Soligate UTM V2.0 보안목표명세서TESS UTM V4.5 보안목표명세서 - 8 - (주)정보보호기술 1. 보안목표명세서 소개 본 장은 보안목표명세서 및 참조된

TESS UTM V4.5

보안목표명세서

Ver. 4

㈜정보보호기술

TESS UTM V4.5 보안목표명세서

- 2 - (주)정보보호기술

Change History

작성자 수정일 버전 주요 수정 내용



[ 목 차 ]

1. 보안목표명세서 소개 ................................................................................................................................... 8

1.1 보안목표명세서 식별 ........................................................................................................................... 8

1.2 보안목표명세서 개요 ........................................................................................................................... 9

1.3 보안 기능 강도...................................................................................................................................... 9

1.4 공통평가기준 적합성 ......................................................................................................................... 10

1.5 작성규칙 ............................................................................................................................................... 10

1.6 용어정리 ................................................................................................................................................ 11

2. TOE 설명 .................................................................................................................................................... 16

2.1 제품 유형 ............................................................................................................................................. 16

2.1.1 제품 주요기능 ............................................................................................................................. 16

2.1.2 TOE 환경 ..................................................................................................................................... 18

2.2 TOE 범위와 경계 ................................................................................................................................ 19

2.2.1 물리적 범위와 경계 ................................................................................................................... 19

2.2.2 논리적 범위와 경계 ................................................................................................................... 20

3. TOE 보안 환경 ........................................................................................................................................... 23

3.1 가정 사항 ............................................................................................................................................. 23

3.2 위협 ....................................................................................................................................................... 24

3.3 조직의 보안 정책 ................................................................................................................................ 26

4. 보안 목적 ..................................................................................................................................................... 27

4.1 TOE 보안 목적 .................................................................................................................................... 27

4.2 TOE 환경에 대한 보안 목적 ............................................................................................................. 28

5. IT 보안요구사항 ......................................................................................................................................... 30

5.1 TOE 보안기능요구사항...................................................................................................................... 31

5.1.1 보안감사 ....................................................................................................................................... 33

5.1.2 암호지원 ....................................................................................................................................... 37

5.1.3 사용자 데이터 보호 ................................................................................................................... 38

5.1.4 식별 및 인증 ............................................................................................................................... 44

5.1.5 보안관리 ....................................................................................................................................... 46

5.1.6 TSF 보호 ...................................................................................................................................... 49

5.1.7 TOE 접근 ..................................................................................................................................... 50

5.1.8 프라이버시 ................................................................................................................................... 51

5.2 TOE 보증요구사항 ............................................................................................................................. 51



5.2.1 형상관리 ....................................................................................................................................... 52

5.2.2 배포 및 운영 ............................................................................................................................... 53

5.2.3 개발 ............................................................................................................................................... 54

5.2.4 설명서 ........................................................................................................................................... 57

5.2.5 생명주기지원 ............................................................................................................................... 58

5.2.6 시험 ............................................................................................................................................... 59

5.2.7 취약성 평가 ................................................................................................................................. 61

5.3 환경에 대한 보안요구사항 ................................................................................................................ 63

6. TOE 요약 명세 ........................................................................................................................................... 65

6.1 TOE 보안 기능 .................................................................................................................................... 65

6.1.1 보안 감사(SA) ............................................................................................................................. 65

6.1.2 IPSec VPN(VPN) .......................................................................................................................... 74

6.1.3 침입차단기능(FW) ...................................................................................................................... 77

6.1.4 식별 및 인증(IA) ........................................................................................................................ 82

6.1.5 정책 관리(PC) ............................................................................................................................. 86

6.2 TOE 외 기능 ........................................................................................................................................ 94

6.2.1 네트워크 관리 (NM) .................................................................................................................. 94

6.2.2 시스템 관리 (SM) ...................................................................................................................... 97

6.2.3 침입방지 (IPS) ............................................................................................................................ 99

6.3 보증 수단 ........................................................................................................................................... 100

7. 보호 프로파일 수용 ................................................................................................................................. 102

7.1 보호 프로파일 참조 .......................................................................................................................... 102

7.2 보호 프로파일에서 재정립된 보안 요구 사항 ............................................................................. 102

7.3 보안목표명세서 작성자에 의해 보호프로파일에 추가된 사항 ................................................. 103

7.3.1 보호프로파일 가정사항 추가 ................................................................................................. 103

7.3.2 보호프로파일 위협 추가 ......................................................................................................... 104

7.3.3 보호프로파일 TOE 보안목적 추가 ....................................................................................... 104

7.3.4 보호프로파일 환경에 대한 보안목적 추가 ......................................................................... 104

7.3.5 보호프로파일 보안요구사항 추가 ......................................................................................... 105

8. 이론적 근거 ............................................................................................................................................... 106

8.1 보안 목적의 이론적 근거 ................................................................................................................ 106

8.1.1 TOE 보안목적의 이론적 근거 ............................................................................................... 106

8.1.2 환경에 대한 보안 목적 및 이론적 근거 ............................................................................. 109

8.2 보안요구사항의 이론적 근거 ........................................................................................................... 111

8.2.1 TOE 보안기능요구사항의 이론적 근거 ................................................................................ 111



8.2.2 IT환경에 대한 보안기능요구사항의 이론적 근거............................................................... 119

8.2.3 보증요구사항의 이론적 근거 ................................................................................................. 120

8.3 TOE 요약명세의 이론적 근거 ........................................................................................................ 120

8.3.1 TOE 보안기능의 이론적 근거 ............................................................................................... 120

8.3.2 TOE 보증수단의 이론적 근거 ............................................................................................... 127

8.3.3 보안기능강도의 근거 ............................................................................................................... 131

8.4 종속성 만족의 이론적 근거 ............................................................................................................ 131

8.4.1 TOE 보안기능요구사항의 종속관계 ..................................................................................... 131

8.4.2 EAL3에서 추가된 보증요구사항의 종속관계 ..................................................................... 134



[그림 목차]

[그림 2-1] TESS UTM V4.5의 구성도............................................................................... 17

[그림 2-2] TOE의 물리적 범위 ....................................................................................... 19

[그림 2-3] TOE의 논리적 범위 ....................................................................................... 21

[표 목차]

[표 1-1] 보안목표명세서 식별 .......................................................................................... 8

[표 2-1] 제품의 하드웨어 사양 ...................................................................................... 20

[표 3-1] TOE 보안환경 – 가정사항 ................................................................................. 23

[표 3-2] TOE 보안환경 – TOE에 대한 위협 ...................................................................... 24

[표 3-3] TOE 보안환경 – 조직의 보안 정책 ..................................................................... 26

[표 4-1] 보안 목적 – TOE 보안 목적 .............................................................................. 27

[표 4-2] 보안 목적 - TOE 환경에 대한 보안 목적 ............................................................ 28

[표 5-1] 보안기능요구사항 ............................................................................................ 31

[표 5-2] 감사대상 사건 ................................................................................................. 34

[표 5-3] 관리자 권한 등급 ............................................................................................ 39

[표 5-4] TOE 보증요구사항 ........................................................................................... 51

[표 6-1] 보안 감사 사건의 중요도 .................................................................................. 66

[표 6-2] 감사 로그의 유형 ............................................................................................ 67

[표 6-3] 실시간 모니터링 대상 정보 ............................................................................... 68

[표 6-4] 감사 로그 정렬기준 ......................................................................................... 70

[표 6-5] 감사대상 사건 ................................................................................................. 72

[표 6-6] 경보로그 설정대상 항목 ................................................................................... 73

[표 6-7] 주소변환 기능 ................................................................................................. 79

[표 6-8] 정보통신윤리위원회 등급기준 ............................................................................ 80

[표 6-9] 관리자 권한 등급 ............................................................................................ 82

[표 6-10] 관리자 ID 생성 규칙 ...................................................................................... 83

[표 6-11] 관리자 속성 .................................................................................................. 84

[표 6-12] 계정 상태 ..................................................................................................... 85

[표 6-13] 시스템 설정 기능 ........................................................................................... 89

[표 6-14] 시스템 제어 기능 ........................................................................................... 89

[표 6-15] 네트워크 인터페이스 정보 ............................................................................... 90

[표 6-16] 모니터링 정보 ............................................................................................... 91

[표 6-17] 감시 수준의 기본값 ........................................................................................ 91



[표 6-18] TOE 외 기능 ................................................................................................. 94

[표 6-19] 시스템 상태 확인 도구 ................................................................................... 98

[표 6-20] 보증수단 ..................................................................................................... 100

[표 7-1] 재정립된 보안 기능 요구사항 .......................................................................... 102

[표 7-2] 추가된 TOE 가정사항..................................................................................... 104

[표 7-3] 추가된 TOE 에 대한 위협 ............................................................................... 104

[표 7-4] 추가된 TOE 보안목적..................................................................................... 104

[표 7-5] 추가된 환경에 대한 보안목적 .......................................................................... 105

[표 7-6] 추가된 SFR .................................................................................................. 105

[표 8-1] 보안 목적에 대한 이론적 근거 매핑 ................................................................. 106

[표 8-2] 환경에 대한 보안목적 근거 매핑 ...................................................................... 109

[표 8-3] 보안기능요구사항과 보안목적과의 매핑 ............................................................. 111

[표 8-4] IT환경에 대한 보안기능요구사항과 환경에 대한 보안목적의 매핑 .......................... 119

[표 8-5] 보안 요구 사항과 보안 기능과의 매핑 .............................................................. 120

[표 8-6] 보증 요구사항과 보증수단 .............................................................................. 128

[표 8-7] 보안요구사항 종속관계 ................................................................................... 131

[표 8-8] IT환경에 대한 보안요구사항의 종속관계 ............................................................ 133

[표 8-9] EAL3에 추가된 보증 요구 사항의 종속성 만족 ................................................... 134



1. 보안목표명세서 소개

본 장은 보안목표명세서 및 참조된 TOE를 통제하고 식별하는데 필요한 식별 정보를 제공하고, 작

성 규칙, 용어를 명확하게 기술하는 것을 목적으로 한다. 평가 대상(이하 TOE)인 ㈜정보보호기술

의 TESS UTM V4.5은 네트워크 상에서 타 네트워크간의 정보 흐름을 통제하고 신뢰된 구간과의

트래픽을 암호화하여 사용자의 데이터를 보호하는 기능을 제공한다. 평가대상인 TOE는 이러한

TESS UTM이 제공하고 있는 침입차단 시스템과 가상사설망 게이트웨이의 중요한 기능과 이를 위

해 감사, 식별 및 인증을 비롯한 정책관리를 포함한 전체 시스템을 말한다.

TOE는 패킷필터링을 통해 보안관리자가 정한 네트워크와 암호화되지 않은 트래픽에 대해 접근

허용 여부를 결정하며, 미리 정의된 가상사설망 보안정책에 의해 암호화된 트래픽을 처리하며, 이

를 위해서 네트워크의 종단에 설치되어 운영된다.

본 보안목표명세서는 TOE에 대해서 다음과 같은 장들로 구성되어 있다.

제1장은 보안목표명세서를 식별하고 주요 용어를 설명한다.

제2장은 TOE에 대해 설명하고 TOE의 범위와 경계에 대해서 설명한다.

제3장은 TOE의 보안환경을 설명한다.

제4장은 TOE의 보안목적을 설명하다.

제5장은 IT 보안 요구사항을 설명한다.

제6장은 TOE 요약 명세를 기술한다.

제7장은 보호 프로파일 수용 근거를 제시한다.

제8장은 보안목표명세서의 이론적 근거를 제시한다.

1.1 보안목표명세서 식별

본 문서와 평가대상 제품 및 수용 보호프로파일, 정보보호시스템 공통평가기준을 [표 1-1]과 같

이 식별한다.

[표 1-1] 보안목표명세서 식별

구분 내용

문서 제목 TESS UTM V4.5 보안목표명세서

문서 버전 Ver. 4

문서 작성일 2007년 07월 18일

작성자 ㈜인프니스 기술연구소

TOE 식별 TESS UTM V4.5



공통평가기준식별 정보보호시스템 공통평가기준 (정보통신부 고시 제2005-25호)

보호프로파일 수용 국가기관용 침입차단시스템 보호프로파일 V1.2 (2006년 5월 17일)

국가기관용 가상사설망 보호프로파일 V1.2 (2006년 5월 17일)

주요단어

가상사설망(VPN), 보안연계(SA), 보안정책(SP), 비밀성, 무결성, 암호

화/복호화, IKE, IPSec, ESP, AH, 식별 및 인증, 침입차단시스템, 침입

차단, 접근통제, 정보흐름통제

1.2 보안목표명세서 개요

본 보안목표명세서는 평가대상 범위인 TOE 소프트웨어의 기능 및 범위에 대해서 기술하고, TOE

를 포함한 제품인 ㈜정보보호기술의 TESS UTM 100 V4.5 (이하 TUTM)에 대해서 기술하고, TOE의

보안환경 및 보안 목적, IT 보안 요구사항 및 이론적 근거를 제시한다.

평가대상 범위인 TESS UTM V4.5은(이하 TOE)는 침입차단, 가상사설망 게이트웨이 기능을 지원

하는 소프트웨어 이다. TOE에는 패킷필터링, NAT, 유해사이트 차단 등의 다양한 침입차단 기능과

다양한 암호화 알고리즘 및 해쉬알고리즘을 지원하는 가상사설망 기능이 포함되며, Web기반의 관

리자 인터페이스인 UTM MMC(Monitoring & Management Console)과 CLI(Command Line

Interface)를 통한 관리기능을 제공한다.

TUTM은 하드웨어 일체형의 보안장비로 TOE하드웨어, 자체 개발 운영체제인 INFOS V1.1, TOE

범위 외의 기능을 수행하는 소프트웨어 및 평가대상 범위인 TOE소프트웨어로 구성된다.

TOE는 보안기능 수행을 위해서 IT환경환경으로 지원되는 NTP 서버, SSL, SSH 프로토콜을 이용

한다. NTP서버는 TOE의 시간동기화를 위해서 이용되며, 관리자와 TOE간의 송수신되는 통신채널

의 비밀성, 무결성을 제공하기 위하여 SSL, SSH 프로토콜을 이용하여 안전한 방법으로 운용이 된

다.

1.3 보안 기능 강도

TOE 는 물리적으로 안전한 환경의 전제하에 공중망을 통해 연결된 신뢰된 네트워크 간의 안전한

정보교환을 보장하기 위하여 정보흐름을 통제하는 보안 기능을 보호프로파일에서 정의한 기능강

도-중간의 수준으로 제공한다.



1.4 공통평가기준 적합성

본 보안목표명세서는 다음의 평가기준 및 보호프로파일을 준수한다.

정보보호시스템 공통평가기준 (CC v2.3). 정보통신부고시 제2005-25호

본 보안목표명세서는 공통평가기준의 2부를 준수한다. 또한 공통평가기준 3부 보증요구사항

의 EAL3 등급의 요구사항을 준수하며, 국가 기관에서 요구하는 ADV_IMP.2, ADV_LLD.1,

ALC_TAT.1, ATE_DPT.2, AVA_VLA.2를 추가로 준수하고 있다. 평가 보증 등급은 EAL3+ 이다.

국가기관용 침입차단시스템 보호프로파일 V1.2 (2006년 5월 17일)을 준수한다. (이하

‘FW_PP’라 한다)

국가기관용 가상사설망 보호프로파일 V1.2 (2006년 5월 17일)을 준수한다. (이하 ‘VPN_PP’

라 한다)

본 보안목표명세서는 VPN_PP에서 요구한 게이트웨이형 VPN과 클라이언트 VPN 중에서 게이트웨

이형 VPN 만을 만족한다.

1.5 작성규칙

본 보안목표명세서는 일부 약어 및 명확한 의미 전달을 위해 영어를 혼용한다. 사용된 표기법, 형

태, 작성규칙은 “정보보호시스템 공통평가기준” (이하 ‘공통평가기준’이라 한다) 및 국가기관용 보

호프로파일을 따른다.

공통평가기준은 보안기능요구사항에서 수행될 수 있는 선택, 할당, 반복, 정교화 오퍼레이션을 허

용한다. 각 오퍼레이션은 본 보안목표명세서에서 사용된다.

반복 (Iteration)

다양한 오퍼레이션과 같은 컴포넌트가 반복될 경우 사용된다. 반복 오퍼레이션의 결과는 컴포

넌트 식별자 뒤에 괄호 안의 반복번호, 즉 (반복 번호)로 표시된다.

선택 (Selection)

요구사항 서술 시 정보보호시스템 공통평가기준에서 제공되는 선택사항 중 하나 이상을 선택

하는데 사용된다. 선택 오퍼레이션의 결과는 밑줄 그은 이탤릭체로 표시된다.

정교화 (Refinement)

요구사항에 상세사항을 추가함으로써 요구사항을 더욱 제한하는데 사용된다. 정교화 오퍼레이



션의 결과는 굵은 글씨로 표시된다.

할당 (Assignment)

명세되지 않은 매개변수에 특정 값을 할당하는데 사용된다. 할당 오퍼레이션의 결과는 대괄호,

즉, [ 할당_값 ]으로 표시된다.

보안목표명세서 작성자

속성의 최종 결정이 보안목표명세서 작성자에 의해 이루어짐을 나타내는데 사용된다. 보안목

표명세서 작성자 오퍼레이션의 결과는 중괄호 안의 { 보안목표명세서 작성자에 의해 결정 }

으로 표시된다. 또한, 보호프로파일에서 완벽하게 수행되지 않은 보안기능요구사항의 오퍼레

이션은 보안목표명세서 작성자에 의해서 완벽하게 수행되어야 한다.

응용 시 주의 사항

요구사항의 의미를 명확히 하고, 구현 시 선택사항에 대한 정보를 제공하며, 요구사항에 대

한”적합/부적합” 기준을 정의하기 위해 응용 시 주의사항이 제공된다. 응용 시 주의사항은 필

요한 경우 해당 요구사항과 함께 제공된다.

1.6 용어정리

본 보안목표명세서에 사용된 용어 중 공통평가기준 및 국가기관용 보호프로파일에 사용된 용어와

동일한 것은 공통평가기준을 따른다. 다음은 본 보안목표명세서에서 사용하는 용어들을 정의 한

것이다.

(1) PC (Policy controller)

TOE 내부에서 다양한 기능들을 관리하는 모듈이다. 관리자 인증모듈로부터 인가된 관리자의

요청 사항을 수신하여 보안 모듈을 실행/정지하거나 보안속성을 변경하는 역할을 한다.

(2) 객체(Object)

주체의 오퍼레이션 대상이며 정보를 포함하거나 수신하는 TSC(TSF 통제범위) 내의 실체

(3) 공격성공 가능성(Attack potential)

어떤 공격을 시도할 경우 공격자의 전문지식, 자원, 동기 등의 측면에서 파악된 성공 가능성

(4) 기능강도(SOF, Strength-of-Function)

기본적인 보안 메커니즘을 직접 공격하여 예상되는 보안행동을 무력하게 하기 위하여 필요한



최소한의 노력을 나타내는 TOE 보안기능 능력

(5) 기능강도-중간(SOF-medium)

중간 수준의 공격 성공 가능성을 가진 공격자에 의하여 TOE 보안이 직접적이거나 의도적으

로 위반되는 것에 대하여 기능이 적당한 보호를 제공한다는 것을 분석에 의해서 증명한 TOE

기능강도의 수준

(6) 보안목표명세서(ST, Security Target)

TOE 평가를 위한 근거로써 사용되는 보안요구사항과 기능 명세의 집합

(7) 보호프로파일(PP, Protection Profile)

TOE 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 보안요구사항 집합

(8) 사용인(Human User)

TOE와 상호 동작하는 모든 사람

(9) 사용자(User)

TOE 외부에서 TOE와 상호 동작하는 모든 실체, 사용인, 외부 IT 실체 등

(10) 인가된 관리자(Authorized Administrator)

TOE 보안정책에 따라 TOE를 안전하게 운영 및 관리하는 인가된 사용자로써 관리자 권한에

따라 수퍼관리자, 보안관리자, 모니터링관리자로 구분되며 본 보안목표명세서에서 인가된 관

리자는 수퍼관리자, 보안관리자, 모니터링관리자 모두를 지칭한다.

(11) 인가된 사용자(Authorized User)

TOE 보안정책에 따라 기능을 실행할 수 있는 사용자

(12) 선택(Selection)

공통평가기준 오퍼레이션 중 하나. 한 컴포넌트에서 목록으로부터 하나 이상의 항목을 선택하

는 것

(13) 신원(Identity)

인가된 사용자를 식별하는 유일한 표현



(14) 엘리먼트(Element)

분할할 수 없는 보안요구사항의 최소 단위

(15) 역할(Role)

사용자와 TOE간에 허용되는 상호작용을 설정하는 미리 정의된 규칙의 집합(예: 사용자, 관리

자)

(16) 오퍼레이션(Operation)

공통평가기준에서 컴포넌트를 특정 위협에 대응하거나 특정 보안정책을 만족하도록 하는 것

(예: 반복, 할당, 선택, 정교화)

(17) 위협원(Threat Agent)

자산에 불법적인 접근, 변경, 삭제 등 위협을 일으키는 인가되지 않은 사용자 또는 외부 IT

실체

(18) 외부 IT 실체(External IT Entity)

TOE 외부에서 TOE와 상호작용하는 안전하거나 안전하지 않은 모든 IT 제품이나 시스템

(19) 정교화(Refinement)

공통평가기준의 오퍼레이션 중 하나. 컴포넌트에 세부사항을 추가하여 명세하는 것

(20) 종속관계(Dependency)

일반적으로 한 요구사항의 목적을 만족하기 위해 종속되는 요구사항이 만족되어야 한다는 요

구사항간의 관계

(21) 주체(Subject)

수행할 오퍼레이션을 발생시키는 TSC 내의 실체

(22) 추가(Augmentation)

평가보증등급이나 보증 패키지에 하나 이상의 보증 컴포넌트를 추가하는 것



(23) 컴포넌트(Component)

공통평가기준에서 엘리먼트의 집합으로, 보호프로파일, 보안목표명세서에 포함될 수 있는 가

장 작은 선택 단위

(24) 클래스(Class)

공통평가기준에서 같은 보안목적을 가지는 패밀리의 모음

(25) 평가대상(TOE, Target of Evaluation)

평가의 대상인 IT 제품이나 시스템과 이것과 관련된 관리자 설명서

(26) 패밀리(Family)

공통평가기준에서 같은 보안목적을 가지지만 강조점이나 정밀함이 다를 수 있는 컴포넌트의

모음

(27) 할당(Assignment)

공통평가기준 오퍼레이션 중 하나. 컴포넌트 내에서 식별된 매개변수를 구체적으로 명세하는

것

(28) 확장(Extension)

공통평가기준 2부에 포함되지 않은 보안기능요구사항이나 3부에 포함되지 않은 보증요구사항

을 보호프로파일, 보안목표명세서에 추가하는 것

(29) TOE 보안기능(TSF, TOE Security Function)

TSP의 정확한 수행을 위해 의존해야 하는 TOE의 모든 하드웨어, 소프트웨어, 펌웨어로 구성

된 집합

(30) TOE 보안정책(TSP, TOE Security Policy)

TOE 내에서 자산의 관리, 보호, 분배를 규제하는 규칙의 집합

(31) TSF 데이터(TSF Data)

TOE의 오퍼레이션에 영향을 줄 수 있는, TOE에 의해서 TOE를 위하여 생성된 데이터



(32) TSF 통제범위(TSC, TSF Scope of Control)

TOE에서 발생할 수 있으며 TSP 규칙의 통제를 받는 상호작용 집합

(33) 유해사이트DB

유해사이트 차단 기능을 위하여 사전 정의된 인터넷 정보 내용을 선별하여 관리하는 유해사

이트 목록 Database



2. TOE 설명

본 장은 평가신청제품을 설명하는 ‘2.1 제품유형’과 평가신청제품의 실제 평가범위를 설명하는

‘2.2 TOE 범위와 경계’로 구성되며, TOE평가를 위한 배경지식을 제공한다.

TOE는 공통평가기준 3부 보증요구사항의 EAL3등급과 국가기관에서 추가적으로 요구하는

ADV_IMP.2, ADV_LLD.1, ALC_TAT.1, ATE_DPT.2, AVA_VLA.2를 만족시키고 있다. 이를 위하여 요

구되는 평가보증등급은 EAL3+이다.

2.1 제품 유형

TESS UTM V4.5(이하 TOE)는 가상사설망 기능과 침입차단 기능을 통합 수행하는 소프트웨어로

하드웨어 일체형 보안제품인 TESS UTM 100 V4.5 (이하 TUTM)에 탑재되는 소프트웨어이다.

TOE는 내부망과 외부망의 경계에 설치되어 핵심 네트워크 기반 구조와 사용자의 데이터를 보호

하기 위하여 침입차단 기능과 네트워크 지점간 안전한 통신을 위한 가상사설망 기능을 통합하여

제공한다.

TESS UTM 100 V4.5 (이하 TUTM) 은 TOE 소프트웨어가 탑재된 하드웨어 일체형 보안제품으로

TOE 기능과 송, 수신 패킷의 분석을 통한 사이버 공격에 대한 침입방지(IPS), 라우팅, SNMP,

DHCP와 같은 기본적인 네트워크 장비로서의 기능을 제공함으로써 효과적으로 내부망을 보호할

수 있도록 한다.

2.1.1 제품 주요기능

가상사설망은 인터넷과 같은 공중망을 사용하여 전용망과 같은 효과를 볼 수 있도록 구현한 가

상망을 의미하며, 두 통신 실체간에 송, 수신되는 데이터를 보호하기 위해 공중망에 안전한 통

신 채널을 구축할 수 있는 장치를 사용함으로써 생성된다.

TOE는 [그림 2-1]과 같이 네트워크의 연결 지점에 위치하므로, 내부망과 외부망의 모든

네트워크 트래픽은 반드시 TOE를 통과해야 통신이 가능하다. 그림에서 사용자 ‘A’는 사용

자 ‘B’와 통신을 하는데 있어 TUTM1과 TUTM2를 통해 통신을 하게 된다. 이때 사용자 ‘A'

는 사용자 ’B' 또는 사용자 ‘C’와 통신시 보안정책에 따라 TOE 1과 TOE 2 사이에 보안채널

을 구축하고 전송되는 데이터를 암호화하여 통신할 수 있다. 동시에 사용자 ‘A'는 인터넷

상에 있는 사용자와 통신할 경우 전송되는 데이터를 암호화하지 않고 통신할 수 있다.



[그림 2-1] TESS UTM V4.5의 구성도

TOE는 외부 네트워크와 내부 네트워크의 연결 지점에 위치하여 신뢰할 수 있는 내부 네트

워크와 신뢰할 수 없는 외부 네트워크를 분리하며 내부망에 대한 모든 접속과 서비스 요구

에 대하여 접근통제를 적용하여 통신보안 정책에 위배되는 트래픽이나, 접근통제 규칙에서

허가되지 않은 호스트로부터의 내부망 접속이나 내부망 서비스 이용을 차단함으로써 내부

네트워크와 통신 보안 채널간의 암호화 통신구간을 안전하게 보호할 수 있다.

TOE는 송수신되는 트래픽과 TOE의 내부에게 발생하는 보안에 관련된 사건들에 대한 기록

및 추적을 통하여, 불법적으로 접근 또는 접근 시도를 한 주체(호스트나 사용자)에 관한 정

보를 획득하고 저장한다. TOE를 통과하는 모든 패킷은 패킷의 유입 방향, 네트워크 인터페

이스, 프로토콜, IP 주소, 포트, 시간 등의 정보를 이용한 임의적 접근통제를 통과해야 한다.

이 과정에서 유입이 거부된 패킷이 발생하면 이들에 대한 감사기록을 남긴다.

TOE는 외부로 전달되는 패킷의 출발지 주소를 NAT 기능을 통하여 TOE의 공인 IP 주소로 변경

함으로써 내부망의 사용자 시스템들의 주소가 외부로 노출되지 않게 한다.



TOE는 유해사이트 차단 기능은 내부 사용자에 대한 접근통제를 위한 기능으로 허가되지 않은

사이트에 대한 내부 사용자의 접근을 등급에 따라서 제한하는 기능이다. TOE가 제공하는 유해

사이트 차단 기능은 정보통신윤리위원회에서 제공하는 URL들에 대한 등급정보(이하 “정통윤

DB”라고 함.)를 이용하여 유해한 사이트를 차단하는 기능과 관리자에 의해서 설정된 URL정보

를 이용한 차단기능을 제공한다.

TUTM은 TOE의 기능을 포함하여 침입방지, 네트워크 장비로서의 기본기능을 포함하고 있는 하

드웨어 일체형 제품이다.

TUTM은 관리자가 설정한 “칩입방지룰”과 UTM을 통과하는 모든 패킷이 일치하는지를 검사하여

비정상행위로 판정된 패킷은 차단하는 침입방지 기능을 제공한다. TUTM이 제공하는 침입방지

기능은 인가된 관리자가 설정한 “침입방지 규칙”과 TUTM을 통과하는 모든 패킷이 일치하는지

를 검사하여 비정상 패킷에 대해, DROP, ALERT와 같은 대응행동을 수행한다.

TUTM은 라우팅, SNMP, DHCP와 같은 기본적인 네트워크 장비로서의 기능을 지원한다. 이러한

기능을 통하여 설치되는 네트워크 환경에 따른 효과적인 구성이 가능하다.

TUTM의 정책관리 기능은 인가된 관리자에 의해 콘솔을 통한 CLI 및 Web 기반 GUI 인

터페이스인 UTM MMC를 통하여 수행된다. 콘솔을 통한 CLI 제공은 UTM이 처음 설치가

되었을 때 필요한 기본적인 네트워크 설정을 위한 관리자 명령어들을 제공한다.

TUTM은 모든 관리기능의 수행 전에 관리자에 대해 식별 및 인증을 수행하며, 불법적인

정책변경을 통제할 수 있으며, 식별 및 인증 이후에도 인가된 관리자와 UTM간은 https

통신을 통하여 안전한 채널을 유지한다. 인가된 관리자는 UTM MMC를 통하여 장비의 관

리 및 설정, 상태확인, 보안정책의 적용, 감사로그의 확인 등을 할 수 있다.

2.1.2 TOE 환경

TOE의 동작환경은 IT 환경과 운영환경으로 구분하여 설명할 수 있다.

(1) IT 환경

TOE의 IT 환경은 시간동기화를 위한 NTP서버(NTP Server), 안전한 통신채널을 위한 SSH, SSL

프로토콜이 포함된다.

TOE는 순차적인 감사기록을 위해 NTP서버로부터 시스템 시간을 동기화하며, 인가된 관리자와

보안정책 설정을 위한 SSH, SSL 프로토콜을 이용하여 관리자와 TOE간에 송, 수신되는 메시지



에 대한 비밀성, 무결성을 지원한다.

(2) 운영환경

TOE는 인터넷으로 연결된 외부망과 내부망을 연결하는 지점에 인라인 형태로 설치되며, 낮은

수준의 위협원이 존재할 수 있는 환경에서 사용된다. 낮은 수준의 전문지식을 가진 공격자는 인

터넷에서 악용 가능한 취약성정보 및 공격도구를 쉽게 획득할 수 있으며, 이를 이용하여 목표하

는 자원을 훼손하거나 권한을 획득할 수 있다. TOE는 이러한 낮은 수준의 공격자로부터 내부

자산을 보호하기 위해 사용된다.

2.2 TOE 범위와 경계

이 절은 TESS UTM 100 V4.5에서 평가대상이 되는 TOE의 물리적/논리적 범위와 경계를 설명한

다.

2.2.1 물리적 범위와 경계

TESS UTM 100 V4.5은 [그림 2-2]와 같이 TOE하드웨어(TOE Hardware), 자체 운영체제(INFOS

V1.1), 제품의 평가 이외의 범위에 속하는 Non TOE Software 및 평가범위인 TOE소프트웨어

(TOE Software)로 구성된다.

