국제전기통신연합 전기통신부문에서 정보보호에 대한 표준화를 담당하고 있는 연구반 17은 이번 연구회기(2013-2016)를 위한 새로운 진용을 UAE 두바이에서 지난 11월 20일에서 29일까지 열린 국제전기통신연합 세계표준화총회 회의에서 확정한 바 있다. 또한, 2013년 4월 스위스 제네바에서 열릴 첫 번째 연구반 17회의에서는 이를 위한 작업반 의장을 선정하고, 지능형 교통시스템과 클라우드 컴퓨팅 보안 등의 신규 보안 이슈에 대한 국제 표준화 추진 방법과 연구반의 역할에 대한 논의를 심도 깊게 수행할 것으로 예측되고 있다. 본 고에서는 정보보호관련 국제표준 추진 방향을 확정한 세계표준화총회의 주요 이슈에 대한 논쟁 사항과 합의 사항을 중심으로 기술하며, 세계표준총회 이후 이뤄진 사후 조치 활동을 중심으로 설명한다.
주요 이슈 및 논쟁사항
지난 11월에 개최된 표준화총회에서는 이번 연구회기(2013-2016)에서 정보보호 표준화를 추진하기 위한 연구반 17(정보보호)의 12개의 연구과제(Question)를 확정했고, 연구반 17과 관련된 주요 보안 관련 결의의 수정안을 마련했으며, 클라우드 컴퓨팅 보안 관련 작업 할당 등의 주요 이슈가 다뤄졌다.
먼저 다음 연구회기를 위한 연구반 17의 의장단이 선정되었으며, 의장으로는 러시아의 Arcadiy Kremer가 부의장으로 한국(염흥열), 일본, 중국, 브라질, 터키, 우간다, 수단, UAE, 멕시코 등의 9명의 부의장이 임명되었다. 이번 총회에서 승인된 연구반 17의 연구과제는 통신망/ICT 보안 조정활동(연구과제 A/17), 보안 구조 및 프레임워크(연구과제 B/17), 통신부문 정보보호관리체계(연구과제 C/17), 사이버보안(연구과제 D/17), 스팸 기술적 대응(연구과제 E/17), 유비쿼터스 통신서비스 보안(연구과제 F/17), 안전한 응용 서비스(연구과제 G/17), 클라우드 컴퓨팅 보안(연구과제 H/17), 텔리바이오메트릭(연구과제 I/17), 아이덴티티 관리 구조 및 메카니즘(연구과제 J/17), 안전한 응용을 지원하기 위한 일반 기술(연구과제 R/17), 그리고 소프트웨어 및 시험을 위한 공식 언어(연구과제 S/17) 등이며, 이를 통해 이번 연구회기 동안 클라우드 컴퓨팅 보안, 사이버보안, 스마트폰 보안, 스마트 그리드 보안, 지능형 교통시스템 보안, 아이덴티티 관리 및 프라이버시 기술, 공개키기반구조, ASN.1 언어에 대한 국제 표준을 개발할 것으로 예상된다. 또한, 세계표준총회 이후 12개의 연구과제를 5개의 작업반(working party) 으로 그룹핑하기로 의장단 회의를 통해 확정해 최종 4월 회의에서 승인할 예정이다. 필자는 클라우드 컴퓨팅 보안과 아이덴티티 관리 및 프라이버시를 책임지는 연구과제로 구성되는 작업반 3의 의장으로 추대되고 있다.
세계표준총회에서는 연구반 17의 이번 연구회기 주요 추진 방향을 결정할 결의 50(사이버보안), 결의 52(스팸의 기술적 대응), 그리고 결의 58(개도국 컴퓨터 침해사고 대응조직 신설 장려) 등 정보보호 관련 결의에 대한 수정안이 마련되었다. 결의 50(사이버 보안)의 수정안 마련을 위해, 미주(CITEL)지역, 유럽(CEPT)지역, 러시아, 한국, 아랍 지역으로부터의 제출된 기고서를 바탕으로 논의가 수행되었다. 러시아(UAE, 수단, 이란 지지)는 지난 연구기간(2009-2012) 동안 러시아 주도로 채택된 ITU-T X-시리즈 권고의 부속서(Supplement) 15에서 언급된 “개도국을 위한 국가 사이버보안 센터”에 관한 사항을 결의 50의 인식(noting) 항목에 넣자고 제안했으나, 미국, 영국, 캐나다 등 많은 회원국들이 특정 부속서 15(Supplement 15)만을 결의에서 언급하는 것은 부적절하다고 지적해 “모든 X-시리즈 권고와 부속서를 포함해 작업이 연구반 17에서 완료되었고, 국가 IP 기반 공공네트워크 사이버보안 센터가 이에 속한다”라는 것을 문구를 인식(noting) 항목에 넣기로 합의했다. 또한, 한국(염흥열) 제안으로, 클라우드 컴퓨팅 보안, 스마트 그리드, 지능형 교통 시스템 등을 위한 신규 보안 이슈에 대한 국제표준을 개발할 것을 결의(resolve) 항목에 포함시키기로 했고, 글로벌 정보통신 환경에서 사이버 침해 사고를 협력적으로 대응하기 위한 국가적, 역내, 국가 간에 조정된 활동이 필요하다는 문구를 고려(considering) 항목에 포함하기로 했으며, 이를 위해 ITU-T가 역할을 해야 한다는 것과 컴퓨터 침해대응조직 간 사이버 정보교환을 촉진하게 하는 권고 X.1500를 활용해야 한다는 제안을 추가 고려(further considering) 항목의 추가하기로 합의했다.
