CC인증 절차와 방법, 그리고 필요성
국내 척박한 보안소프트웨어 개발에 문서화라는 개념 정착
국내 척박한 보안소프트웨어 개발에 문서화라는 개념을 정착화한 데 기여한 바가 크다고 볼 수 있는 Common Criteria(이하 CC)는 각 나라 및 지역별로 서로 다른 평가기준을 운용함으로써 발생하는 중복평가 문제를 해소하고 기술적으로 보다 진보된 범 세계 공통의 보안 평가기준을 지향하여 미국, 캐나다와 유럽 4개국의 공동작업에 의해 만들어 졌다.
CC(Common Criteria)의 필요성
Common Criteria(이하 CC)는 각 나라 및 지역별로 서로 다른 평가기준을 운용함으로써 발생하는 중복평가 문제를 해소하고 기술적으로 보다 진보된 범 세계 공통의 보안 평가기준을 지향하여 미국, 캐나다와 유럽4개국의 공동작업에 의해 만들어 졌다.
CC(Common Criteria)의 정의
Common Criteria(이하 CC)는 시스템 사용자가 보안요구사항을 정의할 수 있도록 해주고, Vendor들이 만든 상품에 대해 보안요구사항을 만들 수 있게 해주고, 요구사항을 만족할 경우 시험기관이 상품을 평가할 수 있도록 해주는 기반이 된다.
다시 말해서 CC는 컴퓨터 보안상품이 명세서부터 구현, 평가까지의 과정이 엄격한 기준에 따라 이루어졌음을 보증한다.
CC인증관련기관
인증관련기관은 인증기관인 국가정보원, 평가기관은 다시 공공평가기관인 한국정보보호진흥원, 민간평가기관인 한국산업기술시험원, 한국시스템보증 으로 나눌 수 있다.
>> 인증기관(국가정보원)
인증업무 수행과 관련한 규정 수립 및 시행, 인증서 발급, 평가기관의 평가업무 관리 감독, 인증제품에 대한 사후관리 등을 담당한다.
>> 평가기관
정보보호시스템 평가(EAL1~EAL7), 평가기술 및 방법론 개발, 평가기준 및 평가지침 개발, 보호프로파일 개발 등을 담당한다.
CC인증 이원화
CC인증은 국내용과 국제용으로 이원화 되어 있으며 국제용은 해외수출 및 국내보급을 목적으로 CCRA수준으로 평가가 진행되며 국내용은 2007년 3월부터 한시적으로 국내기관, 업체 및 개인에게 보급하기 위한 목적으로 평가가 진행되고 있으며 국내용 평가는 국내에서만 인증이 된다.
CC인증은 공통평가기준(Common Criteria)인 ISO/IEC 15408 및 공통평가방법론(CEM)인 ISO/IEC 18045를 적용하여 수행한다.
CC인증 수행절차
CC인증 수행절차는 평가신청단계, 평가계약단계, 평가단계, 인증단계로 크게 4가지 단계로 나눌 수 있다.
[1] 평가신청 단계
CC인증 제출물 작성이 완료가 되면 평가기관과 평가신청에 대한 상담을 진행해야 하며 평가기관 선정은 평가일정 및 비용을 고려하여 선정한다. 평가기관이 선정되었으면, 평가기관은 신청 제출물 검토를 진행한다. CC인증 제출물은 EAL등급에 따라 제출해야 될 제출물이 정해져 있다.(참조 표1)
[2] 평가계약 단계
제출물 제출에 별다른 이상이 없으면 제출물 설명회 자료를 작성해서 인증기관 및 평가기관 담당자에게 설명을 하고 평가수행계획기간(3자 협의)및 [표1] 등급별 평가제출물, 출처:한국정보보호진흥원 비용(평가기관과 협의)을 산정한 후 평 가계약(평가수수료 납부)을 진행한다.
[3] 평가단계
평가기관은 제출물 및 보안기능평가 및 취약성 평가를 실시하고 평가결과 보고서를 작성한 후 평가수수료를 정산한다.
[4] 인증단계
평가가 완료되면 인증기관에서는 인증위원회를 개최하고 이의가 없으면 인증신청인에게 인증서 교부 및 인증제품소개책자 등록이 된다.
CC인증의 문제점
CC인증에 대하여 여러 가지 비판이 일고 있다. 그 중 몇 가지를 살펴보면 다음과 같다.
평가 과정에 드는 비용이 비싸고, 벤더가 투자를 한다고 하더라도 반드시 더 나은 보안성의 상품을 얻는다는 보장이 없다.
평가가 기술적 정확도나 상품자체의 장점에 대해 이루어지는 것이 아니라, 문서화에 초점을 맞추고 있다.
평가와 관련한 문서를 준비하는데 필요한 시간과 노력이 매우 크기 때문에 평가가 끝나는 시점에서는 상품가치가 떨어지는 것이 일반적이다.
CC 보증 요구사항은 전통적 폭포수(waterfall) 개발 방법론에 기인하는 경향이 있다.
위와 같은 비판에도 불구하고 CC인증은 국내 척박한 보안소프트웨어 개발에 문서화라는 개념을 정착화한 데 기여한 바가 크다고 볼 수 있다.
현재 이러한 문제점을 개선하기 위하여 공통평가기준 V4.0에서는 공통평가기준에 따라 평가제출물을 작성하는 개발자의 노력, 비용, 시간을 줄여주기 위해 업체의 개발 프로세스에 따라 생산된 산출물을 평가에 이용할 수 있는 방안을 만들고 있다.
<글 : 전성훈 시큐아이닷컴 제품혁신팀 차장 (sh1225.jun@samsung.com)>
[월간 정보보호21c 통권 제109호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)