韓國加密法規介紹

MSIT)，得於諮詢相關機關與資訊保護系統(information protection systems)之製 造或輸入有關者的意見後，建立與公告與資訊保護系統之性能(performance)與可 信賴性(reliability)有關之標準。又，該法施行細則第 35 條規定，如有資訊保護系 統之製造或輸入者要求驗證其系統是否符合MSIT 所告之標準，MSIT 可要求韓國 網路與安全局(Korea Internet & Security Agency，KISA)或符合 MIST 所定規定者 進行相關驗證活動。

值得一提的是，全國資訊化架構法並未對於資訊保護系統未符合其所公告之 標準者課予任何行政處分。

（二）主管機關

根據全國資訊化架構法第 38 條與政府組織法(Government Organization Act) 之規定，本機制之權責機關為科學技術情報通訊部。

（三）規範標的及適用主體

根據全國資訊化架構法之規定，此一機制設置之目的主要以IT 安全產品為適 用 標 的 ， 得 申 請 驗 證 之 IT 安 全 產 品 相 當 地 廣 泛 ， 根 據 IT 安 全 驗 證 中 心(IT Security Certification Center，ITSCC)所 公 告 之 驗 證 產 品 清 單(Certificated Products List, CPL)，經驗證產品包括 DB 加密產品、智慧電視安全解決方案、電 子文件加密產品…等產品類別，產品數達十項以上¹¹⁶。

116 ITSCC, Certificated Products, https://www.itscc.kr/certprod/list.do?product_class=1 (last visited July 4, 2019).

（四）重點摘要說明

此一評估與驗證機制係由ITSCC 負責運作，ITSCC 隸屬於國家安全研究機構 (National Security Research Institute, NSR)¹¹⁷，為驗證機構(certification body, CA) 負責驗證評估結果與核發驗證(certificates)、負責管理與授權評估機構(evaluation facilities)與支持共同準則(common criteria, CC)的建立、參與國際組織或活動(如：

CCRA)。 所 謂 的 授 權 評 估 機 構 為 經 KOLAS(Korea Laboratory Accreditation Scheme)認可之測試實驗試，負責評估 IT 安全產品、提供評估員教育訓練…等，

目前韓國有 6 家評估機構，包括：KISA、KOSYAS (Korea System Assurance, Inc.)、KSEL (Korea Security Evaluation Laboratory)、TTA(Telecommunications Technology Association)、KOIST (Korea Information Security Technology)、以及 KTC (Korea Testing Certification)。¹¹⁸

117 NSR 成立於 2000 年，以資通安全科技(包括涉及國家安全維護之科技)的研發為主，參見 National Security Research Institute (NSRI) ， https://www.nst.re.kr/nst_en/member/03_12.jsp

(last visited July 10, 2019)

118 ITSCC, IT Security Evaluation and Certification Scheme , https://www.itscc.kr/svc/svc/openPage.do?pageId=010200 .

資料來源：ITSCC¹¹⁹

圖 2 KECS 運作機制

韓國於 KECS 發展初期係自行建立驗證標準，如：防火牆評估準則、IDS 評 估準則…等，但自 2002 年起，KECS 開始採用 CC，並於 2007 年正式導入國內 CC， 並 相 繼 改 革 其 國 內 之 機 制 。¹²⁰所 謂 的 CC 係 是 與 資 訊 科 技(information security , IT)產品驗證有關之協定(agreement)，此一協定之目的係為了確保對於 IT 產品與保護文件(protection profiles)之評估標準及水平具有一致性，以使使用 者對於IT 產品及保護文件的品質和安全性具有信心，目前澳洲、加拿大、法國、