[그림 2-2] TOE의 물리적 범위

TOE 소프트웨어는 TESS UTM 100 V4.5에서 FW 기능, VPN 기능과 이 기능의 정책을 설정, 관

리하기 위한 역할을 담당하는 소프트웨어 모듈이며, 자체운영체제인 INFOS V1.1에 의해서 통제



된다. INFOS V1.1은 플래시 메모리에 적재되어 하드웨어와 유기적으로 동작한다.

TOE의 소프트웨어가 운영되는 하드웨어의 기본적인 구성은 CPU, 메모리, 네트워크 포트, 하드

디스크, 플래시 메모리 및 시리얼 포트로 구성된다.

하드디스크와 플래시 메모리는 TOE의 소프트웨어 구동을 위한 운영체제, 이미지 및 주요 설정

파일이 저장되고, TOE의 보안기능의 동작과정에서 생성되는 감사로그는 하드디스크에 저장된다.

TOE를 통한 네트워크 구성 및 통신을 위해 사용되는 네트워크 포트는 기본적으로 6개의 포트

가 지원되며, 2개의 USB Port가 지원된다. 시리얼 포트는 외부 단말과 연결되어 TOE의 설치를

위한 운영환경 설정 및 관리를 위하여 사용된다.

TOE가 운영되는 하드웨어 사양은 [표 2-1]과 같다.

[표 2-1] 제품의 하드웨어 사양

제품명 사양

TESS UTM 100 V4.5 HW Intel Pentium 4 Processor 기반으로 사양은 다음과 같다.

CPU : Intel Pentium 4 2.4GHz

Main Memory : 1GB

Flash Memory: 64MB 1EA

HDD : 80GB

LED : Power, Status, 6LAN

Ethernet Interface Port : 10/100/1000 Mbps 6EA

USB Port : 2EA

Serial Port : 1EA

OS INFOS V1.1

TOE의 물리적 범위에는 TOE 소프트웨어만이 포함되며, Non TOE 소프트웨어, TOE 하드웨어 및

전용 운영체제인 INFOS V1.1은 TOE의 범위에서 제외된다.

2.2.2 논리적 범위와 경계

TOE의 논리적인 범위에는 [그림 2-3]과 같이 보안감사(Security Audit), 가상사설망(IPSec VPN),

침입차단(Firewall), 식별 및 인증(Identification and Authentication) 및 정책관리(Policy

Controller)의 5가지 범주의 보안 기능과 관리자를 위한 인터페이스인 UTM MMC 및 CLI가 포함

된다.



그림에서 UTM의 외부에 존재하는 NTP Server는 순차적인 감사기록의 생성을 위해 시스템 시각

을 동기화하기 위한 목적으로 연동하게 된다.

[그림 2-3] TOE의 논리적 범위

제품의 기능에는 속하지만, IPS, System Management, Network Management 기능은 TOE의 논

리적인 범위에서 제외된다.

(1) 보안감사 (Security Audit)

TOE는 발생하는 감사대상 사건들에 대한 감사기록을 생성, TOE의 물리적 저장장치에 기록하고,

이를 조회하는 기능과 감사기록을 검토하여 보안경보 대상 사건이 발생할 경우 관리자에게 보안

경보를 발송하는 기능, 그리고, 감사기록 저장소 부족 혹은 포화로 인한 감사기록 유실의 방지

기능을 제공한다.

관리자는 TOE의 물리적 저장장치에 기록된 감사기록을 조회(검색/정렬/통계)할 수 있는 기능을

UTM MMC를 통해서 수행할 수 있다.

(2) 가상사설망(IPSec VPN)

TOE는 IPSec VPN 서브시스템을 사용하여 선택적으로 사용자가 원하는 데이터에 가상사설망 보

안 정책을 적용하여 암/복호화, 해쉬알고리즘을 통한 비밀성, 무결성을 보장한다.

IPSec VPN 서브시스템은 통신을 수행하는 TOE간의 사용자 데이터 보호를 위하여 사용되는 정



책 및 키 관리 방법을 규정하는 SA를 협상하는 방법을 제공하며, 이를 통하여 사용자 데이터의

안전한 송수신을 가능하게 한다.

(3) 침입차단(Firewall)

TOE는 관리자가 설정한 임의적 접근통제 정책에 의해서 접근을 허용하거나 거부하는 기능을 제

공함으로써 TOE를 통과하는 네트워크 트래픽의 흐름을 통제한다. 이러한 임의적 접근통제 정책

은 패킷필터링에 적용되어 패킷의 흐름을 통제하게 된다.

TOE는 패킷의 출발지, 목적지 주소에 대응되는 ZONE을 기반으로 한 강제적 접근통제가 가능

하며, 유해사이트 차단을 통해서 허용되지 않는 Web Site접속을 차단하는 기능을 제공한다. 내

부 네트워크 정보의 공개방지는 네트워크 주소변환기능을 통해 제공되며, 유형별로 NAPT,

DNAT, SNAT 기능을 제공한다.

(4) 식별 및 인증(Identification and Authentication)

TOE의 보안기능에 대한 접근은 UTM MMC 또는 CLI를 통해서만 가능하며, 관리자는 TOE의 보

안관리 기능의 수행이전에 TOE의 식별 및 인증을 거치게 된다.

TOE의 관리자는 권한에 따라서 수퍼관리자, 보안관리자, 모니터링관리자 등급으로 구분되며, 권

한에 따라서 수행할 수 있는 기능이 통제된다.

(5) 정책 관리(Policy Controller)

Policy Controller는 TOE가 지원하는 모든 기능에 대한 정책관리 역할을 한다. 감사로그, 식별

및 인증, 각 보안 서브시스템들의 설정 등 TOE 전반의 각각의 서브시스템 및 해당 시스템의 기

능 관리를 담당하는 역할이 Policy Controller의 주요기능이다.

(6) 관리자인터페이스(UTM MMC 및 CLI)

TOE의 인가된 관리자는 UTM MMC 및 CLI를 통해서 TOE의 동작상태 모니터링 및 보안정책의

설정, 구성관리 기능을 수행할 수 있다. 관리자와 TOE간은 암호화된 채널을 통하여 보호된다.



3. TOE 보안 환경

본 장에서는 TOE와 관련이 있는 보안 위협, 가정사항, 조직 보안 정책을 정의한다. TOE는 네트워

크상의 정보흐름을 강력하게 통제하기를 요구하는 IT환경을 위한 적절한 보호 수준을 제공한다.

TOE 보안환경은 TOE에 의해서 다루어질 보안 문제의 본질과 범위를 결정한다. TOE 보안 환경은

TOE 환경에 대한 보안성을 서술하는 가정사항, 위협원에 의해 TOE 자산이나 환경에 가해질 수

있는 위협, 보안을 위해 TOE가 따라야 하는 규칙, 절차, 관행, 지침인 조직의 보안 정책으로 구성

된다.

TOE는 “국가기관용 침입차단시스템 보호프로파일 V1.2” 및 “국가기관용 가상사설망 보호 프로파

일 V1.2”에서 정의한 보안 환경 하에서 수행되는데 최적화되도록 설계되었다.

3.1 가정 사항

다음의 조건들이 본 보안목표명세서의 TOE 운영환경에 존재한다고 가정한다.

[표 3-1] TOE 보안환경 – 가정사항

레이블 내용 구분

A.물리적보안 TOE는 인가된 관리자만이 접근 가능한 물리적으로 안전한 환

경에 위치한다.

VPN+FW

A.보안유지

네트워크 구성 변경, 호스트의 증감, 서비스의 증감 등으로

내부 네트워크 환경이 변화될 때, 변화된 환경과 보안정책을

즉시 TOE 운영정책에 반영하여 이전과 동일한 수준의 보안을

유지한다.

FW

A.보안정책

TOE와 통신하는 통신상대는 보안정책이 호환 가능하도록 관

리되어야 하며, 호환 가능한 보안정책이란 중요한 보안정책이

서로 동일하고 차이가 아주 제한적인 것을 의미한다.

VPN

A.신뢰된관리자

TOE의 인가된 관리자는 악의가 없으며, TOE 관리기능에 대

하여 적절히 교육받았고, 관리자 지침에 따라 정확하게 의무

를 수행한다.

VPN+FW

A.운영체제보강

TOE에 의해 필요하지 않은 운영체제상의 서비스나 수단 등을

모두 제거하는 작업과 운영체제상의 취약점에 대한 보강작업

을 수행하여 운영체제에 대한 신뢰성과 안정성을 보장한다.

본 보안목표명세서에서는 VPN클라이언트를 지원하지 않는다.

VPN+FW

A.유일한연결점 모든 외부 네트워크와 내부 네트워크간의 통신은 TOE를 통해 FW



서만 이루어진다.

추가된 TOE 가정사항 (보안목표명세서 작성자에 의해 추가)

A.TOE의 인증서

TOE의 인증에 사용할 인증서는 개발업체에 의해 안전하게 미

리 생성하여 TOE에 저장한다. 제품개발업체는 TOE의 인증서

만료기간 이전에 TOE의 이미지 업그레이드를 통하여 인증서

를 갱신한다.

추가

A.시간 IT 환경에서 RFC 1305를 따르는 NTP서버 또는 OS는 신뢰할

만한 타임스탬프를 제공한다.

추가

A.안전한 채널 TOE와 관리자간 통신데이터는 IT환경에서 제공하는 SSL,

SSH프로토콜을 통하여 안전하게 보호된다.

추가

3.2 위협

본 보안목표명세서는 외부의 위협원이 TOE의 보호자산에 가할 수 있는 보안위험을 위협으로 분

류하여 정의한다.

TOE가 보호하고자 하는 자산은 조직이 운영하고 있는 내부 망의 컴퓨터 자원과 네트워크 서비

스로, 외부의 위협원은 조직의 컴퓨터 자원에 대한 불법적인 접근 또는 가용성을 고갈하기 위한

목적으로 공격을 수행한다.

위협원은 일반적으로 전송중인 자산의 비밀성 및 무결성을 훼손하려 하거나 TOE에 불법적인 접

근을 시도하고 비정상적인 방법으로 TOE에 위해를 가하는 IT 실체 및 사용인이다.

위협원은 낮은 수준의 전문지식, 자원, 동기를 가지며, 위협원이 악용 가능한 취약성을 발견할

가능성은 낮다고 가정한다. 즉 위협원은 명백한 취약성 정보를 이용하여 악용 가능한 취약성 정

보 및 공격도구를 인터넷을 통하여 쉽게 획득하여 목표하는 컴퓨터 자원을 훼손하거나 불법적으

로 정보를 획득할 수 있다. TOE는 이러한 명백한 취약성에 대한 위협으로부터 자산을 보호한다.

TOE에 대한 위협은 [표 3-2] TOE 보안환경 – TOE에 대한 위협과 같다.

[표 3-2] TOE 보안환경 – TOE에 대한 위협


T.가장 위협원은 인가된 사용자 및 통신상대로 가장하여 TOE에 접근

할 수 있다.

VPN+FW

T.결함코드 개발자는 명세서에 따라서 수행되지 않거나 보안상의 결함이

있는 코드를 포함하여 TOE를 취약하게 할 수 있다.

VPN+FW



T.기록실패 위협원은 저장용량을 소진시켜서 TOE의 보안관련 사건이 기

록되지 않도록 할 수 있다.

VPN+FW

T.남용 TOE의 인가된 사용자는 고의로 또는 기타 이유로 TOE 보안

기능을 손상시킬 수 있다.

VPN

T.불법정보유입 위협원은 외부로부터 허용되지 않은 정보가 유입하여 내부 네

트워크가 침해할 수 있다.

FW

T.불법정보유출 내부의 사용자가 네트워크를 통하여 불법적으로 정보를 외부

로 유출할 수 있다.

FW

T.새로운 공격 위협원은 TOE 운영환경이나 TOE의 새롭게 알려진 취약성으

로 TOE를 공격할 수 있다.

FW

T.암호해독 위협원은 암호해독 공격을 사용하여 인가되지 않은 전송 데이

터에 접근할 수 있다.

VPN

T.연속인증시도 위협원은 연속적으로 인증을 시도하여 TOE에 접근할 수 있

다.

VPN+FW

T.우회접근 위협원은 TOE의 보안기능을 우회하여 TOE에 접근할 수 있

다.

VPN+FW

T.재사용공격 위협원은 인가된 사용자의 인증 데이터를 재사용하여 TOE에

접근할 수 있다.

VPN+FW

T.저장데이터훼손 위협원은 TOE에 저장된 TSF 데이터가 인가되지 않은 방식으

로 노출, 변경, 삭제할 수 있다.

VPN+FW

T.전송무결성 위협원은 TOE가 네트워크 상에서 전송하는 데이터를 불법적

으로 변경할 수 있다.

VPN

T.주소위장 외부 네트워크의 위협원은 출발지주소를 내부주소로 위장하여

내부 네트워크 접근 권한을 획득하려 할 수 있다.

FW

TE.관리부실 인가된 관리자는 TOE를 안전하지 않은 방식으로 구성, 관리,

사용할 수 있다.

VPN+FW

TE.배포설치 배포 및 설치 담당자는 TOE의 배포 및 설치 과정에서 TOE의

보안을 손상할 수 있다.

VPN+FW

추가된 TOE에 대한 위협 (보안목표명세서 작성자에 의해 추가)

T.프라이버시

내부 네트워크의 IP 가 외부 신뢰되지 않은 네트워크의 IP주

소로 알려진다면, 인증 되지 않은 공격자가 내부 네트워크에

대해서 충분히 예상하고 인가되지 않은 방법으로 접근 할 수

있다.

추가



3.3 조직의 보안 정책

본 절에서 기술하는 조직의 보안정책은 본 보안목표명세서의 TOE에 의해서 다루어진다.

[표 3-3] TOE 보안환경 – 조직의 보안 정책


P.감사

보안과 관련된 행동에 대한 책임을 추적하기 위해 보안관련

사건은 기록 및 유지되어야 하며, 기록된 데이터는 검토되어

야 한다.

VPN+FW

P.비밀성

TOE와 통신하는 통신상대로/로부터 전송되는 네트워크 트래

픽은 TOE 보안정책에서 명세된 경우 TOE에 의해서 암•복호

화된다.

VPN

P.안전한관리 인가된 관리자는 안전한 방법으로 TOE를 관리해야 한다.* VPN+FW

P.암호 TOE에서 사용되는 암호 알고리즘 및 모듈은 국가정보원장이

승인한 것을 사용하여야 한다.

VPN

P.평문전송

TOE와 통신하는 통신상대로/로부터 전송되지 않는 모든 네

트워크 트래픽은 TOE 보안정책에 따라 암•복호화하지 않고

전송되는 것이 허용된다.

VPN



4. 보안 목적

본 보안목표명세서는 보안목적을 TOE 보안목적 및 환경에 대한 보안목적으로 분류하여 정의한다.

TOE 보안목적은 TOE에 의해서 직접적으로 다루어지는 보안목적이고, 환경에 대한 보안목적은 IT

영역이나 비기술적/절차적 수단에 의해 다루어지는 보안목적이다.

4.1 TOE 보안 목적

다음은 TOE에 의해 직접적으로 다루어져야 하는 보안목적이다.

[표 4-1] 보안 목적 – TOE 보안 목적


O.감사

TOE는 보안과 관련된 행동의 책임추적이 가능하도록 보안

관련 사건을 기록 및 유지해야 하며, 기록된 데이터를 검토

할 수 있는 수단을 제공해야 한다.

VPN+FW

O.결함코드검사

개발자가 생성한 코드에 결함이 있는지 검사되어야 하며, 결

함이 있는 코드가 TOE 내부 구성요소간에 영향을 주는지

검사되어야 한다.

VPN+FW

O.관리 TOE는 TOE의 인가된 관리자가 TOE를 효율적으로 관리할

수 있는 관리 수단을 안전한 방법으로 제공해야 한다.

VPN+FW

O.데이터보호

TOE는 TOE에 저장된 TSF 데이터 및 TOE가 네트워크 상에

서 전송하는 데이터를 인가되지 않은 노출, 변경, 삭제로부

터 보호해야 한다.

VPN+FW

O.비밀성 TOE는 TOE가 네트워크 상에서 전송하는 데이터의 비밀성

을 보장해야 한다.

VPN

O.식별및인증

TOE는 사용자를 유일하게 식별해야 하고, TOE 접근을 허용

하기 전에 사용자의 신원을 인증해야 한다. 또한, TOE는 통

신상대와 터널링을 구축하기 이전에 상호 인증해야 한다.

VPN+FW

O.자체기능보호 TOE는 초기 시동할 때부터 TOE 보안기능 변경, 비활성화,

우회 시도 등에 대하여 자신을 보호해야 한다.

VPN+FW

O.접근통제 TOE는 보안정책 규칙에 따라 TOE에 대한 접근을 통제하여

야 한다.

FW

O.정보흐름중재 TOE는 보안정책에 따라 TOE와 통신상대간의 정보흐름을

중재해야 한다.

VPN

O.정보흐름통제 TOE는 외부에서 내부로 또는 내부에서 외부로의 인가되지

않은 정보 유•출입을 통제하여야 한다.

FW



O.키보안 TOE는 암호키 관련 데이터의 비밀성 및 무결성을 보장해야

하고, 안전한 키 교환을 보장해야 한다.

VPN

추가된 TOE 보안목적 (보안목표명세서 작성자에 의해 추가)

O.가명성 내부 네트워크의 실제 IP 주소가 외부 인가되지 않은 IT 실

체에게 노출되는 것을 방지하여야 한다.

추가

4.2 TOE 환경에 대한 보안 목적

다음은 IT 영역 또는 비기술적/절차적 수단에 의해 다루어지는 보안목적이다.

[표 4-2] 보안 목적 - TOE 환경에 대한 보안 목적


OE.물리적보안 TOE는 인가된 관리자만이 접근 가능한 물리적으로 안전한

환경에 위치해야 한다.

VPN+FW

OE.보안유지

네트워크 구성 변경, 호스트의 증감, 서비스의 증감 등으로

내부 네트워크 환경이 변화될 때, 변화된 환경과 보안정책

을 즉시 TOE 운영정책에 반영하여, 이전과 동일한 수준의

보안을 유지해야 한다.

FW

OE.보안정책

TOE와 통신하는 통신상대는 보안정책이 서로 호환 가능하

도록 관리되어야 하며, 호환 가능한 보안정책이란 중요한

보안정책이 서로 동일하고 차이가 아주 제한적인 것을 의미

한다.

VPN

OE.신뢰된관리자

TOE의 인가된 관리자는 악의가 없으며, TOE 관리 기능에

대하여 적절히 교육받았고, 관리자 지침에 따라 정확하게

의무를 수행해야 한다.

VPN+FW

OE.안전한관리 TOE는 안전한 방법으로 배포 및 설치되며, 인가된 관리자

에 의해 안전한 방식으로 구성, 관리, 사용되어야 한다.

VPN+FW

OE.운영체제보강

TOE에 의해 필요하지 않은 운영체제상의 서비스나 수단 등

을 모두 제거하는 작업과 운영체제상의 취약점에 대한 보강

작업을 수행하여 운영체제에 대한 신뢰성과 안정성을 보장

해야 한다.

VPN+FW

OE.유일한연결 모든 외부 네트워크와 내부 네트워크간의 통신은 TOE를 통

해서만 이루어진다.

FW

추가된 환경에 대한 보안 목적(보안목표명세서 작성자에 의해 추가)

OE.안전한 채널 TOE와 관리자간 통신 시 안전한 통신을 보장하기 위해 안

전한 채널을 통해서 관리되어야 한다. 안전한 채널을 구성

추가




하기 위해 TOE는 IT환경이 제공하는 SSH, SSL 프로토콜을

이용한다.

OE.시간 IT 환경에서 RFC1305를 따르는 NTP 서버 또는 OS는 신뢰

할 만한 타임스탬프를 제공해야 한다.

추가



5. IT 보안요구사항

이 장은 TOE의 보안기능요구사항과 보증요구사항을 구체화한다. 모든 요구사항은 본 보안목표명

세서가 참조한 보호프로파일에서 제시한 컴포넌트와 동일하며 보호프로파일에서 제시하지 않는

기능 중 TOE가 제공하는 일부 보안 기능은 보안목표명세서 작성자가 정보보호시스템 공통평가기

준을 참고로 하여 추가하였다.

요구 사항은 정보보호시스템 공통평가기준(CC V2.3) 2부의 보안 기능 컴포넌트와 3부의 보증 등

급과 관련된 보증컴포넌트로 구성되어 있다. 공통평가기준은 다음의 두 개의 범주로 나누어 진다.

보안기능 요구사항 (Security Functional Requirements - SFRs): 정보 흐름통제, 감사기록,

식별 및 인증과 같은 보안 기능을 제공한다.

보안보증 요구사항 (Security Assurance Requirements - SARs): TOE가 보안 목적을 만족

하는지 신뢰 할 만한 근거를 제공한다.

작성규칙은 정보보호시스템 공통평가기준을 따른다.

공통평가기준은 보안기능요구사항에서 수행될 수 있는 선택, 할당, 반복, 정교화 오퍼레이션을 허

용한다.

반복 (Iteration)

다양한 오퍼레이션과 같은 컴포넌트가 반복될 경우 사용된다. 반복 오퍼레이션의 결과는 컴포

넌트 식별자 뒤에 괄호 안의 반복번호, 즉 (반복 번호)로 표시된다.

선택 (Selection)

요구사항 서술 시 정보보호시스템 공통평가기준에서 제공되는 선택사항 중 하나 이상을 선택

하는데 사용된다. 선택 오퍼레이션의 결과는 밑줄 그은 이탤릭체로 표시된다.

정교화 (Refinement)

요구사항에 상세사항을 추가함으로써 요구사항을 더욱 제한하는데 사용된다. 정교화 오퍼레이

션의 결과는 굵은 글씨로 표시된다.

할당 (Assignment)

명세되지 않은 매개변수에 특정 값을 할당하는데 사용된다. 할당 오퍼레이션의 결과는 대괄호,

즉, [ 할당_값 ]으로 표시된다.

보안목표명세서 작성자



속성의 최종 결정이 보안목표명세서 작성자에 의해 이루어짐을 나타내는데 사용된다. 보안목

표명세서 작성자 오퍼레이션의 결과는 중괄호 안의 { 보안목표명세서 작성자에 의해 결정 }

으로 표시된다. 또한, 보호프로파일에서 완벽하게 수행되지 않은 보안기능요구사항의 오퍼레

이션은 보안목표명세서 작성자에 의해서 완벽하게 수행되어야 한다.

응용 시 주의 사항

요구사항의 의미를 명확히 하고, 구현 시 선택사항에 대한 정보를 제공하며, 요구사항에 대

한”적합/부적합” 기준을 정의하기 위해 응용 시 주의사항이 제공된다. 응용 시 주의사항은 필

요한 경우 해당 요구사항과 함께 제공된다.

5.1 TOE 보안기능요구사항

본 보안목표명세서의 TOE 보안기능요구사항은 공통평가기준 2부의 기능 컴포넌트로 구성된다.

[표 5-1] 보안기능요구사항은 기능 컴포넌트를 요약하여 보여준다.

본 TOE가 구현한 보안기능 중 확률 및 순열 메커니즘을 갖는 보안기능요구사항은 FIA_UAU.2

이며, 기능강도-중간을 만족한다.

본 보안목표명세서에서 수용하는 보호프로파일의 기능강도 수준에 따라 TOE의 기능강도는 기능

강도-중간이다.

[표 5-1] 보안기능요구사항

보안기능클래스 보안기능 컴포넌트 구분

보안감사

(FAU)

FAU_ARP.1 보안 경보 VPN+FW

FAU_GEN.1 감사 데이터 생성 VPN+FW

FAU_SAA.1 잠재적인 위반 분석 VPN+FW

FAU_SAR.1 감사 검토 VPN+FW

FAU_SAR.3 선택 가능한 감사 검토 VPN+FW

FAU_SEL.1 선택적인 감사 VPN+FW

FAU_STG.1 감사 증적 보호 VPN+FW

FAU_STG.3 감사 데이터 손실 예측시 대응행동 VPN+FW

FAU_STG.4 감사 데이터의 손실 방지 VPN+FW

암호 지원

(FCS)

FCS_CKM.1 암호키 생성 VPN

FCS_CKM.2 암호키 분배 VPN

FCS_CKM.4 암호키 파기 VPN

FCS_COP.1 암호 연산 VPN




사용자 데이터 보호

(FDP)

FDP_ACC.2 완전한 접근통제 FW

FDP_ACF.1 보안속성에 기반한 접근통제 FW

FDP_IFC.1 부분적인 정보흐름통제 VPN

FDP_IFC.2(1) 완전한 정보흐름통제 FW

FDP_IFC.2(2) 완전한 정보흐름통제 FW

FDP_IFF.1(1) 단일 계층 보안속성 VPN

FDP_IFF.1(2) 단일 계층 보안속성 FW

FDP_IFF.1(3) 단일 계층 보안속성 FW

식별 및 인증

(FIA)

FIA_AFL.1 인증 실패 처리 VPN+FW

FIA_ATD.1 사용자 속성 정의 VPN+FW

FIA_SOS.1 비밀정보의 검증 VPN+FW

FIA_UAU.1* 인증 FW

FIA_UAU.2 모든 행동 이전에 사용자 인증 VPN

FIA_UAU.4 재사용 방지 인증 메커니즘 VPN+FW

FIA_UAU.7 인증 피드백 보호 VPN+FW

FIA_UID.2 모든 행동 이전에 사용자 식별 VPN+FW

보안 관리

(FMT)

FMT_MOF.1 보안기능 관리 VPN+FW

FMT_MSA.1 보안속성 관리 VPN+FW

FMT_MSA.2 안전한 보안속성 VPN

FMT_MSA.3 정적 속성 초기화 VPN+FW

FMT_MTD.1(1) TSF 데이터 관리 VPN+FW





FMT_MTD.1(6) TSF 데이터 관리 VPN

FMT_MTD.2 TSF 데이터 한계치의 관리 VPN+FW

FMT_MTD.3 안전한 TSF 데이터 VPN

FMT_SMF.1 관리기능 명세 VPN+FW

FMT_SMR.1 보안 역할 VPN+FW

TSF 보호

FPT_AMT.1 추상기계 시험 VPN+FW

FPT_RPL.1 재사용 공격 탐지 및 대응행동 VPN

FPT_RVM.1 TSP 우회 불가성 VPN+FW

FPT_SEP.1 보안기능 영역분리 VPN+FW

FPT_TST.1 TSF 자체 시험 VPN+FW




TOE 접근 FTA_SSL.1 TSF에 의한 세션 잠금 VPN+FW

FTA_SSL.3 TSF에 의한 세션 종료 FW

안전한 경로/채널 FTP_ITC.1 TSF간 안전한 채널 VPN

프라이버시 FPR_PSE.1 가명성 추가

* [FW_PP]의 FIA_UAU.1는 [VPN_PP]의 FIA_UAU.2과 계층관계를 이루어 본 보안목표명세서에

서는 계층적으로 FIA_UAU.2을 채택하여 이후에는 설명되지 않는다.

[FW_PP]와 [VPN_PP]의 FPT_STM.1은 IT환경에서 제공하는 타임스탬프 기능을 이용하기

때문에, 보안기능으로 구현하지 않으므로 삭제한다.

5.1.1 보안감사

FAU_ARP.1 보안 경보

계층관계 없음

FAU_ARP.1.1 TSF는 잠재적인 보안위반을 탐지한 경우, [ {경보메시지를 통한 관리

자에게 통보, 감사 레코드 생성하고 기록하는 일}된 혼란을 최소화하

는 대응행동의 목록 ]을 취해야 한다.

종속관계 FAU_SAA.1 잠재적인 위반 분석

FAU_GEN.1 감사데이터 생성

계층관계 없음

FAU_GEN.1.1 TSF는 다음과 같은 감사대상 사건들의 감사 레코드를 생성할 수 있어

야 한다.

a) 감사 기능의 시동(start-up)과 종료(shut-down)

b) 지정되지 않음 감사 수준에 따른 모든 감사대상 사건

c) [ [표 5-2] 감사대상 사건의 “감사대상 사건” 참조, { 없음 }된 감

사대상 사건 ]

FAU_GEN.1.2

TSF는 최소한 다음 정보를 각 감사 레코드 내에 기록해야 한다.

a) 사건 일시, 사건유형, 주체의 신원, 사건 결과(성공 또는 실패)

b) 각 감사 사건유형에 대하여, 보호프로파일/보안목표명세서에 포함

된 기능 컴포넌트의 감사 대상 사건 정의에 기반한 [ [표 5-2] 감사대

상 사건 의 “추가적인 감사 기록 내용” 참조, { 다음의 감사관련 정

보 }된 감사관련 정보 ]

[

감사관련 정보:

사건의 중요도(EMERG, ALERT, CRITICAL, ERROR,



WARNING, NOTICE, INFO)

로그아이디(식별아이디)

실패한 사건의 경우 실패 이유와 정보

]

종속관계 FPT_STM.1 신뢰할 수 있는 타임스탬프

[표 5-2] 감사대상 사건

컴포넌트 감사대상사건 추가적인 감사 기록 내용

FAU_ARP.1 급박한 보안위반으로 인하여 취해지는 대응행동 대응행동의 수신자 신원

FAU_SAA.1 분석 메커니즘의 동작개시와 동작정지, 도구에 의

한 자동대응 -

FAU_SEL.1 감사 수집기능이 수행되는 동안에 발생한 감사 환

경 설정의 변경 사항 -

FCS_CKM.1 행동의 성공과 실패 -

FCS_CKM.2 행동의 성공과 실패 추정되는 수신지 신원


FCS_COP.1 암호 연산의 성공과 실패, 암호 연산의 유형 -

FDP_ACF.1 SFP에 의해서 다루어지는 객체에 대한 오퍼레이

션 수행 객체의 식별 정보

FDP_IFF.1 정보흐름 요청에 대한 결정 객체의 식별 정보

FIA_AFL.1

실패한 인증 시도의 한계치 도달과 취해진 대응행

동, 적절하다면, 이어서 일어나는 정상 상태로의

회복

-

FIA_SOS.1 TSF에 의한 모든 시험된 비밀정보의 거부 -

FIA_UAU.1 인증 메커니즘의 모든 사용 -


FIA_UAU.4 인증데이터의 재사용 시도 -

FIA_UID.2 제공된 사용자 신원을 포함하여 사용자 식별 메커

니즘의 사용 실패 -

FMT_MOF.1 TSF 기능에 대한 모든 변경 -

FMT_MSA.1 보안속성값에 대한 모든 변경 변경된 보안속성값

FMT_MSA.2 보안속성값으로 제시된 모든 값과 거부된 모든 값 -

FMT_MTD.1 TSF 데이터 값에 대한 모든 변경 변경된 TSF 데이터 값

FMT_MTD.2 TSF 데이터 한계치에 대한 모든 변경 변경된 TSF 데이터 한계치

FMT_MTD.3 TSF 데이터로서 거부된 모든 값 -

FMT_SMF.1 관리기능 사용 -

FPT_SMR.1 역할을 분담하는 사용자 그룹에 대한 변경 -




FMT_TST.1 TSF 자체 시험의 실행과 시험 결과 무결성 위반시 변경된 TSF

데이터 혹은 실행 코드

FTA_SSL.1 세션 잠금 메커니즘에 의한 상호작용 세션의 잠

금, 상호작용 세션의 성공적인 잠금해제 -

FTA_SSL.3 세션 잠금 메커니즘에 의한 상호작용 세션의 종료 -

FPT_ITC.1 안전한 채널 기능의 장애, 장애가 발생한 안전한

채널의 개시자와 대상의 식별

FAU_SAA.1 잠재적인 위반 분석

계층관계 없음

FAU_SAA.1.1

TSF는 감사된 사건을 검사하는 경우에 규칙 집합을 적용할 수 있어

야 하고, 이 규칙에 기반하여 TSP에 대한 잠재적 위반을 지적할 수

있어야 한다.

