[특집] 보안솔루션, CC인증의 의미와 필요성 고객에게 보안 솔루션 선택의 객관적 자료 제시하고 제품 검증으로 경쟁력 향상
CC인증은 국가 차원의 보안 통제와 지침으로 활용될 수 있고 신뢰할 수 있는 보안 솔루션을 선택할 수 있도록 객관적인 자료를 제시하며 보안 제품을 검증하고 기술 개발을 독려하여 제품 경쟁력을 향상시킨다. 이는 보안 시장을 활성화시키고 지속적으로 보안 기술을 발전시킬 것이며 아울러 국가 IT 보안의 수준을 향상시키는 등의 많은 긍정적인 효과를 낳을 것이다.

분산 컴퓨팅, 자율 컴퓨팅, 유틸리티 컴퓨팅, 클라우드 컴퓨팅 등 수많은 IT 패러다임들이 디지털 정보화 환경의 모습을 변화시키고 있지만 항상 중요하게 짚고 넘어가야 하는 기본적인 이슈가 있다. 보안(Security)! 이 이슈가 최근 DDoS 공격 사건를 통해 재조명되고 있다.
 
이번 DDoS 공격 사건으로 국가·공공기관은 서둘러 DDoS 제품을 도입하고자 하지만 이는 현실적으로 CC인증을 획득하지 않은 제품은 국가·공공기관에 납품할 수 없다는 ‘정보보호제품에 대한 국가·공공기관 도입기준제도’에 부딪히게 된다. CC인증은 준비, 평가, 인증 완료시까지 약 1년의 시간과 대략 1억원 상당의 비용이 소요되기 때문이다. 국가정보원은 사태의 시급성에 따라 DDoS 전용 제품에 대한 별도지정제도를 운영하기로 발표했다. 그렇다면 거꾸로 올라가서 오랜 시간과 많은 비용이 소요됨에도 불구하고 국가·공공기관에 공급되기 위하여 반드시 득해야 하는 CC인증은 무엇이며 왜 필요한 것일까?
 
CC인증의 개념:CC인증이란 무엇일까?
CC(Common Criteria)는 일반 생활 제품의 품질을 보증하는 Q마크, 산업 제품의 품질을 보증하는 KS마크와 같이 IT 제품의 보안성을 평가하기 위한 국제 기준(ISO15408)이다. CC는 Common Criteria의 약자로 공통평가기준이라고도 하는데 정보보호제품의 단일화된 평가 기준을 제정하기 위해 CCRA에서 국제 표준화 기구(ISO)와 미국, 영국 등 5개국이 공동 개발하여 1999년 6월 국제 표준으로 제정된 평가 기준이다.
 
CC는 TCSEC(미국표준제정기관, Trusted Computer System Evaluation Criteria), ITSEC(유럽표준, Information Technology Security Evaluation Criteria), CTCPEC(캐나다 표준, Canadian Trusted Computer Product Evaluation Criteria)을 통합하여 만들어졌다.
 
CCRA(국제상호인증협정, Arrange ment on the Recognition of the CC Certificates in the field of IT Security)는 CC에 따른 평가·인증 결과를 상호 인정하기 위해 조직된 국제 보안기준 체제로 CCRA 회원국들은 정보보호 기능이 구현된 모든 IT 제품에 대해 EAL1에서 EAL4등급까지 상호인정한다. CCRA 회원국은 2008년 12월 기준으로 인증서 발행국(CAP) 13개국, 인증서 수용국(CCP) 13개국, 총 26개국으로 우리나라는 2006년 5월 초 11번째 인증서 발행국으로 가입했다. 아래와 같이CCRA 회원국들은 주로 스마트카드, 네트워크 보안제품, 프린터 등을 대상으로 EAL4(39%), EAL2(27%) 보증등급에 대한 평가·인증을 수행하고 있다.
 
CC인증의 구성 및 현황
CC는 CC 소개 및 일반모델, 보안기능요구사항, 보증요구사항 등 총 3부로 구성되어 있다. CC 1부는 소개 및 일반 모델로, 용어, 보안성 평가 개념, 보호프로파일(PP, Protection Profile)과 보안목표명세서(ST, Security Target)를 설명한다. CC 2부는 보안기능요구사항으로 평가 대상(TOE, Target of Evaluation, 이하 TOE)의 보안 기능 및 메커니즘을 정의하는 기능 컴포넌트의 집합이다.
 
CC 3부는 보증요구사항으로 TOE의 보증 수준을 정의하는 보증 컴포넌트의 집합이다. CC 3부는 7단계의 보증 수준을 가지는 평가보증등급(EAL, Evaluation Assurance Leve)을 EAL1~EAL7로 정의하고 있는데, 전 세계에서 현존하는 가장 높은 등급은 EAL7이며 국내에서 평가한 제품 중 가장 높은 등급은 EAL4+제품이다.
 
