Ⅰ. CC 인증(Common Criteria) 이란?
IT 제품의 보안성을 검증하는 데 필수적인 인증 체계로, 공공 기관과 민간 기업에서 제품을 선택할 때 중요한 요소로 작용하고 있습니다. 정보기술(IT) 제품 및 시스템의 보안성을 평가하는 국제 표준 인증 체계입니다. 공식 명칭은 공통 평가 기준 또는 CC(Common Criteria for Information Technology Security Evaluation)로, 주로 정보통신기술 제품의 보안성을 검증하기 위해 사용됩니다. CC 인증은 IT 제품이 특정 보안 요구 사항을 얼마나 충족하는지 평가하고, 평가 결과를 바탕으로 인증을 부여하는 체계로, 전 세계적으로 보안성을 인정받기 위한 표준화된 방법입니다.
Ⅱ. CC 인증(Common Criteria)의 구성요소
ⅰ. 보안 목표(Security Target, ST)
보안 목표(ST)는 제품의 특정 보안 요구 사항을 기술하는 문서로, 평가받을 제품에 대한 보안 요구 사항과 보안 기능을 정의합니다.
제품 개발자는 ST 문서를 작성하여 제품의 보안 목표와 해당 목표를 충족하기 위한 보안 기능을 명시합니다.
ⅱ. 보호 프로파일(Protection Profile, PP)
보호 프로파일(PP)은 특정 범주의 제품에서 요구되는 보안 요구 사항을 정의하는 일반적인 기준입니다.
예를 들어, 방화벽이나 운영체제와 같은 특정 유형의 제품에 대해 일반적으로 요구되는 보안 사항을 명시합니다.
PP는 공공기관이나 보안 당국에서 작성하여, 제품이 이 보호 프로파일을 충족하는지 평가할 때 사용됩니다.
ⅲ. 평가 보증 등급(Evaluation Assurance Level, EAL)
평가 보증 등급(EAL)은 제품의 보안성을 평가하는 기준이 되는 단계로, EAL1부터 EAL7까지 존재하며, EAL 등급이 높을수록 보안 평가의 엄격성이 증가합니다. 일반적으로 EAL4 수준까지는 상용 제품에서도 많이 사용되며, EAL5 이상부터는 매우 높은 보안 수준을 요구하는 군사 및 국방용 제품에 적용됩니다.
Ⅲ. CC 인증(Common Criteria) 프로세스
특정 보안 요구 사항을 충족하는지 체계적으로 검증합니다. 보안 평가 기관이 제품을 테스트하고 보안 목표(ST)와 보호 프로파일(PP)을 기반으로 제품의 보안 기능을 검증합니다.
평가 프로세스는 엄격한 문서 검토, 설계 분석, 구현 테스트 등 여러 단계를 거치며, 최종 평가 결과에 따라 EAL 등급을 부여합니다.
Ⅳ. CC 인증(Common Criteria) 평가 보증 등급 (EAL)
EAL 등급 | 주요내용 | 설명 |
EAL1 | 기능 테스트 | 기능 테스트를 통해 보안 기능이 요구사항을 충족하는지 확인합니다. 초기 보안 수준의 제품에 적합합니다. |
EAL2 | 구조적 테스트 | 제품의 구조적 설계와 테스트를 통해 보안 기능을 확인합니다. 초기 상용 제품에 적용할 수 있습니다. |
EAL3 | 방법론적 테스트 | 보안 기능의 설계와 테스트에 대한 방법론적 분석을 포함하며, 상용 제품과 일부 민감 정보를 다루는 환경에 적합합니다. |
EAL4 | 방법론적 설계, 시험 및 검토 | 체계적인 보안 설계와 검토가 포함되며, 주로 상업용 보안 제품에 적용됩니다. |
EAL5 | 반형식적 설계 및 검토 | 매우 높은 수준의 보안 검증을 수행하며, 국방 또는 중요 인프라에 적용되는 제품에 적합합니다 |
EAL6 | 반형식적 검증 설계 및 검토 | 군사 및 국가 안보용 제품에 적합한 높은 보안 수준입니다. |
EAL7 | 공식적 검증 설계 및 테스트 | 최고 수준의 보안 평가로, 매우 민감한 군사 및 국가 보안 환경에서 사용하는 제품에 적합합니다. |
Ⅴ. CC 인증(Common Criteria) 장점
ⅰ. 국제 표준 준수
CC 인증은 국제적으로 인정받는 보안 인증으로, 전 세계 여러 국가에서 인정하는 표준화된 평가 기준을 제공합니다.
ⅱ. 신뢰성
CC 인증을 통해 제품의 보안성이 검증되면, 사용자는 해당 제품이 특정 수준의 보안성을 보장함을 믿을 수 있습니다.
ⅲ. 공공 조달 요건 충족
많은 공공기관과 국가에서는 공공 조달에 있어 CC 인증을 요구하므로, 기업은 CC 인증을 통해 공공시장에 진출할 수 있습니다.
Ⅵ. CC 인증(Common Criteria) 절차
ⅰ. 보안 목표(ST) 작성: 개발자가 제품의 보안 목표와 요구 사항을 정의한 ST 문서를 작성합니다.
ⅱ. 평가 및 인증 신청: 보안 평가 기관에 평가 신청을 하고, 제품과 ST 문서를 제출합니다.
ⅲ. 보안 평가: 보안 평가 기관은 제품의 보안 기능을 검증하는 다양한 테스트와 검토를 진행하며, ST에 명시된 요구 사항을 충족하는지 확인합니다.
ⅳ. 평가 등급 부여: 보안 평가 결과에 따라 제품에 적합한 EAL 등급을 부여합니다.
ⅴ. 인증서 발급: 평가가 완료되면 CC 인증 기관에서 인증서를 발급합니다.
Ⅶ. CC 인증(Common Criteria) 활용 사례
ⅰ. 보안장비 :방화벽, IPS, IDS, UTM, NAC 등 보안 장비는 CC 인증을 통해 신뢰할 수 있는 보안성을 증명합니다.
ⅱ. 운영체제: Microsoft Windows, Linux 등 주요 운영체제는 CC 인증을 통해 보안 기능을 검증받습니다.
ⅲ. 네트워크 장비: 스위치, 라우터 등의 네트워크 장비는 CC 인증을 통해 신뢰할 수 있는 보안성을 증명합니다.
ⅳ. 암호화 모듈 및 VPN: 암호화 모듈이나 VPN 솔루션은 CC 인증을 통해 높은 보안성을 요구하는 환경에서 사용됩니다.
'ISMS-P' 카테고리의 다른 글
보안취약점 CVE (Common Vulnerabilities and Exposures)에 대해 알아보겠습니다. (0) | 2024.12.19 |
---|---|
정보보안(Information Security)에 대해 알아보겠습니다. (0) | 2024.12.13 |
비밀번호 스프레이 공격에 대해 알아보겠습니다. (0) | 2024.10.24 |
개인정보란 무엇인지에 대해 알아보겠습니다. (3) | 2024.10.23 |
모의해킹(Penetration Testing, Pentest)에 대해 알아보겠습니다. (0) | 2024.09.19 |