보안 · 컴플라이언스
검증된 암호, 표준에 정렬된 보안
JOLDISK는 NIST CMVP 검증필 암호모듈(FIPS 140)만으로 데이터를 보호하고, 미국 CMMC·NIST SP 800-171 보안통제에 맞춰 설계되었습니다.
NIST CMVP 검증필 암호모듈(FIPS 140)
JOLDISK 클라이언트는 모든 암호 연산을 NIST CMVP 검증필 암호모듈로 수행합니다. 자체 구현하거나 검증되지 않은 암호 라이브러리를 쓰지 않습니다.
CMMC · NIST SP 800-171 정렬
CMMC와 NIST SP 800-171은 조직과 그 정보시스템에 적용되는 미국 방위산업기반(DIB)의 보안통제 표준입니다. JOLDISK는 조직이 이 보호 요구사항을 충족하도록 돕는 구성요소로 설계되었습니다.
대표 보안통제 항목
SC.L2-3.13.11 — CUI를 전송할 때 암호 메커니즘으로 비인가 노출을 방지. JOLDISK는 이를 NIST CMVP 검증필 암호모듈로 충족합니다.
CUI 분류·표지 지원
미국 CUI Registry 기반 분류 범주와 출력물 분류 배너로 통제 비밀(CUI) 표지를 지원합니다.
지원하는 보안통제
JOLDISK 기능이 CMMC·NIST SP 800-171 보안통제 충족을 어떻게 지원하는지입니다.
패밀리별 지원 현황
AC
4
AU
2
IA
2
MP
3
RA
1
SC
3
SI
2
합계
17
보안통제
요구사항
JOLDISK 지원
AC3.1.1
요구사항Limit system access to authorized users, processes acting on behalf of authorized users, and devices (including other systems).시스템 접근을 인가된 사용자, 인가된 사용자를 대신해 동작하는 프로세스, 그리고 기기(타 시스템 포함)로 제한한다.
JOLDISK 지원보호된 데이터를 열려면 인증 로그인과 미리 등록된 기기가 모두 필요합니다. 허용 목록에 없는 응용프로그램은 데이터를 복호하지 못해, 인가된 사용자가 인가된 기기에서 사용할 때만 내용이 열립니다.
AC3.1.2
요구사항Limit system access to the types of transactions and functions that authorized users are permitted to execute.시스템 접근을 인가된 사용자가 실행하도록 허용된 트랜잭션 및 기능의 유형으로 제한한다.
JOLDISK 지원열람·등급 지정 같은 작업은 사용자에게 부여된 데이터 등급과 취급 인가 범위 안에서만 허용됩니다. 인가 등급을 넘어서는 데이터는 열람하거나 등급을 변경하는 조작이 차단됩니다.
AC3.1.3
요구사항Control the flow of CUI in accordance with approved authorizations.승인된 인가에 따라 CUI의 흐름을 통제한다.
JOLDISK 지원CUI는 등급·구획 인가에 암호로 묶여 있어, 인가 경계 밖(미인가 사용자·기기·앱, 비보호 영역)에서는 복호되지 않습니다. 비보호 영역·이동식 매체로의 쓰기도 차단해, CUI가 평문 형태로 인가된 흐름을 벗어나지 못하게 합니다.
AC3.1.5
요구사항Employ the principle of least privilege, including for specific security functions and privileged accounts.특정 보안 기능 및 특권 계정을 포함하여 최소 권한 원칙을 적용한다.
JOLDISK 지원등급·구획 인가는 업무상 알아야 할 범위(need-to-know)에 맞춰 최소한으로 부여하고, 조직도의 부서·역할을 기준으로 관리합니다. 기본값은 미인가이며, 권한은 명시적으로 부여한 만큼만 적용됩니다.
AU3.3.1
요구사항Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity.불법적이거나 비인가된 시스템 활동의 모니터링·분석·조사·보고가 가능하도록 필요한 범위에서 시스템 감사 로그와 기록을 생성하고 보존한다.
JOLDISK 지원보안 데이터에 대한 접근 행위(열람·차단·반출 등)를 서버에 기록하고 보존합니다. 관리자는 이 기록으로 데이터 접근 활동을 사후에 검토하고 조사할 수 있습니다.
AU3.3.2
요구사항Ensure that the actions of individual system users can be uniquely traced to those users, so they can be held accountable for their actions.개별 시스템 사용자의 행위를 해당 사용자에게 고유하게 추적할 수 있도록 보장하여 그 행위에 대한 책임을 물을 수 있게 한다.
JOLDISK 지원각 접근 기록에는 행위를 수행한 사용자와 기기의 식별자가 함께 담깁니다. 이를 통해 특정 행위를 개별 사용자에게 연결해 추적하고, 그 행위에 책임을 물을 수 있습니다.
IA3.5.1
요구사항Identify system users, processes acting on behalf of users, and devices.시스템 사용자, 사용자를 대신해 동작하는 프로세스, 그리고 기기를 식별한다.
JOLDISK 지원사용자는 로그인 계정으로, 기기는 등록(바인딩) 절차로 식별합니다. 조직 환경에서는 AD/LDAP와 연동해 기존 사내 계정 체계로 사용자를 식별합니다.
IA3.5.2
요구사항Authenticate (or verify) the identities of users, processes, or devices, as a prerequisite to allowing access to organizational systems.조직 시스템 접근 허용의 전제 조건으로 사용자, 프로세스 또는 기기의 신원을 인증(또는 검증)한다.
