 20일
취약점 DB의 정보 분배와 공유
요구 사항(기술보고서)
Requirements for Distribution and Sharing of
Information in the Vulnerability DB
(Technical Report)
기술보고서
TTAR-12.0016 제정일: 2013년 12월 20일
취약점 DB의 정보 분배와 공유
요구 사항(기술보고서)
Requirements for Distribution and Sharing of
Information in the Vulnerability DB
(Technical Report)
본 문서에 대한 저작권은 TTA에 있으며, TTA와 사전 협의 없이 이 문서의 전체 또는 일부를
상업적 목적으로 복제 또는 배포해서는 안 됩니다.
Copyrightⓒ Telecommunications Technology Association 2013. All Rights Reserved.
기술보고서
TTAR-12.0016i
서 문
1. 기술보고서의 목적
본 기술보고서의 목적은 취약점 DB에 관한 정보의 분배와 공유에 관한 요구 사항을
기술화하여, 취약점 DB에 관한 정보를 효과적이고, 안전하게 분배하고 공유하는 규격과
방법을 기술하도록 한다.
2. 주요 내용 요약
본 기술보고서는 취약점 DB에 관한 정보 분배와 정보 공유 기술보고서의 내용은 다음
과 같다.
- 취약점 DB에 관한 정보의 분배 프로세스와 공유 요구 사항
- 취약점 DB에 관한 정보의 수집과 요구 사항
- 취약점 DB의 정보 분배와 공유의 규격
3. 기술보고서 적용 산업 분야 및 산업에 미치는 영향
본 기술보고서는 국가 차원의 사이버 사고 대응을 위한 취약점 DB의 정보 분배에 공
공· 민간이 연속성 사고 계획 수립에 자발적으로 참여하고 민간과 공공 부문 간의 정보
공유를 위해 취약점 DB의 정보 분배와 공유 요구 사항을 제시한다. 이를 통하여 국가 사
이버 사고를 대응하는 데 기여할 것이다.
4. 참조 표준(권고)
4.1. 국외 표준(권고)
- 해당 사항 없음.
4.2. 국내 표준
- 해당 사항 없음.
5. 참조 표준(권고)과의 비교
5.1. 참조 표준(권고)과의 관련성
- 해당 사항 없음.
기술보고서
TTAR-12.0016ii
5.2. 참조한 표준(권고)과 본 기술보고서의 비교표
- 해당 사항 없음.
6. 지식 재산권 관련 사항
본 기술보고서의 ‘지식 재산권 확약서’ 제출 현황은 TTA 웹사이트에서 확인할 수 있
다.
※본 기술보고서를 이용하는 자는 이용함에 있어 지식 재산권이 포함되어 있을 수 있
으므로, 확인 후 이용한다.
※본 기술보고서와 관련하여 접수된 확약서 이외에도 지식 재산권이 존재할 수 있다.
7. 시험 인증 관련 사항
7.1. 시험 인증 대상 여부
- 해당 사항 없음.
7.2. 시험 표준 제정 현황
- 해당 사항 없음.
8. 기술보고서의 이력 정보
8.1. 기술보고서의 이력
판수 제정․개정일 제정․개정 내역
제1판 2013.12.20.제정
TTAR-12.0016
8.2. 주요 개정 사항
- 해당 사항 없음.
기술보고서
TTAR-12.0016iii
Preface
1. Purpose of Technical Report
This technical report is to address information in regards to the describes and
methods on vulnerable DB for its effective and safe distribution and sharing.
2. Summary of Contents
The summary of contents are as below;
- Requirements for Distribution Process and Sharing of Information in the
Vulnerability DB
- Requirements for Collection of Information in the Vulnerability DB
- Distribution and Sharing Specifications of Information in Vulnerability DB
3. Applicable Fields of Industry and its Effect
This technical report is designed to contribute to dealing with national cyber
disasters by suggesting requirements of vulnerable DB's distribution and sharing for
voluntary participation in establishment of continuous logic development from both
public and private sectors, and sharing information between them.
