본문 바로가기
IT기술

FIPS(미국 연방정보처리기준)에 대해 알아보자

by romydady 2024. 4. 21.

FIPS 준수 요구사항 개요

국정원의 보안적합성 검증과 대비되는 미국의 FIPS(Federal Information Processing Standards, 연방 정보 처리 표준)는 미국 연방 정보 보안 관리법(FISMA)에 따라 조직이 준수해야 하는 데이터 보안 및 컴퓨터 시스템 표준을 정의합니다. FIPS 준수를 위해서는 미국 정부 기관이나 계약자의 컴퓨터 시스템이 FIPS 출판물에 명시된 요구사항을 충족해야 합니다. 이러한 요구사항은 암호화 모듈 및 테스트 요구사항, 안전한 해시 알고리즘 사용, 디지털 서명 생성 알고리즘, 고급 암호화 표준(AES), 메시지 인증 메커니즘, 정보 및 정보 시스템 분류 및 보안, 위험 관리, 연방 직원 및 계약자를 위한 공통 식별 표준, SHA-3 암호화 해시 함수 사양 등을 포함합니다. 

2014년, FISMA는 사이버 보안 요구사항의 변화와 필요한 감독을 위해 일부 요소를 삭제하고 수정된 Federal Information Security Modernization Act of 2014(FISMA2014)로 대체되었습니다.

FIPS 준수가 되기 위해서는 미국 정부 기관이나 계약자의 컴퓨터 시스템이 FIPS 140, 180, 186, 197, 198, 199, 200, 201, 202 번호가 매겨진 FIPS 출판물에 명시된 요구사항을 충족해야 합니다.

  • FIPS 140은 하드웨어 및 소프트웨어에서 암호 모듈 및 테스팅 요구사항을 다룹니다.
  • FIPS 180은 조직이 압축 메시지를 계산하기 위해 안전한 해시 알고리즘을 사용할 때 FIPS 준수가 되는 방법을 명시합니다.
  • FIPS 186은 디지털 서명을 생성하기 위한 알고리즘 그룹입니다.
  • FIPS 197은 고급 암호화 표준(AES)을 창출한 표준으로, NSA(국가안보국)에 의해 최고 기밀 정보에 대한 공개적으로 접근 가능한 암호로 승인되었습니다.
  • FIPS 198은 암호학적 해시 함수를 사용하는 메시지 인증 메커니즘에 대해 다룹니다.
  • FIPS 199은 연방 기관이 수집하거나 유지하는 정보 및 정보 시스템을 분류하고 보호하는 방법을 표준화합니다.
  • FIPS 200은 위험 수준에 따른 정보 보안 수준을 통해 연방 기관의 위험 관리를 돕는 표준입니다.
  • FIPS 201은 연방 직원 및 계약자를 위한 공통 식별 표준을 명시합니다.
  • FIPS 202는 네 가지 암호화 해시 함수와 두 가지 확장 가능 출력 함수로 구성된 Secure Hash Algorithm-3(SHA-3) 가족의 사양을 제공합니다.

FIPS 140 표준 : "암호화 모듈에 대한 보안 요구 사항"

FIPS 140 표준은 암호화 모듈의 설계, 구현 및 운영에 사용됩니다. 암호화 모듈이란 보안 기능(예: 알고리즘 및 키 생성)을 구현하는 하드웨어, 소프트웨어 및/또는 펌웨어 집합을 의미합니다. 이 표준은 모듈의 테스트 및 검증 방법도 정의합니다.

보안 요구 사항은 암호화 모듈 인터페이스, 소프트웨어 및 펌웨어 보안, 운영 환경, 물리적 보안, 보안 매개 변수 관리, 자가 테스트, 공격 완화, 역할, 서비스 및 인증을 포함합니다. 암호화 모듈을 운영하거나 모듈 운영을 위탁한 연방 부서 및 기관은 사용하는 모듈이 이러한 요구 사항에 대한 테스트를 통과해야 합니다.