JOLDISK 지원이메일·비밀번호로 신원을 인증하고, 조직 환경에서는 AD 디렉터리 바인드로 사내 자격증명을 검증합니다. 인증을 통과한 경우에만 보호 데이터 접근이 시작됩니다.
MP3.8.4
요구사항Mark media with necessary CUI markings and distribution limitations.필요한 CUI 표지 및 배포 제한 사항을 매체에 표시한다.
JOLDISK 지원인쇄 출력물의 상·하단에 분류 배너를 찍어, 출력되는 CUI에 필요한 통제 표지(분류·취급 표시)를 부여합니다.
MP3.8.7
요구사항Control the use of removable media on system components.시스템 구성요소에서 이동식 매체의 사용을 통제한다.
JOLDISK 지원정책에 따라 USB·SD카드·외장 SSD 등 이동식 매체로의 쓰기를 차단하거나 읽기 전용으로 제한해, 보호 데이터가 이동식 매체로 무단 복사되는 것을 막습니다.
MP3.8.8
요구사항Prohibit the use of portable storage devices when such devices have no identifiable owner.식별 가능한 소유자가 없는 휴대용 저장장치의 사용을 금지한다.
JOLDISK 지원이동식 저장장치로의 쓰기를 정책으로 일괄 차단합니다. 소유자가 불분명한 장치를 포함해, 인가되지 않은 휴대 저장장치로 CUI가 빠져나가지 못합니다.
RA3.11.1
요구사항Periodically assess the risk to organizational operations, assets, and individuals resulting from the operation of systems that process, store, or transmit CUI.CUI를 처리·저장·전송하는 시스템의 운영에서 비롯되는 조직 운영·자산·개인에 대한 위험을 주기적으로 평가한다.
JOLDISK 지원데이터 태세(DSPM) 기능이 CUI가 어디에 얼마나 있는지, 권고보다 낮은 등급으로 보호되는 위험 파일은 얼마나 되는지, 분류별 노출은 어떤지를 지속적으로 집계해 보여줍니다. 이를 통해 CUI에 대한 위험을 주기적으로 파악하는 작업을 뒷받침합니다.
SC3.13.8
요구사항Implement cryptographic mechanisms to prevent unauthorized disclosure of CUI during transmission unless otherwise protected by alternative physical safeguards.대체 물리적 보호 수단으로 보호되지 않는 한, 전송 중 CUI의 비인가 노출을 방지하기 위해 암호 메커니즘을 구현한다.
JOLDISK 지원앱과 서버가 주고받는 통신을 NIST CMVP 검증필 암호모듈로 보호해, 전송 중 CUI가 비인가로 노출되지 않도록 합니다.
SC3.13.11
요구사항Employ FIPS-validated cryptography when used to protect the confidentiality of CUI.CUI의 기밀성을 보호하기 위해 암호를 사용하는 경우 FIPS 검증필 암호를 적용한다.
JOLDISK 지원데이터 보호에 쓰이는 모든 암호 연산을 NIST CMVP 검증필 암호모듈을 통해 수행합니다. 자체 구현하거나 검증되지 않은 암호는 사용하지 않습니다.
SC3.13.16
요구사항Protect the confidentiality of CUI at rest.저장 상태의 CUI 기밀성을 보호한다.
JOLDISK 지원보안 디스크에 저장되는 보안 문서는 검증필 암호로 암호화되어 보관됩니다. 권한이 없으면 저장된 상태에서도 내용을 복호할 수 없습니다.
SI3.14.6
요구사항Monitor organizational systems, including inbound and outbound communications traffic, to detect attacks and indicators of potential attacks.공격 및 잠재적 공격 징후를 탐지하기 위해 인바운드·아웃바운드 통신 트래픽을 포함한 조직 시스템을 모니터링한다.
JOLDISK 지원네트워크 반출 탐지로 외부로 나가는(아웃바운드) 통신 활동을, 데이터 접근 기록으로 데이터 접근 활동을 관찰합니다. 인바운드 침입 탐지나 방화벽 영역은 보완 도구가 필요합니다.
SI3.14.7
요구사항Identify unauthorized use of organizational systems.조직 시스템의 비인가 사용을 식별한다.
JOLDISK 지원인가받지 않은 복호·접근 시도를 차단하고, 그 사유와 함께 기록으로 남깁니다. 이 차단·기록을 통해 시스템의 비인가 사용을 식별할 수 있습니다.
JOLDISK는 보안통제 충족을 돕는 도구이며, 인증(평가) 자체를 대체하지 않습니다.
통제 충족을 넘어서
JOLDISK는 보안통제 요구사항 충족에 더해, 사용자가 문서의 보안 등급을 즉시 인지하고 화면·출력물을 통한 유출을 억제하도록 추가 보호를 제공합니다.
등급 가시화
열람 중인 보안문서의 등급을 창 테두리와 상단 배지로 화면에 표시하여 취급자가 분류를 즉시 인지하도록 합니다.
화면 워터마크
사용자 이름·IP·접속 시각을 화면에 표시하여 화면 촬영을 통한 유출을 추적·억제합니다.
출력물 워터마크
출력물에 사용자 이름·출력 시각·QR·법적 고지를 삽입하여 인쇄물을 통한 유출을 추적·억제합니다.
검증된 보안 전문성
JOLDISK는 국가 보안 분야에서 공로를 인정받은 전문성으로 개발되었습니다.
자격
CMMC RPA
CMMC 공인 실무자 (Registered Practitioner Advanced)
2025
방위사업청장 표창
대한민국 방위산업기술보호 유공