전 세계 ‘IoT 보안 및 프라이버시’ 국제표준 주목

ISO/IEC JTC 1/SC 27/WG4, 2017년 보안 분야 국제표준화 동향 결산
‘IoT 보안 및 프라이버시’, ‘PKI 서비스 공급자 위한 보안 가이드라인’ 전 세계 주목

[보안뉴스= 전상훈 ISO/IEC JTC 1/SC 27/WG4 그룹장] WG4(Working Group 4)는 JTC1 SC27 위원회 산하 5개의 분과 중 네트워크 보안, 애플리케이션 보안, IoT(Internet of Thing)보안, 사이버보안(Cybersecurity), 클라우드 보안, 전자적 증거 수집(Electronic Discovery), PKI(Public Key Infrastructure) 운영 기술, 침해사고, 포렌식, 빅데이터 등 보안통제 및 서비스와 관련된 기술표준화 작업을 진행하고 있다.

[이미지=iclickart]

WG4가 설립 이후 25번째 총회가 지난 2017년 10월 독일 베를린에서 개최됐다. 당시 총회에서는 △PKI 운영기술 △IoT 보안(security and privacy IoT) △사이버보안(Cybersecurity) 등의 새로운 신규 표준화 아이템에 대해 각국에서 뜨거운 관심을 보였다. 해당 프로젝트들은 타 표준 및 기술(ISO/IEC 27000 시리즈)과의 연관성, 호환성, 중복성 등을 고려해 새로운 개정 작업을 추진하고 있다.

다수의 국가에서 많은 관심을 갖고 있는 PKI 운영기술은 하위 인증체계 구조, 운영방법에 대한 내용을 개정할 계획인데, 캐나다, 미국 등이 표준화 활동을 주도하고 있다. 주목할 만한 부분은 우리나라에서 20여년간 성숙한 공인인증 기관(Certificate Authority, 이하 CA)을 운영해온 경험을 국외에서도 인정하고 이를 모델링하고 있다는 점이다. 따라서, 국내의 CA 운영 경험이 국제표준에 반영하도록 적극 활동할 예정이다.

뿐만 아니라, ‘PKI 서비스 공급자를 위한 보안 가이드라인(Information security guidance for PKI service providers)’ 프로젝트와 관련해 타 표준위원회 및 조직에서 적극적인 표준화 참여 의사를 밝히고 있다.

ISO/TC 307(Blockchain and distributed ledger technologies), ISO/IEC JTC 1/SC 17(Cards and personal identification), ISO/TC 68(Financial services), ISO/IEC JTC 1/SC 38(Cloud computing and distributed platforms), ENISA(European Union Agency for Network and Information Security), ETSI(European Telecommunications Standards Institute), CSA(Cloud Security Alliance) 등 다양한 표준화 조직에서 사용자, 노드, 객체 및 다양한 서비스와의 연계 등에서 PKI 기술을 접목시키기 위한 작업이 진행되고 있다.

특히, 지난 10월 ITU-T SG17 DLT/DFC 포커스 그룹(Distributed Ledger Technology, Digital Fiat Currency) 총회에서 러시아, 중국 등에서 분산원장기술과 연계한 PKI 응용기술 구축 사례를 소개하기도 했다.

그리고 WG4에서 이슈가 되고 있는 신규 아이템으로, 급변하는 기술변화에 의해 새롭게 제안된 ‘IoT 보안 및 프라이버시(Guidelines for security and privacy in Internet of Things)’가 있다. 현재 일본, 중국에서 표준화 참여가 두드러지고 있다. 향후 ‘IoT 보안 및 프라이버시’와 관련해 타 표준위원회 및 기구 표준과의 연계성이 높아 다양한 서비스 모델에 부합하는 표준개발이 진행될 것으로 예상되며, IoT와 관련된 다양한 서비스 및 산업기술에 영향을 미칠 것으로 예상된다.

‘IoT 보안 및 프라이버시’, ‘PKI 서비스 공급자를 위한 보안 가이드라인’ 프로젝트는 CA 구성요소, 개인정보 및 정보보호관리체계 등과 연계성이 높아 각국의 관심이 집중되고 있는 만큼 국내 산업에 큰 영향에 미칠 수 있는 주목해야 할 프로젝트이다.

이 외에도 WG4 내에서는 △클라우드 보안과 관련해 Service Level Agreement 프레임워크(보안 및 프라이버시), 가상화 서버 설계 및 구현 △빅데이터 보안 및 프라이버시 △전자적 증거 수집(Electronic Discovery) 등의 프로젝트가 활발히 개발 중에 있다.

그 동안 WG4 분야 국제 표준화는 유럽, 미국 등이 주도해 왔지만, 최근에는 아시아 국가들이 기술 표준화에 적극 참여하고 있다. 중국이 최근 국제표준 기술개발의 중요성을 인지하고 전 분야에 걸쳐 ‘Innovation China’라는 슬로건 아래 그 어느 때보다 표준화 활동에 적극 참여하는 상황에 주목할 필요가 있다. 국내 역시 다양한 정보보호 분야 전문가들의 적극적인 참여가 요구된다.

이에 따라 아시아 지역 내에서도 한중일의 ISO/IEC JTC 1/SC 27, ISO/TC 307, ITU-T SG17 위원회에서 활동하고 있는 정보보안 및 블록체인 전문가들이 2018년 1월 동경에서 개최될 14차 CJK Information Security WG(한국/중국/일본 정보보호 작업반) 회의에 참가해 아시아지역내 표준화를 위한 안건들에 대해 논의할 예정이다.
[글_ 전상훈 ISO/IEC JTC 1/SC 27/WG4 그룹장(randyjeon@gmail.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)