FAU_SAA.1.2

TSF는 감사된 사건을 검사하는 경우에 다음과 같은 규칙을 적용해야

한다.

a) 잠재적인 보안 위반을 나타내는 알려진 [ 식별 및 인증 보안정책

위반, 암호 연산 실패, 접근통제 규칙 위반, 무결성 규칙 위반 ]의

누적 또는 조합

b) [ { 없음 }된 기타 규칙 ]

종속관계 FAU_GEN.1 감사 데이터 생성

FAU_SAR.1 감사 검토

계층관계 없음

FAU_SAR.1.1 TSF는 [ 인가된 관리자 ]에게 감사 레코드로부터 [ 모든 감사 데이

터 ]를 읽을 수 있는 기능을 제공해야 한다.

FAU_SAR.1.2 TSF는 사용자가 정보를 해석하기에 적합하도록 감사 레코드를 제공

해야 한다.


FAU_SAR.3 선택 가능한 감사 검토

계층관계 없음

FAU_SAR.3.1 TSF는 [ 다음의 논리 관계를 갖는 기준 ]에 기초하여 감사 데이터를

검색, 정렬 할 수 있는 능력을 제공해야 한다.

[

기준

주체의 신원

대상객체

사건 일시



사건 유형

사건의 중요도

키워드

]

※ 구현시의 주의사항:

키워드는 감사사건의 성공과 실패, 감사사건에 포함된 정보, 실패할

경우 그 원인과 정보의 내용들 중의 일부 단어

종속관계 FAU_SAR.1 감사 검토

FAU_SEL.1 선택적인 감사

계층관계 없음

FAU_SEL.1.1 TSF는 다음 속성에 기반하여 감사된 사건 집합으로부터 감사대상 사

건을 포함하거나 배제할 수 있어야 한다.

a) 사건유형

b) [ 사건의 중요도 ]


FMT_MTD.1 TSF 데이터 관리

FAU_STG.1 감사 증적 보호

계층관계 없음

FAU_STG.1.1 TSF는 인가되지 않은 삭제로부터 저장된 감사 레코드를 보호해야 한

다.

FAU_STG.1.2 TSF는 감사레코드에 대한 비인가된 변경을 방지해야 한다.

종속관계 FAU_GEN.1 감사데이터 생성

FAU_STG.3 감사 데이터 손실 예측시 대응행동

계층관계 없음

FAU_STG.3.1 TSF는 감사 증적이 [ 감사기록 저장공간으로 지정한 저장매체의 남

은 공간이 기본값은 90%로 설정되어 있고 수퍼관리자, 보안관리자가

설정할 수 있는 값(0~97%, %단위) ]를 초과하는 경우 [ 인가된 관리

자에게 통보, { 없음 }된 대응행동 ]을 취해야 한다.

종속관계 FAU_STG.1 감사 증적 보호

FAU_STG.4 감사 데이터의 손실 방지

계층관계 FAU_STG.3

FAU_STG.4.1 TSF는 감사 저장소가 포화인 경우, TSF는 특별 권한을 갖는 수퍼관

리자와 보안관리자에 의해 취해진 행동을 제외한 감사대상 사건의 방

지 및 [ { TOE에서 감사저장소가 포화된 것으로 판단하는 수치를 초

과 }된 감사 저장 실패의 경우 경보메시지를 수퍼관리자, 보안관리자

에게 보냄 ]을 수행해야 한다.



종속관계 FAU_STG.1 감사 증적 보호

응용 시 주의

사항

실제로 감사 저장소가 포화인 경우, 인가된 관리자 활동만을 허용하

여야 하며, 인가된 관리자에 의한 저장소 복구 조치 후 감사 레코드

를 생성할 수 있어야 한다.

5.1.2 암호지원

FCS_CKM.1 암호키 생성

계층관계 없음

FCS_CKM.1.1 TSF는 다음의 [ 국가기관용 표준 블록 암호 알고리즘 목록 ]에 부합

하는 명세 된 암호키 생성 알고리즘 [ 국가기관용 표준 블록 암호 알

고리즘 ]과 명세 된 암호키 길이 [ 128비트 이상 ]에 따라 암호키를

생성해야 한다.

종속관계 [FCS_CKM.2 암호키 분배 또는

FCS_COP.1 암호 연산]

FCS_CKM.4 암호키 파기

FMT_MSA.2 안전한 보안속성

FCS_CKM.2 암호키 분배

계층관계 없음

FCS_CKM.2.1 TSF는 다음의 [ IETF RFC2409 ]에 부합하는 명세된 암호키 분배 방

법 [ IKE ]에 따라 암호키를 분배해야 한다.

종속관계 [FDP_ITC.1 보안속성 없이 사용자 데이터 유입 또는

FDP_ITC.2 보안속성을 포함한 사용자 데이터 유입 또는

FCS_CKM.1 암호키 생성]




계층관계 없음

FCS_CKM.4.1 TSF는 다음의 [ FIBS PUB 140-2 ]에 부합하는 명세된 암호키 파기방

법 [ 암호 키와 관련된 장치내의 모든 평문 암호키 및 보안상 중요한

매개변수를 ‘0’으로 바꿈 ]에 따라 암호키를 파기해야 한다.







응용 시 주의

사항

암호키를 파기하기 위해 암호기와 관련된 장치내의 모든 평문 암호키

및 보안상 중요한 매개변수를 ‘0’으로 바꾸는 방법 등을 사용할 수 있

다.

FCS_COP.1 암호 연산

계층관계 없음

FCS_COP.1.1 TSF는 다음의 [ 국가기관용 표준 블록 암호 알고리즘, 정보통신 단체

표준인 TTAS.KO-12.0011/R1 “해쉬함수표준-제2부 : 해쉬함수알고리

즘표준(HAS-160)” ]에 부합하는 명세된 암호 알고리즘 [ 국가기관용

표준 블록 암호 알고리즘, 해쉬함수알고리즘표준(HAS-160) ]과 명세

된 암호키 길이 [ 128비트 이상, 160비트 ]에 따라 [ "The ESP CBC-

Mode Cipher Algorithms"에 정의된 방법(RFC2451), IPSec AH와 ESP

에서 160 비트 길이의 키를 갖는 HMAC-SHA-1-96의 사용

(RFC2404)과 같은 방법 ]을 수행해야 한다.






5.1.3 사용자 데이터 보호

FDP_ACC.2 완전한 접근통제

계층관계 FDP_ACC.1 부분적인 접근통제

FDP_ACC.2.1 TSF는 [ 다음과 같은 주체목록과 객체목록 ]과 SFP에 의해서 다루어

지는 주체 와 객체 간의 모든 오퍼레이션에 대하여 [ 보안관리 접근제

어 정책 ]을 강제해야 한다.

[

주체목록

FIA_UAU.2 또는 FIA_UAU.4를 수행하여 인가된 관리자의

IT 실체

객체목록

TOE의 정책관리 서브시스템

]

FDP_ACC.2.2 TSF는 TSC 내의 모든 주체와 객체간의 모든 오퍼레이션이 접근통제

SFP에 의해서 다루어짐을 보장해야 한다.

종속관계 FDP_ACF.1 보안속성에 기반한 접근통제



FDP_ACF.1 보안속성에 기반한 접근통제

계층관계 없음

FDP_ACF.1.1 TSF는 [ 다음의 관리자에 대한 보안속성 ]에 기초하여 객체에 대한

[ 보안관리 접근제어 정책 ]을 강제해야 한다.

[

주체목록

FIA_UAU.2 또는 FIA_UAU.4를 수행하여 인가된 관리자의

IT 실체

객체목록

TOE의 정책관리 서브시스템

주체의 보안속성

인가된 ID 실체: 관리자 ID, [표 5-3]의 관리자 권한 등급, 관

리자 상태(정상, 잠금 또는 정지), 접근가능 IP주소

객체의 보안속성

TOE: IP

]

FDP_ACF.1.2 TSF는 통제된 주체와 통제된 객체간의 오퍼레이션을 허용할 것인지를

결정하기 위해서 다음과 같은 규칙을 강제해야 한다.

[

로그인 하려는 관리자의 네트워크 주소가 TOE에 설정되

어 있으면 허용, 그렇지 않으면 거부

사용자 번호(ID)와 비밀번호를 확인하여 인가된 관리자 여

부를 판단하고, 해당 ID의 [표 5-3] 관리자 권한 등급을

식별하여 해당 권한의 오퍼레이션 허용여부를 결정

]

FDP_ACF.1.3 TSF는 다음과 같은 추가적인 규칙에 기반 하여 객체에 대한 주체의

접근을 명시적으로 인가해야 한다. [ 없음 ]

FDP_ACF.1.4 TSF는 [ 없음 ]에 기반하여 객체에 대한 주체의 접근을 명시적으로

거부해야 한다.

종속관계 FDP_ACC.1 부분적인 접근통제

FMT_MSA.3 정적 속성 초기화

[표 5-3] 관리자 권한 등급

권한 등급 기본 ID 권한에 따른 기능 설명

수퍼관리자 sysadmin 수퍼관리자 아이디는 삭제할 수 없고 오직 하나만 존재



할 수 있다. 아이디의 이름은 수정이 가능하다.

보안관리자와 모니터링관리자를 추가/수정/삭제할 수 있

다.

모든 보안정책에 대한 설정 권한과 관리자 정보에 대한

설정 권한을 갖는다.

보안관리자와 모니터링관리자에게 보안정책에 대한 접

근권한을 지정할 수 있다.

수퍼관리자의 아이디로 다중 접속할 수 있다.

보안관리자 임의생성

수퍼관리자가 생성할 수 있다.

보안관리자는 자신의 계정정보에서 아이디, 권한등급,

잠금 및 정지상태, 접속 가능한 주소를 제외한 나머지

정보를 수정할 수 있다. 다른 관리자의 정보에 접근할

수 없다.

수퍼관리자가 지정한 보안정책에 대한 설정 권한을 갖

는다.

모니터링관리자 임의생성

수퍼관리자가 생성한다.

수퍼관리자가 지정한 정보에 대한 읽기 권한만을 갖는

다.

모니터링관리자는 자신의 계정 정보에서 아이디, 권한등

급, 잠금 및 정지상태, 접속 가능한 주소를 제외한 다른

정보를 수정할 수 있다.

FDP_IFC.1 부분적인 정보흐름통제

계층관계 없음

FDP_IFC.1.1 TSF는 [ 다음의 주체, 정보, 오퍼레이션 목록 ]에 대하여 [ 가상사설망

보안정책 ]을 강제해야 한다.

[

a) 주체 목록: TOE를 통해서 정보를 송․수신하는 외부 IT 실체

b) 정보 목록: TOE를 통해서 전송되는 데이터

c) 오퍼레이션 목록:

통신상대로 전송되는 정보의 암호화 및 해쉬

정보의 복호화 및 무결성 검사, 주체로 송신

정보 통과

]

종속관계 FDP_IFF.1 단일 계층 보안속성

FDP_IFC.2(1) 완전한 정보흐름통제

계층관계 FDP_IFC.1



FDP_IFC.2.1 TSF는 [ 다음의 주체 목록과 정보목록 ]과 SFP에 의하여 다루어지는

통제된 주체로/주체로부터 정보흐름을 유발하는 모든 오퍼레이션에 대

하여 [ 패킷필터링 보안정책 ]을 적용해야 한다.

[

a) 주체목록: TOE를 통하여 정보를 주고 받는 모든 내/외부의 IT 실체

b) 정보목록: TOE를 통과하는 모든 트래픽(패킷)

]

FDP_IFC.2.2 TSF는 TSC 내의 모든 주체로/주체로부터 TSC 내의 모든 정보 흐름을

유발하는 모든 오퍼레이션들이 정보 흐름 통제 SFP에 의하여 다루어짐




계층관계 FDP_IFC.1

FDP_IFC.2.1 TSF는 [ 다음의 주체 목록과, 정보목록 ]과 SFP에 의하여 다루어지는

통제된 주체로/주체로부터 정보흐름을 유발하는 모든 오퍼레이션에 대

하여 [ ZONE 보안정책 ]을 적용해야 한다.

[

a) 주체목록: TOE를 통하는 모든 사용자

b) 정보목록: 주체에 의해 유발되고 TOE를 통하는 모든 정보

]

※ ZONE 보안정책

네트워크 그룹 및 그룹에 대한 권한을 지정하고, 지정된 권한레벨에 따

라서 강제적으로 접근을 통제하기 위한 정책

FDP_IFC.2.2 TSF는 TSC 내의 모든 주체로/주체로부터 TSC 내의 모든 정보 흐름을

유발하는 모든 오퍼레이션들이 정보 흐름 통제 SFP에 의하여 다루어짐



FDP_IFF.1(1) 단일 계층 보안속성

계층관계 없음

FDP_IFF.1.1 TSF는 적어도 [ 다음의 주체 및 정보의 보안속성 ]과 같은 주체 보안

속성 및 정보 보안속성 유형에 기반하여 [ 가상사설망 보안 정책 ]를

강제해야 한다.

[

a) 주체 보안속성: TOE를 통해서 정보를 송‧수신하는 외부 IT 실체의

IP 주소, { 없음 }된 주체 보안속성

b) 정보 보안속성: 정보 데이터 패킷이 전송되는 발신지 및 목적지 IP



주소, { IPSec이 적용된 인터페이스 정보, 방향, 키교환 방법, 통신상대

IP주소, 키교환 정책 수명(Life time), 암호화 알고리즘 }된 정보 보안속

성

]

FDP_IFF.1.2 TSF는 다음과 같은 규칙이 유지되면 통제된 오퍼레이션을 통하여 통제

된 주체와 통제된 정보간의 정보흐름을 허용해야 한다 : [ 다음의 규

칙 ]

[

a) 통신상대와의 통신: 통신상대로부터 들어오는 트래픽 및 통신상대로

나가는 트래픽에 대하여, TOE는 보안정책에 따라

통신상대와의 통신에 보안채널을 생성하거나 기존의 보안

채널을 사용한다.

통신상대와의 통신에 보안 메커니즘을 호출하지 않으며,

보안채널을 형성하지 않는다.

b) 통신상대 이외와의 통신: 통신상대로부터 들어오지 않는 트래픽 및

통신 상대로 나가지 않는 트래픽에 대하여, TOE는 보안 메커니즘을 호

출하지 않으며, 보안채널을 형성하지 않는다.

]

FDP_IFF.1.3 TSF는 [없음]을 강제해야 한다.

FDP_IFF.1.4 TSF는 [없음]을 제공해야 한다.

FDP_IFF.1.5 TSF는 [없음]에 기반 하여 정보흐름을 명시적으로 인가해야 한다.

FDP_IFF.1.6 TSF는 [다음의 규칙]에 기반 하여 정보흐름을 명시적으로 거부해야 한

다.

[

a) TOE의 외부 네트워크 인터페이스로 내부로 추정되는 출발지 주소를

가진 패킷이 도착한 경우

b) TOE의 내부 네트워크 인터페이스로 외부로 추정되는 출발지 주소를

가진 패킷이 도착한 경우

]

종속관계 FDP_IFC.1 부분적인 정보 흐름 통제



계층관계 없음

FDP_IFF.1.1 TSF는 적어도 [ 다음의 보안속성 ]과 같은 주체 보안속성 및 정보 보

안속성 유형에 기반 하여 [ 패킷필터링 보안 정책 ]을 강제 해야 한다.

[

a) 주체 목록: TOE를 통하여 정보를 주고 받는 모든 내/외부의 IT 실체



b) 주체 보안속성: IP 주소

c) 정보 목록: TOE를 통해서 주체에서 다른 곳으로 보내는 네트워크 패

킷

d) 정보 보안속성: 출발지 주소와 포트, 목적지 주소와 포트, 프로토콜,

패킷의 방향, 시간, 인가된 관리자에 의해 설정된 URL, URL 등급, 유해

사이트DB

]


된 주체와 정보간의 정보 흐름을 허용해야 한다: [ 수퍼관리자, 보안관

리자가 설정한 패킷필터링 보안 정책에 따라 해당 트래픽의 정보보안

속성값이 정보흐름 허용대상으로 판별되면 정보흐름을 허용한다. ]




FDP_IFF.1.6 TSF는 [없음]에 기반 하여 정보의 흐름을 명시적으로 거부해야 한다.



응용시 주의

사항

TOE의 유해사이트 차단 기능을 위한 정보 보안속성인 유해사이트DB는

IT환경으로 제공되며 이를 기반으로 유해사이트 차단 기능을 제공한다.


계층관계 없음

FDP_IFF.1.1 TSF는 적어도 [ 다음의 보안속성 ]과 같은 주체 보안속성 및 정보 보

안속성 유형에 기반 하여 [ ZONE 보안정책 ]을 강제 해야 한다.

[

a) 주체 목록: TOE를 통하여 정보를 주고 받는 모든 내/외부의 IT 실체

b) 주체 보안속성: 내/외부 IT실체의 네트워크 주소, 네트워크 보안 레

이블

c) 정보 목록: TOE를 통해서 주체에서 다른 곳으로 보내는 네트워크 패

킷

d) 정보 보안속성: 출발지 주소와 포트, 목적지 주소와 포트, 프로토콜,

패킷의 방향, 네트워크 보안 레이블

]


된 주체와 정보간의 정보 흐름을 허용해야 한다:

[

인가된 사용자가 속한 네트워크그룹의 보안레이블이 접속하려

는 네트워크그룹의 보안레이블보다 높거나 같은 경우



]




FDP_IFF.1.6 TSF는 [없음]에 기반 하여 정보의 흐름을 명시적으로 거부해야 한다.



5.1.4 식별 및 인증

FIA_AFL.1 인증실패 처리

계층관계 없음

FIA_AFL.1.1 TSF는 [ 관리자 인증시도 ]에 관련된 [ “수퍼관리자가 구성 가능한

[ 3 이상 9 이하의 범위(기본값: 3) ]안의 양수” ] 번의 실패한 인증시

도가 발생한 경우 이를 탐지해야 한다.

FIA_AFL.1.2 실패한 인증 시도가 정의된 회수에 도달하거나 초과하면, TSF는 [ 인

가된 수퍼관리자가 대응행동을 취할 때까지 해당 사용자 인증 방지,

{ 해당 사용자의 계정 상태를 ‘정상’ 에서 ‘잠금’으로 변경 }된 대응행

동 목록 ]을 수행해야 한다.

종속관계 FIA_UAU.1 인증

응용 시 주의

사항

수퍼관리자가 설정한 인증 실패 허용 횟수의 기본값은 3회이다.

FIA_ATD.1 사용자 속성 정의

계층관계 없음

FIA_ATD.1.1 TSF는 각 사용자에 속한 다음의 보안속성 목록을 유지해야 한다: [ 다

음의 보안속성 ]

[

(a) 보안 레이블

{

(b) 관리자의 보안속성: ID, 비밀번호, 관리자등급, 상태(정상/잠금/정

지), 접근허용 망주소

(c) 통신상대(VPN 게이트웨이): Pre-shared Key, RSA 인증서, VPN상태

정보

}

]

종속관계 없음



FIA_SOS.1 비밀정보의 검증

계층관계 없음

FIA_SOS.1.1 TSF는 비밀정보가 [ 비밀번호 허용기준 ]을 만족시킴을 검증하는 메

커니즘을 제공해야 한다.

[

비밀번호 허용기준:

비밀번호는 최소 7문자, 최대 15문자의 길이로 구성된다.

가능한 문자는 a-z(26개), A-Z(26개), 0-9(10개) 와 다음의

특수문자 27개를 포함하여 총 89개이다.

! @ # $ ^ * ( ) _ + | ` - \ { } : ” < > [ ] ; ’ , . /

비밀번호의 첫 번째 자리는 영문자 대, 소문자로 시작해야 하

며, 하나 이상의 숫자를 포함하여 총 89개의 문자를 조합해서

만든다.

최대 비밀번호 사용 기간은 1일부터 60일(기본값 30일)의 범

위에서 설정할 수 있다.

]

종속관계 없음

응용 시 주의

사항

정의된 허용 기준은 비밀번호 인증 메커니즘의 경우 최소길이, 조합규

칙, 변경주기 등이 될 수 있다.

FIA_UAU.2 모든 행동 이전에 사용자 인증

계층관계 FIA_UAU.1

FIA_UAU.2.1 TSF는 사용자를 대신하여 TSF가 중재하는 모든 행동을 허용하기 전에

사용자를 성공적으로 인증해야 한다.

종속관계 FIA_UID.1 식별

FIA_UAU.4 재사용 방지 인증 메커니즘

계층관계 없음

FIA_UAU.4.1 TSF는 [ 관리자의 패스워드 인증 ] 에 관련된 인증데이터의 재사용을

방지해야 한다.

종속관계 없음

응용 시 주의

사항

재사용 방지 인증 메커니즘은 인가된 관리자를 포함한 사용자 모두에

게 적용 가능하며, 보안정책을 위반하지 않는 범위 내에서 제공 가능

한 서비스에 대하여 재사용 방지 메커니즘을 사용하지 않을 수 있다.

재사용 방지가 가능한 인증 메커니즘의 예로 일회용 비밀번호, 암호화

된 타임스탬프 등을 들 수 있다.

FIA_UAU.7 인증 피드백 보호

계층관계 없음

FIA_UAU.7.1 TSF는 인증이 진행되는 동안 사용자에게 [ 사용자가 입력한 패스워드



를 **** 로 표시 ]만을 제공해야 한다.


FIA_UID.2 모든 행동 이전에 사용자 식별

계층관계 FIA_UID.1

FIA_UID.2.1 TSF는 사용자를 대신하여 TSF가 중재하는 모든 행동을 허용하기 전

에 각 사용자를 성공적으로 식별해야 한다.

종속관계 없음

5.1.5 보안관리

FMT_MOF.1 보안기능 관리

계층관계 없음

FMT_MOF.1.1 TSF는 [ 다음의 기능 목록 ]의 기능에 대해 행동을 결정, 중지, 개시,

행동을 변경하는 능력을 [ 보안관리자, 수퍼관리자 ]로 제한해야 한다.

[

기능목록:

TOE의 기능 동작에 대한 시작, 중지

보안정책 생성, 수정, 삭제

보안기능의 시동과 종료

비보안 기능의 시동과 종료

시스템 설정과 변경

보안 정책, 감사 데이터의 백업 기능

]

종속관계 FMT_SMR.1 보안 역할

FMT_MSA.1 보안속성 관리

계층관계 없음

FMT_MSA.1.1 TSF는 [ 보안레이블, 접근통제 규칙, 정보흐름통제 규칙, {모든 TSF

데이터} ]의 보안속성을 디폴트값 변경, 질의, 변경, 삭제, [ {없음} ]

하는 능력을 [ 보안관리자, 수퍼관리자 ]로 제한하도록 [ 보안관리 접

근통제 정책 ]을 강제해야 한다.

종속관계 [FDP_ACC.1 부분적인 접근통제 또는

FDP_IFC.1 부분적인 정보호름통제]

FDP_SMF.1 관리기능 명세

FMT_SMR.1 보안 역할


계층관계 없음



FMT_MSA.2.1 TSF는 오직 안전한 값만이 보안속성값으로 허용됨을 보장해야 한다.

종속관계 ADV_SPM.1 비정형화된 TOE 보안정책모델

[FDP_ACC.1 부분적인 접근통제 또는

FDP_IFC.1 부분적인 정보흐름통제]




계층관계 없음

FMT_MSA.3.1 TSF는 SFP를 강제하기 위하여 사용되는 보안속성의 제한적인 디폴트

값을 제공하도록 [ 보안관리 접근통제 정책 ]을 강제해야 한다.

FMT_MSA.3.2 TSF는 객체나 정보 생성시 디폴트 값을 대체하기 위하여 [ 보안관리

자, 수퍼관리자 ]가 선택적인 초기값을 명세하도록 해야 한다.

종속관계 FMT_MSA.1 보안속성 관리


FMT_MTD.1(1) TSF 데이터 관리

계층관계 없음

FMT_MTD.1.1 TSF는 [ 감사 데이터 ]를 통계처리 하는 능력을 [ 인가된 관리자 ]로

제한해야 한다.



계층관계 없음

FMT_MTD.1.1 TSF는 [ TOE를 구성하는 중요파일 ]을 [ 반영구적인 보조기억장치에

백업하고 복구 ]하는 능력을 [ 보안관리자, 수퍼관리자 ]로 제한해야

한다.



계층관계 없음

FMT_MTD.1.1 TSF는 [ { 보안관리 접근제어 정책, 패킷필터링 보안정책, ZONE 보안

정책, 가상사설망 보안정책 }된 기타 TSF 데이터 목록 ]을 질의, 변

경, 삭제 하는 능력을 [ 보안관리자, 수퍼관리자 ]로 제한해야 한다.



계층관계 없음

FMT_MTD.1.1 TSF는 [ 식별 및 인증 데이터 ]를 변경, 삭제 하는 능력을 [ 보안관리

자, 수퍼관리자 ]로 제한해야 한다.





계층관계 없음

FMT_MTD.1.1 TSF는 [ 시간 ]을 변경 하는 능력을 [ 보안관리자, 수퍼관리자 ]로 제

한해야 한다.



계층관계 없음

FTM_MTD.1.1 TSF는 [ 암호키 속성 ]을 변경하는 능력을 [ 보안관리자, 수퍼관리

자 ]로 제한해야 한다.


FMT_MTD.2 TSF 데이터 한계치의 관리

계층관계 없음

FMT_MTD.2.1 TSF는 [ 감사 저장소 용량, 실패한 인증 시도 횟수, 자체 시험이 발생

하는 시간 간격 ]에 대한 한계치의 명세를 [ 보안관리자, 수퍼관리

자 ]로 제한해야 한다.

FMT_MTD.2.2 TSF는 TSF 데이터가 지정된 한계치에 이르거나 이를 초과하는 경우

[ FAU_STG.3, FIA_AFL.1에서 명세된 대응행동, FPT_TST.1에서 명세

된 자체시험 ]을 수행해야 한다.

종속관계 FMT_MTD.1 TSF 데이터 관리


FMT_MTD.3 안전한 TSF 데이터

계층관계 없음

FMT_MTD.3.1 TSF는 오직 안전한 값만이 TSF 데이터로 허용됨을 보장해야 한다.

종속관계 ADV_SPM.1 비정형화된 TOE 보안정책모델

FMT_MTD.1 TSF 데이터 관리

FMT_SMF.1 관리기능 명세

계층관계 없음

FMT_SMF1.1 TSF는 다음의 보안관리 기능을 수행할 수 있어야 한다.

[

보안관리기능 :

보안관리 기능: FMT_MOF.1에서 명시한 내용

보안속성 관리: FMT_MSA.1에서 명시한 내용

TSF데이터 관리: FMT_MTD.1(1)에서 명시한 내용

TSF데이터 한계치 관리: FMT_MTD.2에서 명시한 내용

보안역할 관리: FTM_SMR.1에서 명시한 내용

]

종속관계 없음




계층관계 없음

FMT_SMR.1.1 TSF는 [ 인가된 관리자 ] 역할을 유지해야 한다.

FMT_SMR.1.2 TSF는 사용자와 수퍼관리자, 보안관리자, 모니터링관리자 역할을 연관

지을 수 있어야 한다.

종속관계 FIA_UID.1 식별

5.1.6 TSF 보호

FPT_AMT.1 추상기계 시험

계층관계 없음

TSF는 TSF 하부 추상기계 관련 보안 가정사항이 정확하게 운영됨을

보이기 위하여 초기 시동시, 일반적인 운영 중에 주기적으로, 수퍼관리

자 및 보안관리자의 요청시, [ {없음}된 조건시 ]일련의 시험을 수행해

야 한다.

종속관계 없음

FPT_RPL.1 재사용 공격 탐지 및 대응행동

계층관계 없음

FPT_RPL.1.1 TSF는 다음의 실체 [ 통신상대 인증 ]에 대한 재사용을 탐지해야 한

다.

FPT_RPL.1.2 TSF는 재사용이 탐지된 경우 [ 재시도 공격차단 및 감사기록 생성 ]

을 수행해야 한다.

종속관계 없음

응용 시 주의

사항

실체는 메시지, 서비스 요청, 서비스 응답, 세션 등이 될 수 있으며,

대응행동으로는 실체 무시 등이 될 수 있다.

FPT_RVM.1 TSP 우회 불가성

계층관계 없음

FPT_RVM.1.1 TSF는 TSC 내의 각 기능이 수행되도록 허용되기 전에 TSP를 강제하

는 기능이 호출되고 성공한다는 것을 보장해야 한다.

종속관계 없음

FPT_SEP.1 보안기능 영역분리

계층관계 없음

FPT_SEP.1.1 TSF는 신뢰되지 않은 주체에 의한 간섭과 침해로부터 자신을 보호하

는 자체 실행을 위한 보안 영역을 유지해야 한다.

FPT_SEP.1.2 TSF는 TSC 내의 주체들의 보안 영역을 분리해야 한다.

종속관계 없음

FPT_TST.1 TSF 자체 시험



계층관계 없음

FPT_TST.1.1 TSF는 [ TSF ]의 정확한 운영을 입증하기 위하여 시동 시, 정규 운영

동안 주기적으로, 수퍼관리자, 보안관리자의 요구 시, [ {없음}된 자체

시험이 발생해야 하는 조건 ] 조건시 자체 시험을 실행해야 한다.

FPT_TST.1.2 TSF는 수퍼관리자, 보안관리자에게 TSF 데이터 의 무결성을 검증하는

기능을 제공해야 한다.

FPT_TST.1.3 TSF는 수퍼관리자, 보안관리자에게 저장된 TSF 실행 코드의 무결성을

검증하는 기능을 제공해야 한다.

종속관계 FPT_AMT.1 추상기계 시험

5.1.7 TOE 접근

FTA_SSL.1 TSF에 의한 세션 잠금

계층관계 없음

FTA_SSL.1.1 TSF는 다음 방법에 의해 [ 수퍼관리자가 설정한 인가된 관리자

의 비활동 허용기간 (30초-1800초, 기본값 300초) 초과 ] 후

상호 작용하는 로그인한 보안관리자, 모니터링관리자의 세션을

잠궈야 한다.

a) 현재 내용을 읽을 수 없도록 화면 표시 장치를 소거 하거나

덮어쓰기 하기

b) 세션을 잠금해제하기 보다는 인가된 관리자의 데이터 접근/

화면표시 장치의 모든 행동을 무력화 하기

FTA_SSL.1.2 TSF는 세션을 잠금 해제하기 전에 [ 재 식별 및 인증 ]을 요구

해야 한다.


FTA_SSL.3 TSF에 의한 세션 종료

계층관계 없음

FTA_SSL.3.1 TSF는 [ 600초 ] 후에 상호 작용하는 인가된 일반사용자 세션

을 종료해야 한다.

종속관계 없음

FTP_ITC.1 TSF간 안전한 채널

계층관계 없음

FTP_ITC.1.1 TSF는 자신과 원격의 신뢰된 IT 제품간에 다른 통신 채널과 논

리적으로 구별되고, 단말의 보증된 식별을 제공하며, 변경이나

노출로부터 채널 데이터를 보호하는 통신 채널을 제공해야 한

다.



FTP_ITC.1.2 TSF는 TSF 가 안전한 채널을 통하여 통신을 초기화하는 것을

허용해야 한다.

FTP_ITC.1.3 TSF는 [ 원격 관리 기능, { 없음 }된 기능 목록 ]에 대하여 안

전한 채널을 통하여 통신을 초기화해야 한다.

종속관계 없음

응용 시 주의 사항 TOE는 IT환경으로 제공되는 SSL, SSH 기능을 호출하여 SSL,

SSH 프로토콜을 형성함으로써 안전한 채널을 제공한다.

5.1.8 프라이버시

FPR_PSE.1 가명성

계층관계 없음

FPR_PSE.1.1 TSF는 [ 사용자의 내부망 실제 IP 주소 ]이 [ 외부망 접근 공인 IP 주

소 ]과 관련된 실제 사용자 이름을 결정할 수 없음을 보장해야 한다.

FPR_PSE.1.2 TSF는 [ 사용자의 내부망 실제 IP 주소 ]에 대한 실제 사용자 이름의

[ 사용 가능한 공인 IP 주소의 개수 ]개의 별칭을 제공할 수 있어야

한다.