119 Id.

120 Id.

德國、印度、日本、馬來西亞、新加坡、西班牙、美國、英國、芬蘭等都有參與 此協定¹²¹。實質來說，CC 可謂是一種國際標準與指引，用以評估資訊安全產品，

以確保其符合政府部門使用的需求，其全稱為 IT 安全評估共同準則(Common Criteria for Information Technology Security Evaluation)，此一準則主要有二個構 成 要 素 ， 分 別 是 保 護 文 件(Protection Profile, PPro)與 評 估 確 保 水 準(Evaluation Assurance Levels, EAL)，前者針對特定產品(如：防火牆)設立安全要求，而 EAL 則定義產品應該如何被測試，其水準可從 1 至 1，1 是最低水準，而 7 是最高水 準，但越高水準不表示產品越安全，而是表示其歷經較多的測試。¹²²

根據 TISCC 於第 8 屆國際共同準則研討會(International Common Criteria Conferences)所提出的簡報資料，為了推動 CC，韓國政府部門自己 2006 年起必 須 採 購 經 驗 證 之 IT 安 全 產 品¹²³。 另 ， 根 據 韓 國 國 家 情 報 服 務(National Intelligence Service，NIS)依據電子政府法(Electronic Government Act)第 56 條與 公部門檔案管理施行命令(Enforcement Decree of the Management of Archives by Public Agencies)第 5 條所推動之安全認證機制(Security Verification Scheme)，其 係採用 CC。政府部門於導入具有安全功能之 IT 產品後，必須通過該安全認證機 制，同時， 當政府部 門導入 NIS 所指定的資訊安全系統時，為符合導入要求 (Introduction requirements)，其只能採用經 CC 認證之產品¹²⁴(參見

121 Members of the CCRA, https://www.commoncriteriaportal.org/ccra/members/

(last visited July 11, 2019).

122Common Criteria (CC) for Information Technology Security Evaluation,

https://whatis.techtarget.com/definition/Common -Criteria-CC-for-Information-Technology-Security-Evaluation (last visited July 11, 2019).

123 Cho Sung, Update on Korean scheme, 8^{t h} International Common Criteria Conferences, 25 -27 Sep. 2007, Rome, Italy,

http://www.ocsi.isticom.it/8iccc/in dexd0bd.html?option=com_content&task=view&id=35&Itemid=43&la ng=en.

124 NIS, Security Verification Scheme, https://eng.nis.go.kr/EAF/1_7_1_1.do (last visited July 26, 2019).

表17 韓國-政府部門資訊安全系統-導入要求與產品種類)。

表17 韓國-政府部門資訊安全系統-導入要求與產品種類

導入要求 產品種類 備註

CC Certification ^{ Firewall}

 Intrusion Prevention System(Including IDS)

 Enterprise Security Management Product

 Web Application Firewall

 Server Access Control Product

 DB Access Control Product

 Network Access Control Product

 VoIP Security Product

 Wireless intrusion Prevention System

 Wireless LAN Authentication Product

 Visualization Product

 Network Data Leakage Prevention Product

 Complete Deletion for Multi-Function Printer

 Mobile Device Management

Above EAL2 or PP compliant

Smart Card Above EAL4

CC Certification &

KCMVP Module

 VPN Product

 Software-Based Security USB

 Host Data Leakage Prevention Product

Above EAL2 or PP compliant embedded with KCMVP module

CC Certification &

GS Certification (complying with national security requirements)

 Spam-Mail Prevention System

 Patch Management System

 Inter-Networks Data Transmission Product

 CC Certification:

Above EAL2 or PP compliant

 GS Certification:

Evaluated by ISO/IEC 25023 and comply with national security requirements

CC Certification &

Performance assessment

(complying with national security requirements)

 Anti-DDoS Product

 Anti-Virus Product

 Analysis Tool for Source Code Security Weakness

 CC Certification : Above EAL2 or PP compliant

 Performance

assessment: comply with national security requirements

資料來源：NIS¹²⁵

125 Id.

二、韓國密碼模組驗證計畫

（一）立法目的

KCMVP 係 為 用 以 驗 證 密 碼 模 組 安 全 性(security)與 執 行 一 致 性 (implementation conformance)之機制。此一機制之設計係為了實踐電子政府法執 行命令第69 條之規定，期確保並於通訊網路傳輸之重要且敏感(important but not classified)政府資訊的安全性。¹²⁶是以，KCMVP 主要適用於政府部門使用密碼模 組之情境，而不及私部門。

