[특집] 정보보호 제품평가는 사람에 있어 건강검진과도 같은 것 정보보호제품 평가는 국가·공공기관에 제품을 납품하기 위해 어쩔 수 없이 받아야 하는 과정으로 마치 규제인 것처럼 인식될 수 있다. 제품평가는 사람에 있어 건강검진과도 같은 것이다. 주기적으로 전문의에게 자신의 몸 상태를 점검받아 문제가 없는지를 확인하듯 개발한 제품이 개발목적대로 만들어 졌는지, 취약성이 없는지를 평가전문기관에서 검증을 받아야 한다. 업체는 CC평가·인증 제도를 통해 안전·신뢰성이 보증(Assurance)된 제품을 시장에 출시함으로써 제품과 기업의 가치를 높이게 될 것이다.

2000년 초만 해도 정보보호제품 평가대상은 침입차단시스템(Firewall)과 침입탐지시스템(IDS) 정도였으며 보안업체는 10여개 정도에 지나지 않았다. 지금은 네트워크보안, DB보안, PC보안, 보안USB 등 제품군을 분류하기도 어려울 정도로 다양해 졌고 보안업체는 100여개로 10배 가까이 증가했다.
평가기관도 KISA외에 KTL과 KoSyAs가 2007년 하반기부터 활동하고 있으며 연내에 2개 기관이 추가로 지정될 전망이란다. 그만큼 보안에 대한 개념이 확대되었고 정보보호제품에 대한 시장이 커졌다고 볼 수 도 있을 것이다.
여기에서는 정보보호제품 평가에 대한 역사나 어떠한 변화과정을 거쳤는지 보다는 CC평가 소개 및 보증등급이 갖는 의미, 평가자가 되기 위한 과정, 그리고 평가를 준비하는 보안업체들이 하반기에 참고할 만한 팁이 어떤 것들이 있는지 알아보기로 한다.
정보보호제품 평가, 국제공통평가기준(CC)이란?
CC(Common Criteria)는 보안기능이 포함된 IT제품을 평가하기 위한 국제표준(ISO 15408)으로, 국가간 평가결과의 상호인정(CCRA, Common Criteria Recognition Arrangement)에 필요한 단일화된 평가기준을 제정할 목적으로 미국, 유럽 등에서 기존의 ITSec, TCSec 등 여러 평가기준을 참조하여 만든 국제적으로 통용이 가능한 평가기준이다.
CC는 기본개념, 보안기능, 보증요구사항을 각각 설명하는 세 부분으로 구성된다. 1부는 보안성평가의 개념과 정의, 그리고 PP(Protection Profile)와 ST(Security Target)에 대한 정의를 다루고 있다. 2부에서는 정보보호제품이 갖는 다양한 보안기능에 대한 요구사항을 정의하고 있으며 3부에서는 보증등급(EAL : Evaluation Assurance Level)별 요구되는 문서와 내용에 대해 다루고 있다.
평가를 받기 위해서는 평가제출물을 준비하여야 한다. 평가제출물은 업체가 개발한 제품과 보증등급별 요구되는 문서로 구성된다.
보증등급 vs. 보안등급
보증등급은 EAL1부터 EAL7까지 7단계로 분류되며 등급별 요구하는 수준을 만족했는지 여부를 점검하고 인정하는 것으로 제품의 우수성을 판단하여 등급을 부여하는 것과는 다르다.
평가는 문서평가와 제품에 대한 기능시험 및 취약성 검증으로 이루어진다. 문서평가는 단계별 설계과정에서 보안상 설계결함이 없는지를 분석하고 기능시험은 설계문서대로 보안기능이 구현되었는지를 점검하는 과정이다.
보증등급이 높아질수록 보안기능의 내부구조를 더욱 세부적으로 분석하고 검증하게 된다.