FIPS 140은 네 가지 보안 수준을 개략적으로 설명합니다. 수준이 높아질수록 반드시 이전 수준을 기반으로 하는 것은 아니며, 높은 수준은 해당 사용 사례에 대한 추가 테스트를 거칩니다. 레벨 2 모듈에 적용되는 것이 레벨 4 모듈에는 적용되지 않을 수 있습니다. 모듈은 사용될 시나리오의 요구 사항을 얼마나 잘 충족하는지에 따라 검증됩니다.

레벨 1은 가장 낮은 보안 수준으로, 암호화 모듈의 기본 보안 기능을 다룹니다. 레벨 1 시스템은 집적회로 카드를 사용할 수 있지만, 일반적인 개인용 컴퓨터의 소프트웨어 기능도 허용됩니다.

레벨 2는 암호화 모듈의 물리적 보안 측면을 개선합니다. 필수 물리적 보안 조치의 예로는 변조 방지 코팅, 인장, 또는 절도 방지 잠금장치가 있습니다. 역할 기반 인증이 이 보안 수준에 포함되어 모듈에 접근하는 운영자가 인증되고 할당된 작업에 제한되도록 합니다. 레벨 2는 또한 다중 사용자 시스템 환경에서의 소프트웨어 암호화를 허용합니다.

레벨 3은 물리적 보안을 강화하며, 사설 부문에서 제품을 사용할 수도 있습니다. 다중 칩 내장 모듈은 제거 시 중요 보안 매개 변수를 제로화하는 강력한 외장 케이스에 포함되어야 합니다. 제로화는 기계 설정을 제로 값으로 바꾸어 정보를 변경하거나 삭제하는 실습을 말합니다. 이 보안 수준은 또한 신원 기반 인증을 사용합니다. 접근 권한을 부여하기 전에 신원, 역할 및 할당된 작업이 인증됩니다. 레벨 3을 준수하는 모듈은 중요 보안 매개 변수용 데이터 포트를 다른 데이터 포트로부터 물리적으로 분리합니다.

레벨 4는 140 표준의 가장 보안이 강화된 부분으로, 모든 장치 침투를 감지할 수 있는 탬퍼 감지 회로가 필요합니다. 이 수준은 암호 모듈이 물리적으로 보호되지 않은 환경에 있고 침입자가 접근할 수 있는 경우에 가장 적합합니다. 4단계에서의 모듈 보호는 전압과 온도 조건을 정상 작동 범위 내에서 유지하는 것까지 확장됩니다. 모듈은 변동을 감지하고 자체적으로 초기화(zeroize)할 수 있어야 합니다. 또한, 모듈은 정상 작동 범위를 벗어나 작동해도 안전하게 유지될 수 있도록 설계될 수 있습니다. 다중 사용자 시스템의 경우, 4단계는 더 높은 신뢰도를 얻은 운영 체제(OS)가 필요합니다.

2020년 2월 기준으로, 정부 사용을 위한 암호 모듈을 테스트할 수 있는 FIPS 140의 두 개의 개정판, 즉 FIPS 140-2와 FIPS 140-3이 승인되었습니다. 모듈은 계속해서 해당 시점에 유효한 FIPS 표준을 사용하여 테스트됩니다.

두 번째 판인 FIPS 140-2는 2001년 11월에 발효되었으며, 2021년 9월까지 계속 테스트될 것입니다. 표준의 세 번째 판인 FIPS 140-3은 2019년 3월에 승인되었으며, 2019년 9월에 발효되었습니다. 모듈은 2020년 9월부터 140-3 하에 테스트를 시작할 것입니다. 2020년 9월부터 2021년 9월까지 모듈은 140-2와 140-3을 사용하여 테스트될 것입니다.

FIPS 140-2는 기술 변화와 다른 표준 기구의 표준, 그리고 공급업체, 실험실, 사용자 커뮤니티의 의견을 바탕으로 합니다. 140-3은 국제 표준화 기구(International Organization for Standardization)와 국제 전기 기술 위원회(International Electrotechnical Commission, ISO/IEC)의 표준과 일치합니다.