FPR_PSE.1.3 TSF는 사용자에 대한 별칭의 결정해야 하고 이것이 [ NAT rule Table

의 정의 ]을 따르는지 검증해야 한다.

종속관계 없음

5.2 TOE 보증요구사항

본 보안목표명세서의 보증요구사항은 정보보호시스템 공통평가기준 3부의 보증 컴포넌트로 구

성되었고, 보증 등급은 EAL3+이다. 아래의 [표 5-4]는 보증 컴포넌트를 요약하여 보여준다.

추가된 보증 컴포넌트는 다음과 같다.

- ADV_IMP.2 TSF에 대한 구현의 표현

- ADV_LLD.1 서술적인 상세설계

- ADV_TAT.1 잘 정의된 개발도구

- ATE_DPT.2 상세설계 시험

- AVA_VLA.2 독립적인 취약성 분석

[표 5-4] TOE 보증요구사항

보증 클래스 보증요구사항



보증 클래스 보증요구사항

형상관리 ACM_CAP.3 인가통제

ACM_SCP.1 TOE 현상관리 범위

배포 및 운영 ADO_DEL.1 배포 절차

ADO_IGS.1 설치, 생성 시동 절차

개발

ADV_FSP.1 비정형화된 기능명세

ADV_HLD.2 보안기능과 비보안기능을 분리한 기본설계

ADV_IMP.2 TSF에 대한 구현의 표현

ADV_LLD.1 서술적인 상세설계

ADV_RCR.1 비정형화된 일치성 입증

설명서 AGD_ADM.1 관리자설명서

AGD_USR.1 사용자설명서

생명주기지원 ALC_DVS.1 보안대책의 식별

ALC_TAT.1 잘 정의된 개발도구

시험

ATE_COV.2 시험범위의 분석

ATE_DPT.2 상세설계 시험

ATE_FUN.1 기능 시험

ATE_IND.2 독립적인 시험 : 표본 시험

취약성 평가

AVA_SOF.1 TOE 보안기능 강도에 대한 평가

AVA_VLA.2 독립적인 취약성 분석

AVA_MSU.1 설명서 조사

5.2.1 형상관리

ACM_CAP.3 인가 통제

종속관계

ALC_DVS.1 보안대책의 식별

개발자 요구사항

ACM_CAP.3.1D 개발자는 TOE에 대한 참조를 제공해야 한다.

ACM_CAP.3.2D 개발자는 형상관리 시스템을 사용해야 한다.

ACM_CAP.3.3D 개발자는 형상관리 문서를 제공해야 한다.

증거 요구사항

ACM_CAP.3.1C TOE에 대한 참조는 각 버전의 TOE에 대해 유일해야 한다.

ACM_CAP.3.2C TOE 참조를 위한 레이블을 붙여야 한다.

ACM_CAP.3.3C 형상관리 문서는 형상목록과 형상관리 계획을 포함해야 한다.

ACM_CAP.3.4C 형상목록은 TOE를 구성하는 모든 형상항목을 유일하게 식별해야 한



다.

ACM_CAP.3.5C 형상목록은 TOE를 구성하는 형상항목을 서술해야 한다.

ACM_CAP.3.6C 형상관리 문서는 형상항목을 유일하게 식별하기 위해 사용된 방법을

서술해야 한다.

ACM_CAP.3.7C 형상관리 시스템은 모든 형상항목을 유일하게 식별해야 한다.

ACM_CAP.3.8C 형상관리 계획은 형상관리 시스템이 사용되는 방법을 서술해야 한

다.

ACM_CAP.3.9C 증거는 형상관리 시스템이 형상관리 계획에 따라 운영되고 있음을

입증해야 한다.

ACM_CAP.3.10C 형상관리 문서는 형상관리 시스템에서 모든 형상항목이 효과적으로

관리 되었고, 현재 관리되고 있다는 증거를 제공해야 한다.

ACM_CAP.3.11C 형상관리 시스템은 형상학목에 인가된 변경만을 허용하는 수단을 제

공해야 한다,

평가자 요구사항

ACM_CAP.3.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

ACM_SCP.1 TOE 형상관리 범위

종속관계

ACM_CAP.3 인가통제


ACM_SCP.1.1D 개발자는 TOE에 대한 형상목록을 제공해야 한다.

증거 요구사항

ACM_SCP.1.1C 형상목록은 구현 표현 및 보안목표명세서의 보증 컴포넌트에서 요구

하는 평가증거를 포함해야 한다.


ACM_SCP.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

5.2.2 배포 및 운영

ADO_DEL.1 배포 절차

종속관계

없음


ADO_DEL.1.1D 개발자는 사용자에게 TOE나 TOE 일부를 배포하는 절차를 문서화해

야 한다.



ADO_DEL.1.2D 개발자는 배포 절차를 사용해야 한다.

증거 요구사항

ADO_DEL.1.1C 배포 문서는 사용자 측에 TOE를 배포할 때 보안 유지에 필요한 모

든 절차를 서술해야 한다.


ADO_DEL.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

ADO_IGS.1 설치, 생성 시동 절차

종속관계

AGD_ADM.1 관리자 설명서


ADO_IGS.1.1D 개발자는 TOE의 안전한 설치, 생성, 시동에 필요한 절차를 문서화해

야 한다.

증거 요구사항

ADO_IGS.1.1C 설치, 생성, 시동 문서는 TOE의 안전한 설치, 생성, 시동에 필요한

모든 단계를 서술해야 한다.


ADO_IGS.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

ADO_IGS.1.2E 평가자는 TOE가 설치, 생성, 시동 절차에 의해 안전하게 구성되는지

결정해야 한다.

5.2.3 개발


종속관계



ADV_FSP.1.1D 개발자는 기능명세를 제공해야 한다.

증거 요구사항

ADV_FSP.1.1C 기능명세는 TSF 및 TSF 외부 인터페이스를 비정형화된 방식으로 서

술해야 한다.

ADV_FSP.1.2C 기능명세는 내부적으로 일관성이 있어야 한다.

ADV_FSP.1.3C 기능명세는 모든 TSF 외부 인터페이스의 사용 목적 및 방법을 서술

해야 하고, 효과, 예외사항, 오류 메시지 등에 대한 세부사항을 적절

히 제공해야 한다.



ADV_FSP.1.4C 기능명세는 TSF를 완전하게 표현해야 한다.


ADV_FSP.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

ADV_FSP.1.2E 평가자는 기능명세가 TOE 보안기능요구사항을 정확하고 완전하게

실체화하는지 결정해야 한다.


종속관계




ADV_HLD.2.1D 개발자는 TSF의 기본설계를 제공해야 한다.

증거 요구사항

ADV_HLD.2.1C 기본설계는 비정형화된 방식으로 표현되어야 한다.

ADV_HLD.2.2C 기본설계는 내부적으로 일관성이 있어야 한다.

ADV_HLD.2.3C 기본설계는 TSF의 구조를 서브시스템들로 서술해야 한다.

ADV_HLD.2.4C 기본설계는 TSF의 각 서브시스템이 제공하는 보안 기능성을 서술해

야 한다.

ADV_HLD.2.5C 기본설계는 하부 하드웨어, 펌웨어, 소프트웨어에 구현된 보조적인

보호 메커니즘에 의해 제공되는 기능을 표현하여 TSF에 의해 요구

되는 하부 하드웨어, 펌웨어, 소프트웨어를 식별해야 한다.

ADV_HLD.2.6C 기본설계는 TSF 서브시스템의 모든 인터페이스를 식별해야 한다.

ADV_HLD.2.7C 기본설계는 TSF 서브시스템의 외부 인터페이스를 식별해야 한다.

ADV_HLD.2.8C 기본설계는 효과, 예외사항, 오류 메시지 등에 대한 세부사항을 적절

하게 제공하여 TSF의 서브시스템에 대한 모든 인터페이스의 사용

목적 및 방법을 서술해야 한다.

ADV_HLD.2.9C 기본설계는 TOE를 TSP-수행 서브시스템과 기타 서브시스템으로 구

분하여 서술해야 한다.


ADV_HLD.2.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

ADV_HLD.2.2E 평가자는 기본설계가 TOE 보안기능요구사항을 정확하고 완전하게



종속관계







ADV_IMP.2.1D 개발자는 전체 TSF에 대한 구현의 표현을 제공해야 한다.

증거 요구사항

ADV_IMP.2.1C 구현의 표현은 더 이상의 설계과정 없이 TSF가 생성될 수 있는 상

세 수준으로 TSF를 모호하지 않게 정의해야 한다.

ADV_IMP.2.2C 구현의 표현은 내부적으로 일관성이 있어야 한다.

ADV_IMP.2.3C 구현의 표현은 모든 구현 부분간의 상호관계를 서술해야 한다.


ADV_IMP.2.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

ADV_IMP.2.2E 평가자는 구현의 표현이 TOE 보안기능요구사항을 정확하고 완전하

게 실체화하는지 결정해야 한다.


종속관계




ADV_LLD.1.1D 개발자는 TSF의 상세설계를 제공해야 한다.

증거 요구사항

ADV_LLD.1.1C 상세설계는 비정형화된 방식으로 표현되어야 한다.

ADV_LLD.1.2C 상세설계는 내부적으로 일관성이 있어야 한다.

ADV_LLD.1.3C 상세설계는 TSF를 모듈로 서술해야 한다.

ADV_LLD.1.4C 상세설계는 각 모듈의 목적을 서술해야 한다.

ADV_LLD.1.5C 상세설계는 모듈간의 상호관계를 제공된 보안 기능성과 다른 모듈과

의 종속관계로 정의해야 한다.

ADV_LLD.1.6C 상세설계는 각 TSP-수행 기능이 제공되는 방법을 서술해야 한다.

ADV_LLD.1.7C 상세설계는 TSF 모듈의 모든 인터페이스를 식별해야 한다.

ADV_LLD.1.8C 상세설계는 TSF 모듈의 외부 인터페이스를 식별해야 한다.

ADV_LLD.1.9C 상세설계는 효과, 예외사항, 오류 메시지 등에 대한 세부사항을 적절

하게 제공하여 TSF 모듈에 대한 모든 인터페이스의 사용 목적 및

방법을 서술해야 한다.

ADV_LLD.1.10C 상세설계는 TOE를 TSP-수행 모듈과 기타 모듈로 구분하여 서술해

야 한다.


ADV_LLD.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.



ADV_LLD.1.2E 평가자는 상세설계가 TOE 보안기능요구사항을 정확하고 완전하게



종속관계

없음


ADV_RCR1.1D 개발자는 제공되는 모든 인접한 TSF 표현들간의 일치성 분석을 제

공해야 한다.

증거 요구사항

ADV_RCR.1.1C 제공되는 인접한 각 TSF 표현에 대하여, 분석에서는 더 추상적인

TSF 표현의 모든 관련 보안 기능성이 더 구체적인 TSF 표현에서 정

확하고 완전하게 상세화되는지 입증해야 한다.


ADV_RCR.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

5.2.4 설명서


종속관계



AGD_ADM.1.1D 개발자는 시스템을 관리하는 사람을 위한 관리자 설명서를 제공해야

한다.

증거 요구사항

AGD_ADM.1.1C 관리자 설명서는 TOE 관리자가 이용할 수 있는 관리기능 및 인터페

이스를 서술해야 한다.

AGD_ADM.1.2C 관리자 설명서는 TOE를 안전한 방식으로 관리하는 방법을 서술해야

한다.

AGD_ADM.1.3C 관리자 설명서는 안전한 처리환경 내에서 통제되어야 하는 기능과

특권에 대한 경고를 포함해야 한다.

AGD_ADM.1.4C 관리자 설명서는 TOE의 안전한 운영과 관련된 사용자 행동에 대한

모든 가정사항을 서술해야 한다.

AGD_ADM.1.5C 관리자 설명서는 적절하게 안전한 값을 표시하여 관리자의 통제하에

있는 모든 보안 매개변수를 서술해야 한다.

AGD_ADM.1.6C 관리자 설명서는 TSF 통제 하에 있는 실체의 보안 특성 변경을 포함



하여, 수행되어야 할 관리 기능에 관한 보안 관련 사건의 각 유형을

서술해야 한다.

AGD_ADM.1.7C 관리자 설명서는 평가를 위해 제출된 모든 다른 문서와 일관성이 있

어야 한다.

AGD_ADM.1.8C 관리자 설명서는 관리자에 관한 IT 환경상의 모든 보안요구사항을 서

술해야 한다.


AGD_ADM.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

AGD_USR.1 사용자 설명서

종속관계



AGD_USR.1.1D 개발자는 사용자 설명서를 제공해야 한다.

증거 요구사항

AGD_USR.1.1C 사용자 설명서는 관리자가 아닌 TOE 사용자가 이용할 수 있는 기능

과 인터페이스를 서술해야 한다.

AGD_USR.1.2C 사용자 설명서는 사용자가 이용할 수 있는 TOE 보안기능의 사용에

대하여 서술해야 한다.

AGD_USR.1.3C 사용자 설명서는 안전한 처리환경에서 통제되어야 하는 사용자가 이

용할 수 있는 기능과 특권에 대한 경고를 포함해야 한다.

AGD_USR.1.4C 사용자 설명서는 TOE 보안환경에서의 사용자 행동에 관한 가정사항

과 관련이 있는 책임을 포함하여, TOE의 안전한 운용에 필요한 사용

자의 모든 책임을 명백하게 표시해야 한다.

AGD_USR.1.5C 사용자 설명서는 평가를 위해 제출된 모든 다른 문서와 일관성이 있

어야 한다.

AGD_USR.1.6C 사용자 설명서는 사용자에 관한 IT 환경상의 모든 보안요구사항을 서

술해야 한다.


AGD_USR.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해

야 한다.

5.2.5 생명주기지원

ALC_DVS.1 보안대책의 식별

종속관계



없음


ALC_DVS.1.1D 개발자는 개발보안 문서를 작성해야 한다

증거 요구사항

ALC_DVS.1.1C 개발보안 문서는 개발환경 내에서 TOE 설계 및 구현 과정의 비밀성

과 무결성을 보호하기 위하여 필요한 모든 물리적, 절차적, 인적 및

기타 보안대책을 서술해야 한다.

ALC_DVS.1.2C 개발보안 문서는 TOE를 개발 및 유지하는 동안 이러한 보안대책이

준수된다는 증거를 제공해야 한다.


ALC_DVS.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

ALC_DVS.1.2E 평가자는 보안대책이 적용되고 있는지 확인해야 한다.


종속관계

ADV_IMP.1 TSF 일부에 대한 구현의 표현


ALC_TAT.1.1D 개발자는 TOE에 사용된 개발도구를 식별해야 한다.

ALC_TAT.1.2D 개발자는 개발도구의 구현-종속적인 선택사항의 선택 내역을 문서화

해야 한다.

증거 요구사항

ALC_TAT.1.1C 구현에 사용된 모든 개발 도구는 잘 정의된 것이어야 한다.

ALC_TAT.1.2C 개발도구 문서는 구현에 사용된 모든 명령문의 의미를 모호하지 않

게 정의해야 한다.

ALC_TAT.1.3C 개발도구 문서는 모든 구현-종속적인 선택사항의 의미를 모호하지

않게 정의해야 한다.


ALC_TAT.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

5.2.6 시험

ATE_COV.2 시험범위의 분석

종속관계






ATE_COV.2.1D 개발자는 시험범위의 분석을 제공해야 한다.

증거 요구사항

ATE_COV.2.1C 시험범위의 분석은 시험 문서에 식별된 시험항목과 기능명세에 서술

된 TSF간의 일치성을 입증해야 한다.

ATE_COV.2.2C 시험 범위의 분석은 기능명세에 서술된 TSF와 시험 문서에 식별된

시험항목이 완전히 일치함을 입증해야 한다.


ATE_COV.2.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.


종속관계





ATE_DPT.2.1D 개발자는 시험의 상세수준 분석을 제공해야 한다.

증거 요구사항

ATE_DPT.2.1C 시험의 상세수준 분석은 시험 문서에 식별된 시험항목이 기본설계

및 상세설계에 따라 TSF가 동작함을 입증하기에 충분하다는 것을 입

증해야 한다.


ATE_DPT.2.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.


종속관계

없음


ATE_FUN.1.1D 개발자는 TSF를 시험하여 결과를 문서화해야 한다.

ATE_FUN.1.2D 개발자는 시험 문서를 제공해야 한다.

증거 요구사항

ATE_FUN.1.1C 시험 문서는 시험계획, 시험절차 설명, 예상 시험결과 및 실제 시험

결과로 구성되어야 한다.

ATE_FUN.1.2C 시험계획은 시험되어야 할 보안기능을 식별하고 수행되어야할 시험

의 목적을 서술해야 한다.

ATE_FUN.1.3C 시험절차 설명은 수행되어야 할 시험항목을 식별하고 각 보안기능을

시험하기 위한 시나리오를 서술해야 한다. 이러한 시나리오는 다른



시험결과에 대한 순서 종속관계를 포함해야 한다.

ATE_FUN.1.4C 예상 시험결과는 시험의 성공적인 수행으로 기대되는 결과를 입증해

야 한다.

ATE_FUN.1.5C 개발자가 수행한 시험결과는 시험된 각 보안기능이 명세된 대로 동

작함을 입증해야 한다.


ATE_FUN.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

ATE_IND.2 독립적인 시험 : 표본 시험

종속관계






ATE_IND.2.1D 개발자는 시험할 TOE를 제공해야 한다.

증거 요구사항

ATE_IND.2.1C TOE는 시험하기에 적합해야 한다.

ATE_IND.2.2C 개발자는 개발자의 TSF 기능 시험에 사용된 자원과 동등한 자원을

제공해야 한다.


ATE_IND.2.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

ATE_IND.2.2E 평가자 는 TOE가 명세된 대로 동작함을 확인하기 위하여 TSF 일부

를 적절하게 시험해야 한다.

ATE_IND.2.3E 평가자는 개발자 시험 결과를 검증하기 위하여 시험문서 내의 시험

항목에 대한 표본 시험을 수행해야 한다.

5.2.7 취약성 평가

AVA_MSU.1 설명서 조사

종속관계

ADO_IGS.1 설치, 생성, 시동 절차







AVA_MSU.1.1D 개발자는 설명서를 제공해야 한다.

증거 요구사항

AVA_MSU.1.1C 설명서는 (장애 후의 운영 또는 운영상의 오류 후의 운영을 포함한)

TOE의 모든 가능한 운영 모드, 그 영향 및 안전한 운영 유지를 위한

관련사항들을 식별해야 한다.

AVA_MSU.1.2C 설명서는 완전하고, 명확하며, 일관성 있고, 타당해야 한다.

AVA_MSU.1.3C 설명서는 의도된 환경에 대한 모든 가정사항을 나열해야 한다.

AVA_MSU.1.4C 설명서는 (외부의 절차적, 물리적, 인적 통제를 포함한) 외부 보안대

책에 관한 모든 요구사항을 나열해야 한다.


AVA_MSU.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

AVA_MSU.1.2E 평가자는 TOE가 제공된 설명서만을 이용하여 안전하게 구성되고 사

용됨을 확인하기 위하여 모든 구성 및 설치 절차를 반복해야 한다.

AVA_MSU.1.3E 평가자는 설명서를 사용하여 모든 안전하지 않은 상태를 탐지할 수

있는지 결정해야 한다.


종속관계


ADV_HLD.1 서술적인 상세설계


AVA_SOF.1.1D 개발자는 TOE 보안기능 강도가 선언된 보안목표명세서에서 식별된

각 메커니즘에 대하여 TOE 보안기능 강도 분석을 수행해야 한다.

증거 요구사항

AVA _SOF.1.1C TOE 보안기능 강도가 선언된 각 메커니즘에 대하여, TOE 보안기능

강도 분석은 TOE 보안기능 강도가 보호프로파일/보안목표명세서에

정의된 최소한의 기능강도 수준을 만족하거나 능가함을 입증해야 한

다.

AVA_SOF.1.2C 특정 TOE 보안기능 강도가 선언된 각 메커니즘에 대하여, TOE보안

기능 강도 분석은 TOE 보안기능 강도가 보호프로파일/보안목표명세

서에 정의된 특정 기능강도 허용 수준을 만족하거나 능가함을 입증

해야 한다.


AVA_SOF.1.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

AVA_SOF.1.2E 평가자는 기능 강도 선언이 정확한지 확인해야 한다.




종속관계








AVA_VLA.2.1D 개발자는 취약성 분석을 수행해야 한다.

AVA_VLA.2.2D 개발자는 취약성 분석 문서를 제공해야 한다.

증거 요구사항

AVA_VLA.2.1C 취약성 분석 문서는 사용자가 TSP를 위반할 수 있는 방식을 찾기

위해 수행된 TOE 제출물 분석을 서술해야 한다.

AVA_VLA.2.2C 취약성 분석 문서는 식별된 취약성을 나열해야 한다.

AVA_VLA.2.3C 취약성 분석 문서는 식별된 모든 취약성에 대하여 취약성이 TOE의

의도된 환경에서 악용될 수 없을 입증해야 한다.

AVA_VLA.2.4C 취약성 분석 문서는 식별된 취약성을 가지는 TOE가 명백한 침투 공

격에 내성이 있음을 정당화해야 한다.


AVA_VLA.2.1E 평가자는 제공된 정보가 모든 증거 요구사항을 만족하는지 확인해야

한다.

AVA_VLA.2.2E 평가자는 식별된 취약성이 다루어졌음을 보장하기 위하여 개발자의

취약성 분석에 근거한 침투시험을 수행해야 한다.

AVA_VLA.2.3E 평가자는 독립적인 취약성 분석을 수행해야 한다.

AVA_VLA.2.4E 평가자는 의도된 환경에서 추가로 식별된 취약성의 악용 가능성을

결정하기 위하여 독립적인 취약성 분석에 기반한 독립적인 침투시험

을 수행해야 한다.

AVA_VLA.2.5E 평가자는 TOE가 낮은 공격 성공 가능성을 갖는 공격자의 침투 공격

에 내성이 있는지를 결정해야 한다.

5.3 환경에 대한 보안요구사항

IT 환경을 필요로 하는 요구사항은 다음과 같다.


계층관계 없음



FTP_ITC.1.1 TSF는 자신과 원격의 신뢰된 IT 제품간에 다른 통신 채널과 논리적으

로 구별되고, 단말의 보증된 식별을 제공하며, 변경이나 노출로부터

채널 데이터를 보호하는 통신 채널을 제공해야 한다.

FTP_ITC.1.2 TSF는 TSF 가 안전한 채널을 통하여 통신을 초기화하는 것을 허용해

야 한다.

FTP_ITC.1.3 TSF는 [ 원격 관리 기능 ]에 대하여 안전한 채널을 통하여 통신을 초

기화해야 한다.

종속관계 없음

응용 시 주의 사항 TOE는 IT환경으로 제공되는 SSL, SSH 기능을 호출하여 SSL, SSH 프

로토콜을 형성함으로써 안전한 채널을 제공한다.

FPT_STM.1 신뢰할 수 있는 타임스탬프

계층관계 없음

FPT_STM.1.1 TSF는 TSF가 사용하기 위한 신뢰할 수 있는 타임스탬프를 제공할 수

있어야 한다.

종속관계 없음

응용 시 주의사

항

본 TOE 보안기능요구사항은 보안 감사 기능과 관련하여 감사데이터가

순차적으로 생성되는 것을 보장하는 타임스탬프(time stamp) 기능을

제공하는 것을 목적으로 한다. 따라서 본 보안기능요구사항은 TOE 보

안기능으로 구현하지 않고 TOE환경으로 제공하는 시간을 TOE 사용할

수 있다.

TOE는 신뢰할 수 있는 타임스탬프를 유지하기 위한 방법은 TSF를 대

신하여 IT환경으로 제공되는 NTP Server와의 시간동기화 또는 TOE 하

부 운영체제의 시스템 시각을 읽어오는 방법을 통하여 타임소스를 안

전하게 관리한다.



6. TOE 요약 명세

이 장에서는 TOE의 보증요구사항과 보안요구사항을 만족시키는 보안 기능 및 보증수단을 TOE가

어떻게 제공하는 지를 기술한다. 또한 TOE의 비보안 기능에 대한 소개 및 보증 요구사항이 어떻

게 만족되었는지에 대해 설명한다.

본 TOE가 구현한 보안기능 중 확률 및 순열 메커니즘을 갖는 보안기능은 “식별 및 인증(IA)”이며,

기능강도는 보안기능-높음으로 보안기능요구사항 FIA_UAU.2의 기능강도인 기능강도-중간을 만족

한다. “식별 및 인증(IA)”은 패스워드 인증 메커니즘을 통하여 구현하였다.

본 보안목표명세서의 TOE가 보호해야 하는 정보는 국가기관의 일반자료로써 자산의 가치는 중간

이다. 위협원은 낮은 수준의 전문지식, 자원, 동기를 가지는 것으로 고려된다. 공통평가방법론에서

는 낮은 수준의 공격 성공 가능성을 가진 공격자에 대응하기 위해서 최소한 기능강도-중간인 보

안기능을 제공할 것을 권고한다. 따라서, 본 보안목표명세서에서 요구하는 기능강도는 기능강도-

중간으로 정의된다.

6.1 TOE 보안 기능

본 절에서는 TOE의 보안 기능에 대해서 설명한다. TOE 보안기능에 대한 설명은 각각 연관되는

보안기능 요구사항에 대응하여 그것을 어떤 방법으로 충족하였는지를 기술하며, 이는 보안 기능

에 대한 설명과 각각의 보안기능들이 요구사항들을 충분히 만족시키는지에 대한 이론적인 근거

를 제시한다.

TOE에서 제공되는 보안 기능은 아래와 같이 분류할 수 있다.

보안 감사 기능(SA)

IPSec VPN 기능(VPN)

침입차단 기능(FW)

식별 및 인증(IA)

정책관리 기능(PC)

6.1.1 보안 감사(SA)

TOE는 보안기능요구사항을 수용하여 보안사건에 대해 감사데이터 생성, 감사 기록 조회, 손실

방지 및 경보로그 설정 기능을 제공한다. 또한 감사 데이터를 보호하기 위해서 감사 데이터가

저장되는 파일 시스템을 관리한다.



(1) 감사로그 생성 (SA-GEN)

TOE는 네트워크상에서 보안 기능 동작의 추후 감사를 위해 모든 보안기능 동작 및 보안사건에

대한 감사로그를 생성하고 기록할 수 있다. 감사로그를 생성할 때, 보안사건이 발생한 시각을 포

함하여 감사 레코드를 생성하며, 각 감사 레코드는 보안사건의 유형별로 다르지만, 다음의 정보를

기본적으로 포함한다. 감사로그 생성 시각의 일관성을 위하여 TOE는 NTP 프로토콜을 사용하여

신뢰된 시각을 사용하도록 강제할 수 있다.

감사레코드의 기본 정보:

사건의 유형

로그아이디(식별아이디) – 사건유형별로 그룹화 되어있다.

사건의 중요도 – EMERG, ALERT, CRITICAL, ERROR, WARNING, NOTICE, INFO

주체의 신원

사건의 결과 – 사건의 성공과 실패

추가 내용 – 해당하는 이유

사건의 중요도는 보안 사건의 유형 또는 감사로그를 생성하는 프로세스에 따라 감사사건은 분류

된다. 보안감사 사건의 중요도는 [표 6-1]과 같다.

[표 6-1] 보안 감사 사건의 중요도

중요도 내용

EMERG 운영 체재에 치명적인 오류가 발생, 시스템이 정지하여 관리자의 즉각적인 대

응이 필요한 경우

ALERT 운영 체재에 치명적인 오류가 발생하여 관리자의 즉각적인 대응이 필요한 경우

CRITICAL 가까운 시일 내에 서비스 운영에 치명적인 영향이 있어 반드시 관리자의 대응

이 필요한 경우

ERROR 관리자의 보안 기능 설정 적용 과정에서 실패한 경우

WARNING 서비스 운영에 영향이 있을 가능성이 있어 관리자의 확인이 필요한 경우

NOTICE 서비스 운영에 영향이 있을지 관리자의 확인이 필요한 경우

INFO 보안 기능 설정 변경, 사용자의 서비스 이용 등의 정보 메시지

감사로그 생성의 대상에 되는 주요 보안사건에는 관리자에 의한 보안관리 오퍼레이션, 침입차단

보안정책 및 감사로그, IPSec VPN 보안 정책 규칙 및 감사로그, 관리자 식별 및 인증 감사로그

등이 있다. 감사의 대상이 되는 주요 보안 사건의 종류는 다음과 같다.

보안기능의 시동과 종료

보안기능에 대한 설정의 변경



보안기능의 동작결과

IPSec VPN의 IKE 협상

관리자 식별 및 인증의 성공, 실패

장비의 상태 및 무결성 확인

감사로그 저장공간의 부족

CPU/메모리 사용율의 관리자 지정한계 초과

TOE에서 생성되는 감사로그는 [표 6-2]와 같은 유형으로 정리할 수 있다.

[표 6-2] 감사 로그의 유형

유형 내용 FAU_GEN 요구 컴포넌트

보안관리 정책

시스템자체에서 발생하는 감사로그, 보안기능

의 동작을 포함하여 관리자에 의해서 제어되는

모든 보안관리 활동이 변경된 보안속성과 함께

기록된다.

이 때 내부적인 문제에 기인해서 보안관리 기

능의 동작이 실패한 경우 중요도가 높은 감사

레코드를 생성하여 해당 보안사건을 기록한다.

FAU_ARP.1, FAU_SAA.1,

FAU_SEL.1, FCS_CKM.1,

FCS_CKM.2, FCS_CKM.4,

FMT_MOF.1, FMT_MSA.1,

FMT_MSA.2, FMT_MTD.1,

FMT_MTD.2, FMT_MTD.3,

FMT_SMF.1, FMT_SMR.1,

FPT_STM.1, FMT_TST.1,

FTA_SSL.1, FTA_SSL.3

접근제어

패킷필터링 및 서비스 접근제어, 주소변환, 유

해사이트 차단 기능에 의해서 생성되는 감사로

그로 패킷 데이터의 처리 결과에 대한 정보가

포함된다.

FTP_ACF.1, FDP_IFF.1,

FPR_PSE.1

IPSec VPN

가상사설망 IPSec 프로토콜을 통해 암/복호화

되는 정보에 대한 감사로그가 생성되며, 사건

의 중요도, 협상 메시지의 내용 및 암/복호화

알고리즘 종류, 협상 결과에 대한 정보를 포함

한다.

그리고 가상사설망 연결을 위해 키를 협상하는

(IKE) 과정의 감사기록이 포함되며, IKE 과정

단계별로 성공 및 실패에 대한 정보를 포함한

다.

FCS_COP.1, FDP_DAU.1

식별 및 인증

식별 및 인증에 관련된 감사정보가 포함되며,

식별 및 인증 성공, 실패 및 실패와 관련하여

실패사유, 계정상태 변경에 대한 기록이 포함

된다.

FIA_AFL.1, FIA_SOS.1,

FIA_UAU.1, FIA_UAU.2,

FIA_UAU.4, FIA_UID.2,

FTA_SSL.1, FTA_SSL.3,



유형 내용 FAU_GEN 요구 컴포넌트

FPT_ITC.1

감사로그는 시스템 내부의 물리적 저장장치에 기록되며, 이 저장장치에 기록된 감사기록에 대해

MMC를 통해서 조회(검색/정렬/통계)할 수 있는 기능을 제공한다.

식별 및 인증, 보안 관리에 관한 감사로그를 제외한 침입차단, IPSec VPN, 유해사이트 차단, 시

스템 세션에 대한 감사로그는 선택적으로 기록이 가능하다.

(2) 감사로그 실시간 모니터링 (SA-MON)

TOE는 생성되는 감사로그를 MMC를 통해서 실시간으로 모니터링 할 수 있는 기능을 제공한다.

인가된 관리자는 시스템 운용상태, 보안위험과 관련된 정보를 실시간으로 모니터링 할 수 있다

실시간 모니터링이 가능한 정보는 [표 6-3]와 같다.