또한, 결의 52(스팸의 기술적 대응)의 수정안이 마련되었고, 브라질로부터 스팸의 정의에 관한 제안의 경우 “스팸은 다양한 정의가 존재한다”라는 문구를 넣기로 합의되었고, 아랍연합은 스팸 통계에 대한 질의서를 회원국에 보내 이 결과를 회원국에 공개해야 한다고 제안했으며, “스팸의 통계와 유형, 근원지를 알기 위해 ITU에 설문지를 작성해 보내는 것을 요청”하도록 합의했다. 한국은 ad hoc 회의에 참여해 스팸의 종류가 이메일, SMS 스팸, 그리고 멀티미디어 스팸이 있음을 고려해 설문 항목에 이를 고려해야 한다고 요청해 반영되었다.
결의 58(개도국 컴퓨터 침해사고 대응팀(CIRT) 설치 장려)의 수정안이 마련되었으며, 브라질은 기고서에서 연구반 17에서 ITU-T X-시리즈 부속서 15에서 언급된 “국가 사이버보안센터의 설립을 지원”하는 문구를 인식(noting) 항목에 포함할 것을 제안했으나, 미국, 영국 등이 부속서 15 만을 인용하는 것에 반대해서 “개도국을 위한 국가 CERT 영역에서 연구반 17의 작업”이라는 문구를 넣는 것으로 합의했다.
또한, 미국은 클라우드 컴퓨팅 보안 관련 연구 작업을 연구반 13과 연구반 17 간에 일반 보안 이슈와 클라우드 컴퓨팅 특정 이슈로 각각 구분해서 표준화를 추진해야 한다고 제안했고, 러시아는 모든 클라우드 보안 관련 표준화 작업은 연구반 17에서 개발되어야 한다고 주장했다. 오랜 토의 후, 두 연구반 간에 역할은 다음 전기통신자문회의까지 결정이 미뤄졌으며, 이를 위한 합의는 다음과 같다: 클라우드 컴퓨팅 보안 관련 작업은 연구반 17과 연구반 13이 협력해 적절한 작업 영역을 찾아야 하며, 두 연구반은 결과를 2013년 6월 전기통신표준자문반(TSAG) 회의에 보고해야 하며, 이를 위해 두 연구반은 2013년 2월 연구반 13 회의와 4월 연구반 17 회의를 이용해 방안 마련을 협력해야 하며, 2013년 6월 전기통신자문반 회의는 합의로 두 연구반 간의 최종 역할을 결정해야 한다고 합의했다. 또한, 전기통신표준자문반이 합의로 이를 결정하기 전까지는 두 연구과제가 기존 연구과제 텍스트을 기반으로 작업을 수행해야 한다고 합의했다. 세계표준총회 이후, 연구반 17에서는 이를 위한 태스크포스를 구성해서 연구반 13과의 연구협력 방안을 모색하고 있고, 연구반 13도 지난 2월 연구반 13 회의에서 연구반 17의 연구과제 8과 협력 회의를 통해 협력 방안을 이번 2월 연구반 13회의에서 모색하고 있다.
SG 17 리드 연구반 이름과 관련해, 미국은 리드 연구반 이름으로 “통신 보안에 대한 리드 연구반”을 주장했고, 한국을 포함한 많은 국가들이 단순히 “보안에 대한 리드 연구반”을 주장해 “보안에 대한 리드 연구반”으로 최종적으로 합의했다. 한편, 일부 국가는 리드 연구반 이름에 ‘ICT(Information and communication technology)’를 넣는 것은 국제전기통신연합 이사회 용어 정의 작업반에서 ICT 라는 용어가 정의되고 있으므로 이의 리드 연구반 이름에 삽입하는 것에 반대한 바 있다.
향후 추진 전망
지난 세계표준화총회에서는 정보보호 표준화를 위한 다음 연구회기의 주요 추진 방향이 결정되었고, 연구반 17과 연구반 13 간의 클라우드 컴퓨팅 보안 관련 역할의 할당에 대한 이슈를 다뤘으며, 세계표준총회 이후 연구반 17과 연구반 13 간의 협력 회의를 통해 역할 분배 방안이 마련되어 6월 전기통신연합 통신부문 통신자문그룹에서 최종 역할이 확정될 것으로 기대된다.출처: http://www.tta.or.kr/data/weekly_view.jsp?news_id=3938
댓글 없음:
댓글 쓰기