 

FIPS 180: “보안 해시 표준”

FIPS 180, "Secure Hash Standard,"는 전자 데이터 또는 "메시지"의 축약된 버전을 계산하기 위한 보안 해시 알고리즘을 명시하는 현재 버전인 180-4를 말합니다. 해시 알고리즘은 입력 수를 다른 수와 곱하여 해시 값을 생성합니다. 해시 값이 128비트 길이일 때, 사용된 두 수를 결정하기가 매우 어렵습니다. 왜냐하면 2^128가지의 가능한 조합이 있기 때문입니다.

FIPS 180-4 표준에서 해시 알고리즘은 두 단계로 구성됩니다. 첫 번째는 전처리(preprocessing)이고, 두 번째는 해시 계산(hash computation)입니다.

전처리 과정에서는 해시 계산을 위한 초기 값이 결정됩니다. 후자는 일련의 해시 값을 생성합니다. 생성된 최종 해시 값은 메시지 다이제스트를 결정하는 데 사용됩니다. 해시 알고리즘은 해시 값을 입력으로 받아 메시지 다이제스트로 축약합니다. 이 다이제스트는 메시지가 원래 생성된 이후 변경되었는지 감지하는 데 사용됩니다.

메시지는 해당하는 메시지 다이제스트를 가집니다. 원본 메시지가 변경된 시나리오에서, 해시 알고리즘에 대한 입력이 달라질 것입니다. 그 결과는 수령인이 예상하는 것과 일치하지 않는 메시지 다이제스트가 됩니다. 일치하지 않을 때, 변경이 감지될 수 있습니다.

보안 측면은 두 가지 계산적으로 불가능한 결과에서 비롯됩니다. 첫 번째는 의도된 수령인이 아니면 메시지의 해당 메시지 다이제스트를 찾기가 매우 어렵다는 것입니다. 두 번째는 메시지 다이제스트가 너무 독특하여 두 메시지가 동일한 다이제스트를 가질 가능성이 매우 낮다는 것입니다. 모든 연방 부서와 기관은 민감한 비분류 정보 및 연방 응용 프로그램을 보호하기 위해 FIPS 180을 사용해야 합니다.

보안 해시 알고리즘은 키 해시 메시지 인증 코드나 난수 생성기와 같은 다른 암호화 알고리즘과 함께 사용될 수 있습니다.

 

FIPS 186: “디지털 서명 표준”

FIPS 186, "Digital Signature Standard (DSS),"는 디지털 서명을 인증하는 데 사용할 수 있는 알고리즘에 대한 사양을 담고 있는 표준입니다. 이 표준에 따르면, 개인 키(private key)를 사용하여 디지털 서명을 생성하고, 관련된 공개 키(public key)를 사용하여 서명을 검증합니다. 각 서명자는 개인 키와 공개 키의 쌍을 가지고 있습니다. 검증에 공개 키를 사용하기 때문에, 누구나 서명을 검증할 수 있지만, 권한이 있는 개인 키를 가진 사용자만 서명을 생성할 수 있습니다.

FIPS 준수(FIPS Compliant)란 무엇을 의미하나요? FIPS 준수는 기관이 미국 연방 정보 처리 표준(Federal Information Processing Standards, FIPS)에 명시된 특정 보안 요구 사항을 충족함을 의미합니다. 이는 해당 기관의 정보 기술 시스템과 제품이 FIPS에 의해 정의된 보안 기준을 만족한다는 것을 나타냅니다. 특히, FIPS 186과 같은 표준을 준수하는 것은 디지털 서명과 관련된 암호화 알고리즘과 프로세스가 연방 정부에 의해 승인된 보안 요구 사항을 충족함을 의미합니다.

이 표준을 준수하는 과정은 보안 서명을 생성하는 데 해시 알고리즘과 개인 키를 사용하는 것을 포함합니다. 또한, 서명 검증 과정에서도 해시 알고리즘과 공개 키를 사용합니다. 이러한 방식으로, 디지털 서명의 생성과 검증은 강력한 보안을 제공하며, 서명이 변조되지 않았으며, 서명자가 실제로 해당 서명을 생성한 권한이 있는지를 확인할 수 있게 합니다.