[표 6-3] 실시간 모니터링 대상 정보

정보 설명

시스템 세션 시스템 세션정보를 실시간 검색할 수 있도록 지원함.

IPSec VPN 터널 생성을 위한 협상 과정 및 터널 상태 정보를 실시간으로 모니

터링할 수 있음.

침입차단 트래픽 및 로그 실시간으로 침입차단 모니터링과 로그 검색이 가능함.

경보 로그 관리자가 지정한 주요 보안사건을 경보(Alert) 로그로 분류하여 MMC

를 통해서 모니터링할 수 있는 기능을 제공함.

TOE는 시스템 세션정보를 실시간 검색할 수 있는 기능을 제공한다. 시스템 세션정보에는 다음

과 같은 정보를 포함하고 있다.

시스템 세션정보:

프로토콜

세션 타임아웃

세션 상태

- TCP 프로토콜의 경우 연결상태 플래그

- Established, close, close_wait, syn_sent, syn_recv, time_wait, fin_wait

연결 요청에 대한 출발지 주소, 출발지 포트, 목적지 주소, 목적지 포트, 패킷수, 트래

픽량

- 출발지 포트와 목적지 포트는 프로토콜이 TCP, UDP 인경우만 유효

- 프로토콜이 ICMP이면 ICMP Type, Code를 포함.

NR 플래그



- 연결요청에 대한 응답이 있으면 Yes 없으면 No

연결 응답에 대한 출발지 주소, 출발지 포트, 목적지 주소, 목적지 포트, 패킷수, 트래

픽량, 아이디, 패킷수, 트래픽량

- 출발지 포트와 목적지 포트는 프로토콜이 TCP, UDP인 경우만 유효

- 프로토콜이 ICMP이면 ICMP Type, Code를 포함.

IPSec VPN 로그는 실시간 모니터링이 가능하며, 실시간 IPSec VPN 로그에는 다음과 같은 정보

를 포함한다.

시각

내용 : 협상 상대방 정보, 협상 메시지의 내용 및 협상 결과에 대한 정보를 포함

침입차단 로그는 실시간 모니터링이 가능하며, 실시간 침입차단 로그에는 다음과 같은 정보를

포함하고 있다.

실시간 침입차단 로그:

시각

Rule ID

대응행동

출발지 주소

프로토콜

출발지 포트

목적지 주소

목적지 포트

TTL

인터페이스

경보 로그는 실시간 모니터링이 가능하며, 경보에는 다음과 같은 정보들이 포함된다.

경보 정보:

발생 시각

중요도

발생 객체

발생 유형

설명

기타



(3) 감사로그 검색 (SA-SCH)

감사로그 검색기능은 MMC로부터의 요청에 따라 로그저장소에 기록되어있는 감사로그를 유형별,

시간별로 조회, 검색할 수 있는 기능을 제공한다. 현재 생성되는 감사로그에 대한 검색을 원할

경우 로그저장소에 저장되어 있는 감사로그를 사용한다. 감사로그 검색 기능에서 제공하는 검색

의 대상은 다음과 같다.

감사로그 검색 대상:

침입차단 로그

세션 로그

패킷필터링 로그

주소변환 로그

IPSec VPN 로그

식별 및 인증 로그

IPS 로그

시스템 로그

정책 변경 이력

INFOS 로그

TOE는 저장된 감사로그에 대해 공통적으로 지원하는 검색 조건은 다음과 같다.

감사로그 검색 조건:

검색 범위 : YYYY-MM-DD HH:MM(최대24시간까지) 또는 지정값

검색 건수 : (최대값: 10000개)

위 검색 조건 외 각 기능 별로 출발지 주소와 포트, 목적지 주소와 포트, 프로토콜, 상태, 규칙

ID, 중요도 등을 검색조건으로 지원한다.

감사로그 검색 기능은 저장된 감사로그를 검색하면서 조건에 따라 정렬된 검색결과를 제공한다.

각 관리자는 MMC를 통해서 보안사건의 유형에 따라 [표 6-4]과 같은 정렬기준을 제공한다.

[표 6-4] 감사 로그 정렬기준

감사로그 유형 정렬기준

방화벽 세션 로그 시각, 로그 속성, 출발지 주소, 출발지 포트, 목적지 주소, 목적지 포트, 프

로토콜, 패킷수, 트래픽량, 경과시간

침입차단 로그 시각, Rule ID, 대응행동, 출발지 주소, 출발지 포트, 프로토콜, 목적지 주

소, 목적지 포트, , TTL, 인터페이스

유해사이트 차단 시각, 출발지 주소, 출발지 포트, 목적지 주소, 목적지 포트, 상태, URL



감사로그 유형 정렬기준

IPSec VPN 시각, 중요도, 내용

정책설정로그 시각, 중요도, 로그ID, 서브모듈, 접속IP주소, 접속자ID, 내용

시스템로그 시각, 로그종류, 중요도, 로그ID, 서브모듈, 접속IP주소, 접속자ID, 내용

식별 및 인증 로그 시각, 중요도, 접속주소, 관리자ID, 접속방법, 내용

INFOS 로그 시각, 중요도, 내용

(4) 감사로그 손실 방지 (SA-PRV)

시스템에서 생성, 관리되는 모든 감사로그에 대한 접근은 인가된 관리자만이 할 수 있으며, 일

반사용자 및 비인가자는 감사기록을 조회, 변경, 삭제할 수 없다. TOE는 시스템 운용에 필요한

기본적인 명령을 제공하는 CLI를 제외하고 로그저장소에 접근할 수 있는 방법은 없으므로 인가

된 관리자라 할지라도 임의적으로 감사로그를 변경, 삭제할 수 없다.

감사로그 손실방지 기능은 저장소의 용량 부족으로 인한 손실을 방지하기 위하여, 일정한 주기

마다 저장소의 사용량을 확인한다. 저장소의 사용량을 두 레벨로 관리하여, 경고수준 (기본값은

90%) 이상일 때 경보 메시지를 생성한다. 위험수준 (기본값은 97%) 이상으로 증가하여 감사로

그의 손실이 예측될 경우 경보 메시지를 생성한 후 감사로그기능과 식별 및 인증 기능, 상태감

시기능의 최소관리기능을 제외한 서비스들의 동작이 종료된다.

동작하는 기능들:

감사로그 생성 및 백업관련 기능

식별 및 인증 기능

시스템 상태감시 및 현재 상태 확인 기능

자동백업을 위한 스케줄링 기능

로그저장소에 보관되어 있는 감사로그는 생성된 후 지정된 기간이 경과하면 자동으로 압축하여

보관하고, 관리자는 MMC를 통해서 보관된 감사로그 압축 파일들을 관리자 PC로 전송할 수 있

다. 시스템이 손실방지 모드로 동작할 경우 인가된 관리자는 로그저장소에 보관된 감사로그 파

일들을 안전한 곳으로 이동시킨 후 삭제하여 장비의 디스크 공간을 확보해야 한다.

상태감시기능에 의해 로그저장소의 공간이 충분히 (기본값 : 저장소 사용량 97%) 확보된 것이

확인되면, 정지되었던 기능들을 자동으로 재시동한다.

(5) 감사로그 경보 (SA-ALT)

TOE는 [표 6-5]의 보안사건에 대해서 경보(Alert) 메시지를 생성해서 보낼 수 있도록 지원한다.



[표 6-5] 감사대상 사건


FAU_ARP.1 급박한 보안위반으로 인하여 취해지는 대응행동 대응행동의 수신자 신원

FAU_SAA.1 분석 메커니즘의 동작개시와 동작정지, 도구에

의한 자동대응 -

FAU_SEL.1 감사 수집기능이 수행되는 동안에 발생한 감사

환경 설정의 변경 사항 -


FCS_CKM.2 행동의 성공과 실패 추정되는 수신지 신원


FCS_COP.1 암호 연산의 성공과 실패, 암호 연산의 유형 -

FDP_ACF.1 SFP에 의해서 다루어지는 객체에 대한 오퍼레이

션 수행 객체의 식별 정보

FDP_IFF.1 정보흐름 요청에 대한 결정 객체의 식별 정보

FIA_AFL.1

실패한 인증 시도의 한계치 도달과 취해진 대응

행동, 적절하다면, 이어서 일어나는 정상 상태로

의 회복

-

FIA_SOS.1 TSF에 의한 모든 시험된 비밀정보의 거부 -



FIA_UAU.4 인증데이터의 재사용 시도 -

FIA_UID.2 제공된 사용자 신원을 포함하여 사용자 식별 메

커니즘의 사용 실패 -

FMT_MOF.1 TSF 기능에 대한 모든 변경 -

FMT_MSA.1 보안속성값에 대한 모든 변경 변경된 보안속성값

FMT_MSA.2 보안속성값으로 제시된 모든 값과 거부된 모든

값 -

FMT_MTD.1 TSF 데이터 값에 대한 모든 변경 변경된 TSF 데이터 값

FMT_MTD.2 TSF 데이터 한계치에 대한 모든 변경 변경된 TSF 데이터 한계치

FMT_MTD.3 TSF 데이터로서 거부된 모든 값 -

FMT_SMF.1 관리기능 사용 -

FPT_SMR.1 역할을 분담하는 사용자 그룹에 대한 변경 -

FMT_TST.1 TSF 자체 시험의 실행과 시험 결과 무결성 위반시 변경된 TSF

데이터 혹은 실행 코드

FTA_SSL.1 세션 잠금 메커니즘에 의한 상호작용 세션의 잠

금, 상호작용 세션의 성공적인 잠금해제 -

FTA_SSL.3 세션 잠금 메커니즘에 의한 상호작용 세션의 종 -




료

FPT_ITC.1 안전한 채널 기능의 장애, 장애가 발생한 안전한

채널의 개시자와 대상의 식별

경보 메시지는 다음처럼 2가지 기준으로 지정할 수 있다.

경보 지정 기준:

사건 유형

로그ID 혹은 Rule ID

로그 ID – 보안사건의 식별정보

Rule ID – 침입차단 및 IPS 기능의 Rule ID

경보 메시지는 MMC를 통하여 경보 메시지 창에 표시되며, 관리자는 감사로그 경보의 대상이

되는 보안사건을 MMC를 통해서 설정할 수 있다.

경보로그 설정의 대상이 되는 감사로그메시지를 정리하면 [표 6-6]과 같다.

[표 6-6] 경보로그 설정대상 항목

보안사건 내용

침입차단 로그 침입차단 규칙에 따른 패킷필터링 로그

IPS 로그 IPS 기능의 동작에 따른 차단 로그

IPSec VPN 로그 IPSec VPN 서비스의 동작 및 협상관련 로그

식별 및 인증 로그 관리자의 로그인과 로그아웃, 보안기능의 정책설정 변경, 인

증 성공 및 실패 로그

시스템 로그

감사로그 백업관련 로그, 설정백업 및 복구관련 로그, 무결성

검사 관련 로그, 시스템 자원 및 로그저장소 임계치 검사 로

그, 네트워크 인터페이스 상태 검사 로그

(6) 감사로그 백업 (SA-BAK)

감사로그 백업 기능은 로그저장소에 있는 감사로그 백업과 관련하여 감사로그에 대한 압축과 보

관, 전송기능을 제공한다.

감사로그 보관 기능은 TOE에 저장되어 있는 로그파일 중에서 일정기간(기본값 1개월)이 지난

로그파일을 로그저장소로 년-월별 디렉터리에 일별로 구분하여 압축한 후 저장하는 것을 말한

다. 감사로그 보관 기능은 시스템 내에서 설정된 주기마다 수행하는 자동보관과 관리자가 MMC

를 통해서 직접 지정된 기간의 감사로그에 대해 백업명령을 수행하는 수동 보관을 지원한다.



수동 백업기능은 로그파일을 보관할 때 관리자가 직접 암호를 지정할 수 있으며, 암호가 지정되

면 압축과 동시에 로그파일을 암호화하여 보관하고, 지정하지 않았을 경우에는 압축한 후 그대

로 보관한다.

자동 및 수동 백업기능에 의해 로그저장소에 보관되어있는 감사로그파일은 관리자의 요청에 따

라 MMC를 통해서 관리자 PC로 전송할 수 있다. 백업로그 전송 기능은 보관된 감사로그 백업

파일을 관리자의 PC로 안전한 채널을 통하여 수동 전송하는 기능이다. 또한 감사로그 백업 관

리기능은 인가된 관리자에게 MMC를 통해서 감사로그 백업파일에 대한 삭제 기능을 제공한다.

(7) 만족하는 보안 요구사항

FAU_ARP.1, FAU_SAA.1, FAU_GEN.1, FAU_SEL.1, FAU_SAR.1, FAU_SAR.3, FAU_STG.1,

FAU_STG.3, FAU_STG.4

6.1.2 IPSec VPN(VPN)

TOE는 관리자가 설정한 정책에 따라서 상대 VPN 통신 상대와 가상사설망을 구성하여, 이를 통

하여 통신라인상의 사용자의 데이터를 보호한다.

(1) 협상정책 설정 (VPN-POL)

협상정책 설정 기능은 관리자가 MMC를 통해서 협상상대방과 협상할 정책에 대한 설정기능을

지원한다.

관리자는 MMC를 통해서 IPSec VPN 서비스의 기본환경을 설정을 설정할 수 있다. 기본환경으

로는 ISAKMP 포트번호 또는 NAT-Traversal 포트번호, 재협상횟수와 주기 옵션을 지원한다.

IPSec VPN 서비스는 IPSec 교환이 NAT 장비를 통해 IP헤더의 정보가 변경되더라도 서로 IKE

메시지 교환이 가능하도록 하는 방법인 NAT-Traversal(IETF RFC2715, INTERNET-DRAFT

draft-ietf-IPSec-nat-t-ike) 기능을 제공한다. 이를 위해 IPSec 프로토콜을 적용한 패킷을 UDP

로 캡슐화하는 방법(IETF RFC2715)이 사용된다.

SA 협상은 인증키, ISAKMP SA(Phase 1 협상), IPSec SA(Phase 2 협상)로 구성된다.

협상정책 설정기능은 MMC에게 협상 상대방을 인증하기 위한 인증키로 다음과 같이 2종류를 지

원한다.

Pre-shared Key



RSA 인증서

Pre-shared Key는 다음과 같은 조건의 문자열로 만들어 사용한다.

Pre-shared Key는 최소 7문자, 최대 15문자의 길이로 구성된다.

가능한 문자는 “a-z(26), A-Z(26), 0-9(10)”, 특수문자 ‘= ? & %’ 를 제외한 다음을

포함하여 총 89개이다. ( ! @ # $ ^ * ( ) _ + | ` - \ { } : ” < > [ ] ; ’ , . / )

Pre-shared Key는 첫 번째 자리는 고정으로 대소영문자 하나를 입력하여야 하고, 나

머지 자리에 하나의 숫자를 입력합니다. 그 외의 자리에는 89개의 문자 중에서 조합

하여 만든다.

Phase 1 협상에서 키 교환을 위한 채널을 생성하는 ISAKMP SA 협상을 위해 지원하는 옵션은

다음과 같다.

암호알고리즘: 3DES, AES, SEED

해쉬알고리즘: SHA2 (256), HAS160

DH Group: DH Group 2 (1024), DH Group 5 (1536), DH Group 14 (2048), DH

Group 15 (3072), DH Group 16 (4096)

2단계(Phase2)에서는 ISAKMP SA를 사용하여 IPSec SA의 생성과 IPSec 통신에 사용할 비밀키

를 생성한다. 이를 지원하는 IPSec SA 옵션은 다음과 같다.

암호알고리즘: 3DES, AES, SEED

인증알고리즘: SHA2 (256), HAS160

암호프로토콜: ESP

인증프로토콜: ESP, AH

PFS(Perfect Forward Security) Group: DH Group 2 (1024), DH Group 5 (1536), DH

Group 14 (2048), DH Group 15 (3072), DH Group 16 (4096)

협상정책 설정 기능은 MMC를 통해서 ISAKMP SA 협상이 완료된 이후에 협상상대방이 응답 가

능한 상태에 있는지를 지속적으로 확인할 수 있도록, IETF RFC2706에 명시된 트래픽 기반의

KeepAlive 방법인 DPD(Dead Peer Detection) 설정기능을 제공한다.

(2) SA 협상 (VPN-SAN)

SA 협상은 협상정책 설정 기능을 통해서 관리자가 설정한 정책을 이용하여 협상상대방과 SA

협상을 진행하고, 협상이 완료된 IPSec SA를 사용자 데이터 보호에 사용한다.

IPSec VPN의 Phase 1 협상에는 Main Mode, Aggressive 모드 2종류가 있으며 ISAKMP SA를 생

성하여 IKE 프로토콜을 이용한 협상과정을 보호한다. Phase 2에는 Quick Mode를 사용해서

IPSec SA를 생성하여 사용자 데이터를 보호한다.



협상이 완료된 SA 정보들은 사용자 데이터 보호를 위해 사용자가 전송하는 패킷에 적용한다.

(3) 사용자 데이터 보호 (VPN-SEC)

IPSec SA 협상이 완료되면 생성한 SA를 사용자 데이터에 적용하여 보호하는 역할을 담당한다.

IPSec VPN 서비스는 사용자 데이터를 보호하기 위해 ESP 프로토콜을 기본프로토콜로 사용한다.

추가적으로 AH프로토콜을 선택할 수 있는 기능을 제공한다.

IPSec VPN 서비스의 사용자 데이터 보호기능은 ESP 포로토콜을 사용하여 데이터의 암호화, 데

이터의 송신자 인증, 무결성 보장, 재전송 공격방지, 그리고 데이터 송수신자 비밀성 유지를 보

장하고 있다. 또한 AH 프로토콜을 사용하여 ESP 대신 사용자 데이터의 무결성을 보장하도록

선택할 수 있다.

사용자 데이터 보호 기능의 ESP 프로토콜에서 지원하는 암호 알고리즘은 다음과 같다.

SEED

3DES

AES (128)

사용자 데이터 보호 기능의 ESP 및 AH 프로토콜에서 지원하는 무결성 알고리즘은 다음과 같다.

HMAC-SHA2 (256)

HMAC-HAS160

사용자 데이터 보호 기능은 패킷을 압축하여 전송 효율을 높이도록 IPCOMP 프로토콜을 지원한

다. 이 기능은 IPSec 프로토콜을 적용하면서 생기는 효율성 측면에서의 문제점을 해결하기 위

해 사용한다. 즉, IPSec 프로토콜을 적용하면서 실질적으로 송/수신 되는 데이터의 양이 늘어나

게 되고 (암호화, 인증 데이터 추가, 새로운 헤더의 추가) 이로 인해 네트워크에 과부하가 걸리

는 것을 방지하기 위해 IPCOMP 프로토콜을 이용하여 패킷을 압축해서 전송한다.

너무 작은 크기의 패킷은 압축해도 효과가 없기 때문에 IPCOMP 프로토콜을 사용하도록 IKE가

협상을 했더라도 실제로 적용하지 않는다. 실질적으로 사용될 압축 알고리즘은 IKE 협상과정을

통해 결정되게 된다.

지원하는 압축 알고리즘은 다음과 같다.

DEFLATE (적용할 최소 크기 90바이트)



(4) 연결상태 관리 (VPN-CON)

협상이 완료된 IPSec SA 협상결과 정보를 확인하고, SA가 사용자 데이터에 적용된 현황을 보면

서 필요에 따라 협상 상태를 관리할 수 있다.

연결상태 관리기능은 IPSec SA의 연결상태 정보를 제공한다. 연결 상태 정보는 설정한 정책과

그 정책을 기반으로 협상한 결과, 협상결과(SA)를 실제 사용자 데이터에 적용한 결과를 포함한

다.

다음은 제공하는 SA 협상결과이다.

SA의 목적지 주소

터널을 구성하는 네트워크 주소

AH/ESP 알고리즘

IPCOMP 알고리즘

SA의 목적지 주소는 SA의 협상에 참여한 TOE나 협상상대방의 주소이다. IPSec 표준에서 SA는

단방향에만 적용되므로 하나의 터널을 완성하기 위해서는 2개의 SA가 생성된다.

다음은 사용자 데이터에 적용된 SA의 적용결과를 표시한다.

SA를 적용한 패킷의 개수, 바이트 수

남아있는 SA 유효시간

관리자는 다음과 같이 3가지의 명령으로 협상을 제어할 수 있다.

협상시작 명령 (enable)

협상종료 명령 (disable)

협상정보 수정 명령 (update)

(5) 만족하는 보안요구사항

FCS_CKM.1, FCS_CKM.2, FCS_CKM.4, FIA_UAU.2, FCS_COP.1, FDP_IFC.1, FDP_IFF.1(1),

FPT_RPL.1

6.1.3 침입차단기능(FW)

TOE는 침입차단 기능을 통하여 사전에 정의한 보안 정책에 의해 유입되는 모든 네트워크 트래픽

에 대한 접근통제 기능을 수행한다. TOE의 침입차단 기능은 Layer 3기반의 필터링을 통하여 각각

의 패킷 헤더에 포함된 정보를 통하여 해당 패킷을 허용, 거부 또는 포워딩할지의 여부를 결정한

다. 또한 ZONE을 기반으로 하여 MAC(강제적 접근제어) 기능을 제공한다.



(1) 패킷필터링 (FW-FIL)

시스템으로 들어오거나 통과하는 모든 패킷은 침입차단 기능의 패킷필터링 정책을 통과해야 한

다. 패킷필터링 보안 정책은 패킷필터링 규칙과 패킷의 헤더정보를 비교하여 허용(ACCEPT) 또

는 폐기(DROP)를 결정한다.

패킷이 패킷필터링 모듈에 들어오면 일치하는 “패킷필터링 규칙”을 찾아서 그 규칙의 내용에 따

라 다음과 같은 행동을 수행한다.

ACCEPT: 패킷필터링 규칙과 일치하는 해당 패킷을 허용(Accept)한다.

DROP: 패킷필터링 규칙과 일치하는 해당 패킷을 버린다(Drop).

패킷필터링은 내부적으로 두 부분으로 구분되어 동작한다. 같은 기능이지만 그 검사대상이 되는

패킷의 목적지가 시스템 자신이면 “서비스 접근제어” 필터링 규칙을 적용하고, 시스템을 통과하

는 패킷이면 “패킷필터링” 규칙을 적용한다.

시스템에 들어오고 나가는 패킷에 대하여 다음과 같은 정보들을 이용하여 패킷필터링 규칙을 생

성할 수 있다.

패킷필터링 규칙 설정 항목:

규칙 이름

대응행동

입력 인터페이스

출력 인터페이스

출발지

출발지 서비스

목적지

목적지 서비스

시간

로그

패킷의 목적지가 시스템 자신인 패킷은 “서비스 접근제어” 필터링 규칙과 비교하고, 시스템 자

신이 아닌 패킷은 “패킷필터링”의 규칙과 비교한다. 모든 규칙들과 비교하여도 일치하는 규칙을

찾을 수 없을 경우 “서비스 접근제어”, “패킷필터링” 기능에 부여된 기본정책을 따르며, 기본정

책으로 ACCEPT 또는 DROP을 설정할 수 있다.

패킷필터링 기능은 사전에 정의된 패킷필터링 보안정책이 없어서 규칙이 존재하지 않는 경우 기



본(default) 정책으로 모든 패킷에 대해 DROP하도록 되어있다. 사전에 보안정책이 정의되어 있

어도 시스템을 통과하는 패킷과 일치하는 규칙이 없다면 기본정책인 DROP이 적용된다. 따라서

사용자들이 필요한 서비스를 사용하도록 하려면 그 서비스를 허용하는 규칙을 추가해야 한다.

패킷필터링 정책을 적용하기 위해 패킷의 in/out 되는 인터페이스에 해당하는 정책이 설정되어

야 한다. 패킷이 해당 인터페이스를 통해 들어오거나(in) 나가는(out) 경우 인터페이스에 매핑된

패킷필터링 보안정책의 순서대로 패킷을 점검하여 패킷의 처리를 결정한다.

관리자는 MMC를 통해서 규칙을 설정할 때 적용순서를 설정할 수 있으며, 규칙들은 앞쪽에 존

재하는 규칙들이 먼저 적용된다. 따라서 여러 개의 규칙에 적용될 수 있는 패킷이 들어오더라도

앞쪽에 존재하는 규칙에 의해 버려지거나 통과될 경우 뒤쪽의 규칙은 적용되지 않는다.

시스템을 통과하는 패킷에 대해서는 패킷필터링 규칙이 적용되지만 시스템으로 들어오거나 시스

템에서 생성되어 외부로 전송되는 패킷에 대해서는 패킷필터링 기능의 일부로써 서비스 접근제

어 기능을 제공한다.

서비스 접근제어는 시스템에서 제공하는 서비스나 시스템에서 필요로하는 외부의 서비스에 접근

하기 위한 필터링 규칙을 제어한다.

(2) 주소변환 (FW-NAT)

주소변환 기능은 내부의 신뢰된 네트워크 정보를 숨기기 위해 내부의 주소를 변환하여 실제 네

트워크 주소가 외부로 공개되지 않게 하는 기능을 제공한다. 주소변환 기능에는 NAPT, DNAT,

SNAT가 있으며 [표 6-7]과 같다.

[표 6-7] 주소변환 기능

기능 내용

NAPT 내부 네트워크에서 외부 네트워크로 접속 시 내부(출발지)의 패킷 정보

를 변경한다.

DNAT 외부 네트워크에서 내부 네트워크로 접속 시 외부 IT 실체가 내부(목적

지) IT 실체의 주소를 알지 못해도 접속할 수 있게 한다.

SNAT 내부 네트워크에서 외부 네트워크로 접속 시 내부(출발지) IT 실체의 주

소와 포트를 외부에서 알 수 있는 주소와 포트로 변경한다.

주소변환 규칙은 하나의 외부주소에 하나의 내부주소를 변환하는 1:1, 여러 개의 내부주소를 변

환하는 1:N, 여러 개의 외부주소에 하나의 내부주소를 변환하는 N:1, 여러 개의 내부주소를 변

환하는 N:N을 지원한다.

주소변환 기능은 다음과 같은 패킷의 정보를 이용하여 규칙을 생성할 수 있다.



주소변환 규칙:

주소변환 규칙 이름

유형

출발지

출발지 서비스

목적지

목적지 서비스

NAT 네트워크

NAT 서비스

NAT 인터페이스

시간

로그

설명

(3) 유해사이트 차단 (FW-HRM)

유해사이트 차단 기능은 시스템을 경유하는 웹서비스(포트 80, TCP)에 대해서 유해사이트DB를

이용하여 차단하는 기능을 제공한다. 유해사이트 차단 기능은 정보통신윤리위원회에서 제공하는

URL들에 대한 등급정보(이하 “정통윤DB”라고 부른다)를 이용하여 청소년들에게 유해한 사이트

를 차단하는 기능과 인가된 관리자가 등록한 URL 정보를 이용한 차단, PICS Label을 기준으로

한 차단이 가능하다. 정통윤DB는 해외의 특정 URL들에 대해 폭력성, 음란성 등에 따른 [표 6-

8]과 같은 등급이 매겨져 있다

[표 6-8] 정보통신윤리위원회 등급기준

등급 노출 성행위 폭력 언어 기타

4등급 성기노출 성범죄 또는 노

골적인 성행위 잔인한 살해

노골적이고 외설

적인 비속어 마약사용조장

무기사용조장

도박 3등급 전신노출 노골적이지 않

은 성행위 살해 심한 비속어

2등급 부분노출 착의상태의 성

적접촉 상해 거친 비속어

음주조장

흡연조장 1등급 노출복장 격렬한 키스 격투 일상 비속어

0등급 노출없음 성행위 없음 폭력없음 비속어 없음

시스템을 경유하는 웹서비스 요청(HTTP REQUEST) 패킷들은 그 URL을 추출하여 정통윤DB의

URL과 비교하여 일치하면, 그 URL에 매겨진 등급과 관리자가 지정한 등급을 비교하여 접속의

허가와 거부여부를 결정한다.



유해사이트 차단 기능은 관리자가 MMC를 통해서 설정한 URL에 대한 차단 기능을 제공한다.

시스템을 경유하는 웹서비스 요청은 관리자가 MMC를 통해서 등록한 차단URL 정보와 비교되어

허용되지 않은 웹사이트에 대한 접근을 차단한다.

시스템을 경유하는 웹서비스 요청에 대한 응답(HTTP RESPONSE) 패킷들은 패킷에 포함된 웹페

이지의 PICS Label의 값에 따라 MMC를 통해서 지정된 등급과 비교하여 차단 여부를 결정한다.

웹서비스 요청 혹은 응답이 차단되면 사용자에게는 차단메시지가 전달되고, 웹서버에게는 연결

종료 패킷이 전달된다.

정통윤DB와 관리자가 등록한 URL 정보는 유해사이트DB를 통하여 안전하게 관리되며, MMC를

통해서 최신 정통윤DB의 업그레이드가 가능한다.

(4) ZONE 필터링 (FW-ZON)

TOE는 ZONE 필터링 기능을 통한 강제적 접근 통제를 지원한다. ZONE은 특정 네트워크를 등

급을 포함하여 정의한 것으로, 시스템을 통과하는 패킷의 출발지, 목적지 주소에 대응되는

ZONE등급을 확인하여 등급이 낮은 ZONE 영역으로부터 보다 높은 등급의 네트워크 ZONE에

대한 접근을 제한하는 기능이다.

ZONE의 보안등급은 1~10까지의 정수를 사용하고, 숫자가 작을수록 보안등급이 높다. 시스템을

통과하는 모든 패킷은 인가된 관리자가 MMC를 통해서 설정한 ZONE 필터링 정책에 따라서 점

검이 되어, 보안등급이 같거나 낮은 등급의 ZONE으로 통과할 수 있으니 반대쪽으로는 세션이

존재해야 통과할 수 있다.

ZONE을 구성하는 정보는 다음과 같다.

ZONE 구성 정보:

인터페이스

HOST 이름 : 망 객체

보안등급

로그

ZONE에 대한 이름, 설명

(5) 세션 관리 (FW-SES)

세션관리 기능은 현재 활성화 되어 있는 세션에 대한 확인 및 관리기능을 제공한다. 세션관리

기능은 현재 침입차단 기능의 세션관리 기능에 활성화되어 있는 세션 정보에 대한 확인과 모니



터링 및 세션의 시작과 종료 로그메시지를 기록하는 기능을 지원한다.

관리자는 MMC를 통해서 세션관리 기능의 세션 정보를 전체 삭제(FLUSH)할 수 있다.

생성되는 세션과 삭제되는 세션은 모두 감사로그로 생성되어 로그저장소에 저장되어, 인가된 관

리자에 의해서 검토될 수 있다.


FDP_ACC.2, FDP_ACF.1, FDP_IFC.2(1), FDP_IFC.2(2), FDP_IFF.1(2), FDP_IFF.1(3),

FPR_PSE.1

6.1.4 식별 및 인증(IA)

식별 및 인증기능은 보안기능에 대한 접근을 권한 등급에 따른 관리자의 식별 및 인증을 통하여

수행이 가능하도록 통제한다. 식별 및 인증은 다음과 같은 행동 이전에 이루어진다.

관리자가 보안관리를 위하여 GUI 또는 CLI를 통해서 접속을 허용하기 전

식별 및 인증을 위해서 관리자 계정관리, 인증, 인증실패 관리 및 인증세션 관리 기능을 제공한다.

(1) 관리자 계정 관리 (IA-ADM)

관리자는 보안기능에 대한 관리를 위한 관리자를 접근권한에 따라서 수퍼관리자, 보안관리자 및

모니터링관리자의 3가지 등급으로 구분하여 관리하며, 각 등급별로 수행할 수 있는 기능에서 차

이가 있다.

인가된 관리자는 [표 6-9]에서 설명된 바와 같이 권한 등급에 따라서 등급별로 수행할 수 있는

권한이 다르다. 수퍼관리자는 모든 보안기능 및 관리자 계정관리 권한을 가지며, 설치시점에 ID

를 부여할 수 있다. 보안관리자는 관리자 계정관리를 제외한 보안기능에 대해 설정된 접근제어

정책에 따라서 허용된 보안기능의 수행이 가능하며, 모니터링관리자는 제한된 범위의 보안기능

에 대한 조회가 가능하다.