4. Reference Standards(Recommendations)
4.1. International Standards(Recommendations)
- None.
4.2. Domestic Standards
- None.
5. Relationship to Reference Standards(Recommendations)
5.1. Relationship of Reference Standards(Recommendations)
- None.
기술보고서
TTAR-12.0016iv
Edition Issued date Outline
The 1st edition 2013.12.20.Established
TTAR-12.0016
5.2. Differences between Reference Standard(Recommendation) and this Technical
Report
- None.
6. Statement of Intellectual Property Rights
IPRs related to the present document may have been declared to TTA. The
information pertaining to these IPRs, if any, is available on the TTA Website.
No guarantee can be given as to the existence of other IPRs not referenced on
the TTA website.
And, please make sure to check before applying the technical report.
7. Statement of Testing and Certification
7.1. Object of Testing and Certification
- None.
7.2. Standards of Testing and Certification
- None.
8. History of Technical Report
8.1. Change History
8.2. Revisions
- None.
기술보고서
TTAR-12.0016v
목 차
1. 개요 ·················································································································································1
2. 기술보고서의 구성 및 범위 ·······································································································2
3. 참조 표준(권고) ····························································································································2
4. 용어 정의 및 약어 ·······················································································································2
5. 취약점 DB에 관한 정보의 분배 프로세스와 공유 요구 사항 ···········································4
5.1. 정보 분배 프로세스 ············································································································4
5.2. 정보 공유 프로세스 ············································································································5
6. 취약점 DB에 관한 정보의 수집과 요구 사항 ·······································································6
7. 취약점 DB의 정보 분배와 공유의 규격 ···············································································11
7.1. 정보 분배의 규격 ··············································································································11
7.2. 정보 공유의 규격 ··············································································································12
부록Ⅰ. 참고 문헌 ···························································································································13
기술보고서
TTAR-12.0016vi
Contents
1. Introduction ···································································································································1
2. Constitution and Scope ············································································································2
3. Reference Standards(Recommendations) ···········································································2
4. Terms and Definitions ···············································································································2
5. Requirements for Distribution Process and Sharing of Information in the
Vulnerability DB ···························································································································4
5.1. Distribution Process of Information in Vulnerability DB ········································4
5.2. Sharing Process of Information in Vulnerability DB ···············································5
6. Requirements for Collection of Information in the Vulnerability DB ··························6
7. Distribution and Sharing Specifications of Information in Vulnerability DB ··········11
7.1. Distribution Specifications of Information in Vulnerability DB ··························11
7.2. Sharing Specifications of Information in Vulnerability DB ·································12
AppendixⅠ. References ··············································································································13
기술보고서
TTAR-12.00161
취약점 DB의 정보 분배와 공유 요구 사항(기술보고서)
(Requirements for Distribution and Sharing of Information
in the Vulnerability DB(Technical Report))
1. 개요
대한민국의 한국인터넷진흥원(KISA)이 민간 부분의 침해사고 대응 업무를 담당하고 있
다. 또한 안전행정부에서는 지방전자정부서비스에 대한 보안 위협을 차단하기 위해 시∙도
사이버침해대응지원센터를 16개 시∙도에 구축하였고, 사이버침해대응지원센터를 중심으로
공공기관의 침해대응 업무를 하고 있다.
2013년 3.20 사이버테러와 6.25 사이버테러는 국내의 공공 기관들의 기능을 마비시켜
국가와 국민의 안전한 생활에 영향을 미치게 되었다. 이러한 사이버테러에 실시간 대응
을 위해서는 국가 간 국내 기관 간 사이버 공격을 예방하기 위한 취약점 DB에 대한 상
시 정보공유시스템이 필요하다.
이에 신속한 침해사고 공동 대응을 위하여 국가 CERT간 협력 체계 구축이 필요함을
인식하여, 한국 KrCERT는 중국 CNCERT, 일본 JPCERT 등과 전용망을 이용하여 네트워
크 공동 감시 체계를 구축하고 한∙중∙일 3국간의 협력 체계를 시범적으로 운영하고 있다.
