사물인터넷 보안 시험 인증 기준 해설서 STANDARD
시간이 원하지 않았는데 여유가 있어서 OnOffMix에서 우연히 보게 된 교육이다. 멀 또 돈을 받아 먹겠다고 만들었나 하는 삐딱한 시선으로 신청을 했으나 순서가 늦었는지 바로 참석 연락이 오지는 않았다. 어제(28일) 후순위로 추가되었다고 문자가 와서 참석한다고 하고, 금토동에 만들고 있는 제2판교벤처단지로 갔다.
-
교육목적 : IoT 보안인증 준비를 위한 제출물작성 및 인증기준 교육
-
교육장소 : IoT 보안테스트베드 교육장 및 융합보안 교육장(판교 정보보호 클러스터)
-
경기도 성남시 수정구 대왕판교로 815 판교창조경제밸리 기업지원허브 혁신기술존 4층
-
교육대상 : IoT 제품개발 담당자, 대학(원)생, IoT 교육희망자 등
-
교육내용 1.IoT 제품 보안 인증기준 개요 2.제출물 검토 기준 및 작성 방법 교육 3.보안 시험기준 항목별 평가방법 및 실습(인증, 암호, 데이터보호 플랫폼보호, 물리적 보호)
-
문의사항 : IoT 보안인증 담당자(02-405-6408, iotsap@kisa.or.kr)
-
신청방법 : 온오프믹스(https://www.onoffmix.com/)를 통해 공고 및 접수
-
교육비용 : 무료
교육시간은 10시에서부터 15시로 되어 있었고 점심은 알아서 해결이었다. 그래도 교육비가 무료니깐.
강사는 KISA직원이 아니라 용역개발은 맡아했던 기계무슨연구소 연구원이 했다.
대략 내용은
- 인증의 궁극적인 목적은 개발 초기 단계부터 보안을 고려해서 개발하도록 유도하는 것
- White-Box Test이기 때문에 모든 테스트 환경 및 테스트 내용을 제공해야 한다.
- 대상은 IoT제품, 모듈, 모바일앱
- Lite , Basic , Standard
- 사전검토 회의 및 신청에서 평균 4~5개월이 소요
- Lite 1~2weeks, Basic 2~3weeks, Standard 4~5weeks로 되어 있지만, 실제적으로 1.5~2배정도가 더 소요됨
- 현재까지 Standard 인증 받은 업체는 없음
- 현재는 수수료가 없으나, 올해말 또는 내년초까지는 인증테스트업무를 민간에 이관할 예정이기 때문에 그 이후에는 인건비로 몇천만원 정도가 소요될 것으로 예상된다.
- 파생제품이라는 개념은 아직은 없다. 대신 협의 단계에서 제출 서류과 검사 항목이 줄어들 여지는 있다.
- 3년 인증 -> 2년연장 1회 가능
- 반드시 H/W PCB에는 실크로 version이 인쇄되어 있어야 한다.
- S/W 인증을 받으면 해당 바이너리 hash값을 생성해서 보관
- 암호화 방법을 확인하기 위해서 아래중 하나의 준비가 되어 있어야 한다. 일반적으로 로그를 추천
- LOG
- Memory dump
- Source code
- others …
- F/W 업데이트 기능이 없으면 거의 인증 불가
- 취약점은 향후 계속 발견이 되기 때문에, 이에 대한 대응을 해야 한다.
- 최후에는 공장으로 가지고 와서 뜯어서 직접 업데이트라고 하는 방법까지 고려할 수 있다.
이렇게 대략적인 오전 설명을 들은 후, 오후에는 상세적인 내용을 설명한다고 하길래 GG 치고 점심먹으로 이동했다.