사이버 보안 검증(Cybersecurity Assurance)

인터넷이 대중에게 보급된 지 약 25년이 지난 지금, IoT라는 말이 낯설지 않을 정도로 수많은 사물들이 인터넷에 연결돼, 예전에는 상상하지 못했던 서비스를 제공하는 시대에 살고 있습니다. 그러나 편의성이 증대되는 만큼 보안 취약점이 늘어나는 것도 사실입니다. 커넥티드 카를 해킹하여 차량을 원격으로 조종한다든지, 패스워드를 바꾸지 않은 CCTV 카메라에 몰래 접속하여 영상을 훔쳐봤다는 등의 보안 취약점 악용 사례는 이제 더 이상 눈길을 끌지 못할 정도로 수없이 많이 보고되고 있습니다. 이를 우려하여 각 국가들은 자국민들의 개인정보 보호 및 정보보안을 확보하기 위해 기존 규제를 강화하거나 아예 새로운 규제를 만들고 있습니다. 2018년 6월부터 시행된 유럽의 GDPR이 그 대표적인 예입니다. UL Solutions는 이런 정보보안의 우려가 증가되는 상황에 발맞춰, IoT 제품에 대한 정보보안 시험 및 인증 서비스를 제공하고 있습니다.

  • FIPS 140-2/140-3: 미국 연방정부에 납품하는 모든 정보기기들은 NIST 정보보안 표준에 따른 FIPS 140-2/140-3 인증을 획득해야 합니다. 이 인증은 상당히 까다로운 규격을 만족해야 획득하는 것으로서, 인증획득시 제품 및 제조사의 정보보안 관련 기술력을 인정받는다고 할 수 있습니다. UL Solutions는 미국 캘리포니아에 FIPS 시험소를 갖추고 세미나, 컨설팅, 인증시험 등의 서비스를 제공하고 있습니다.
  • Common Criteria: 우리나라에서는 공통평가기준이라고도 불리우는 CC인증은 EAL1부터 EAL7까지 7단계의 레벨을 갖고 있는 인증입니다. 높은 단계의 레벨로 올라갈수록 높은 수준의 보안 강도를 갖게 되며 그에 따라 인증 기준은 더욱 엄격해집니다. UL Solutions는 미국, 영국, 싱가포르에 CC 시험소를 갖추고 전세계를 대상으로 각종 교육, 컨설팅, 인증시험 등의 서비스를 제공하고 있습니다.
  • UL CAP: UL CAP(Cybersecurity Assurance Program)은 IoT 제품에 대한 세계 최초의 보안 인증 서비스 프로그램으로서 UL 2900 시리즈 스탠더드를 기반으로 하고 있습니다. 기존에 널리 알려진 보안 취약점 뿐만 아니라 인증 대상 제품의 고유한 성질, 사용환경, 기능 및 성능에 따라 존재할 수 있는 숨은 보안 취약점까지 찾아 시험 평가 합니다.
  • UL IoT Security Rating: 가정에서 주로 사용하는 홈 IoT 기기들은 기능 및 성능이 복잡하지 않기 때문에 적용되는 보안기준도 다소 가벼울 수 밖에 없습니다. 하지만 기존의 정보보안 인증 프로그램들은 방대하고 심오한 요구사항을 갖고 있어 이를 획득하려면 수개월의 시간과 비용이 들 수 밖에 없었습니다. 바로 이 점 때문에 홈 IoT 기기가 기존 보안인증을 획득하기가 어려웠을 뿐 아니라 상대적으로 값싼 제품 가격대비 인증 비용이 비싸 제조사들이 접근하기 어려웠습니다. UL Solutions는 이점에 착안하여 홈 IoT 기기들을 대상으로 하는 43개의 요구사항을 만들어 IoT Security Rating 프로그램을 출시하였습니다. 다이아몬드, 플래티넘, 골드, 실버, 브론즈 다섯 개 레벨에 따라 적용되는 요구사항을 달리하여 시험하고 인증을 부여합니다. 제조사는 인증받은 제품에 UL IoT Security Rating을 인증로고를 부착할 수 있어 시장경쟁력을 확보할 수 있습니다.