최근 정부에서도 사이버 취약점을 분석∙평가를 운영하고 있다. 하지만 주요 국가에서
갖추고 있는 취약점 관리체계에 비해 미흡한 부분이 있다. 과거 우리나라는 미국의 NVD
와 같은 국가 취약점 DB인 KNVD의 구축을 추진하였지만 미국이나 일본에 비해 취약점
등의 정보가 많이 공개되어 있지 않다.
또한, 2009년 9월에 발표된 사이버 침해대응 종합 전략 등의 국가 중요 정책 내용에도
국가 취약점 DB에 대해 언급되지 않았다.
하지만 현재 C 언어 및 Java 소스 코드 관점에서의 주요 취약점을 망라하고 차후 계속
확장될 예정인 DB는 정적 분석 중심으로 소스코드가 있는 상황에 적용할 수 있다. 그러
나 범정부 차원의 취약점 DB가 아니며, 소스코드가 없는 외산 소프트웨어 취약점, 그리
고 C 언어나 Java 이외의 프로그래밍 언어들에 대한 취약점 등을 포함하고 있지 않아
한계가 있다.
본 기술보고서에서는 국가 사이버 공격의 실시간 대응을 위한 취약점 DB에 관한 정보
의 분배와 공유 요구 사항 표준화를 위하여 취약점 DB의 정보를 효과적이고, 안전하게
분배하고 공유하는 규격과 방법을 기술한다.
기술보고서
TTAR-12.00162
2. 기술보고서의 구성 및 범위
본 기술보고서는 국가 사이버테러와 공격에 실시간 대응을 위한 취약점 DB에 관한 정
보의 분배와 공유 요구 사항 기술을 위하여 취약점 DB의 정보를 효과적으로 분배하고
공유하는 규격과 방법을 제시하고, 정보 분배와 공유에 있어서 분배 프로세스와 공유 프
로세스의 규격을 정의하며, 그 주요 내용은 다음과 같다.
- 취약점 DB에 관한 정보의 분배 프로세스와 공유 요구 사항
- 취약점 DB에 관한 정보의 수집과 요구 사항
- 취약점 DB의 정보 분배와 공유의 규격
3. 참조 표준(권고)
- 해당 사항 없음.
4. 용어 정의 및 약어
4.1. 용어 정의
4.1.1. 취약점(Vulnerability)
컴퓨터의 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점으로 인해 사
용자(특히, 악의를 가진 공격자)에게 허용된 권한 이상의 동작이나 허용된 범위 이
상의 정보 열람을 가능하게 하는 약점이다. 넓은 의미로는 사용자 및 관리자의 부
주의나 사회공학 기법에 의한 약점을 포함한 정보 체계의 모든 정보 보안상의 위
험성을 말한다. 보안 취약성 또는 취약성으로 부르기도 한다.
4.1.2. 요구 사항(Requirement)
요구 사항이란 어떤 문제를 해결하거나 특정의 목적을 위하여 사용자가 필요로 하
는 조건이나 능력을 말한다. 또한, 계약, 표준, 명세 또는 다른 형식으로 제시된
문서에 적합하여 시스템이나 시스템 구성 요소가 갖추어져야 할 조건이나 능력을
뜻한다. 요구 사항들은 시스템이나 시스템 구성 요소의 후속 개발 단계의 자료가
된다.