반응형

FIPS 197: “AES(고급 암호화 표준)”

FIPS 197 표준은 일반적으로 AES(Advanced Encryption Standard, 고급 암호화 표준)라고 불리며, 전자 데이터를 보호하기 위한 FIPS 승인 암호화 알고리즘입니다. 구체적으로 AES 알고리즘은 대칭 블록 암호로, 데이터를 암호문의 형태로 불가해하게 만들어 정보를 암호화합니다. 그리고 데이터를 원래의 형태인 평문으로 되돌려 정보를 복호화합니다.

AES 알고리즘에서 사용하는 암호화 키는 128비트, 192비트, 256비트이며, 128비트 블록에서 데이터를 암호화 및 복호화합니다.

암호화 보호가 필요한 민감하지만 기밀이 아닌 정보를 취급할 때 FIPS 준수 연방 부서 및 기관은 FIPS 197을 준수해야 합니다. 상업 및 개인 조직도 자신들의 민감한 데이터를 보호하기 위해 이 표준을 사용하는 것이 권장됩니다.

이 알고리즘은 소프트웨어, 펌웨어, 하드웨어 또는 이 세 가지의 조합에서 실행될 수 있습니다. 결국 그 구현 방식은 사용되는 애플리케이션, 환경 또는 사용되는 기술과 같은 요소들에 따라 달라집니다.

 

FIPS 198: “HMAC(키 해시 메시지 인증 코드)”

FIPS 198은 메시지 인증이 필요한 응용 프로그램을 위한 규격입니다. 메시지 인증 코드(MAC)의 구성을 통해 메시지 인증이 가능합니다. 암호화 해시 함수를 기반으로 하는 MAC은 해시 메시지 인증 코드(HMAC)입니다. MAC은 메시지의 출처와 무결성을 완전히 독립적으로 인증합니다.

HMAC에는 두 가지 구별되는 매개변수가 있습니다: 메시지 입력과 비밀 키입니다. 이 비밀 키는 메시지 발신자와 의도된 수신자만 알고 있습니다. 이러한 키 해시 함수는 비밀 키와 도전 메시지가 모두 있는 도전-응답 식별 프로토콜에서도 사용됩니다.

이 표준은 민감하지만 비분류된 정보를 보호합니다. 개인 및 상업 조직에서도 사용할 수 있습니다.

 

FIPS 199: "연방 정보 및 정보 시스템의 보안 분류 표준"

FIPS 199, "Standards for Security Categorization of Federal Information and Information Systems," 제공하는 것은 정보 및 정보 시스템을 안전하게 분류하는 표준화된 방법입니다. 이는 다음을 가능하게 합니다:

  • 정보 보안 프로그램의 효과적인 관리 및 감독
  • 정보 보안 정책, 절차 및 관행의 효과에 대한 관리 및 예산처(OBM) 및 의회에 대한 일관된 보고

보안 분류는 조직이 해커에 의해 정보에 접근당했을 때 받게 될 영향의 심각성에 기반을 둡니다. 이러한 정보 시스템은 조직이 할당된 임무를 수행하는 데 중요하며, 자산을 보호하고, 법적 책임을 이행하고, 일상 기능을 유지하며, 개인을 보호하는 데 중요합니다.

조직에 대한 잠재적 영향은 세 가지 보안 목표인 기밀성, 무결성, 및 가용성 측면에서 낮음에서 높음까지 다양할 수 있습니다. 기밀성 목표는 정보 제한을 유지하는 것입니다. 무결성 목표는 부적절한 정보 수정이나 파괴를 방지하는 것뿐만 아니라 정보의 진정성을 보장하는 것입니다. 가용성 목표는 정보가 신뢰할 수 있고 적시에 접근할 수 있도록 보장하는 것입니다.

보안 분류는 취약성 및 위협 정보와 함께 작동하여 조직의 위험 평가를 안내할 수 있습니다.