 

지불결제 보안(Payment Security)

해커들이 가장 눈독을 들이는 분야가 바로 지불결제 분야입니다. 거기에는 신용카드 정보, 예금 정보 등 돈이 있기 때문이죠. 이에 비자나 마스터카드와 같은 글로벌 지불결제 브랜드사들이 표준화된 지불결제보안 스탠더드와 테스트 방법 및 인증을 개발, 수립하고 보급하기 위해 PCI SSC라는 기관을 1994년 설립하였습니다. PCI SSC에서는 여러가지 세부 영역에서 안전한 지불결제를 수행하기 위한 보안 스탠더드를 발표하였으며 이를 검증하기 위한 심사원 및 시험소를 지정하였습니다. 아래는 주요 분야별 PCI 보안스탠더드와 해당 분야에서 UL Solutions가 제공하는 서비스입니다.

  • PCI PTS (Pin Transaction Security): 상점에서 신용카드를 이용해 지불하는 경우, 소비자의 신용카드는 상점의 신용카드 결제 단말기 삽입돼 카드에 저장된 개인결제정보가 읽힙니다. 만일 결제 단말기의 소프트웨어가 해킹되었거나 하드웨어에 버그를 심어 읽은 결제정보가 외부로 유출된다면 심각한 문제를 일으키게 됩니다. PCI PTS는 신용카드 결제기가 갖추어야 할 하드웨어, 소프트웨어, 관리 등의 세부영역에 보안 스탠더드를 제시합니다. 또한 이 인증을 획득하기 위한 시험을 수행할 시험소를 지정하였는데 UL은 호주 멜버른, 중국 광저우, 영국 베이싱스토크, 미국 캘리포니아 등 네 곳에서 시험 서비스를 제공하고 있습니다.
  • PCI DSS (Data Security Standard): 결제 단말기에서 읽힌 결제정보 또는 인터넷 결제 시 소비자가 입력한 결제정보는 네트워크를 거쳐 밴(VAN)사, 매입사, 발급사 등을 거쳐 거래의 승인/거절이 결정됩니다. 이처럼 네트워크 및 각 엔티티를 거치면서 신용카드 정보가 전송, 처리, 저장되는 곳에 적용되는 보안 스탠더드를 PCI DSS라고 합니다. 여기에서는 웹서버나 파일서버와 같은 서버, 정보를 저장하는 데이터베이스, 네트워크를 구성하는 방화벽/라우터/스위치, OS/안티바이러스/어플리케이션과 같은 소프트웨어, 보안취약점을 진단하는 리스크 관리 프로세스, 물리적/논리적 보안, 각종 보안 절차 등을 다룹니다. UL은 대한민국 서울, 호주 멜버른, 영국 베이싱스토크에 PCI DSS 심사원(QSA, Qualified Security Assessor)를 두고 전세계 지역을 대상으로 PCI DSS 인증심사 서비스를 제공하고 있습니다.

 

보안테스트 장비

지불결제, 모바일, 교통 관련 솔루션을 개발하기 위해서는 EMV, Visa, MasterCard, Mifare, GlobalPlatform, NFC 등의 국제규격을 준수해야 합니다. 그리고 개발 과정에서 개발물의 성능을 검증하기 위해서는 해당 스탠더드에 따라 시험할 수 있는 테스트 장비가 필요합니다. UL Solutions는 지불결제, 모바일, 교통 등에 국제적으로 널리 적용되는 스탠더드를 시험할 수 있는 테스트 장비를 시장에 공급하고 있습니다. 특히 최근 각광받는 EMV 3DS 2.0을 비롯해 최신의 스탠더드를 테스트하는 소프트웨어를 인터넷 페이지와 연동하여 테스트 결과에 대한 UL  Solutions 전문가의 피드백, 스탠더드 즉시 업데이트, 테스트 결과 효율적 관리 등의 추가적인 이점도 제공하고 있습니다.
 

관련 리소스

Person using tablet to control robotic arm in a factory
기능 안전과 사이버 보안 통합의 이점

주문형 웨비나를 시청하시고 기능 안전과 사이버 보안을 통합하면 산업 제품 및 시스템에 대한 상호 연관된 안전, 보안 및 품질 문제를 해결하는 데 어떻게 도움이 될 수 있는지 알아보십시오.
 

자세히 알아보기

 
문의 및 상담을 원하실 경우, 아래 문의하기 버튼을 눌러 신청해주시기 바랍니다.