기술보고서
TTAR-12.00163
CERT Computer Emergency Response Team
CNCERT China Computer Emergency Response Team
CNVD China National Vulnerability Database
CVE Common Vulnerabilities and Exposures
CWE Common Weakness Enumeration
DB DataBase
DBMS Database Management System
EGC European Government CERTs
ENISA European Network and Information Security Agency
IPA Information Technology Promotion Agency
JPCERT Japan Computer Emergency Response Team
JVN Japan Vulnerabilities Notes
NCP National Contents Production
NVD National Vulnerability Database
Open API Open Application Programmer Interface
OWASP The Open Web Application Security Project
RSS Really Simple Syndication
SAN Systems and Networks
4.2. 약어
기술보고서
TTAR-12.00164
5. 취약점 DB에 관한 정보의 분배 프로세스와 공유 요구 사항
5.1. 정보 분배 프로세스
국내 취약점 DB의 정보 프로세스는 한국인터넷진흥원와 안전행정부의 시∙도 사이버침
해대응지원센터 등이 사이버테러에 실시간 대응을 위해서 국내 기관 간 사이버공격을 예
방하기 위한 취약점 DB에 대한 상시 정보공유시스템 가동을 위한 정보 분배 프로세스가
필요하다.
또한 해외 취약점 DB의 정보 분배 프로세스는 한국 KrCERT는 중국CNCERT, 일본
JPCERT 등과 전용망을 이용하여 네트워크 공동감시체계를 구축하고 우선 한∙중∙일 3국
의 협력체계를 운영할 필요가 있다.
본 기술보고서에서의 정보 분배 프로세스는 기존의 방법을 준용하되, (그림 5-1)과 같
은 중심 기관에 서버를 두고 접근제어와 네트워크 및 시스템 보안시스템을 갖춘 정보 분
배 프로세스를 갖는다.
(그림 5-1) 정보 분배 프로세스
기술보고서
TTAR-12.00165
5.2. 정보 공유 프로세스
정보 공유 프로세스로는 통합 취약점 DB의 취약점 정보를 민간 또는 기업 등에 공개
하는 구조로 (그림 5-2)와 같은 과정을 제안한다. 통합 취약점 DB에는 해커들이 악용할
수 있는 정보 등 민감한 내용이 포함될 수 있다. 따라서 필요할 경우, 공개 취약점과 비
공개 취약점으로 나누어 관리하는 것이 필요하다.
(그림 5-2) 취약점 정보 공개
출 처 : IIS 제1권 제 2호(2010)
공개 취약점은 관리자, 개발자, 일반 사용자들이 알아야 할 사항들로 구성되며, 예로는
패치정보를 포함할 수 있다. 비공개 취약점은 제로데이(zero-day) 취약점과 같이 아직
패치가 개발되지 않은 취약점이나 보안취약점 통합 관리기관에서 취약점 정보를 공개하
지 않기로 판단한 취약점 등이 속한다. 이를 통해 무분별한 취약점의 악용을 사전에 차
단할 수 있다.
공개 가능한 보안취약점의 경우 사용자들이 최대한 사용하기 편리하도록 서비스해야
한다. NVD, JVN, CNVD와 같이 웹사이트를 통해 공개하고, RSS를 통해 새로 업데이트
된 취약점들을 사용자가 손쉽게 확인 가능하도록 해야 한다. 또한 일본과 같이 Open
API를 이용하여 취약점 정보를 다양한 곳에 활용 가능하도록 지원하는 방법도 있다.
마지막으로 미국의 NCP, 일본의 MyJVN 서비스처럼 취약점 정보를 활용하여, 취약점
DB의 보안설정이나, 위험한 버전의 S/W 제품이 존재하는지 확인하도록 도와주는 서비스
가 요구된다.
기술보고서
TTAR-12.00166
(그림 5-3) 정보 공유 프로세스
출 처 : IIS 제1권 제 2호(2010)
6. 취약점 DB에 관한 정보의 수집과 요구 사항
(그림 6-1)과 같이 미국의 NIST, US-CERT, 일본의 IPA, JPCERT/CC, 중국의
CNCERT/CC, 유럽의 ENISA, EGC와 같은 국외 취약점 관리기관을 비롯해 소프트웨어
벤더, 국내 CERT, 보안전문가, 보안관련 기업 등이 취약점 DB의 정보 분배와 공유의 구
성원이라 할 수 있다.
(그림 6-1) 취약점 DB조직체계
출 처 : IIS 제1권 제 2호(2010)
기술보고서
TTAR-12.00167
< 취약점 수집 >
기존 네트워크나 애플리케이션 취약점 분석 솔루션은 네트워크와 OS 보안에 있어 효
과적 일 수 있지만 DB 취약점에 대한 정보를 제공하고 있지 않는다.