FIPS 199은 다음에 적용됩니다:

  • 무단 공개에 대한 보호를 요구하지 않거나 분류된 상태를 가지지 않는 정보
  • 국가 보안 시스템으로 지정되지 않은 모든 연방 정보 시스템

위 표는 FIPS 199에 참조된 보안 수준을 나타내며, 이 표준은 정보 및 정보 시스템을 그들이 기밀성, 무결성, 및 가용성에 미치는 잠재적 영향에 따라 분류합니다. 영향은 낮음(Low), 중간(Moderate), 높음(High)으로 분류됩니다.

기밀성 영향은 운영, 자산, 개인에 미치는 잠재적 부정적 영향을 구분합니다. 무결성 영향은 정보의 무단 수정 또는 파괴로 인한 부정적 영향을 고려하며, 가용성 영향은 정보나 시스템의 접근 또는 사용 중단으로 인한 부정적 영향을 평가합니다.

기관들은 이러한 범주를 사용하여 정보 시스템의 전반적인 보안 분류를 결정합니다. 이 세 가지 보안 목표 중 가장 높은 잠재적 영향 수준이 시스템의 전반적인 분류를 결정합니다. 이 과정은 보안 노력과 자원을 우선순위에 따라 배치하여 FIPS 199과의 준수를 보장하고 정보 보안 위험을 효과적으로 관리하는 데 도움이 됩니다.

 

FIPS 200: "연방 정보 및 정보 시스템에 대한 최소 보안 요구 사항"

FIPS 200, "연방 정보 및 정보 시스템을 위한 최소 보안 요구 사항"은 연방 정보 시스템 및 시스템 정보의 기밀성, 무결성, 및 가용성을 보호하는 17개의 보안 관련 영역을 제공합니다. FIPS 준수를 위해서는 이 영역들을 준수해야 합니다. 해당 영역은 다음과 같습니다:

  1. 접근 제어: 정보 시스템 접근 및 사용을 승인된 사용자로 제한합니다.
  2. 인식 및 교육: 관리자는 정보 시스템의 위험과 규정에 대해 알아야 하며, 직원은 정보 보안 관련 업무에 대해 교육을 받아야 합니다.
  3. 감사 및 책임: 보안 감사를 위해 정보 시스템 기록을 만들고, 보호하며, 보존해야 하며, 사용자의 책임 추적이 가능해야 합니다.
  4. 인증, 승인 및 보안 평가: 보안 제어가 정기적으로 효과적인지 테스트하고, 보안 결함을 수정하기 위한 조치 계획을 수립하며, 정보 시스템 보안 제어를 모니터링해야 합니다.
  5. 구성 관리: 하드웨어, 소프트웨어, 펌웨어 및 보안 설정에 대한 기본 구성 및 문서화가 있어야 합니다.
  6. 비상 계획: 비상 대응, 백업 운영 및 재해 복구를 위한 계획이 있어야 합니다.
  7. 식별 및 인증: 사용자, 프로세스 및 장치의 인증된 식별에 따라 정보 시스템에 대한 접근이 결정됩니다.
  8. 사고 대응: 운영 사고 처리는 적절한 준비, 탐지, 분석, 격리, 복구 및 사용자 대응 활동을 포함해야 하며, 사고의 추적, 문서화 및 보고가 포함되어야 합니다.
  9. 유지 관리: 정보 시스템에 대한 정기적인 유지 관리는 유효한 제어를 사용하여 수행되어야 하며, 유지 관리를 수행하는 도구, 기술, 메커니즘 및 인력에 대한 효과적인 제어가 있어야 합니다.
  10. 미디어 보호: 종이 및 디지털 미디어는 무단 사용자로부터 보호되어야 하며, 폐기 또는 재사용 전에 소독 또는 파괴되어야 합니다.
  11. 물리적 및 환경 보호: 정보 시스템, 장비, 운영 환경 및 지원 인프라는 무단 사용자 및 환경 위험으로부터 보호되어야 합니다.
  12. 계획: 조직은 정보 시스템에 대한 계획된 또는 이미 적용된 보안 조치와 시스템 접근 규칙을 기술하는 보안 계획을 개발하고 문서화하며, 업데이트하고 실행해야 합니다.
  13. 인사 보안: 조직은 책임이 있는 직원이 신뢰할 수 있고 검증됐는지 확인하고, 해고되거나 이동된 직원이 정보 접근 권한을 잃도록 해야 하며, 보안 정책을 준수하지 않는 직원에게는 공식적인 제재를 가해야 합니다.
  14. 위험 평가: 조직은 정보 시스템의 처리, 저장 또는 정보 전송으로부터 발생하는 위험을 정기적으로 평가해야 합니다.
  15. 시스템 및 서비스 취득: 조직과 제3자는 정보 시스템을 보호하기 위해 충분한 자원을 사용해야 하며, 생명 주기 작업에 정보 보안 고려 사항을 통합하고, 소프트웨어 사용 및 설치를 제한해야 합니다.
  16. 시스템 및 통신 보호: 통신은 효과적인 보안 아키텍처, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 설계함으로써 네트워크 경계에서 모니터링되고, 제어되며 보호되어야 합니다.
  17. 시스템 및 정보 무결성: 조직은 시스템 결함을 식별, 보고, 수정해야 하며, 악성 코드로부터 보호하고 보안 경보에 대응하여 모니터링해야 합니다.