EAL2 : 제품을 구성하는 보안기능간의 상관관계에 대한 분석과 시험 EAL3 : 보안기능을 구성하는 하위 보안기능(서브시스템)에 대한 상관관계 분석과 시험 EAL4 : 서브시스템을 구성하는 하위 기능(단위모듈)에 대한 상관관계 분석과 시험 EAL5~7 : 문서에 대한 요구수준은 EAL4와 유사하나 설계문서에 수학적인 검증기법(정형기법) 채용 취약성 검증은 평가의 꽃이라고 할 만큼 중요한 부분으로 제품유형을 기반으로 인터넷 등을 통해 취약성 정보를 수집하고 취약성 공격 및 분석도구를 이용해 시험을 하게 된다. 보증등급이 높아질수록 제품에 대한 정보를 더 많이 요구하게 된다. 즉, 보증등급이 높아질수록 제품을 좀 더 세밀히 관찰하고 분석·시험함으로써, 낮은 등급에서 발견할 수 있는 것보다 더 많은 취약성 및 오류가능성을 발견할 수 있는 기회를 갖게 된다.
보안기능강도 vs. 보증등급
보안기능강도는 외부의 침입 및 공격(해킹)으로부터 견딜 수 있는 정도를 말하며 공격성공가능성으로 표현된다. 공격성공가능성은 제품의 취약성을 식별한 기간(A), 공격자의 전문지식(B), 제품정보(C), 악용하는데 걸리는 시간(D), 분석장비 수준(E)의 합으로 계산하며 등급별 기본(EAL1~3), 강화된 기본(EAL4), 중간(EAL5), 높음(EAL6~7)단계를 요구한다.
따라서 보증등급이 높을수록 높은 수준의 공격성공가능성을 가정하여 취약성분석이 수행되므로 보안기능강도 또한 등급에 따라 높아지게 된다.
정보보호제품 평가자가 되려면?
CC평가를 수행하기 위해서는 평가자 자격이 있어야 한다. 평가자는 수습, 주임, 선임평가자로 분류된다. 수습평가자는 인증기관(국정원)에서 수행하는 평가자 교육과정(2주)을 수료하고 자격시험을 통과해야 한다.
주임평가자는 수습평가자 이후 1년 이상의 평가경력을 갖추어야 하며 이때부터 평가에 참여할 수 있게 된다. 선임평가자가 되기 위해서는 주임평가자 이후 2년 이상의 평가경력과 EAL4 등급 이상의 제품에 대한 평가경력이 있어야 한다. 선임평가자가 되면, 보다 높은 등급의 평가를 진행 할 수 있게 된다.
평가자는 보안업체의 전문가가 개발한 제품을 평가하는 사람으로, 일련의 제도와 체계를 따르지만 개발자보다 더 많은 전문지식을 갖추어야 한다. 그렇기 위해서는 최신의 평가기준을 습득하고 이를 평가에 적용해야 하며 신규 제품군에 대한 평가방법과 취약성 분석기법에 대해 꾸준히 연구하고 관련기술을 습득해야 한다.
정보보호제품 평가는 국가·공공기관에 제품을 납품하기 위해 어쩔 수 없이 받아야 하는 과정으로 마치 규제인 것처럼 인식될 수 있다. 제품평가는 사람에 있어 건강검진과도 같은 것이다. 주기적으로 전문의에게 자신의 몸 상태를 점검받아 문제가 없는지를 확인하듯 개발한 제품이 개발목적대로 만들어 졌는지, 취약성이 없는지를 평가전문기관에서 검증을 받아야 한다. 업체는 CC평가·인증 제도를 통해 안전·신뢰성이 보증(Assurance)된 제품을 시장에 출시함으로써, 제품과 기업의 가치를 높이게 될 것이다.
KISA는 보안업체가 CC평가·인증을 받는데 도움이 될 수 있도록 제출물 작성법 교육, 온라인 교육, 제출물 자가 점검시스템 등 다양한 서비스를 제공하고 있으며, 중소업체에게는 1년에 1개 제품에 한해 평가수수료 50%를 할인해 주고 있다. 또한, 국가·공공 시장에 편중된 보안시장을 민간시장과 국외시장으로 확대하기 위해, CC평가·인증 제도와 CC인증제품의 우수성을 적극 홍보해 나갈 것이다.
 

<글 : 이강석 KISA 정보보호본부 공공정보보호단 보안성평가팀장(5363@kisa.or.kr)>

[월간 정보보호21c 통권 제109호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>