사이버테러와 사이버공격의 주요 부분인 DB의 취약점 분석에서는 DB 취약점을 수집하
여 DB 계층에 존재하는 서비스 거부 공격, Misconfiguration, 알려진 취약성 경고, 패스
워드 공격 취약성 등과 같은 보안 사항을 다루어야만 한다. DB 취약점은 DBMS나 컴퓨
터 침해 사고 대응단(CERT, Computer Emergency Response Team)에 의해 공개되거나
혹은 악의적 의사를 가진 해커들에 의해 공유되고 있다. 이렇게 발표되는 취약점은 사실
상 공개적으로 노출된 것이기 때문에 발표된 취약점만을 대응하는 DB가 대응시점이 늦
었다면 즉시 공격 위험에 노출 될 수 있다.
대표적인 DB 취약점인 버퍼 오버플로(Buffer Overflow) 공격은 그 종류가 매우 다양하
며 애플리케이션과 DB 레벨 내에 발생된다. 이러한 버퍼 오버플로의 가능성은 취약점으
로 분류하여 관리해야 한다.
취약점이란 실행되지 않도록 의도된 애플리케이션이 비인가 유저에 의해 실행되도록
하는 모든 시도 및 그 공격들로 정의된다. 애플리케이션 내 취약점들은 대개 프로그래밍
에러를 발생시키며, 특히 개발자들은 종종 gets(), printf() 등과 같은 함수를 사용함에 있
어 그 보안상의 의미를 잘 모르고 있는데 많은 개발코드들이 애플리케이션 보안 취약점
들이 잘 알려지기 이전에 만들어졌기 때문이다. 가장 위험한 취약점은 비인증 유저의
Aribitray 명령의 수행을 허용하는 것이다. 아무리 패스워드 및 인증 관리가 강화된다고
하더라도 이러한 취약점을 이용하여 우회적으로 공격할 수 있다.
취약점 정보의 수집은 (그림 6-2)과 같이 중앙 집중식으로 취약점 DB를 구축하여 저
장하고, 저장된 취약점 DB는 취약점을 관리하는 국가 컨트롤 타워의 지휘아래 국가기관
이 취약점 정보를 분배하고 공유하여, 취약점 공격에 대해서 실시간적으로 협력 대응이
가능하다.
만약, 대외협력 중앙부서를 제외한 다른 경로를 통해 취약점 정보가 수집되거나 피드백
될 경우, 위험성 높은 취약점 정보가 외부로 무단으로 유출되거나 일부 취약점이 중복
관리될 수 있다. 이에 중앙 집중식으로 취약점 정보를 수집할 필요가 있다. 그리고 수집
된 취약점 정보를 개인이나 연구기관이 아닌, 대외협력 중앙부서라는 국가기관이 벤더에
게 정보를 제공함으로써 취약점에 대한 신속한 대응을 할 수 있다.
기술보고서
TTAR-12.00168
(그림 6-2) 취약점 DB관리체계
출처 : IIS 제1권 제 2호(2010)
다음 (그림 6-3)은 취약점의 예를 나타낸 것이다.
(그림 6-3) 취약점 예
출처 : www.dqc.or.kr
기술보고서
TTAR-12.00169
<취약점 제거>
DB 취약점은 단순한 네트워크나 애플리케이션 취약점에 의해 서비스가 중지되는 수준
이 아니라 개인정보보호 차원과 기업 기밀보호 차원에서 매우 중요한 관리 요소가 된다.
하지만 여기서 고려해야 할 사항은 DB는 특성상 IT 인프라 내의 상시 운영시스템으로서
DB 취약점 제거를 위해 DB의 가동을 중지하기는 어렵다. 취약점의 성격과 위험 등급에
따라 단순한 Fix Script로서 취약점을 제거할 수 있는 가벼운 것도 있지만, DB의 패치
(Patch)를 통해 취약점을 제거해야 하는 경우도 생기게 된다. 이러한 패치작업은 여러 가
지 오류로 인해 DB 재가동이 어렵게 되는 경우도 발생하게 되므로, DB 취약점 제거를
위해 패치를 적용하는 경우에는 엔지니어의 피드백이 요구된다.