FIPS 201: "연방 직원 및 계약자의 개인 신원 확인(PIV)"

FIPS 201, "개인 신원 확인(Personal Identity Verification, PIV)에 관한 연방 공무원 및 계약자",은 연방 공무원 및 계약자들이 건물, 컴퓨터 시스템 또는 보안이 유지되어야 하는 데이터에 접근하기 위한 공통적인 방법을 제공합니다. 이 표준의 범위는 전체 부서나 기관의 신원이 아닌 개인의 신원 인증에 초점을 맞추고 있습니다.

FIPS 준수를 위해서 조직은 "개인 직원의 신원을 확인하는 기준에 기반하여 발급되며, 신원 도용, 변조, 위조 및 테러리스트의 악용에 강력히 저항하며, 전자적으로 신속하게 인증할 수 있으며, 공식 인증 과정을 통해 신뢰성이 확립된 제공자만이 발급할 수 있는" 정부 차원의 신원 증명서를 보유해야 합니다.

FIPS 201의 기능적 구성 요소에는 세 가지 주요 하위 시스템이 있습니다.

  1. PIV 프론트엔드 하위 시스템: PIV 카드, 카드 및 생체 인식 리더, PIN 입력 장치가 포함됩니다.
  2. PIV 카드 발급 및 관리 하위 시스템: 신원 증명 및 등록, 카드 및 키 발급 및 관리, 검증 인프라에 필요한 저장소 및 서비스가 포함됩니다.
  3. PIV 의존 하위 시스템: 물리적 및 논리적 접근 제어 시스템, 보호된 자원, 인가 데이터가 포함됩니다.

인증 메커니즘은 연방 부서 및 기관이 사용하는 애플리케이션에 적합하다고 판단하는 다양한 보안 수준을 가지고 있습니다.

 

FIPS 202 "SHA-3 표준: 순열 기반 해시 및 확장 가능한 출력 함수"

FIPS 202, "SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions," 정의는 보안 해시 알고리즘-3(SHA-3) 가족의 네 가지 암호화 해시 함수와 두 가지 확장 가능한 출력 함수에 대한 사양을 제공합니다. 해시 함수는 디지털 서명 생성 및 검증, 키 파생 및 의사 난수 생성을 포함한 보안 기능에서 사용됩니다.

확장 가능한 출력 함수는 다르지만, 특정 응용 프로그램의 요구 사항과 보안 고려 사항에 직접 적응할 수 있는 능력을 통해 유사하게 사용될 수 있습니다.

이 목록의 다른 표준과 마찬가지로, FIPS 202는 민감하지만 비밀이 아닌 정보를 보호하기 위한 것입니다. 연방 응용 프로그램에서 보안 해시 알고리즘이 필요할 때 FIPS 202 또는 180을 사용할 수 있습니다. 이는 해당 응용 프로그램이 다른 암호화 알고리즘 및 프로토콜 내의 구성 요소일 때에도 적용됩니다.

