2017.05.02

"스마트폰 보안에도 가상화를 사용하라"…NSA

Peter Sayer | IDG News Service
미국 국가안보국(NSA)은 현재 미국 정부 부서와 기업들에게 가상화를 사용해 보안이 설정된 스마트폰을 구입할 것을 제안했다. 이 가상화 기술은 현재 태블릿과 노트북에서만 요구하는 기술이다.


Credit: Peter Sayer


이번 제안은 가상화 기반의 스마트폰 보안 시스템이 미국 상용 솔루션 분류 목록(U.S. Commercial Solutions for Classified list, CSfC)에 포함되면서 나온 것이다. CSfC(Commercial Solutions for Classified)는 NSA가 개발한 프로그램으로 미국 정부기관과 기업들에게 계층화된 보안시스템을 신속하게 구축할 수 있도록 지원한다.

D4 가상화 플랫폼을 사용한 코그시스템(Cog Systems)에 의해 보안이 강화된 HTC A9 스마트폰은 현재 삼성전자, LG전자, 블랙베리 등 가상화 기술이 적용되지 않은 기기들과 함께 이 목록에 올라와있다.

A9에서 통신 기능은 D4 가상화 플랫폼에서 별도의 가상머신에서 실행되어 보안을 유지한다. NSA는 지금까지 가상화를 태블릿과 노트북과 같은 큰 기기에서만 요구해왔다. 이번 A9은 가상화를 사용한 첫번째 스마트폰이다. NSA의 기술 지침서에는 "스마트폰에 가상화 기술을 사용한다면 일부 문제를 해결하는데 활용할 수 있다. 지금까지 스마트폰에는 해당 기술이 적용되지 않았다"고 전했다.

코그시스템의 지위는 아직 확정적인 것이 아니다. 여전히 미국 국가정보보증협회(National Information Assurance Partnership, NIAP)의 모바일 플랫폼과 IPSec VPN 클라이언트 보호 프로파일에 대한 D4/A9 조합에 대한 인증은 획득된 것이 아니다.

일반적으로 개발업체들은 이 목록 유지를 위한 인증 획득에 6개월이 걸린다. 현재 D4의 검증은 고서머 시큐리티 솔루션(Gossamer Security Solutions)의 CCTL(Common Criteria Testing Laboratory)에서 진행하고 있다.

코그시스템 CMO 칼 네럽에 따르면, 개발업체들은 가볍게 인증을 구하지 않는다. 이는 새로운 모델마다 50만~70만 달러가 소요되는 매우 비싼 프로세스다. 네럽은 "하지만 코그시스템은 인증 비용을 추가적으로 지불하고 있다. 보안이 강화된 A9의 가격은 이전과 동일하다"고 말했다.

코그시스템 CEO 댄 포츠는 보안 강화된 A9과 같은 상용(commercial off-the-shelf, COTS) 스마트폰은 "정부 고객만의 관심사가 아니다"며, "석유, 가스 산업계에서도 이 스마트폰을 구매하기를 원한다. 그들은 가격 경쟁력을 원하긴 하지만 보안에 대한 관심이 더욱 커지고 있다"고 말했다.

포츠는 "보안 강화된 A9에 대한 인증이 등록되면 다른 스마트폰들도 D4 가상화에 대한 인증을 찾을 것"이라고 기대했다. 포츠는 "인증 처음에는 많은 준비 작업이 필요하기 때문에 시간이 걸리지만 대부분의 작업은 다른 스마트폰에도 적용된다"고 말했다. 포츠는 인증 경험을 토대로 다른 하드웨어의 D4 인증은 더 빨리 진행될 것이라고 덧붙였다. editor@itworld.co.kr  


2017.05.02

"스마트폰 보안에도 가상화를 사용하라"…NSA

Peter Sayer | IDG News Service
미국 국가안보국(NSA)은 현재 미국 정부 부서와 기업들에게 가상화를 사용해 보안이 설정된 스마트폰을 구입할 것을 제안했다. 이 가상화 기술은 현재 태블릿과 노트북에서만 요구하는 기술이다.


Credit: Peter Sayer


이번 제안은 가상화 기반의 스마트폰 보안 시스템이 미국 상용 솔루션 분류 목록(U.S. Commercial Solutions for Classified list, CSfC)에 포함되면서 나온 것이다. CSfC(Commercial Solutions for Classified)는 NSA가 개발한 프로그램으로 미국 정부기관과 기업들에게 계층화된 보안시스템을 신속하게 구축할 수 있도록 지원한다.

D4 가상화 플랫폼을 사용한 코그시스템(Cog Systems)에 의해 보안이 강화된 HTC A9 스마트폰은 현재 삼성전자, LG전자, 블랙베리 등 가상화 기술이 적용되지 않은 기기들과 함께 이 목록에 올라와있다.

A9에서 통신 기능은 D4 가상화 플랫폼에서 별도의 가상머신에서 실행되어 보안을 유지한다. NSA는 지금까지 가상화를 태블릿과 노트북과 같은 큰 기기에서만 요구해왔다. 이번 A9은 가상화를 사용한 첫번째 스마트폰이다. NSA의 기술 지침서에는 "스마트폰에 가상화 기술을 사용한다면 일부 문제를 해결하는데 활용할 수 있다. 지금까지 스마트폰에는 해당 기술이 적용되지 않았다"고 전했다.

코그시스템의 지위는 아직 확정적인 것이 아니다. 여전히 미국 국가정보보증협회(National Information Assurance Partnership, NIAP)의 모바일 플랫폼과 IPSec VPN 클라이언트 보호 프로파일에 대한 D4/A9 조합에 대한 인증은 획득된 것이 아니다.

일반적으로 개발업체들은 이 목록 유지를 위한 인증 획득에 6개월이 걸린다. 현재 D4의 검증은 고서머 시큐리티 솔루션(Gossamer Security Solutions)의 CCTL(Common Criteria Testing Laboratory)에서 진행하고 있다.

코그시스템 CMO 칼 네럽에 따르면, 개발업체들은 가볍게 인증을 구하지 않는다. 이는 새로운 모델마다 50만~70만 달러가 소요되는 매우 비싼 프로세스다. 네럽은 "하지만 코그시스템은 인증 비용을 추가적으로 지불하고 있다. 보안이 강화된 A9의 가격은 이전과 동일하다"고 말했다.

코그시스템 CEO 댄 포츠는 보안 강화된 A9과 같은 상용(commercial off-the-shelf, COTS) 스마트폰은 "정부 고객만의 관심사가 아니다"며, "석유, 가스 산업계에서도 이 스마트폰을 구매하기를 원한다. 그들은 가격 경쟁력을 원하긴 하지만 보안에 대한 관심이 더욱 커지고 있다"고 말했다.

포츠는 "보안 강화된 A9에 대한 인증이 등록되면 다른 스마트폰들도 D4 가상화에 대한 인증을 찾을 것"이라고 기대했다. 포츠는 "인증 처음에는 많은 준비 작업이 필요하기 때문에 시간이 걸리지만 대부분의 작업은 다른 스마트폰에도 적용된다"고 말했다. 포츠는 인증 경험을 토대로 다른 하드웨어의 D4 인증은 더 빨리 진행될 것이라고 덧붙였다. editor@itworld.co.kr  


X