정보 보안 / Cyber Security - VDE 기관을 통한 검증 및 인증

개인과 관련된 예민한 자료들은 종이에도 기록될 수 있고, 컴퓨터나 사람의 두뇌에 저장될 수도 있습니다. 정보 보안은 일단은 전자적으로 저장된 정보의 보호와 그 처리만을 다룹니다. 정보 보안은 즉 정보의 기밀성, 무결성 및 가용성 및 정보 기술이 적절한 조처에 의해 보호되고 있는 상태를 말합니다.

IT 보안 보다는 정보 보안이라는 개념이 보다 포괄적인 의미를 띄며, 따라서 점점 더 많이 활용되는 추세입니다. IT 기본 보안와 관련된 책자 등 몇몇 발간물에서는 그러나 여전히 “IT 보안”이라는 개념이 사용되기도 합니다. 다양한 문서들과 또 표준화 규정들이 그러나 점점 더 정보 보안이라는 개념에 기준을 맞추는 추세를 보이고 있습니다. Cyber Security, Cybersecurity, IT Safety 혹은 Information Security는 영문 표기된 개념들로서, 역시 매우 자주 활용되곤 합니다. 특히 기업들이 국제적으로 활동할 때 이들 영문 표기가 활용됩니다.

디지털화가 가속되며, 이에 발맞춰 산업 부문에서는 물론 가정에서도 지능적 네트워크의 진보가 이루어지면서, 데이터 절도와 조작의 위험도 늘어가고 있습니다. 여러 사례들이 해커가 되어 스마트 홈 및 관리 시스템에 침입하는 게 얼마나 쉬운 일인지 보여주고 있습니다.

VDE 기관은, 일관된 검증 표준을 갖추고 시스템들과 기술들의 상호 운용성을 완비하는 것 뿐만이 아니라, 데이터 보호 분야, Cyber Security 분야 및 기능적 안전성 분야에서의 보안 인증도 수행합니다. 상호 운용성은 상이한 제작사들, 기기들 및 기술들 사이의 커뮤니케이션을 보장합니다. VDE 검증 규정으로는 BSI 보안 표준 공통 평가 기준(Common Criteria)과 BSI IT 기본 보안이 이용됩니다. 이 표준들은 스마트 홈 솔루션에 있어서의 요구 조건에 맞춰 구체화되며, 또한 데이터 보호의 측면을 고려하여 확장되어 이용됩니다. 이리하여 테스트를 에너지, 컴포트, 멀티미디어, 보안 혹은 AAL 등 전체 스마트 홈 분야에 적용하여 시행할 수 있게 됩니다.

정보 보안 감사는 다음 영역으로 구분됩니다.

• 기기 테스트 (커뮤니케이션 기기 및 게이트웨이)
• 백업 및 클라우드 시스템 테스트
• 스마트폰 및 타블렛 용 앱 테스트
• 보안 소프트웨어 시스템 (개인 인증을 위한 안전한 전자 성명에 활용)

여기서 Cyber Security의 보안 목표들이 제품 및 시스템 구상 차원 및 실행 단계에서 테스트됩니다.  사용자를 위한 기록과, 데이터 보호의 기술적 측면들 또한 테스트의 일부를 이룹니다.

보안 목표에는 다음이 해당됩니다:

• 도청 및 조작에 대한 커뮤니케이션 보호
• 허용되지 않은 침입에 대한 시스템 보호,
  - 승인되지 않은 사용, 조작
  - 데이터 소실
• 개인 데이터 보호
• 시스템의 보안 업데이트 보호

정보 보안 테스트

1. IT 보안 개념의 기본 실행을 확인.
2. IT 보안의 효과적 실행을 확인.
3. IT 보안과 관련된 기록들의 완전성을 확인.

데이터 보호 테스트

1. 데이터 보호 관련 사항의 식별
2. 데이터 보호를 다음 기준에 따라 테스트:
3. 유럽 방침 (EU-DS-GVO 데이터 보호 기본 법령)

시스템들 간의 커뮤니케이션 가능성들이 추가적으로 증가될 때, 위험도 함께 증가합니까?

DIN EN 61508-4:2011에 준한 기능적 보안 및 제품별 규정(예컨대, 가정용 기기)에 준한 기능적 보안이 이 질문에 대한 답을 줍니다. 보안과 관련된 관찰을 완수하는 의미에서, 이와 같은 과제들에 대해서도 당사는 귀하를 도와드립니다. 기능적 보안 분야에서 당사가 제공하는 서비스들에 대해 더 자세히 알아보세요.

기능적 보안(FuSi - 영어로는 “functional safety”)은, 하나의 기기 혹은 설비가 사람에게 혹은 환경에 위험을 야기하지 않는지 자동화된 기술을 통해 확인하는 작업과 관련되어 있습니다. 이러한 종류의 보안은 “기기로부터 외부로” 향하는 방향과 주로 상관이 있습니다.

정보 보안은 이에 반해, 외부로부터 시스템에 가해지는 위협을 방어하고자 하는 작업과 관련되어 있습니다. 즉, 멀웨어 혹은 시스템에의 승인받지 않은 접근 등과 상관이 있습니다. 기능 보안과 관련된 경우든 정보 보안과 관련된 경우든, 양쪽 경우 모두에 있어서 시스템의 기능이 장애를 일으키거나, 아무 작업도 하지 못하게 되거나 혹은 틀린 작업을 하게 됩니다.

이런 점에서 둘 사이의 연동관계를 알아볼 수 있습니다: 만약 해당 시스템이 예컨대 보안과 관련된 제어 시스템 혹은 보안 기기 내부의 필드 장치라면, 이 시스템의 기능 장애는 동시에 (기능적) 보안 장애이기도 합니다.

당사는 오피스 IT나 운영 기술 (OT) 산업 분야에서 기계들, 관리 및 사무 시스템들 및 인터넷 사이의 연결부들을 테스트해드립니다. 네트워크가 공장 내에서 운용되는지 혹은 외부 커뮤니케이션 파트너, 예컨대 타 지점도 인터넷을 통해 이 네트워크와 연결되는지는 테스트에 있어서 전혀 상관이 없습니다. 테스트에는 또한 IEC 62443에 준한 정보 보안 맥락에서의 리스크 분석도 포함되어 있습니다. 테스트를 성공적으로 통과할 경우, 네트워크 운영자는 VDE 정보 보안 인증서를 수요받습니다.

검증된 네트워크는 4개의 등급으로 분류됩니다. 승인을 기다리고 있는 IEC 62443 초안에 따라, 예상되는 공격의  확실성 정도와 실행 수준은 보안 수준(SL)이라고 칭해지는 이 등급에 따라 서술됩니다.

• 보안 수준 1: 의도치 않은, 우연한 오남용에 대한 보호.
• 보안 수준 2: 의도적인, 단순한 수단을 이용한, 별다른 수고가 들지 않는, 일반적인 수준의 능력만이 요구되며 공격의 동기가 약한 오남용에 대한 보호.
• 보안 수준 3: 기술적으로 높은 수준의 수단을 이용한, 보통 정도의 수고가 드는, 자동화 기술적인 특수 능력과 보통의 공격 동기가 필요한 오남용에 대한 보호.
• 보안 수준 4: 기술적으로 높은 수준의 수단을 이용한, 매우 많은 수고가 드는, 자동화 기술적인 특수 능력과 높은의 공격 동기가 필요한 오남용에 대한 보호.