<취약점 정보 피드백>
미국의 경우, CWIN, 일본의 정보보안 조기경보 파트너십 등과 같이, 분석, 평가된 취
약점 DB 정보를 공개하기 전에 대외협력 중앙부서의 책임 하에 협력기관이나 조직들에
게 피드백하고, 취약점에 관련된 보안사고나 영향을 파악하여 취약점 대응방안등을 마련
한다.
국내 취약점 DB를 구축할 경우에 다음과 같은 사항을 반영해야 한다.
첫째, 취약점 분류체계를 수립해야 한다. 미국의 CWE를 그대로 수용할 것인지, 아니면
다른 취약점 분류체계를 도입할 것인지에 대한 논의가 있어야 한다. 미국의 분류법을 따
를 경우에, 국산 제품들의 취약점을 분류하는 것은 여전히 필요하다.
둘째, 취약점 DB에 유지할 정보는 미국의 NVD, CVE, CWE를 참조하여 결정한다. 즉,
취약점 ID, 제목, 개요, 날짜, 영향, 위험도, 취약한 제품 및 버전, 대응책 등을 포함한다.
셋째, 기본적으로 외산제품의 취약점 DB와 국산제품의 취약점 DB를 구별하여 관리한
다. 분리 관리를 통해, 외국기관과의 공조 및 호환성을 유지하면서 국산제품의 취약점 정
보를 체계적으로 관리할 수 있다.
넷째, 정보의 활용도를 높이기 위해 제품 관리자를 위한 설명과 개발자를 위한 설명,
일반 사용자(비전문가)를 위한 설명 등으로 구분하여 필요한 정보를 제공하는 것이 필요
하다. 개발자에게는 세부적으로 취약점 관련 위치나 API(Application Programming
Interface) 등을 알려줄 필요가 있으나, 일반 사용자에게는 단순한 패치정보만을 알려주
면 된다.
다섯째는 공개 취약점 정보와 비공개 취약점 정보를 분리해서 관리하는 것이 필요하다.
실제 공격에 악용될 수 있는 공격코드는 공개할 필요가 없으며, 아직 패치가 개발되지
않은 제로데이 취약점도 패치가 배포될 때까지 공개되지 않아야 한다.
여섯째는 DB가 진화할 수 있도록 설계되어 구축되어야 한다. OWASP 취약점의 경우에
2004년, 2007년, 2010년도 버전으로 업데이트되어 왔다. CWE/SANS 오류도 2009년,
2010년 버전으로 업데이트되어 왔다. 즉, 새로운 기술이나 제품이 도입되면 새로운 취약
점이 나타나므로 이를 반영할 수 있어야 한다.
일곱째는 취약점 정보를 국문 및 영문으로 서비스해 주어야 한다. 특히, 국산 제품이면
서 수출되는 제품에 대한 취약점 정보에 대해서는 영문으로 서비스하여 정보공유의 활용
기술보고서
TTAR-12.001610
도를 높여야 한다.
<보안 요구 사항>
취약점 DB에서 중요한 모든 Data는 Oracle, IBM DB2, MS SQL Server, Sybase,
Mysql 등의 상용 DB에 저장 관리되고 있어야 하며, 방화벽, 침입탐지시스템, 침입차단
시스템 등 ISMS의 보안 규정에 따르는 취약점 DB의 인프라를 보호하고 있어야 한다.
또한 DB의 입출력 기록이나 내부 인가자에 대한 무분별한 Data 조회/변경은 제어하지
못하도록 하여야 한다.
또한, 유출된 Data의 안전한 보호를 위한 암호화나 DB의 취약점을 이용한 직접적인
DDoS 공격 혹은 Buffer Overflow 공격 등 분배와 공유에 따르는 내부와 외부의 공격에
대응하여야 한다.