 

FIPS 준수는 조직이 2002년 연방정보보안관리법(FISMA) 및 2014년 연방정보보안현대화법(FISMA2014)에 따라 행동하기 위해 FIPS를 준수함을 의미합니다. 이러한 준수는 연방정부 기관 및 그와 계약하는 기업들에게 중요한 보안 기준입니다. 여기에는 다음과 같은 주요 FIPS 표준들이 포함됩니다:

  • FIPS 140은 암호화 모듈의 물리적 및 가상 보안 측면을 네 단계로 나누어 강화된 보안 수준을 다룹니다.
  • FIPS 180은 보안 해시 알고리즘이 조직의 정보 시스템을 통해 전송된 데이터 메시지를 고유하고 해석하기 어렵게 만들어 보안을 제공하는 방법을 보여줍니다.
  • FIPS 186은 공개키와 개인키를 사용하여 디지털 서명이 어떻게 생성되고 보호되는지 설명합니다.
  • AES(또는 FIPS 197)는 NSA가 사용하는 공개적으로 이용 가능한 암호화 알고리즘입니다.
  • FIPS 198은 해시 메시지 인증 코드가 보안 통신 및 챌린지-응답 식별을 위해 비밀 키를 어떻게 사용하는지 설명합니다.
  • FIPS 199은 연방 부서 및 기관이 사용 중인 보안 기능의 적절성 및 효과성에 대해 보고할 수 있도록 정보 시스템을 분류하도록 합니다.
  • FIPS 200은 정보 시스템의 최소 보안 요구 사항을 17개 영역에서 다룹니다.
  • FIPS 201은 연방 직원 및 계약자의 물리적 및 가상 자격 증명에 대한 표준을 설정합니다.
  • FIPS 202는 FIPS 180과 유사하며, 연방정부가 조직이 FIPS 준수를 위해 보안 해시 알고리즘을 요구할 때 그에 대한 대안이 될 수 있습니다.

이러한 FIPS 표준들은 연방정부 및 계약 기관들이 정보 보안을 유지하고 개선하는 데 있어 중요한 역할을 합니다.

 

FIPS 140-2와 CC인증의 차이점

FIPS 140-2와 CC(Common Criteria) 인증은 정보 보안 분야에서 중요한 두 가지 국제 표준입니다. 이 두 인증은 정보 기술 제품의 보안성을 평가하고 인증하는 데 사용되지만, 그 목적과 적용 범위에서 차이가 있습니다.

FIPS 140-2 인증

  • 목적: FIPS 140-2는 주로 암호화 모듈의 보안 요구사항에 초점을 맞춥니다. 이는 미국 정부 기관 및 계약자들이 사용하는 암호화 제품의 보안을 평가하는 데 사용됩니다.
  • 적용 범위: 암호화 모듈과 관련된 제품에 한정되며, 네 가지 보안 수준을 정의하여 제품의 보안성을 평가합니다.
  • 미국 시장 진출: FIPS 140-2 인증은 미국 정부 기관에서 널리 인정받고 있으므로, 미국 시장에 진출하려는 경우 유리할 수 있습니다.

CC(Common Criteria) 인증

  • 목적: CC 인증은 IT 제품 및 시스템의 보안성을 평가하기 위한 국제 표준입니다. 특정 모듈이 아닌 전체 IT 제품을 대상으로 합니다.
  • 적용 범위: 다양한 IT 제품 및 시스템에 적용되며, 제품의 보안 요구사항을 충족하는지 평가합니다. CC 인증은 보다 광범위한 IT 제품에 적용될 수 있으며, 26개국이 상호 인정하는 CCRA(Common Criteria Recognition Agreement)를 통해 국제적으로 인정받습니다. 

두 인증 모두 정보 보안 분야에서 중요한 역할을 하지만, FIPS 140-2는 암호화 모듈에 특화된 반면, CC 인증은 다양한 IT 제품 및 시스템의 보안성을 평가하는 데 사용됩니다. 따라서, 특정 제품이나 시스템의 보안 요구사항에 따라 적절한 인증을 선택하는 것이 중요합니다.

 

반응형

댓글