（二）主管機關

目前KCMVP 主要由 NIS 負責推動與維護。

（三）規範標的及適用主體

KCMVP 以密碼模組為標的，包括：硬體元件、軟體、 韌體程式(firmware programs)或以上任一的組合¹²⁷；密碼模組銷售商(vendor)向測試實驗室(Testing Lab)申請測試，提供申請文件、產品與原始碼(source codes)…等¹²⁸

（四）重點摘要說明

KCMVP 之 驗 證 係 為 確 認 前 揭 密 碼 模 組 是 否 符 合 軟 體 密 碼 模 組 驗 證 標 準 (Software Cryptographic Module Validation Standard)或硬體或韌體密碼模組驗證 標準(Hardware or Firmware Cryptographic Module Validation Standard)，主要是 KS X ISO/IEC 19790。¹²⁹目前用於加密之資訊安全系統須經 KCMVP 驗證者，包

126 NIS, Overview of KCMVP , https://eng.nis.go.kr/EAF/1_7_2_1.do (last visited July 26, 2019).

127 Id.

128 NIS, Validation Process, https://eng.nis.go.kr/EAF/1_7_2_3.do (last visited Aug 2, 2019).

129 Id.

括電子郵件加密、資料庫加密等產品(參見表 18 韓國-政府部門資訊安全系統-涉 及加密之產品須經KCMVP 驗證者)。

表18 韓國-政府部門資訊安全系統-涉及加密之產品須經 KCMVP 驗證者

產品 CC 水準 包括已驗證之密碼模組

 Email encryption

 Session encryption

 Single Sign-on (SSO)

 Disk and file encryption

 Document encryption (DRM, etc.)

 Hardware security token

 DB encryption

 Other encryption

無 強制要求

資料來源：NIS¹³⁰

KCMVP 之 運 作 模 式 如 下 圖 所 示 ， 密 碼 模 組 銷 售 商(vendor)向 測 試 實 驗 室 (Testing Lab)申請測試，提供申請文件、產品與原始碼(source codes)…等¹³¹。測 試實驗室與銷售商會簽定測試契約，依照密碼模組測試要求(Test Requirements for Cryptographic Modules) (KS X ISO/IEC 24759)與密碼模組安全要求(Security Requirements for Cryptographic Modules) (KS X ISO/IEC 19790)進行測試，並將 測試結果送驗證機關(Validation Authority)。驗證機關檢視測試報告之內容，以確 認該測試是否驗證要求。其間，驗證機關會請由產官學研專家組成之密碼模組驗 證委員會(Cryptographic Module Validation Commission)審定測試公允性與有效性。

驗證機關會將驗證結果通知測試實驗室，將通過驗證之密碼模組登錄之“經驗證 之密碼模組清單”(Validated Cryptographic Module List)¹³²。又，目前之測試實驗

130 NIS, Overview of KCMVP, https://eng.nis.go.kr/EAF/1_7_2_1.do (last visited July 26, 2019).

131 NIS, Validation Process, https://eng.nis.go.kr/EAF/1_7_2_3.do (last visited Aug 2, 2019).

132 NIS, Cryptographic Module Validation System , https://eng.nis.go.kr/EAF/1_7_2_2.do (last visited Aug 2, 2019).

室為ETRI 附設機構(The Attached Institute of ETRI)。¹³³

資料來源：NIS¹³⁴

圖 3 KCMVP 運作機制

133 NIS, Validation Process, https://eng.nis.go.kr/EAF/1_7_2_3.do (last visited Aug 2, 2019).

134 Supra note 132.