[표 6-9] 관리자 권한 등급

권한 등급 기본 ID 권한에 따른 기능 설명

수퍼관리자 sysadmin 수퍼관리자 아이디는 삭제할 수 없고 오직 하나만 존재

할 수 있다. 아이디의 이름은 수정이 가능하다.



보안관리자와 모니터링관리자를 추가/수정/삭제할 수 있

다.

모든 보안정책에 대한 설정 권한과 관리자 정보에 대한

설정 권한을 갖는다.

보안관리자와 모니터링관리자에게 보안정책에 대한 접

근권한을 지정할 수 있다.

수퍼관리자의 아이디로 다중 접속할 수 있다.

보안관리자 임의생성

수퍼관리자가 생성할 수 있다.

보안관리자는 자신의 계정정보에서 아이디, 권한등급,

잠금 및 정지상태, 접속 가능한 주소를 제외한 나머지

정보를 수정할 수 있다. 다른 관리자의 정보에 접근할

수 없다.

수퍼관리자가 지정한 보안정책에 대한 설정 권한을 갖

는다.

모니터링관리자 임의생성

수퍼관리자가 생성한다.

수퍼관리자가 지정한 정보에 대한 읽기 권한만을 갖는

다.

모니터링관리자는 자신의 계정 정보에서 아이디, 권한등

급, 잠금 및 정지상태, 접속 가능한 주소를 제외한 다른

정보를 수정할 수 있다.

모든 관리자의 계정은 수퍼관리자 권한에 의해서만 생성될 수 있으며, 관리자의 ID는 [표 6-

10]의 조건을 만족해야 한다.

[표 6-10] 관리자 ID 생성 규칙

권한등급 생성규칙

수퍼관리자 기본 ID는 sysadmin이며, 제품의 설치시점에 지정할 수 있

음.

보안관리자

모니터링관리자

수퍼관리자에 의해서 지정되며, 3~20개 사이의 문자로 구

성되어야 함.

영문자 a-z(26개 문자), A-Z(26개 문자)와 숫자 0-9(10개

숫자)와 ‘-‘, ‘_’, ‘.’ 3개의 특수문자만을 사용할 수 있음

모든 관리자는 [표 6-11]과 같은 속성을 가진다. 일부 속성은 필수항목으로 수퍼관리자에 의해

서 관리자의 계정을 추가하거나, 수정할 경우 반드시 입력해야 한다.



[표 6-11] 관리자 속성

속성 설명

아이디 관리자의 아이디

이메일 주소 관리자의 이메일 주소

접근가능 주소 관리자별로 접근을 허용할 네트워크 주소를 지정한다.

기본값은 “0.0.0.0/0” 혹은 ANY 이다.

상태 관리자 계정의 상태

“정상”, “잠금”, “정지”의 3가지 상태

비밀번호 최소 7문자, 최대 15문자로 이루어진 문자열

보안정책에 대한 접

근제어

수퍼관리자가 설정할 수 있으며, 보안관리자와 모니터링관리자가 접근가

능한 기능의 목록

그룹 이름 관리자가 소속된 그룹의 이름

비밀번호의 유효기간

관리자의 비밀번호의 유효기간으로 주기적으로 비밀번호를 변경하도록

강재함.

일단위로 지정하거나 유효기간 만료일을 명시

기타 아이디를 소유한 관리자의 소속 부서, 직책, 전화번호, 소유자에 대한 부

가적인 설명

관리자의 비밀번호는 다음의 조건을 만족해야 한다.

관리자 비밀번호 허용 규칙:

비밀번호는 최소 7문자, 최대 15문자의 길이로 구성된다.

가능한 문자는 a-z(26개), A-Z(26개), 0-9(10개) 와 다음의 특수문자 27개를 포함하

여 총 89개이다.

! @ # $ ^ * ( ) _ + | ` - \ { } : ” < > [ ] ; ’ , . /

비밀번호의 첫 번째 자리는 영문자 대, 소문자로 시작해야 하며, 하나 이상의 숫자를

포함하여 총 89개의 문자를 조합해서 만든다.

최대 비밀번호 사용 기간은 1일부터 60일(기본값 30일)의 범위에서 설정할 수 있다.

TOE는 보안정책 관리기능에 대한 접근제어는 수퍼관리자에 의해서 보안관리자와 모니터링관리

자에게 부여할 수 있으며, 관리자 속성 중에서 “보안정책에 대한 접근제어”필드를 이용하여 해

당 정보가 관리된다. 설정할 수 있는 보안정책 관리기능은 다음과 같다.

관리권한 위임 가능한 보안정책:

Firewall

IPSec VPN

유해사이트차단



IPS

(2) 인증 (IA-PWD)

관리자가 TOE에 접근하려고 할 때 인증을 수행하게 되며, 기본적으로 ID와 비밀번호를 이용한

인증을 수행한다.

인증 기능은 인증이 진행되는 동안 인증을 시도하는 관리자에게 모조 비밀번호 및 인증 실패에

대한 메시지만을 제공함으로써 인증 피드백 보호 기능을 제공한다.

(3) 인증실패 관리 (IA-MAL)

TOE는 불법적인 접근 시도를 예방하기 위하여 반복적인 인증실패에 대하여 대응이 가능하도록

지원한다. MMC는 관리자의 인증시도가 실패할 경우 인증 실패 메시지를 보여주며, 수퍼관리자

가 설정한 인증실패허용횟수보다 더 많이 실패할 경우 해당 관리자의 계정의 상태변경을 통해서

인증시도를 차단하게 된다. 관리자계정의 상태는 [표 6-12]과 같이 ‘정상’, ‘잠금’, ‘정지’의 3가

지 상태를 갖는다.

[표 6-12] 계정 상태

상태 설명

정상

허용된 네트워크로부터의 접속에 아무런 제한이 없다.

인증시도가 일정시간(기본 5분) 안에 일정횟수만큼(기본 3회) 실패하면

‘잠금’ 상태로 변경된다.

수퍼관리자는 인증이 실패하더라도 ‘잠금’ 혹은 ‘정지’ 상태가 되지 않

는다.

잠금

‘잠금’ 상태가 된 시점부터 일정시간(기본 5분)동안 로그인이 제한된다.

해당 시간 경과 후 ‘정상’ 상태로 다시 변경 된다.

‘잠금’ 상태가 일정시간(기본 1시간)안에 일정횟수(기본 3회) 이상 발생

할 경우 ‘정지’ 상태가 된다.

정지 ‘정지’ 상태인 계정은 수퍼관리자에 의해 ‘정상’ 상태로 전환할 때까지

접속이 제한된다. (로그인 불가)

수퍼관리자는 ‘잠금’ 및 ‘정지’ 상태가 발생하는 실패횟수 및 상태가 유지되는 시간을 설정할 수

있다. ‘잠금’ 및 ‘정지’ 상태로의 변경은 보안관리자 및 모니터링관리자 등급에 대해서만 적용되

며, 수퍼관리자는 항상 ‘정상’ 상태로 유지된다.

식별 및 인증기능은 관리자가 접근할 수 있는 네트워크주소를 관리자 별로 지정하여 인증시도

자체를 차단할 수 있도록 지원한다. 수퍼관리자는 MMC의 관리자 계정관리 기능을 통하여 접근

허용 네트워크 주소를 지정, 변경, 삭제할 수 있다.



(4) 인증세션 관리 (IA-SES)

수퍼관리자는 현재 시스템에 접속한 관리자들의 세션 정보를 확인하고, 상태에 따라서 MMC를

통해서 해당 세션을 강제종료할 수 있다.

인증 세션관리 기능은 인증된 세션에 대해서 아무런 행동하지 않을 경우, 접속 시간을 계산하여

인가된 관리자가 설정한 시간을 초과하면 해당 관리자의 세션을 삭제하여 재인증을 한 이후에

TOE에 대한 접근이 가능하도록 한다.


FIA_AFL.1, FAU_ATD.1, FIA_SOS.1, FIA_UAU.2, FIA_UAU.4, FIA_UAU.7, FIA_UID.2, FTA_SSL.1,

FTA_SSL.3, FPT_RPL.1

6.1.5 정책 관리(PC)

TOE는 인가된 관리자만이 식별 및 인증과정을 거친 후 정책관리 기능에 접근할 수 있으므로,

시스템 재시동, 종료와 같은 TSF 기능에 대한 제어, 보안정책 관리 권한은 인가된 관리자에 한

하여 제공된다. 인가된 관리자는 TOE에 접근하기 위한 방법으로 Web 인터페이스인 TESS UTM

MMC(GUI)와 CLI를 통한 접근이 가능하다.

정책관리에는 IPSec VPN 정책관리, 침입차단 정책관리, 감사로그 정책관리, 식별 및 인증정책

관리, 시스템 설정, 네트워크 인터페이스 관리, 모니터링 정책 관리, 무결성 정책관리, 백업 및

복구, 인증서 관리 기능을 제공한다. 관리자는 식별 및 인증을 거쳐 로그인 한 후 로그인한 관

리자의 보안 레벨 및 권한에 따라 보안기능을 관리하고 안전하게 TSF 데이터를 관리하는 일련

의 기능들을 수행할 수 있다

(1) VPN 정책 관리 (PC-VPP)

VPN 정책관리 기능은 인가된 관리자가 IPSec VPN의 원활한 운영을 위해서 IPSec VPN 정책을

설정하고, 적용할 수 있는 인터페이스를 제공한다.

VPN 정책은 MMC에서 제공하는 Base Option, Key Management, Proposal, Connection 인터페

이스를 통해 설정하며 IPSec VPN 서비스에게 설정 내용을 전달하여 다른 Security Gateway 장

비와 SA를 협상하도록 한다. 설정된 정책은 MMC를 통해 확인 가능하다.

인가된 관리자는 IPSec VPN 기능에서 MMC를 통해서 제공하는 SA 협상결과와 사용자 데이터

에 대해 VPN 정책이 적용된 결과를 확인할 수 있으며, 연결상태를 관리할 수 있다.



(2) 침입차단 정책 관리 (PC-FWP)

수퍼관리자, 보안관리자는 침입차단 정책을 관리할 수 있다. 침입차단 정책관리 기능은 패킷필

터링 규칙 관리, 주소변환 규칙 관리, 유해사이트 차단규칙 관리 및 ZONE 필터링 규칙 관리 및

세션관리 기능이 포함된다.

패킷필터링 정책을 수립하기 위해 먼저 객체에 대한 설정이 필요한다. 인가된 관리자는 망, 서

비스, 프로토콜, 시간 객체를 설정한 후 패킷필터링, 주소변환, ZONE 필터링 규칙 설정 항목의

값으로 선택한다.

침입차단 정책관리 기능은 패킷필터링 정책을 추가, 변경, 삭제, 조회할 수 있는 인터페이스를

제공한다. 침입차단 정책관리 기능은 인가된 관리자에 의해서 입력된 패킷필터링 정책의 속성이

해당 시점에 존재하는 정책과 중복되지 않는지 검사하며, 중복되는 정책이 없는 경우 관리자가

입력한 패킷필터링 보안 정책 속성값을 이용하여 패킷필터링 정책을 침입차단 시스템의 패킷필

터링 규칙으로 추가한다.

침입차단 정책 관리기능은 주소변환 정책을 추가, 변경, 삭제, 조회할 수 있는 기능을 제공한다.

인가된 관리자는 MMC의 인터페이스를 통하여 주소변환정책을 생성할 수 있으며, MMC는 관리

자로부터 입력 받은 주소변환규칙이 기존에 존재하는 규칙과 중복되지 않는지의 여부를 검사한

후, 중복되는 정책이 없는 경우 관리자 입력한 규칙을 이용하여 주소변환정책을 추가한다.

침입차단 정책 관리 기능은 유해사이트 차단을 위한 규칙을 관리자가 추가, 삭제, 변경할 수 있

는 인터페이스를 제공한다. 인가된 관리자는 MMC의 인터페이스를 통하여 유해사이트의 URL을

입력하고, 이를 기반으로 HTTP를 통한 유해사이트의 접속을 원천적으로 차단할 수 있도록 한다.

MMC가 제공하는 유해사이트 차단 기능은 정보통신윤리위원회 유해사이트 차단 목록 DB와 관

리자가 정의한 URL을 기반으로 한 차단 기능을 모두 지원한다.

침입차단 정책 관리 기능은 ZONE 필터링을 통한 완전한 접근통제 기능을 지원한다. ZONE은

보안등급을 가진 네트워크 그룹을 정의한 객체로 지정된 보안등급에 따라서 해당 네트워크로의

접근을 원천적으로 차단할 수 있도록 한다. ZONE에 부여되는 보안등급은 1~10까지의 양의 정

수값을 가지며, 숫자가 작을수록 보안등급이 높다. TOE는 ZONE 필터링 규칙에 따라서 보안등

급이 같거나 낮은 등급의 ZONE으로 향하는 패킷을 통과시키며, 반대방향으로는 세션이 존재하

는 경우에만 통과할 수 있도록 허용한다.

(3) 감사로그 정책 관리 (PC-SAP)

MMC는 인가된 관리자에 대해 감사로그 정책에 대한 관리 인터페이스를 제공한다. 인가된 관리

자는 MMC의 인터페이스를 통하여 감사로그 정책을 관리할 수 있다.



MMC는 식별 및 인증, 보안 관리를 제외한 침입차단, IPSec VPN, 유해사이트 차단, 시스템 세션

의 감사로그의 생성여부를 설정할 수 있는 인터페이스를 제공한다.

식별 및 인증, 보안 관리에 관한 감사로그를 제외한 침입차단, IPSec VPN, 유해사이트 차단, 시

스템 세션에 대한 감사로그는 선택적으로 기록이 가능하다.

인가된 관리자는 MMC를 통해 생성된 감사 데이터를 조회(검색/정렬/통계), 분석 및 통합하여서

관리할 수 있다.

MMC는 인가된 관리자에게 실시간으로 감사로그를 검색할 수 있는 기능을 제공한다. 또한, 로

그저장소에 기록되어있는 감사로그를 유형별, 시간별로 조회하고 검색할 수 있는 기능을 제공한

다.

관리자는 감사로그 경보의 대상이 되는 보안사건을 설정할 수 있고, 설정된 경보메시지는 MMC

에서 확인한다.

(4) 식별 및 인증 관리 (PC-IAP)

TOE는 인가된 관리자에 대해 식별 및 인증 기능에 대한 관리 인터페이스를 제공한다. 인가된

관리자는 MMC에서 제공하는 인터페이스를 통하여 식별 및 인증 정책을 관리할 수 있다.

수퍼관리자는 MMC를 통해서 보안관리자, 모니터링관리자의 계정을 추가, 수정, 삭제할 수 있다.

수퍼관리자에게는 보안관리자, 모니터링관리자의 ‘잠금’ 및 ‘정지’ 상태가 발생하는 실패횟수 및

상태가 유지되는 시간을 설정 기능을 제공한다. 또한 수퍼관리자는 보안관리자, 모니터링관리자

의 계정 상태를 변경할 수 있다.

GUI는 현재 시스템에 접속한 관리자들의 세션 정보를 보여주고, 상태에 따라서 해당 세션을 강

제종료할 수 있는 기능을 제공한다.

수퍼관리자는 인증된 관리자가 세션에 대해서 아무런 행동하지 않을 경우 해당 관리자 세션을

삭제하여 재인증을 거치도록 비활동 허용시간을 설정할 수 있다.

(5) 시스템 관리 (PC-SYS)

시스템 관리 기능은 인가된 관리자가 시스템의 기본기능에 대해 확인 또는 설정할 수 있는 인터

페이스를 제공한다. 인가된 관리자는 MMC가 제공하는 인터페이스를 통해 [표 6-13]의 시스템

설정기능을 수행할 수 있다.



[표 6-13] 시스템 설정 기능

범주 기능

시스템 정보 조회

장비이름, 모델이름 및 버전 정보

장비 시리얼 번호

장비 운용 시간

시간 설정 NTP 설정을 통한 시간 동기화

관리자에 의한 시간 설정

시스템 제어 시스템 설정 초기화(Factory Reset)

Reboot/Shutdown

서비스 제어

침입차단, IPSec VPN, IPS, 유해사이트 차단 서비스의 시작,

종료

Syslog 재시작

MMC는 시스템의 주요 정보에 대한 조회가 가능한 인터페이스를 제공한다. 인가된 관리자는

MMC의 인터페이스를 통하여 장비이름, 모델이름 및 버전 정보, 장비 시리얼 번호 등의 정보와

장비 운용 시간을 조회할 수 있다.

MMC는 신뢰할 만한 NTP 서버에서 시간을 받아오거나, 관리자의 설정을 통해서 시스템의 표준

시각을 설정할 수 있는 인터페이스를 제공한다. 인가된 관리자는 MMC의 인터페이스를 통하여

최대 2개까지의 NTP서버를 등록할 수 있으며, 스케쥴러는 설정된 NTP정보를 이용하여 주기적

으로 실행되어 시스템의 시간을 유지한다. 필요에 따라서 관리자는 시스템의 시각을 직접 설정

할 수 있다.

MMC는 시스템을 제어할 수 있는 인터페이스를 제공한다. 시스템 관리 기능에서 제공하는 시스

템 제어기능에는 [표 6-14]과 같이 설정 초기화(Factory Reset), Reboot, Shutdown 기능이 있

다.

[표 6-14] 시스템 제어 기능

범주 기능

Factory Reset 시스템의 상태를 최초 시스템의 배포 시점으로 되돌린다.

Reboot

시스템을 재기동 한다.

재기동을 위한 옵션으로는 기본 설정값(current version)으

로 재기동 과 이전 설정값(Backup)을 이용한 재기동이 있

다.

대부분의 경우 current version으로 재기동을 수행하나, 설

정의 문제가 있을 경우 previous version으로 재기동 할 수



있다.

Shutdown 시스템을 종료한다.

MMC는 각 보안 서비스에 대한 제어가 가능한 인터페이스를 제공한다. 인가된 관리자는 MMC

가 제공하는 인터페이스를 통하여 침입차단, IPSec VPN, IPS, 유해사이트 차단 기능에 대해서

시작과 종료를 수행할 수 있고, 감사로그 생성 기능을 재시작할 수 있다.

(6) 네트워크 인터페이스 설정 (PC-NIC)

네트워크 인터페이스 설정 기능은 인가된 관리자가 네트워크 인터페이스에 대한 설정과 관리할

수 있는 기능을 제공한다. 인가된 관리자는 MMC가 제공하는 인터페이스를 통하여 [표 2-17]

와 같은 네트워크 인터페이스 정보에 대한 관리가 가능하다.

[표 6-15] 네트워크 인터페이스 정보

설정 정보 설명

전송 모드

Interface link speed 설정함

일반적으로 장비 사이에서 자동으로 협상(auto-negotiation)하지

만, 특수한 경우 상대 장비와 같게 선택해 주어야 한다.

Auto-negotiation(기본값), 10M FD/HD, 100M FD/HD, 1000M FD

종류

STATIC, DHCP 에 대한 유형을 지원하며, 라인 유형에 따라서

적합한 값을 설정해 주어야 한다.

STATIC: n.n.n.n/m 형식의 주소

DHCP

MAC 주소 선택한 네트워크 인터페이스의 MAC Address를 보여줌

현재값을 확인만 가능하며, 인가된 관리자도 변경할 수 없음.

연결 상태

선택한 네트워크 인터페이스의 연결 상태를 보여줌

네트워크 인터페이스로 적절한 전기 신호가 들어올 경우 Up, 아

니면 Down으로 표시됨.

인가된 관리자는 네트워크 인터페이스의 사용여부를 결정할 수

있음.

가상 IP 네트워크 인터페이스 기본 주소 외에 하나 이상의 가상 IP를 설

정할 수 있음.

(7) 모니터링 정책관리 (PC-MON)

TOE는 인가된 관리자 모니터링 정책을 관리할 수 있는 인터페이스를 제공한다. 인가된 관리자

는 TOE가 제공하는 인터페이스를 통하여 [표 6-16]과 같은 모니터링 항목에 대한 조회, 정책

설정을 할 수 있다.



[표 6-16] 모니터링 정보

모니터링 정보 설명

리소스 사용량

CPU, 메모리, 로그저장소에 대한 모니터링

각 리소스의 사용량을 실시간으로 모니터링 할 수 있음.

인가된 관리자는 모니터링을 위한 주기를 설정 가능함.

시스템 트래픽

사용하는 네트워크 인터페이스별 트래픽을 그래프를 통해 모니

터링 가능함.

네트워크 인터페이스별 트래픽은 시간에 따라 pps 또는 bps값

으로 조회 가능함.

인가된 관리자는 트래픽 그래프의 업데이트 주기를 설정 가능

함.

MMC는 인가된 관리자가 시스템 세션, 침입차단, IPS, 경보를 실시간 모니터링할 수 있는 인터

페이스를 제공한다. 인가된 관리자는 모니터링을 위한 정책설정이 가능하며, 모니터링 정보를

시간 및 사건의 유형 등의 조건에 따라 검색할 수 있다.

MMC는 CPU, 메모리, 로그저장소 및 네트워크 인터페이스의 트래픽 상태에 대한 감시결과를

받아서 운영 중에 주기적으로 혹은 인가된 관리자의 요청에 따라 이를 모니터링할 수 있도록 하

여 비정상적인 동작을 방지할 수 있도록 지원한다. 시스템 리소스 상태가 비정상적인 수준에 도

달할 경우, 감사로그 손실방지 기능 혹은 시스템 감시기능은 로그메시지를 생성하며, 경보로그

설정이 되어있을 경우 경보로그 인터페이스를 통해서도 관리자가 확인할 수 있도록 한다.

시스템 감시 기준은 주의수준(Warning Level)과 위험수준(Critical Level)의 2단계로 정의되며, 해

당 수준에 도달할 경우 로그메시지를 생성하게 된다. 로그메시지 생성을 위하여 기본적으로 설

정된 수준은 [표 6-17]와 같으며, 인가된 관리자는 MMC의 인터페이스를 통하여 로그메시지

레벨을 설정할 수 있도록 지원한다.

[표 6-17] 감시 수준의 기본값

감시 대상 주의 수준(Warning Level) 위험 수준(Critical Level)

CPU 90 % 97 %

메모리 90 % 97 %

로그저장소 90 % 97 %

네트워크 인터페이스 bps/pps 단위로 관리자가 설정

감시대상 중에서 로그저장소의 경우는 위험수준에 도달할 경우 단순히 로그메시지를 기록할 뿐

만 아니라 감사로그 손실방지 기능의 동작에 따라서 시스템을 손실방지 모드로 동작시키게 된다.



인가된 관리자는 MMC를 통해서 시스템 감시 기능에서 생성한 정보를 받아서 현재상태를 확인

할 수 있다.

(8) 무결성 정책 관리 (PC-ITG)

무결성 정책 관리 기능은 보안 기능의 정확한 운영을 입증하기 위하여 시스템의 모든 소프트웨

어와 데이터에 정규적인 방법을 통하지 않은 변화가 발생했을 때 무결성 검사를 통하여 이를 탐

지할 수 있도록 지원한다. 이를 통하여 인가되지 않은 자에 의한 임의적인 장비 조작, 변경을

탐지하여 관리자가 적절히 대응함으로써 피해를 최소화할 수 있도록 지원한다. 무결성 검사의

대상은 다음과 같다.

무결성 검사대상:

장비의 Flash 영역에 저장되어 있는 커널 이미지와 파일 시스템 이미지

설치된 파일 시스템 이미지의 바이너리와 설정파일

무결성 검사는 시스템 내부 파일에 대한 무결성 해쉬값을 생성하여, 저장되어 있는 해쉬값과 비

교함으로써 변경여부를 판단하는 방식으로 수행한다. 무결성 검사를 위한 해쉬값은 SHA2 해쉬

알고리즘을 사용하여, 이미지를 설치하거나 업그레이드할 때 이미지에 포함되어 적용된다. 적용

된 해쉬값을 통한 무결성 검사 시기는 다음과 같다.

무결성 검사 시기:

장비의 부팅 시점

장비의 운용 기간 중 인가된 관리자가 설정한 주기마다

수퍼관리자, 보안관리자의 요구 시점

무결성 검사의 결과 무결성이 손상된 경우, CRITICAL 레벨의 감사로그를 생성하고, 인가된 관리

자에게 경보 메시지를 보낸다.

(9) 백업 및 복구 (PC-BAK)

백업 및 복구 기능은 감사로그의 보호를 위하여 감사로그를 백업하는 기능과 설정파일에 대한

백업 및 복구기능을 제공한다. 인가된 관리자는 MMC의 인터페이스를 통하여 백업을 위한 환경

설정 및 정책관리를 할 수 있다.

인가된 관리자는 MMC에서 제공하는 백업 및 복구 인터페이스를 통해서 감사로그 백업 모듈에

게 감사로그에 대한 보관 및 백업된 감사로그에 대한 관리자 PC로 전송을 요청할 수 있다.

설정파일에 대한 백업 및 시스템에 대한 적용을 위한 인터페이스를 지원한다. 제품 설치시점에



시스템의 운영환경에 대한 환경설정 정보는 설정파일의 형태로 존재하며, 설정 파일은 필요에

따라서 하드디스크의 설정저장소로 백업 및 복구가 가능하도록 지원한다.

인가된 관리자는 MMC의 인터페이스를 통하여 설정파일을 백업할 수 있다. 설정 파일은 하나

이상이 존재할 수 있으며, 관리자의 선택에 의해 시스템에 재 반영될 수 있도록 지원한다.

백업 및 복구 인터페이스를 통해서 백업된 설정파일들은 관리자 PC로 전송할 수 있으며, 관리

자 PC에 보관되어 있는 설정파일을 시스템의 설정저장소로 다운로드하여 시스템에 재 반영할

수 있다.

(10) 인증서 관리 (PC-CRT)

TOE는 IPSec VPN의 협상 상대방 혹은 VPN 게이트웨이 간에 식별 및 인증을 위해 RSA 인증서

를 사용한다. 또한 라이센스 요청서의 암호화를 위해 RSA 인증서를 사용한다.

MMC는 IPSec VPN에서 사용하는 RSA 인증서를 관리하는 기능을 가진다. 인증서(Certificate)는

VPN 터널 생성 시 협상 상대방에 대한 인증에 사용한다.

인증서 관리 인터페이스는 CA 서버로부터 인증서를 발급받기 위해 필요한 인증요청서

(PKCS#10 형식)의 생성, 만들어진 인증서의 등록, 인증서에 대한 인증여부를 판단할 사용하기

위한 CRL 정보의 등록 기능을 제공한다. 인증요청서 생성을 위해서 필요한 정보는 다음과 같다.

인증요청서 생성을 위해 필요한 정보:

키의 길이(Key bit): 1024, 2048, 4096비트. 기본값 1024비트

국가코드(Country): 한국은 KR. 두 글자의 영문자.

기관 이름(Organization)

부서 이름(Unit)

전자우편주소(Email)

Days : 인증서 유효기간

Name : 인증서 이름


FMT_MOF.1, FMT_MSA.1, FMT_MSA.2, FMT_MSA.3, FMT_SMR.1, FMT_MTD.1(1),

FMT_MTD.1(2), FMT_MTD.1(3), FMT_MTD.1(4), FMT_MTD.1(5), FMT_MTD.1(6), FMT_MTD.2,

FMT_MTD.3, FMT_SMF.1, FPT_TST.1, FPT_AMT.1, FPT_SEP.1, FPT_RVM.1, FTP_ITC.1



6.2 TOE 외 기능

본 절에서는 TESS UTM 100 V4.5의 TOE 외 기능에 대해서 소개한다. TESS UTM은 기본적인 네

트워크 장비로서의 기능 및 관리를 위해서 [표 6-18]과 같은 범주의 기능을 추가적으로 제공한

다.

[표 6-18] TOE 외 기능

분류 TOE외 기능

네트워크 관리 (NM)

Static 라우팅 (NM-STA)

Source 라우팅 (NM-SRC)

RIP (NM-RIP)

OSPF (NM-OSPF)

BGP (NM-BGP)

GRE (NM-GRE)

VRRP (NM-VRRP)

Multicast (NM-MUL)

HA 관리 (NM-HA)

SNMP 설정 (NM-SNMP)

브릿지 설정 (NM-BRG)

시스템 관리 (SM)

DHCP 구성관리 (SM-DHCP)

DNS 설정 (SM-DNS)

언어 설정 (SM-LNG)

시스템 상태 확인 (SM-SYS)

라이센스 관리 (SM-LCN)

업그레이드 관리 (SM-UPG)

침입방지 (IPS) 침입방지 관리 (IPS-POL)

6.2.1 네트워크 관리 (NM)

TESS UTM은 설치되는 IT환경과의 네트워크 구성과 사용자 데이터의 전송을 위한 라우팅 기능

을 지원한다. TESS UTM은 다음의 라우팅 기능을 지원한다.

정적 라우팅 (Static Routing)

정책 라우팅 (Source Routing)

동적 라우팅 (Dynamic Routing) : RIP, OSPF, BGP



또한 가상 라우터 기능을 지원하는 VRRP와 Multicast 프로토콜 라우팅과 시스템 가용성을 증대

하기 위한 HA 기능을 지원한다.

(1) Static 라우팅 (NM-STA)

TESS UTM은 고정 라우트 정보를 추가/삭제 할 수 있는 기능을 지원한다. 수퍼관리자, 보안관리

자는 TOE에 의해 제공되는 인터페이스를 통해 고정 라우트 설정을 할 수 있다.

(2) Source 라우팅 (NM-SRC)

TESS UTM은 Source Routing 설정 기능을 지원한다. 수퍼관리자, 보안관리자는 TESS UTM이

제공하는 인터페이스를 통해서 Source route 정보의 추가/삭제가 가능하다.

(3) RIP (NM-RIP)

TESS UTM은 RIPv1(RFC1058)과 RIPv2(RFC1723)를 지원한다. TESS UTM은 수퍼관리자, 보안

관리자가 RIP 데몬의 동작여부를 설정할 수 있는 기능을 제공한다.

(4) OSPF (NM-OSPF)

TESS UTM은 OSPFv2(RFC2328)를 지원한다. TESS UTM은 수퍼관리자, 보안관리자가 OSPF 데

몬의 동작여부를 설정할 수 있는 기능을 제공한다.

(5) BGP (NM-BGP)

TESS UTM은 BGP(RFC1163)와 BGP-4(RFC1771)를 지원한다. TESS UTM이 제공하는 BGP는

다른 BGP시스템과 AS(Autonomous System) 정보를 교환하여 연결정보를 생성하고 이에 따라

라우팅 테이블을 갱신한다. TESS UTM은 수퍼관리자, 보안관리자가 BGP 기능의 동작여부를 설

정할 수 있는 기능을 제공한다.

(6) GRE (NM-GRE)

TESS UTM은 GRE를 지원한다. TESS UTM은 수퍼관리자, 보안관리자가 GRE 정보를 추가/삭제

할 수 있도록 한다.

(7) VRRP (NM-VRRP)

TESS UTM은 라우터 백업 기능을 위한 VRRP(RFC3768)를 지원한다. TESS UTM은 수퍼관리자,

보안관리자가 하나 이상이 백업 라우터를 가질 수 있도록 VRRP 정보를 추가/삭제할 수 있도록

한다.



(8) Multicast (NM-MUL)

TESS UTM은 다수의 대상과 데이터를 송수신할 수 있도록 Multicast 기능을 지원한다. TESS

UTM은 수퍼관리자, 보안관리자가 Multicast 기능의 동작여부를 설정할 수 있도록 한다.

(9) HA 관리 (NM-HA)

TESS UTM은 안정적인 보안기능의 운영이 가능하도록 Active-Active, Active-Standby 방식의

HA(High Availability) 기능을 제공한다. TESS UTM의 HA 기능을 통하여 어느 장비가 다운(Fail)

되거나 인터페이스의 다운이 발생할 경우에도 다른 장비 또는 인터페이스가 그 역할을 대신할

수 있다.