이러한 취약점 DB 보안은 다음에 기술된 개인정보보호법을 비롯한 법률과 규정을 준
수 하여야 한다.
1. 공공기관의 개인정보보호에 관한 법률 및 시행령, 정보통신망 이용촉진 및 정보보호
등에 관한 법률 및 시행령 등에서 주민등록번호, 계좌번호, 신용카드 번호 등에 대한
암호화를 명시.
2. 최근 주요 공공기관 및 민간 기관에서 개인정보, 기밀정보 등 유출로 인하여 DB에 저
장되어 있는 주요 정보에 대한 기술적, 물리적 조치 필요.
3. 안전행정부, 지식경제부, 방송통신위원회, 금융감독원, 금융결재원, 국정원 등에서 암
호화기능이 구현된 컴퓨터 시스템의 경우 CC인증 권고 혹은 강제.
4. 기존의 애플리케이션 프로그램 수정 없이 DB내 정보에 대한 암호화를 적용하고 애플
리케이션, DB, 웹서버, 파일서버 등 시스템 전반적인 데이터 암호화 필요.
5. DB 서버의 성능 부하를 최소화 하며 컬럼단위 암/복호화, 로그, 감사, 통계, 경고 기
능 등이 제공되는 DB 보안시스템 필요.
6. DB, 내/외부 개발자 등에 의한 개인정보, 기밀정보 유출에 대한 사전 예방책 필요.
7. 각 서버의 관리자 외에 별도의 보안관리자를 임명하여 권한의 분리 필요.
8. 이기종의 애플리케이션서버, DB서버, 파일서버 등에 대한 중앙집중적 보안관리 필요
일반요구 사항 : 벤더 중립적인 프레임워크로 구성되어야 하고 보안 정보를 교환하는데
가능한 위협 시도를 막아야 한다. 통신 신뢰도와 보안 연결, 접근 제어, 상호 협상 및 인
증을 지원해야 한다. 또한, 보안 정보를 공유하기 위한 엔티티들간에는 다중 연결을 지원
해야 하고 안정적으로 운영되어야 한다. 모든 기능 모듈들간에는 유연하게 설계되어야
하고 효율적으로 통합 관리 되어야 한다.
기능요구 사항 : 보안 정보의 수집, 분석, 관리, 저장, 교환 기능을 지원해야 한다. 시
스템 및 감사 로그를 주기적으로 저장하고 그 정보는 관리자가 파악할 수 있도록 제공해
야 한다. 기존 보안 엔티티들과 연동이 가능해야 하고 보안 정보를 공유하는 데 모든 기
능적 테스크를 지원해야 한다.
기술보고서
TTAR-12.001611
수집 기능 요구 사항 : 엔티티들 간에는 안전한 연결, 상호 협상 및 인증을 지원해야
하고 보안 정보 메시지를 공유하기 위한 교환 프로토콜을 지원해야 한다. 수집은 실시간
적으로 이루어져야 하고 관리자의 정책에 따라 수집될 수 있도록 해야 한다.
교환(분배) 기능 요구 사항 : 이기종의 보안 엔티티들 간에 호환성을 젲공하는 표준화
된 보안 정보 메시지어야 한다. 메시지 교환(분) 포맷은 다양한 보안정보를 대표하는 표
준화된 데이터 포맷이어야 하고 포괄적인 표준이어야 한다. 데이터 모델링 언어와 구현
은 확장성과 유연성을 고려하여 UML과 XML 스키마를 지원해야 한다.
7. 취약점 DB의 정보 분배와 공유의 규격
7.1. 정보 분배의 규격
국내의 경우 현재는 취약점이 발견되면 개인이 벤더에게 연락하고 취약점 패치 또는
업그레이드가 되길 기대할 뿐이지만, 국가적으로 취약점 DB를 관리할 경우 개인이 개별
적으로 연락하는 대신에 취약점 DB 관리기관에서 벤더에 연락하여 체계적인 취약점 대
응이 이루어질 수 있다.
