신뢰된 외부 접근통제 기능 활용 가능
[정보통신신문=박광하기자]
국가용 보안요구사항 개정에 따라 앞으로 가상화 관리제품의 경우 신뢰할 수 있는 외부 IT실체가 제공하는 접근통제 기능을 활용하는 게 가능하다.
국가정보원은 국가·공공기관이 도입하는 보안기능이 있는 정보보호시스템 등 정보통신기기의 보안적합성 검증 기준인 '국가용 보안요구사항' 중에서 이 같은 수정 내용을 담은 개정판을 최근 배포했다.
수정된 내용을 살펴보면, '해설 및 공통보안요구사항' 중 서버 공통보안요구사항의 일부 보안기능 요구사항(1.3.1, 1.3.2, 2.4.2, 3.1.1, 3.1.3, 7.1.1) 설명이 수정·추가됐다. 이에 따라 버전도 기존 V3.0에서 V3.0 R1으로 변경됐다.
우선, 패스워드 보안성 기준에서의 금지항목 중 순차적 입력에 대해서는 좌우로 연속한 문자·숫자를 4개 이상 입력하는 경우(특수문자는 제외)로 명확하게 정의(1.3.1)됐다.
전송 데이터 보호 중 외부 IT실체와 연동 지원 시 점검시 유의사항으로 syslog를 지원하면 syslog over TLS(RFC 5424), syslog over DTLS(RFC 6012) 등을 통해 암호화 전송을 지원(3.1.3)해야 한다.
가상화제품군 중 가상화 관리제품의 경우 신뢰할 수 있는 외부 IT실체가 제공하는 접근통제 기능을 활용하는 게 가능(V3.1, 1.2.1)해졌다.
기존에는 접근통제 기능의 경우 제품에서 직접 제공해야 했다.
마이크로소프트(Microsoft, MS)사의 액티브 디렉토리(Active Directory)와 같이 운용환경의 지원을 받아 제공하는 것을 허용치 않았던 것이다.
반면, 변경 이후에는 제품에 구현된 접근통제 기능 외에도 신뢰할 수 있는 디렉토리 서비스(Directory Service)를 이용할 수 있게 됐다. 국정원은 신뢰할 수 있는 디렉토리 서비스로 MS의 액티브 디렉토리 등이 있다고 예시로 들었다.
구간보안제품군의 경우 네트워크 접근통제제품, 망간 자료전송제품, 무선랜 인증제품 등에서 일부 요구사항에 대한 설명 수정·추가가 이뤄졌다.
개정된 국가용 보안요구사항 문서는 국정원 웹사이트 내 '사이버안보-보안적합성 검증-보안요구사항'에서 내려받을 수 있다.