인가된 관리자는 HA 기능을 통하여 2대 이상의 TESS UTM에 대해서 네트워크의 단절 또는 서

비스의 중단과 같은 장애가 발생할 경우, 이를 자동적으로 다른 TESS UTM을 통하여 보안기능

을 정상적으로 수행할 수 있도록 설정할 수 있다.

(10) SNMP 설정(NM-SNMP)

TESS UTM은 SNMPv1(RFC1155-1157), SNMPv2(RFC1901-1908), SNMPv3(RFC2571-2574)를

지원한다. TESS UTM의 SNMP 기능은 표준 MIB-I, MIB-II를 포함하며, 관리자는 SNMP Agent의

동작여부 및 SNMP Trap의 발생될 경우, Trap 메시지가 전송될 Trap Server의 IP를 등록할 수

있다.

TESS UTM은 SNMP Agent 기능을 지원한다. 인가된 관리자는 TESS UTM의 인터페이스를 통해

SNMP Agent의 동작여부 및 Community 설정이 가능하다. TESS UTM의 SNMP Agent는 SNMP

Manager로부터 요청 패킷을 수신하고 처리하여, 결과를 SNMP Manager로 전송한다.

TESS UTM은 SNMP Trap 기능을 제공한다. 인가된 관리자는 TESS UTM의 인터페이스를 통하여

SNMP Trap 이 전송될 IP를 등록할 수 있다. TESS UTM은 Trap 이벤트에 대해서 인가된 관리자

가 등록한 Trap IP로 SNMP Trap 메시지를 전송한다. TESS UTM의 SNMP Trap 기능에서 지원되

는 이벤트는 다음과 같다.

SNMP Trap 이벤트:

Warm/Cold Reboot

네트워크 인터페이스의 Up/Down

(11) 브릿지 설정 (NM-BRG)

TESS UTM은 두 개의 분리된 LAN을 연결할 수 있는 브릿지 기능을 지원한다.



6.2.2 시스템 관리 (SM)

TESS UTM은 초기 설치시점 및 환경 구성의 변화에 따라서 시스템의 구성정보를 변경할 수 있

도록 한다. 수퍼관리자, 보안관리자는 TESS UTM의 인터페이스를 통하여 시스템의 서비스 구성

변경, 동작 환경의 변경에 따른 설정을 할 수 있다.

(1) DHCP 구성관리 (SM-DHCP)

TESS UTM은 DHCP(RFC2131) 서비스를 지원한다. TESS UTM이 지원되는 DHCP 기능은 다음

과 같이 DHCP Server, DHCP Client 기능을 포함하며, 인가된 관리자는 각 기능의 동작여부 및

설정을 관리할 수 있다.

TESS UTM의 DHCP Server 기능은 인가된 관리자에 의해 설정된 DHCP IP Pool의 범위 내에서

DHCP Client의 요청에 따라 정해진 시간 동안 사용할 주소를 부여하는 기능으로, 인가된 관리

자는 TESS UTM의 인터페이스를 통하여 DHCP Server의 동작을 설정할 수 있다.

TESS UTM은 외부의 DHCP Server로부터 IP를 받을 수 있는 DHCP Client기능을 지원한다. 인

가된 관리자는 TESS UTM의 인터페이스를 통하여 DHCP Client에서 사용할 네트워크 인터페이

스를 지정하고, 동작상태를 관리할 수 있는 기능을 제공한다. TESS UTM의 DHCP Client는 인가

된 관리자에 의해 설정된 인터페이스를 통해 DHCP 요청 메시지를 전송하고, DHCP Server에

의해 할당된 IP를 네트워크 인터페이스에 등록한다.

(2) DNS 설정 (SM-DNS)

TESS UTM은 수퍼관리자, 보안관리자가 TESS UTM이 사용할 DNS 서버를 등록할 수 있도록 한

다. 등록된 DNS 서버 정보를 이용해서 TESS UTM의 침입차단, 식별 및 인증 기능에서 URL등

의 도메인 이름에 대한 주소를 획득할 수 있다.

(3) 언어 설정 (SM-LNG)

TESS UTM은 인가된 관리자가 시스템에서 사용할 언어를 선택할 수 있는 인터페이스를 지원한

다. 지원하는 언어는 다음과 같다.

한글

TESS UTM은 언어는 설정DB에 언어 데이터만 추가하면 다른 언어들도 곧바로 사용할 수 있다.

(4) 시스템 상태 확인 (SM-SYS)

TESS UTM은 시스템의 상태를 확인할 수 있는 기능을 지원한다. TESS UTM이 지원하는 시스템



상태 도구는 [표 6-19]와 같다.

[표 6-19] 시스템 상태 확인 도구

도구 설명

Ping 목적지로 주어진 주소까지 패킷이 도달하는지 ICMP 패킷을 이용해서 시험

하는 도구

Traceroute 주어진 목적지까지 라우팅이 정상적인지 확인하는 도구

Tcpdump TOE를 경유하는 패킷 혹은 TOE가 접해있는 네트워크의 패킷을 덤프할 수

있는 도구

Traffic monitor TOE를 경유하는 트래픽의 종류, 양 등을 모니터링할 수 있는 도구

(5) 라이센스 관리 (SM-LCN)

TOE는 보안기능이 적법하게 동작할 수 있도록 라이센스를 관리할 수 있는 기능을 제공한다.

TOE에서 제공하는 라이센스 관리 기능은 다음과 같다.

라이센스 관리기능:

라이센스 요청 정보 생성

라이센스 설치

라이센스 검사

라이센스 실패 처리

라이센스 요청 정보는 라이센스를 발급받기 위한 정보로 시스템의 정보를 수집하여 요청서를 생

성하게 되며, 요청서에는 다음과 같은 정보가 포함되어야 한다.

라이센스 요청 정보 항목:

하드웨어 모델 및 규격정보(CPU, 메모리, 로그저장소의 종류 및 크기

하드웨어 시리얼 정보

이미지 버전

고객 정보

라이센스 요청서를 라이센스 서버에 등록한 후 만료일과 보안기능에 대한 허가 정보를 추가하여

라이센스 파일을 발급하며, 라이센스 파일에는 다음과 같은 정보가 포함된다.

라이센스 정보:

발행일 및 만료일

버전

지원 가능한 보안기능



KEY

인가된 관리자가 발급받은 라이센스 파일을 TOE에 설치하면, 이후부터 발생하는 정책관리 기능

은 라이센스 점검을 통하여 허용될 경우에 대해서만 동작이 가능해진다. 라이센스 검사에 대한

정책설정은 라이센스가 지원되는 보안기능에 한정된다.

라이센스 점검의 결과 라이센스의 유효기간이 지났거나, 라이센스 파일이 설치되어 있지 않은

경우 라이센스가 지원하는 보안기능에 대한 모든 정책설정이 불가능하고, 이미지 업그레이드와

IPS 시그너처, 유해사이트DB 업데이트등의 서비스가 제한된다.

(6) 업그레이드 관리 (SM-UPG)

TOE는 인가된 관리자가 TOE의 보안 보안기능을 업그레이드 할 수 있는 기능을 제공한다. 관리

자는 TOE의 인터페이스를 통하여 이미지 업그레이드, 이미지 Patch를 수행할 수 있다.

이미지 업그레이드 기능은 소프트웨어와 기본 설정파일들로 구성된 TOE의 이미지 파일을 업그

레이드 하는 기능이다. 이미지 업그레이드가 수행되면 반드시 리부팅을 수행하여야 변경된 이미

지의 기능을 TOE가 동작된다. TOE는 업그레이드 수행 후 이전의 이미지를 보관하므로 필요할

경우 백업된 이미지를 이용하여 부팅할 수 있도록 지원한다.

6.2.3 침입방지 (IPS)

TESS UTM은 수퍼관리자, 보안관리자가 설정한 “침입방지 규칙”과 TESS UTM을 통과하는 모든

패킷이 일치하는지를 검사하여 비정상행위로 판정된 패킷을 차단하는 침입방지 기능을 제공한다.

TESS UTM이 제공하는 침입방지 기능은 인가된 관리자가 설정한 “침입방지 규칙”과 TESS UTM

을 통과하는 모든 패킷이 일치하는지를 검사하여 다음과 같은 행동을 수행한다.

DROP: 침입방지 규칙과 일치하는 패킷을 버리고 로그를 남긴다.

ALERT: 침입방지 규칙과 일치하는 패킷을 허용(ACCEPT)하고, 규칙에 대한 로그메

시지를 생성한다

TESS UTM의 침입방지 기능에는 TESS UTM을 통과하는 패킷의 트래픽의 분석을 통한 비정상행

위탐지(Anomaly Detection) 기능을 제공한다. 비정상행위탐지 기능이 활성화 되면 TESS UTM을

지나가는 모든 패킷의 트래픽이 분석되어 비정상행위 탐지된 패킷에 대해 DROP 되도록 기능이

동작한다.



TESS UTM에 들어오고 나가는 패킷들에 대하여 다음과 같은 정보들을 이용하여 침입방지 규칙

을 생성할 수 있다.

침입방지 규칙 정보:

대응행동 : Alert, Drop

출발지 주소와 포트

프로토콜 : ICMP, UDP, TCP, IP

목적지 주소와 포트

패킷의 방향

패킷 페이로드의 패턴 매칭

침입방지 규칙은 입력되는 순서에 따라 규칙들이 적용된다. 따라서 여러 개의 규칙에 적용될 수

있는 패킷이 들어오더라도 앞쪽에 존재하는 규칙에 의해 DROP된 경우 뒤쪽의 규칙은 적용되지

않는다.

6.3 보증 수단

본 ST에서 기술하고 있는 보증 요구사항은 정보보호시스템 공통평가기준(1)의 3부의 보증 요구

사항을 따른다. TOE는 5장에서 기술한 보증 요구 사항을 검증 할 수 있는 문서들을 [표 6-20]

에서 제공한다.

[표 6-20] 보증수단

보증 컴포넌트 ID 보증 컴포넌트 이름 보증 수단

ACM_CAP.3 인가 통제 형상관리문서

ACM_SCP.1 TOE 형상관리 범위 형상관리문서

ADO_DEL.1 배포 절차 배포문서

ADO_IGS.1 설치, 생성, 시동 절차 설치지침서

평가대상제품

ADV_FSP.1 비 정형화된 기능명세 기능명세서

ADV_HLD.2 보안 기능과 비 보안 기능을 분리한

기본 설계

기본설계서

ADV_IMP.2 TSF 에 대한 구현의 표현 구현검증명세서, 소스코드

ADV_LLD.1 서술적인 상세설계 상세설계서

ADV_RCR.1 비 정형화된 일치성 입증 일치성분석서

AGD_ADM.1 관리자 설명서 관리자설명서

AGD_USR.1 사용자 설명서 관리자설명서



ALC_DVS.1 보안 대책의 식별 생명주기지원서


ATE_COV.2 시험범위의 분석 시험서, 평가대상제품

ATE_DPT.2 상세 설계 시험


ATE_IND.2 독립시험 - 표본 시험

AVA_MSU.1 설명서 조사 관리자설명서, 설치지침서

AVA_SOF.1 TOE 보안 기능 강도에 대한 평가 취약성분석서

평가대상제품 AVA_VLA.2 독립적인 취약성 분석



7. 보호 프로파일 수용

이 장은 본 보안목표명세서가 국가기관용 가상사설망 보호프로파일과 침입차단시스템 보호프로파

일의 모든 요구사항을 만족하도록 올바르게 수용하였음을 확인하기 위해 작성하였다.

7.1 보호 프로파일 참조

TOE는 다음의 보호프로파일을 수용하여 모든 요구사항을 만족한다.

국가기관용 침입차단 시스템 보호프로파일 V1.2 2006년 5월 17일

국가기관용 가상사설망 보호프로파일 V1.2 2006년 5월 17일

7.2 보호 프로파일에서 재정립된 보안 요구 사항

보호프로파일의 보안기능요구사항을 본 보안목표명세서를 위해 재정립한 항목은 [표 7-1]과 같

다.

[표 7-1] 재정립된 보안 기능 요구사항

기능 컴포넌트 이름














FDP_IFF.1(1) 단일 계층 보안 속성





FIA_AFL.1 인증 실패 처리






FMT_MSA.1 보안 속성관리












FPT_RPL.1 재사용 공격탐지 및 대응행동





7.3 보안목표명세서 작성자에 의해 보호프로파일에 추가된 사항

이 절은 TOE 및 보안목표명세서를 위해 보호프로파일에서 제시한 항목 외에 보안목표명세서 작

성자가 추가한 사항에 대해 기술한다.

7.3.1 보호프로파일 가정사항 추가

TOE 및 보안목표명세서를 위해 보호프로파일에서 제시한 가정사항 외에 보안목표명세서 작성자

가 추가한 가정사항은 [표 7-2]와 같다.



[표 7-2] 추가된 TOE 가정사항

레이블 내용

A.TOE의 인증서

TOE의 인증에 사용할 인증서는 개발업체에 의해 안전하게 미리 생

성하여 TOE에 저장한다. 제품개발업체는 TOE의 인증서 만료기간

이전에 TOE의 이미지 업그레이드를 통하여 인증서를 갱신한다.

A.시간 IT 환경에서 RFC 1305를 따르는 NTP서버 또는 OS는 신뢰할 만한

타임스탬프를 제공한다.

A.안전한 채널 TOE와 관리자간 통신데이터는 IT환경에서 제공하는 SSL, SSH프로

토콜을 통하여 안전하게 보호된다.

7.3.2 보호프로파일 위협 추가

TOE 및 보안목표명세서를 위해 보호프로파일에서 제시한 위협 외에 보안목표명세서 작성자가

추가한 위협은 [표 7-3]과 같다.

[표 7-3] 추가된 TOE 에 대한 위협

레이블 내용

T.프라이버시

내부 네트워크의 IP 가 외부 신뢰되지 않은 네트워크의 IP주소로

알려진다면, 인증 되지 않은 공격자가 내부 네트워크에 대해서 충

분히 예상하고 인가되지 않은 방법으로 접근 할 수 있다.

7.3.3 보호프로파일 TOE 보안목적 추가

TOE 및 보안목표명세서를 위해 보호프로파일에서 제시한 TOE 보안목적 이외에 보안목표명세서

작성자가 추가한 보안 목적은 [표 7-4]과 같다.

[표 7-4] 추가된 TOE 보안목적

레이블 내용

O.가명성 내부 네트워크의 실제 IP 주소가 외부 인가되지 않은 IT 실체에게

노출되는 것을 방지하여야 한다.

7.3.4 보호프로파일 환경에 대한 보안목적 추가

TOE 및 보안목표명세서를 위해 보호프로파일에서 제시한 환경에 대한 보안목적 이외에 보안목



표명세서 작성자가 추가한 환경에 대한 보안목적은 [표 7-5]과 같다.

[표 7-5] 추가된 환경에 대한 보안목적

레이블 내용

OE.안전한 채널

TOE와 관리자간 통신 시 안전한 통신을 보장하기 위해 안전한

채널을 통해서 관리되어야 한다. 안전한 채널을 구성하기 위해

TOE는 IT환경이 제공하는 SSH, SSL 프로토콜을 이용한다.

OE.시간 IT 환경에서 RFC1305를 따르는 NTP 서버 또는 OS는 신뢰할 만

한 타임스탬프를 제공해야 한다.

7.3.5 보호프로파일 보안요구사항 추가

TOE 및 보안목표명세서를 위해 보호프로파일에서 제시한 보안요구사항 외에 TOE가 제공하는

추가적인 보안 기능을 연계하기 위해 보안목표명세서 작성자가 추가한 보안 기능 요구사항

(SFR)은 [표 7-6]과 같다.

[표 7-6] 추가된 SFR

기능 컴포넌트 이 름

FPR_PSE.1 가명성



8. 이론적 근거

본 장은 보안환경(위협, 가정사항, 조직의 보안정책)에 기반하여 정의된 보안목적 및 보안목적을

만족시키는 보안요구사항의 이론적 근거를 서술한다. 이론적 근거는 TOE가 TOE 보안환경 내에서

효율적인 IT 보안대책을 제공함을 입증한다.

8.1 보안 목적의 이론적 근거

보안목적의 이론적 근거는 명세한 보안목적이 적합하고, 보안 문제를 다루기에 충분하며, 과도

하지 않고 반드시 필요한 것임을 입증한다.

보안목적의 이론적 근거는 다음을 입증한다.

각 가정사항, 위협, 조직의 보안정책이 최소한 하나의 보안목적에 의해서 다루어진다.

각 보안목적은 최소한 하나의 가정사항, 위협, 조직의 보안정책을 다룬다.

8.1.1 TOE 보안목적의 이론적 근거

[표 8-1] 보안 목적에 대한 이론적 근거 매핑

보안

목적

보안

환경

TOE 보안목적

O

감

사

O

결

함

코

드

검

사

O

관

리

O

데

이

터

보

호

O

비

밀

성

O

식

별

및

인

증

O

자

체

기

능

보

호

O

접

근

통

제

O

정

보

흐

름

중

재

O

정

보

흐

름

통

재

O

키

보

안

O

가

명

성

T.가장 X

T.결함코드 X

T.기록실패 X

T.남용 X X X

T.불법정보유입 X

T.불법정보유출 X

T.새로운공격 X

T.암호해독 X X



보안

목적

보안

환경

TOE 보안목적

O

감

사

O

결

함

코

드

검

사

O

관

리

O

데

이

터

보

호

O

비

밀

성

O

식

별

및

인

증

O

자

체

기

능

보

호

O

접

근

통

제

O

정

보

흐

름

중

재

O

정

보

흐

름

통

재

O

키

보

안

O

가

명

성

T.연속인증시도 X

T.우회접근 X X X

T.재사용공격 X

T.저장데이터훼손 X X X

T.전송무결성 X X

T.주소위장 X X

T.프라이버시 X

TE.관리부실

TE.배포설치

P.감사 X

P.비밀성 X X X X

P.안전한관리 X

P.암호 X X X

P.평문전송 X

O.감사

본 TOE 보안 목적은 TOE가 보안 관련 사건을 상세하고 정확하게 기록 및 검토하는 수단을 제공

함을 보장하므로 위협 T.남용 및 T.기록실패에 대응하고, 조직의 보안 정책 P.감사를 지원하는데

필요하다.

O.결함코드검사

본 TOE 보안 목적은 개발자가 생성한 코드에 존재할 수 있는 결함코드를 검사하는 것을 보장하

므로 위협 T.결함코드에 대응한다.

O.관리

본 TOE 보안 목적은 인가된 관리자가 TOE를 안전하게 관리하는 수단을 제공하고 보안관리를 위

한 안전한 채널을 제공하므로 조직의 보안 정책 P.안전한 관리를 지원하는데 필요하다.



O.데이터보호

본 TOE 보안 목적은 TOE가 TSF 데이터 및 전송 데이터의 무결성을 보장하므로 위협 T.저장데이

터훼손, T.전송무결성에 대응하고 조직의 보안 정책 P.비밀성 및 P.암호를 지원하는데 필요하다.

O.비밀성

본 TOE 보안 목적은 TOE가 네트워크 상에서 전송되는 데이터의 비밀성을 제공함을 보장하므로

위협 T.암호해독에 대응하고, 조직의 보안 정책 P.비밀성 및 P.암호를 지원하는데 필요하다.

O.식별및인증

본 TOE 보안 목적은 TOE가 인가된 관리자 및 TOE와 통신하는 다른 TOE를 유일하게 식별 및

인증함을 보장하므로 위협 T.가장, T.남용, T.연속인증시도, T.우회접근, T.재사용공격, T.저장데이터

훼손에 대응하는데 필요하다.

O.자체기능보호

본 TOE 보안 목적은 TOE가 TOE 자체 보호를 제공함을 보장하므로 위협 T.남용, T.우회접근, T.

저장데이터훼손, T.새로운공격에 대응하는데 필요하다.

O.접근통제

본 TOE 보안 목적은 TOE에 대한 접근을 통제함을 보장하므로 위협 T.우회접근에, 대응하는데 필

요하다.

O.정보흐름중재

본 TOE 보안 목적은 TOE가 보안 정책에 따라 정보흐름을 중재함을 보장하므로 조직의 보안 정

책 P.비밀성 및 P.평문전송을 지원하는데 필요하다.

O.정보흐름통제

본 TOE 보안 목적은 TOE가 보안정책에 따라 정보흐름을 중재함을 보장하므로 위협 T.불법정보

유입, T.불법정보유출 T.주소위장에 대응하는데 필요하다.

O.키보안

본 TOE 보안 목적은 TOE가 암호 키의 비밀성 및 무결성을 제공하고, 적절한 키 교환이 제공됨을

보장하므로 위협 T.암호해독, T.전송무결성에 대응하고, 조직의 보안 정책 P.비밀성, P.암호를 지

원하는데 필요하다.

O.가명성

본 TOE 보안 목적은 TOE 내부 네트워크의 주소가 외부 IT 실체에 공개되지 않음을 보장하므로

위협 T.프라이버시, T.주소위장에 대응하는데 필요하다.



8.1.2 환경에 대한 보안 목적 및 이론적 근거

[표 8-2] 환경에 대한 보안목적 근거 매핑

보 안

목 적

보 안

환 경

환경에 대한 보안목적 추가

된 보

안목

적

O

E

물

리

적

보

안

O

E

보

안

유

지

O

E

보

안

정

책

O

E

신

뢰

된

관

리

자

O

E

안

전

한

관

리

O

E

운

영

체

제

보

강

O

E

유

일

한

연

결

O

E

안

전

한

채

널

O

E

시

간

A.물리적보안 X

A.보안유지 X

A.보안정책 X

A.신뢰된관리자 X

A.운영체제보강 X

A.유일한연결점 X

T.남용 X

T.새로운 공격 X X X

TE.관리부실 X X

TE.배포설치 X X

P.안전한관리 X X

A.TOE의 인증서 X

A.시간 X

A.안전한 채널 X

OE.물리적보안

본 환경에 대한 보안 목적은 TOE의 물리적 안전을 보장하므로 가정사항 A.물리적보안을 지원하

는데 필요하다.



OE.보안유지

본 환경에 대한 보안목적은 내부 네트워크 구성 변경, 호스트의 증감, 서비스의 증감 등으로 내부

네트워크 환경이 변화될 때, 변화된 환경과 보안정책을 즉시 TOE 운영정책에 반영하여 이전과 동

일한 수준의 보안을 유지하도록 보장하므로 가정사항 A.보안유지를 지원하고, 위협 T.새로운공격

에 대응하는데 필요하다.

OE.보안정책

본 환경에 대한 보안 목적은 TOE와 통신하는 상호 인증된 다른 TOE가 호환 가능한 보안 정책을

수행하도록 관리됨을 보장하므로 가정사항 A.보안 정책을 지원하는데 필요하다.

OE.신뢰된관리자

본 환경에 대한 보안 목적은 TOE의 인가된 관리자를 신뢰할 수 있음을 보장하므로 가정사항 A.

신뢰된관리자를 지원하고, 위협 T.남용, TE.관리부실, TE.배포설치에 대응하는데 필요하다.

OE.안전한관리

본 환경에 대한 보안 목적은 TOE가 안전한 방식으로 배포, 설치되고, 인가된 관리자에 의해 안전

한 방식으로 구성, 관리, 사용됨을 보장하므로 위협 T.새로운 공격, TE.관리부실, TE.배포설치에

대응하고 조직의 보안 정책 P.안전한관리를 지원하는데 필요하다.

OE.운영체제보강

본 환경에 대한 보안 목적은 VPN 게이트웨이의 경우 TOE에 의해 필요하지 않은 운영체제상의

서비스나 수단 등을 모두 제거하는 작업과 운영체제상의 취약점에 대한 보강 작업을 수행하여 운

영체제가 안전하고 신뢰 됨을 보장하고, VPN 클라이언트의 경우에도 TOE 하부 운영체제가 안전

하고 신뢰 됨을 보장하므로 가정사항 A.운영체제보강을 지원하고, 위협 T.새로운 공격 에 대응하

는데 필요하다.

OE.유일한연결

본 환경에 대한 보안목적은 모든 외부네트워크와 내부네트워크간의 통신이 TOE를 통해서 이루어

지도록 보장하므로 가정사항 A.유일한연결점을 지원하는데 필요하다.

OE.안전한 채널

본 환경에 대한 보안목적은 원격지 관리를 위한 관리자와 TOE간의 안전한 통신 채널을 형성하도

록 보장하므로 가정사항 A.TOE의 인증서, A.안전한 채널을 지원하는데, 필요하다.

OE.시간

본 환경에 대한 보안목적은 신뢰할 만한 타임스탬프를 TOE에 제공하도록 보장하므로 가정사항 A.



시간을 지원하는데 필요하다.

8.2 보안요구사항의 이론적 근거

보안요구사항의 이론적 근거는 서술된 IT 보안요구사항이 보안목적을 만족시키기에 적합하고, 그

결과 보안문제를 다루기에 적절함을 입증한다.

8.2.1 TOE 보안기능요구사항의 이론적 근거

TOE 보안기능요구사항의 이론적 근거는 다음을 입증한다.

각 TOE 보안목적은 적어도 하나의 TOE 보안기능요구사항에 의해서 다루어진다. 단,

O.결함 코드 검사는 보증요구사항에 의해 다루어진다.

각 TOE 보안기능요구사항은 적어도 하나의 TOE 보안목적을 다룬다.

[표 8-3] 보안기능요구사항과 보안목적과의 매핑

보안

목표

보안 기능

요구사항

O

감

사

O

관

리

O

데

이

터

보

호

O

비

밀

성

O

식

별

및

인

증

O

자

체

기

능

보

호

O

접

근

통

제

O

정

보

흐

름

중

재

O

정

보

흐

름

통

제

O

키

보

안

O

가

명

성

FAU_ARP.1 X

FAU_GEN.1 X

FAU_SAA.1 X

FAU_SAR.1 X

FAU_SAR.3 X

FAU_SEL.1 X

FAU_STG.1 X

FAU_STG.3 X

FAU_STG.4 X

FCS_CKM.1 X X X

FCS_CKM.2 X X X

FCS_CKM.4 X X X



보안

목표

보안 기능

요구사항

O

감

사

O

관

리

O

데

이

터

보

호

O

비

밀

성

O

식

별

및

인

증

O

자

체

기

능

보

호

O

접

근

통

제

O

정

보

흐

름

중

재

O

정

보

흐

름

통

제

O

키

보

안

O

가

명

성

FCS_COP.1 X X

FDP_ACC.2 X X

FDP_ACF.1 X X

FDP_IFC.1 X

FDP_IFC.2(1) X

FDP_IFC.2(2) X

FDP_IFF.1(1) X

FDP_IFF.1(2) X

FDP_IFF.1(3) X

FIA_AFL.1 X

FIA_ATD.1 X

FIA_SOS.1 X

FIA_UAU.2 X X X

FIA_UAU.4 X

FIA_UAU.7 X

FIA_UID.2 X X X

FMT_MOF.1 X

FMT_MSA.1 X

FMT_MSA.2 X X

FMT_MSA.3 X X

FMT_MTD.1(1) X X

FMT_MTD.1(2) X

FMT_MTD.1(3) X

FMT_MTD.1(4) X

FMT_MTD.1(5) X

FMT_MTD.1(6) X

FMT_MTD.2 X

FMT_MTD.3 X X



보안

목표

보안 기능

요구사항

O

감

사

O

관

리

O

데

이

터

보

호

O

비

밀

성

O

식

별

및

인

증

O

자

체

기

능

보

호

O

접

근

통

제

O

정

보

흐

름

중

재

O

정

보

흐

름

통

제

O

키

보

안

O

가

명

성

FMT_SMF.1 X

FMT_SMR.1 X

FPT_AMT.1 X X

FPT_RPL.1 X

FPT_RVM.1 X

FPT_SEP.1 X

FPT_TST.1 X X

FTA_SSL.1 X X

FTA_SSL.3 X

FTP_ITC.1 X

FPR_PSE.1 X


본 컴포넌트는 보안 위반을 탐지한 경우 대응 행동을 취하는 능력을 보장하므로 TOE 보안목적 O.

감사를 만족시킨다.


본 컴포넌트는 감사 대상 사건을 정의하고 감사 레코드를 생성하는 능력을 보장하므로 TOE 보안

목적 O.감사를 만족시킨다.


본 컴포넌트는 감사된 사건을 검사하여 보안 위반을 지적하는 능력을 보장하므로 TOE 보안목적

O.감사를 만족시킨다.


본 컴포넌트는 인가된 관리자가 감사 레코드를 검토하는 능력을 보장하므로 TOE 보안목적 O.감

사를 만족시킨다.




본 컴포넌트는 논리 관계를 갖는 기준에 의해 감사 데이터를 검색 및 정렬하는 능력을 보장하므

로 TOE 보안목적 O.감사를 만족시킨다.


본 컴포넌트는 속성에 기반 하여 감사대상 사건을 포함하거나 배제하는 능력을 보장하므로 TOE

보안목적 O.감사를 만족시킨다.


본 컴포넌트는 인가되지 않은 변경 및 삭제로부터 감사 레코드를 보호하는 능력을 보장하므로

TOE 보안목적 O.감사를 만족시킨다.

FAU_STG.3 감사 데이터 손실 예측 시 대응 행동

본 컴포넌트는 감사 증적이 미리 정의한 한도를 초과하는 경우 대응행동을 취하는 능력을 보장하

므로 TOE 보안목적 O.감사를 만족시킨다.


본 컴포넌트는 감사 저장소가 포화인 경우 대응 행동을 취하는 능력을 보장하므로 TOE 보안목적

O.감사를 만족시킨다.

FCS_CKM.1 암호 키 생성

본 컴포넌트는 명세된 암호 키 생성 알고리즘과 명세된 암호 키 길이에 따라 암호 키를 생성하는

능력을 보장하므로 TOE 보안 목적 O.비밀성, O.데이터보호, O.키보안을 만족시킨다.

FCS_CKM.2 암호 키 분배

본 컴포넌트는 명세된 암호 키 분배 방법에 따라 암호키를 분배하는 능력을 보장하므로 TOE 보

안 목적 O.비밀성, O.데이터보호, O.키보안을 만족시킨다.


본 컴포넌트는 명세된 암호 키 파기 방법에 따라 암호키를 파기하는 능력을 보장하므로 TOE 보

안 목적 O.비밀성, O.데이터보호, O.키보안을 만족시킨다.

FCS_COP.1 암호 연산

본 컴포넌트는 명세된 암호 알고리즘과 명세 된 암호키 길이에 따라 암호 연산을 수행하는 능력

을 보장하므로 TOE 보안 목적 O.비밀성, O.데이터보호를 만족시킨다..




본 컴포넌트는 TOE 접근통제를 위한 보안정책이 정의되고, 보안정책의 범위가 정의됨을 보장하므

로 TOE 보안목적 O. 데이터보호와 O. 접근통제를 만족시킨다.

FDP_ACF.1 보안속성에 기반 한 접근통제

본 컴포넌트는 속성에 기반하여 정의된 접근통제 보안정책이 수행됨을 보장하므로 TOE 보안목적

O.데이터보호와 O.접근통제를 만족시킨다.


본 컴포넌트는 TOE 정보흐름통제 정책에 따라 TOE에 전송되는 또는 TOE로부터 전송되는 데이

터의 정보흐름을 통제하는 능력을 보장하므로 TOE 보안목적 O.정보흐름중재를 만족시킨다.


본 컴포넌트는 TOE 정보흐름통제를 위한 패킷필터링 보안정책이 정의되고, 보안정책의 범위가 정

의됨을 보장하므로 TO 보안목적 O.정보흐름통제를 만족시킨다.


본 컴포넌트는 TOE 정보흐름통제를 위한 ZONE 보안정책이 정의되고, 보안정책의 범위가 정의됨

을 보장하므로 TO 보안목적 O.정보흐름통제를 만족시킨다.