만약, 미국이나 일본의 취약점 DB 및 관리체계를 그대로 이용할 경우 국내 정보보안
관련 정책과 기술이 외국에 종속될 가능성이 있으며, 국내 기업의 경우에도 외국 기관의
정보에만 의존하게 되어 산업 발전에 한계가 있을 수 있다.
따라서 국내의 사이버테러 공격에 관한 취약점을 발견하면, 취약점 정보는 취약점 DB
에 저장되어야 하고, 취약점 DB에 저장된 정보는 각 기관의 등급이나, 사용자의 목적에
알맞은 내용의 정보 분배 규격을 마련하여 취약점 정보를 분배하여야 한다.
취약점 DB가 저장되면, 취약점 분석, 패치 및 업데이트 정보를 분배하여, 정보보호 시
스템과 네트워크 애플리케이션에 직접 자동적으로 업데이트 한다.
정보보호제품 기업에서는 취약점 정보를 활용하여 제품을 개발하고 서비스하도록 유도
하고, 학계에서는 연구를 통해 정보보호 대응 시스템에 관한 기술보고서를 작성하여야
하며, 사이버테러 대응 기관에서는 정보자원을 보호하는데 취약점 정보를 활용함으로써
건전하고 안전한 정보보호 생태계를 조성하는 데 기여할 필요가 있다.
‘ITU-T의 X.1206’ 표준 권고안은 자동으로 보안 관련 정보를 알리고 업데이트를 전파
하기 위한 벤더 중립적인 프레임워크를 규정하고 있다. 본 기술보고서에서는 X.1206 표
준 권고안 표준 초안을 준용한다.
기술보고서
TTAR-12.001612
7.2. 정보 공유의 규격
ITU-T의 X.sisfreq, ‘보안정보 공유 프레임워크를 위한 요구 사항’ 표준 초안은 시스템
의 취약점, 공격, 악의적인 행위 정보 등에 관한 보안 정보들을 공유하기 위한 프레임워
크의 요구 사항을 규정하고 있다.
본 기술보고서에서는 ITU-T의 X.sisfreq, ‘보안정보 공유 프레임워크를 위한 요구 사
항’ 표준 초안을 준용한다.
기술보고서
TTAR-12.001613
부 록 Ⅰ
참고 문헌
[1] ITU-T X.1206, ‘Cybersecurity information exchange techniques’, 2011. 04. 29.
[2] ITU-T X.sisfreq, ‘보안 정보 공유 프레임워크를 위한 요구 사항’, 2008.
기술보고서
TTAR-12.001614
기술보고서 작성 공헌자
기술보고서 번호 : TTAR-12.0016
이 기술보고서의 제정․개정 및 발간을 위해 아래와 같이 여러분들이 공헌하였습니다.
구분 성명 위원회 및 직위연락처
(E-mail 등)소속사
표준(과제) 제안 박대우 해킹보안기술포럼 의장 [email protected] 호서대학교
표준 초안 작성자 박대우 해킹보안기술포럼 의장 [email protected] 호서대학교
표준 초안 에디터 박대우 해킹보안기술포럼 의장 [email protected] 호서대학교
표준 초안 검토
임채태정보통신 프로젝트그룹
PG 503 의장[email protected] KISA
외 프로젝트그룹 위원
표준안 심의
원유재정보보호 기술위원회
의장[email protected] KISA
외 기술위원회 위원
사무국 담당
김영화 부 장031-724-0110
오흥룡 선 임031-724-0083
조은주 선 임031-724-0117
기술보고서
취약점 DB의 정보 분배와 공유 요구 사항(기술보고서)
(Requirements for Distribution and Sharing of
Information in the Vulnerability DB(Technical Report))
발행인 : 한국정보통신기술협회 회장
발행처 : 한국정보통신기술협회
463-824, 경기도 성남시 분당구 분당로 47
Tel : 031-724-0114, Fax : 031-724-0109
발행일 : 2013.12.