본 컴포넌트는 보안속성에 기반 하여 정보흐름을 통제하는 가상사설망 보안정책을 제공하므로

TOE 보안목적 O.정보흐름중재를 만족시킨다.


본 컴포넌트는 보안속성에 기반 하여 정보흐름을 통제하는 패킷필터링 보안정책을 제공하므로

TOE 보안목적 O.정보흐름통제를 만족시킨다.


본 컴포넌트는 보안속성에 기반 하여 정보흐름을 통제하는 ZONE 보안정책을 제공하므로 TOE 보

안목적 O.정보흐름통제를 만족시킨다.


본 컴포넌트는 사용자의 인증 시도 실패 횟수를 정의하고, 정의된 횟수에 도달하거나 초과하면 대

응 행동을 취하는 능력을 보장하므로 TOE 보안목적 O.식별및인증을 만족시킨다.




본 컴포넌트는 각 사용자별 보안속성 목록을 정의하므로 TOE 보안목적 O.식별및인증을 만족시킨

다.


본 컴포넌트는 비밀정보가 정의된 허용 기준을 만족하는지 검증하는 메커니즘을 제공하므로 TOE

보안목적 O.식별및인증을 만족시킨다.


본 컴포넌트는 인가된 관리자를 성공적으로 인증하는 능력을 보장하므로 TOE 보안 목적 O.관리,

O.데이터보호, O.식별및인증을 만족시킨다.


본 컴포넌트는 인증 데이터의 재사용을 방지하는 능력을 보장하므로 TOE 보안목적 O.식별및인증

을 만족시킨다.


본 컴포넌트는 인증이 진행되는 동안 사용자에게 지정된 인증 피드백만이 제공됨을 보장하므로

TOE 보안목적 O.식별및인증을 만족시킨다.


본 컴포넌트는 사용자를 성공적으로 식별하는 능력을 보장하므로 TOE 보안목적 O.관리, O.데이

터보호, O.식별및인증을 만족시킨다.


본 컴포넌트는 인가된 관리자가 보안기능을 관리하는 능력을 보장하므로 TOE 보안목적 O.관리를

만족시킨다.


본 컴포넌트는 인가된 관리자가 접근통제 및 정보흐름통제 정책에 적용되는 보안속성을 관리함을

보장하므로 TOE 보안목적 O.관리를 만족시킨다.

FMT_MSA.2 안전한 보안 속성

본 컴포넌트는 안전한 값만이 보안 속성값으로 허용됨을 보장하므로 TOE 보안목적 O.관리 및 O.

자체기능보호를 만족시킨다.




본 컴포넌트는 접근통제 및 정보흐름통제 정책에 적용되는 보안속성의 초기값을 제공하므로 TOE

보안목적 O.관리를 만족시킨다.


본 컴포넌트는 인가된 관리자가 감사데이터를 통계처리하는 능력을 제공하므로 TOE 보안목적 O.

감사와 O.관리를 만족시킨다.


본 컴포넌트는 인가된 관리자가 TOE를 구성하는 중요 파일을 백업 및 복구하는 능력을 제공하므

로 TOE 보안목적 O.관리를 만족시킨다.


본 컴포넌트는 인가된 관리자가 접근통제규칙과 정보흐름통제규칙을 관리하는 능력을 제공하므로

TOE 보안목적 O.관리를 만족시킨다.


본 컴포넌트는 인가된 관리자가 식별 및 인증 데이터를 관리하는 능력을 제공하므로 TOE 보안목

적 O.관리를 만족시킨다.


본 컴포넌트는 인가된 관리자가 시간을 관리하는 능력을 제공하므로 TOE 보안목적 O.관리를 만

족시킨다.


본 컴포넌트는 인가된 관리자가 암호키 속성 관리하는 능력을 제공하므로 TOE 보안목적 O.관리

를 만족시킨다.


본 컴포넌트는 인가된 관리자가 TSF 데이터의 한계치를 관리하고 지정된 한계치에 도달하거나 이

를 초과하는 경우 대응행동이 취해짐을 보장하므로 TOE 보안목적 O.관리를 만족시킨다.


본 컴포넌트는 안전한 값만이 TSF 데이터로 허용됨을 보장하므로 TOE 보안목적 O.관리 및 O.자

체기능보호를 만족시킨다.




본 컴포넌트는 TSF가 수행해야 하는 보안기능, 보안속성, TSF 데이터 등의 관리기능을 명세하도

록 요구하므로 TOE 보안목적 O.관리를 만족시킨다.


본 컴포넌트는 사용자를 인가된 관리자 역할에 연관시킴을 보장하므로 TOE 보안목적 O.관리를

만족시킨다.


본 컴포넌트는 TSF 하부 추상기계의 정확한 운영을 보이기 위한 일련의 시험을 수행함을 보장하

므로 TOE 보안목적 O.데이터보호, O.자체기능보호를 만족시킨다.

FPT_RPL.1 재사용 공격탐지 및 대응행동

본 컴포넌트는 사용자 인증 시 재사용을 탐지하고, 재사용이 탐지된 경우 대응행동이 취해짐을 보

장하므로 TOE 보안목적 O.식별및인증을 만족시킨다.

FPT_RVM.1 TSP 우회불가성

본 컴포넌트는 TSP를 수행하는 기능이 호출되고 성공한다는 것을 보장하므로 TOE 보안목적 O.

자체기능보호를 만족시킨다.

FPT_SEP.1 보안기능 영역분리

본 컴포넌트는 TSF 자체 실행을 위한 보안 영역을 유지함을 보장하므로 TOE 보안목적 O.자체기

능보호를 만족시킨다.


본 컴포넌트는 TSF의 정확한 운영을 위한 자체 시험을 보장하고, 인가된 관리자가 TSF 데이터

및 TSF 실행 코드의 무결성을 검증하는 기능을 보장하므로 TOE 보안목적 O.데이터보호와 O.자

체기능보호를 만족시킨다.

FPT_SSL.1 TSF에 의한 세션 잠금

본 컴포넌트는 인가된 관리자 비활동 기간 후 상호작용하는 세션을 잠그고, 잠금 해제하기 전에

발생할 사건을 요구하므로 TOE 보안목적 O.식별및인증과 O.자체기능보호를 만족시킨다.

FPT_SSL.3 TSF에 의한 세션 종료

본 컴포넌트는 인가된 일반 사용자가 비활동 기간 후 상호작용하는 세션을 종료하므로 TOE 보안

목적 O.자체기능보호를 만족시킨다.




본 컴포넌트는 인가된 관리자가 로컬 또는 원격지에서 TOE를 관리하는 경우 안전한 채널이 설정

됨을 보장하므로 TOE 보안목적 O.관리를 만족시킨다.

FPR_PSE.1 가명성

본 컴포넌트는 내부 네트워크의 실제 IP가 외부 네트워크 IT 실체에 공개되지 않음을 보장하므로

TOE 보안목적 O.가명성을 만족시킨다.

8.2.2 IT환경에 대한 보안기능요구사항의 이론적 근거

[표 8-4] IT환경에 대한 보안기능요구사항과 환경에 대한 보안목적의 매핑

환경에 대한

보안목적

보안기능

요구사항

O

E

시

간

O

E

안

전

한

채

널

FTP_ITC.1 X

FTP_STM.1 X

FPT_ITC.1 TSF간 안전한 채널

본 컴포넌트는 TOE는 인가된 관리자가 원격에서 TOE를 관리하기 위한 환경에 접속하는 동안 안

전한 보안 채널 관리 기능을 제공한다. TOE는 안전한 채널을 위하여 IT환경에서 제공하는 SSL,

SSH 프로토콜을 이용하며, TOE 보안 목적 OE.안전한 채널을 만족시킨다.

FPT_STM.1 신뢰할 수 있는 타임스탬프

본 컴포넌트는 TSF가 사용하는 신뢰할 수 있는 타임스탬프를 제공한다. 컴포넌트 FAU_GEN은 정

확한 일시를 요구하는데, 이 컴포넌트와의 종속관계에 의해 요구된다. FPT_STM.1은 IT환경에서

제공하는 타임스탬프를 사용하며, TOE 보안목적 OE.시간를 만족시킨다.



8.2.3 보증요구사항의 이론적 근거

본 보안목표명세서의 보증등급은 EAL3+를 선택하였고 EAL3 등급에 추가된 컴포넌트는 다음과

같다.






TOE 보안목적 O.결함코드검사는 개발자가 작성한 코드에 결함이 있는지 검사하고, 그러한 결함

코드가 TOE 내부 구성요소에 영향을 미치는지 검사할 것을 요구하므로, 이 보안목적에 의해 보

증 컴포넌트 ADV_IMP.2(TSF에 대한 구현의 표현) 및 ATE_DPT.2(상세설계 시험)가 추가되었다.

ADV_IMP.2(TSF에 대한 구현의 표현)의 종속관계에 의해 ADV_LLD.1(서술적인 상세설계) 및

ALC_TAT.1(잘 정의된 개발도구)이 추가되었으며, 본 보안목표명세서는 개발자에 의한 취약성

분석뿐만 아니라 평가자에 의한 독립적인 취약성 분석이 필요하므로 AVA_VLA.2(독립적인 취약

성 분석)가 추가되었다.

8.3 TOE 요약명세의 이론적 근거

이 장에서는 TOE 보안 기능과 보증 방법이 TOE 보안 요구사항에 적절한지 설명한다.

8.3.1 TOE 보안기능의 이론적 근거

어떤 특별한 TOE 보안 기능은 TOE 보안 기능 요구사항을 만족시키기 위해 같이 동작해야 하는

것들이 있다. [표 8-5]는 보안 요구 사항이 모든 보안 기능과 매핑된다는 것을 보여 준다.

[표 8-5] 보안 요구 사항과 보안 기능과의 매핑

보안기능 보안기능 요구사항

보안 감사

(SA)

FAU_ARP.1 보안경보

FAU_GEN.1 감사 데이터 생성










FAU_STG.4 감사 데이터 손실 방지

IPSec VPN 기능

(VPN)

FCS_COP.1 암호연산


FDP_IFC.1 부분적인 정보 흐름 통제

FPT_RPL.1 재사용 공격 탐지 및 대응 행동





침입차단 기능

(FW)



FDP_IFC.2(1) 완전한 정보 흐름 통제




FPR_PSE.1 가명성

식별 및 인증

( IA)



FIA_SOS.1 비밀 정보의 검증





FTA_SSL.1 TSF에 의한 세션잠금



정책 관리

(PC)

















FMT_SMF.1 관리 기능 명세



FPT_SEP.1 보안기능 영역 분리



FAU_ARP.1 보안경보

TOE는 TOE가 감지한 탐지 행동에 대해 UTM MMC의 메세지창으로 경보를 보낸다. (SA)

FAU_GEN.1 감사 데이터 생성

TOE는 TOE에서 발생하는 모든 사건들에 대해서 사건 유형별로 감사 데이터를 생성한다. (SA)


TOE는 인가된 관리자가 미리 정의한 잠재적인 보안 사건들에 대해서 감사 데이터를 기록하고

UTM MMC의 메시지창으로 경보를 보낸다. (SA)


TOE는 자신이 감사 기록 생성하는 필드와 보안 규칙에 따라 선택적으로 감사 기록을 생성할 수

있다. (SA)


TOE는 인가된 관리자가 UTM MMC를 통해 보안 감사 기록을 조회할 수 있도록 한다. (SA)


TOE는 저장된 감사 데이터들을 여러 검색 조건을 사용하여 인가된 관리자가 원하는 감사 기록을

검색할 수 있도록 한다. (SA)




TOE는 로그 저장소에 생성된 감사 기록에 대해 인가된 관리자만이 접근 가능한 파일 시스템에

파일로 사건유형별, 날짜별로 저장한다. (SA)


TOE는 저장소의 남은 용량이 일정 수준 이하가 되면 이를 관리자에게 경보를 보낸다. (SA)

FAU_STG.4 감사 데이터 손실 방지

TOE는 감사 저장소가 포화될 경우 관리자에게 UTM MMC의 메시지창으로 경보를 보낸다. (SA)


TOE는 국가 기관이 정한 알고리즘 목록에 부합하는 알고리즘을 사용한 암호키를 생성한다. (VPN)


TOE 는 어플리케이션 계층에서 IKE 을 구현하여 IETF 에서 정한 표준화된 방법으로 암호키를 분

배한다. (VPN)


TOE는 보안상 중요한 매개 변수를 정확히 0으로 설정하는 방법으로 안전하게 암호키를 파기한다.

(VPN)

FCS_COP.1 암호연산

TOE는 상대 VPN 게이트웨이와 암호화 통신을 수행할 때, 국가기관에서 정한 암호, 해쉬알고리즘

과 RFC에 표준으로 정의한 알고리즘을 사용한다. (VPN)


TOE는 관리자 보안정책을 통해서 패킷의 출발지, 목적지 별로 관리자 접근통제를 수행한다. (FW)


TOE는 TSF가 중재하는 모든 행동을 허용하기 전에 이러한 보안속성(추정되는 출발지 주소)을 식

별한다. (FW)

FDP_IFC.1 부분적인 정보 흐름 통제

TOE는 정의된 보안 방법을 통해 IKE 데몬이 터널을 생성한 후, 모든 패킷에 대해 암호화 및 인증

을 수행한다. (VPN)




TOE는 TOE를 통과하는 모든 트래픽에 대한 정보흐름통제 위하여 인가된 관리자가 미리 지정한

패킷필터링 보안정책에 의해 완전한 정보흐름 통제기능을 제공한다. (FW)


TOE는 사용자에 대하여 인가된 관리자가 미리 지정한 ZONE 보안정책에 의해 완전한 정보흐름

통제기능을 제공한다. (FW)


TOE는 상대 VPN 게이트웨이와 암호화 통신을 수행 할 수 있도록 인가된 관리자로 하여금 상대

VPN 게이트웨이 별로 IKE 정책, 암호키 방법을 정의 한다. (VPN)


TOE는 보안속성과 정보 보안속성 유형에 기반하여 TOE를 통과하는 네트워크 패킷에 대하여 여

적용할 패킷필터링 정책을 정의한다. (FW)


TOE는 보안속성에 기반하여 TOE를 통과하는 모든 트래픽에 대하여 적용할 ZONE 보안정책을 정

의한다. (FW)


TOE는 관리자 인증을 수행 중에 인증 실패 횟수가 인가된 관리자가 정한 인증 실패 허용 횟수에

도달할 경우 경보를 통해 관리자에게 알리고, 인증을 시도한 관리자의 상태를 변경한다. (IA)


TOE는 사용자 객체를 기반으로 보안 정책을 수행 할 때 인가된 관리자가, VPN 통신 상대의 보안

속성을 설정한다. (IA)

FIA_SOS.1 비밀 정보의 검증

TOE는 최소 길이, 조합 규칙, 변경 주기에 대한 메커니즘을 적용하고 있다. (IA)


TOE는 관리자가 식별 및 인증 과정을 거쳐야지만 관련 기능을 수행할 수 있다. (IA, VPN)


TOE는 세션 ID를 사용하여 관련 인증데이터의 재사용을 방지한다. (IA, VPN)




TOE는 인가된 관리자에 대해 인증이 진행되는 동안 인증 성공/실패 메시지 또는 인증 실패에 따

른 상태변경 메시지만을 보여 준다. (IA)


TOE는 모든 행동 이전에 인가된 관리자, VPN 통신 상대에 대해서 인증 정보를 확인한다. (IA)


TOE는 관리자에게 UTM MMC를 제공하여 TOE의 보안정책을 비롯하여 여러 환경 설정을 할 수

있도록 하므로 본 기능을 만족한다. (PC)


TOE는 사용자 객체와 보안등급 객체 대한 관리를 할 수 있도록 인터페이스를 제공하고 있다.

(PC)


TOE는 TOE에서 사용되는 사용자와 관리자의 보안 속성 값에 대해 유효성 검사를 한다. (PC)


TOE는 보안 정책이 거부로 기본값을 유지 하도록 한다. (PC)


TOE는 감사데이터를 통계 처리하는 능력을 인가된 관리자로 제한한다. (PC)


TOE는 TOE를 구성하는 중요파일을 반영구적인 보조기억장치에 백업하고 복구하는 능력을 인가

된 관리자로 제한한다. (PC)


TOE는 보안관리 접근제어 정책, 패킷필터링 보안정책, ZONE보안정책, 가상사설망 보안정책을 질

의, 변경, 삭제하는 능력을 인가된 관리자로 제한한다. (PC)


TOE는 식별 및 인증 데이터를 변경, 삭제하는 능력을 인가된 관리자로 제한한다. (PC)


TOE는 시스템의 시간을 설정하는 기능을 인가된 관리자만으로 제한한다. (PC)




TOE는 암호키의 속성을 변경 관리하는 기능을 인가된 관리자만으로 제한한다. (PC)

FMT__MTD.2 TSF 데이터 한계치 관리

TOE는 UTM MMC를 통해 감사 저장소 용량, 실패한 인증 시도 횟수, 자체 시험이 발생하는 시간

간격을 정의 할 수 있다. (PC)


TOE는 보안정책의 객체와 보안 정책의 속성을 인가된 관리자가 설정할 때 유효성 검사를 한다.

(PC)

FMT_SMF.1 관리 기능 명세

TOE는 보안 관리 기능을 제공한다. (PC)


TOE는 관리자의 권한레벨에 따른 보안역할을 적용할 수 있는 기능을 제공한다. (PC)

FPR_PSE.1 가명성

TOE는 주소변환 규칙 관리는 주소변환 규칙을 조회, 생성, 변경, 삭제할 수 있는 기능을 인가된

관리자에게만 제공하고, 외부 IT 실체가 신뢰된 내부 네트워크의 IP 주소를 알지 못하도록 IP 주

소에 대한 별칭을 제공한다. (FW)


TOE는 IKE 데몬이 상대 VPN 게이트웨이와 터널을 생성시, 통신 중, 그리고 식별 및 인증 과정에

서 replay 공격을 탐지하고 거부한다.(VPN, IA)


TOE는 자신의 TSF 데이터와 실행 바이너리 파일들에 대해 무결성을 시작시, 운영 중에 검증하고

결과를 관리자에게 보여준다. (PC)

FPT_SEP.1 보안기능 영역 분리

TOE는 보안 기능을 수행하기 위해 실행 파일과 환경 설정 파일을 별도의 영역에 보관하고 관리

한다. (PC)


TOE는 시작과 운영 중에 인터페이스, VPN 통신, Route 등의 정상 여부를 주기적으로 탐지하여



계속적으로 동작 하도록 한다. (PC)


TOE는 모든 패킷이 보안 정책에 적용되도록 보안 관련 데몬이 항상 정상적으로 동작하도록 한다.

(PC)

FPT_STM.1 신뢰 할 수 있는 타임 스탬프

TOE는 NTP 서버로부터 신뢰 할 수 있는 시간 정보를 가져 오거나 인가된 관리자가 TOE의 시간

을 변경 할 수 있다. (PC)


TOE는 관리자가 UTM MMC를 통해 한번 로그인 한 후 인가된 관리자가 정한 시간만큼 아무런 동

작이 없는 중에 접속을 시도하면 무조건 로그인 화면을 출력한다. 이때는 로그인을 재시도해야 한

다. (IA)


TOE 접근 관리 기능은 인가된 관리자의 세션 종료와 일반 사용자의 세션 종료를 위한 강제세션

종료 기능을 제공한다. (IA)


TOE는 신뢰된 외부 IT 실체 및 관리자와 통신하는 경우 인증 및 암호통신을 위해 IT 환경으로 제

공되는 SSL 및 SSH 기능을 호출한다. (PC)

8.3.2 TOE 보증수단의 이론적 근거

다음의 보증 요구사항으로 기술 하였던 보증 검증 방법을 제공한다.



[표 8-6] 보증 요구사항과 보증수단

보증수단

보증

컴포넌트 ID

형

상

관

리

문

서

배

포

문

서

설

치

지

침

서

기

능

명

세

서

기

본

설

계

서

구

현

검

증

명

세

서

및

소

스

코

드

상

세

설

계

서

일

치

성

분

석

서

관

리

자

설

명

서

평

가

대

상

제

품

생

명

주

기

지

원

서

시

험

서

취

약

성

분

석

서

ACM_CAP.3 X

ACM_SCP.1 X

ADO_DEL.1 X

ADO_IGS.1 X X

ADV_FSP.1 X

ADV_HLD.2 X

ADV_IMP.2 X

ADV_LLD.1 X

ADV_RCR.1 X

AGD_ADM.1 X

AGD_USR.1 X

ALC_DVS.1 X

ALC_TAT.1 X

ATE_COV.2 X X

ATE_DPT.2 X X

ATE_FUN.1 X X

ATE_IND.2 X X

AVA_MSU.1 X X

AVA_SOF.1 X

AVA_VLA.2 X X

ACM_CAP.3 인가통제

TOE 에 인가되지 않은 변경이 일어나지 않음을 보장하기 위한 통제를 제공하고, 형상관리 시스템



의 적절한 기능성과 사용을 보장하기 위해 TOE는 형상관리문서를 제공한다.

ACM_SCP.1 TOE 형상관리 범위

TOE는 형상 관리 하에 있는 형상 항목에 대해서 적절한 인가에 따라 통제된 방식으로 변경 하고

있음을 보장하기 위해 형상관리문서를 제공한다.

ADO_DEL.1 배포절차

TOE는 발송인이 보낸 TOE를 변경 없는 상태로 수취인 수령함을 보증하는 시스템 통제와 배포

시설 및 절차를 보장하기 위해 배포문서를 제공한다.

ADO_IGS.1 설치, 생성, 시동 절차

TOE는 개발자가 의도한 안전한 방식으로 TOE가 설치, 생성, 시동되고 있음을 보장하기 위해 설

치지침서, 평가대상제품을 제공한다.


TOE는 TSF의 사용자가 볼 수 있는 인터페이스와 동작에 대한 기본 설명과 TOE 보안 기능 요구

사항을 실체화하기 위해 기능명세서를 제공한다.

ADV_HLD.2 보안 기능과 비보안 기능을 분리한 기본설계

TOE는 TSF를 주요 구성단위(서브시스템)들로 서술하고, 구성된 단위들과 이들이 제공하는 기능

과의 관계를 설명하고 이로 인해 TOE가 TOE 보안기능 요구사항을 구현하기에 적절한 구조를 제

공함을 보장하기 위해 기본설계서를 제공한다.


TOE는 TSF의 상세한 내부 동작을 파악하게 함으로 분석을 보장하기 위해 구현검증명세서, 소스

코드를 제공한다.


TOE는 TSF 내부 동작을 모듈과 모듈간의 상호관계 및 종속관계에 관해 서술하고, TSF 서브시스

템이 정확하고 효과적으로 상세화되고 있다는 것을 보장하기 위해 상세설계서를 제공한다.


TOE는 TSF의 다양한 표현(TOE 요약명세, 기능명세, 기본설계, 상세설계, 구현의 표현)가의 일치

성을 보장하기 위해 일치성분석서를 제공한다.


TOE는 보안을 극대화 하기 위해 정확한 방식으로 TOE를 구성, 유지, 관리할 책임이 있는 사람들



이 사용할 문서화된 자료를 제공하기 위해 관리자 설명서를 제공한다.


TOE는 관리자가 아닌 TOE 사용자 및 TOE의 외부 인터페이스를 사용하는 다른 사람들이 사용할

자료를 위해 관리자 설명서를 제공한다.

ALC_DVS.1 보안대책 식별

TOE는 개발 환경에 사용될 수 있는 물리적, 절차적, 인적, 기타 보안대책을 사용하여 TOE를 보

호하기 위하여 생명주기지원서를 제공한다.

ALC_TAT.1 잘 정의된 개발 도구

TOE는 잘못 정의되거나 일관성이 없거나 부정확한 개발 도구가 TOE를 개발하는데 사용되지 않

음을 보장하기 위해 생명주기지원서를 제공한다.

ATE_COV.2 시험 범위의 분석

TOE는 기능명세에 따라 체계적으로 TSF가 시험되었는지 입증하기 위해 시험서, 평가대상제품을

제공한다.

ATE_DPT.2 상세 설계 시험

TOE는 TSF 서브시스템 단계와 모듈 단계에서 TSF 서브시스템과 TSF 모듈이 올바르게 구현되었

음을 보장하기 위해 시험서, 평가대상제품을 제공한다.


TOE는 모든 보안 기능이 명세된 대로 수행됨을 보장하기 위해 시험서, 평가대상제품을 제공한다.

ATE_IND.2 독립적인 시험 : 표본시험

TOE는 보안 기능이 명세된 대로 수행됨을 보장하기 위해 시험서, 평가대상제품을 제공한다.

AVA_MSU.1 설명서에 대한 조사

TOE는 설명서 내에 오도, 불합리, 상충하는 지침이 없으며, 모든 운영 모드에 대한 안전한 절차

를 다루고 있으므로 이를 보장하기 위해 관리자 설명서, 설치지침서를 제공한다.


TOE는 하부 보안 매커니즘의 보안 행동에 대한 양적 또는 통계적 분석결과와 이를 극복하는데

필요한 노력에 의해 보안 행동의 강도를 결정하기 위해 취약성분석서를 제공한다.




TOE는 보안 취약성이 존재함을 확인하고, TOE의 의도된 환경에서 취약성이 악용될 수 없음을 보

장하기 위해 취약성분석서, 평가대상제품을 제공한다.

8.3.3 보안기능강도의 근거

본 보안목표 명세서가 준수한 국가기관용 침입차단 시스템 보호프로파일 V1.2, 국가기관용 가상

사설망 보호프로파일 V1.2에서 요구한 보안 기능 강도-중간을 준수한다.

기능강도에 대한 요구사항은 FIA_UAU.2를 만족시키는 비밀번호 인증 및 재사용 방지 인증에 적

용한다.

공격자의 전문성 정도는 layman(초보자) 이상, 공격자의 TOE에 대한 지식 습득 정도는 NONE,

공격자의 TOE 접근 시간은 공격 시 소용되는 시간과 동일하며, 공격자가 사용한 도구는 표준

장비로 하여, 계산한 것으로, 적절한 공격 가능 시나리오에 해당된다고 판단된다. 따라서, CEM-

99/045 Version 1.0 의 Annex B의 Table B.3 에 의해 보안강도 계산 결과, 공격 가능성을 각각

계산한 결과, FIA_UAU.2 획득 값의 합계가 High 하므로, 보안 기능 강도-중간을 만족함을 알

수 있다.

8.4 종속성 만족의 이론적 근거

TOE 및 보안목표명세서 작성에 사용된 보안기능 요구사항과 EAL3 에서 추가된 보증요구사항은

다음과 같이 종속관계를 포함하고 있다.

8.4.1 TOE 보안기능요구사항의 종속관계

TOE 및 보안목표명세서 작성에 사용된 보안 기능 요구사항은 [표 8-7], [표8-8]과 같은 종속

관계를 포함하고 있다.

본 보안목표명세서에 포함된 기능 컴포넌트의 종속관계는 FMT_MSA.2와 FMT_MTD.3을 제외하

고는 모두 만족된다. 본 보안목표명세서의 보증요구사항 EAL3+는 국가기관용 TOE를 위한 환경

에 적합한 수준이라 판단되며, ADV_SPM.1 비정형화된 TOE 보안정책모델은 선택되지 않았다.

[표 8-7] 보안요구사항 종속관계

컴포넌트 종속관계




FAU_ARP.1 FAU_SAA.1

FAU_GEN.1 FAU_STM.1

FAU_SAA.1 FAU_GEN.1

FAU_SEL.1 FAU_GEN.1, FMT_MTD.1

FAU_SAR.1 FAU_GEN.1

FAU_SAR.3 FAU_SAR.1

FAU_STG.1 FAU_GEN.1

FAU_STG.3 FAU_STG.1

FAU_STG.4 FAU_STG.1

FCS_CKM.1 [ FCS_CKM.2 또는 FDP_COP.1 ]

FCS_CKM.4, FMT_MSA.2

FCS_CKM.2 [FDP_ITC.1 또는 FDP_ITC.2 또는 FCS_CKM.1]


FCS_CKM.4 [FDP_ITC.1 또는 FDP_ITC.2 또는 FCS_CKM.1]

FMT_MSA.2

FCS_COP.1 [FDP_ITC.1 또는 FDP_ITC.2 또는 FCS_CKM.1]


FDP_ACC.2 FDP_ACF.1

FDP_ACF.1 FDP_ACC.1, FMT_MSA.3

FDP_IFC.1 FDP_IFF.1

FDP_IFC.2(1) FDP_IFF.1

FDP_IFC.2(2) FDP_IFF.1

FDP_IFF.1(1) FDP_IFC.1, FMT_MSA.3



FIA_AFL.1 FIA_UAU.1

FIA_ATD.1 없음

FIA_SOS.1 없음

FIA_UAU.2 FIA_UID.1

FIA_UAU.4 없음

FIA_UAU.7 FIA_UAU.1

FIA_UID.2 없음

FMT_MOF.1 FMT_SMF.1, FMT_SMR.1

FMT_MSA.1 [FDP_ACC.1 또는 FDP_IFC.1]

FMT_SMF.1, FMT_SMR.1




FMT_MSA.2 ADV_SPM.1

[FDP_ACC.1 또는 FDP_IFC.1]

FMT_MSA.1, FMT_SMR.1

FMT_MSA.3 FMT_MSA.1, FMT_SMR.1

FMT_MTD.1(1) FMT_SMF.1, FMT_SMR.1






FMT_MTD.2 FMT_MTD.1, FMT_SMR.1

FMT_MTD.3 ADV_SPM.1, FMT_MTD.1,

FMT_SMF.1 없음

FMT_SMR.1 FIA_UID.1

FPT_AMT.1 없음

FPT_RPL.1 없음

FPT_RVM.1 없음

FPT_SEP.1 없음

FPT_TST.1 FPT_AMT.1

FTA_SSL.1 FIA_UAU.1

FTA_SSL.3 없음

FPR_PSE.1 없음

FTP_ITC.1 없음

[표 8-8] IT환경에 대한 보안요구사항의 종속관계


FPT_STM.1 없음

FTP_ITC.1 없음

FDP_ACF.1은 FDP_ACC.1에 종속관계를 가지며, 이는 FDP_ACC.1과 계층관계에 있는

FDP_ACC.2에 의해 만족된다.

FIA_AFL.1, FIA_UAU.7, FTA_SSL.1은 FIA_UAU.1에 종속관계를 가지며, 이는 FIA_UAU.1과 계층

관계에 있는 FIA_UAU.2에 의해 만족된다.



FIA_UAU.2, FMT_SMR.1은 FIA_UID.1에 종속관계를 가지며, 이는 FIA_UID.1과 계층관계에 있는

FIA_UID.2에 의해 만족된다.

FAU_GEN.1은 FAU_STM.1에 종속관계를 가지며, 이는 IT환경으로 제공되는 타임스템프 기능에

의해서 만족된다.

8.4.2 EAL3에서 추가된 보증요구사항의 종속관계

EAL3 에서 추가된 보증요구사항은 [표8-9]과 같이 종속관계를 만족한다.

[표 8-9] EAL3에 추가된 보증 요구 사항의 종속성 만족

컴포넌트 종속성

ADV_IMP.2 ADV_LLD.1, ADV_RCR.1, ALC_TAT.1

ADV_LLD.1 ADV_HLD.2, ADV_RCR.1

ALC_TAT.1 ADV_IMP.1

ATE_DPT.2 ADV_HLD.2, ADV_LLD.1, ATE_FUN.1

AVA_VLA.2 ADV_FSP.1, ADV_HLD.2, ADV_IMP.1, ADV_LLD.1, AGD_ADM.1,

AGD_USR.1

ALC_TAT.1, AVA_VAL.2는 ADV_IMP.1에 종속관계를 가지며, 이는 ADV_IMP.1과 계층관계에 있

는 ADV_IMP.2에 의해 만족된다.

Documents

Soligate UTM V2.0 보안목표명세서TESS UTM V4.5 보안목표명세서 - 8 - (주)정보보호기술 1. 보안목표명세서 소개 본 장은 보안목표명세서 및 참조된