CC는 1993년부터 개발을 시작하여 CC V1.0, V2.1, V2.3을 거쳐 현재는 CC V3.1이 공식 버전이며 2008년부터 차기 버전인 CC V4.0 개발이 진행 중이다. 우리나라는 1998년 K등급 제도를 통하여 침입차단시스템, 침입탐지시스템 평가를 시행하다가 2002년 CC인증 제도를 도입하여 현재 모든 보안솔루션을 대상으로 시행 중에 있다.

CC인증이 필요한 이유
1. 정부 측면 : 보안 통제 및 지침
정부 차원에서의 보안 통제 및 지침이 필요하다. CC의 목적은 보안성에 대한 표준화된 명세와 평가이므로 보안솔루션의 개발, 평가, 조달에 대한 지침으로 활용될 수 있다. 따라서 CC인증 제도를 통해 인증을 받은 보안솔루션은 국가 차원에서 그 안전성과 신뢰성을 보증할 수 있다. 현재 국가·공공기관에 도입되는 보안솔루션들은 ‘정보보호제품에 대한 국가·공공기관 도입기준제도’에 따라 반드시 CC인증을 획득해야 한다.
 
2. 공급자 측면 : 보안솔루션 검증
보안업체는 국가·공공기관에 공급하고자 하는 자사 보안솔루션이 요구되는 보안성을 모두 충족함과 동시에 안전한 개발 환경에서 안전한 개발 프로세스를 통하여 생산되었음을 증명해야 한다. CC인증은 보안솔루션의 기능 보안성과 개발 환경, 개발 프로세스를 모두 평가한다. 따라서 객관적이고 공정한 평가·인증을 통하여 CC인증을 획득한 보안업체는 자사 보안솔루션이 안전한 개발 환경에서 안전하게 개발된 안전한 제품이라는 것을 보증 받을 수 있으므로 제품의 경쟁력을 강화할 수 있다. 현재 CC인증을 획득한 다수의 보안업체에서 CC인증서를 통하여 자사 보안솔루션에 대한 보안성을 입증하고 이를 마케팅 수단으로 활용하고 있다. 
 
3. 수요자 측면 : 적합한 보안솔루션 선택
국가·공공기관 보안담당자는 보안솔루션을 도입하기 위해 다양한 제품의 보안성을 일관성 있게 검토하고 도입 적합성 여부를 판단해야 한다. CC는 보증등급 별 공통의 요구사항을 제시하므로 독립적으로 수행된 평가 결과들을 비교할 수 있다. 또한 평가스킴과 공통평가방법론(CEM)을 제시하여 공정하고 객관적인 평가 결과를 가능하게 한다.
 
이러한 결과는 보안담당자가 평가대상 보안솔루션이 그들의 IT 운영환경 및 요구사항에 적합한지를 판단하는데 도움을 준다. 따라서 보안담당자는 CC인증을 획득한 제품들 중에서 최적의 보안솔루션을 선택할 수 있다. 현재 국가정보원 보안인증사무국 홈페이지(www.kecs.go.kr)와 한국인터넷진흥원 보안성평가 홈페이지(www.kisa.or.kr)에서 CC인증을 획득한 보안솔루션 목록을 확인할 수 있으며 각 기관의 보안담당자들이 최적의 보안솔루션 선택을 위하여 이를 활용하고 있다.

CC 인증의 기대 효과
1. 국가적 측면의 기대효과
CC인증은 보안업체에 보안솔루션에 대한 보안성 검증 수단을 제공하고 국가·공공기관 보안담당자에게 적합한 보안솔루션을 선택할 수 있는 객관적인 기준을 제시함으로써 제품의 경쟁력을 향상시키고 신뢰할 수 있는 보안솔루션이 국가·공공기관에 도입될 수 있도록 한다. 따라서 CC인증은 도입 기관의 보안성 제고를 통하여 국가의 IT 보안 수준을 향상시킬 것이고 궁극적으로 우리나라가 정보보호강국으로 나아가는데 기여할 것이다.
 
2. 경제적 측면의 기대효과
CC인증은 보안업체에 보안솔루션의 국내외 판로를 제공할 것이다. 이미 국내 많은 보안업체들이 CC인증을 득한 직후 수요자에게 이를 홍보하고 제품 마케팅에 활용하고 있어 국내 보안 시장의 활성화를 기대해 볼 수 있다. 또한 보안솔루션 수출 시, 해당 국가에서 요구하는 개발 평가에 따른 시간, 비용, 노력을 CC인증으로 절감할 수 있어 보안업체들의 수출 환경과 경쟁력이 향상될 것이다. 아울러 국가·공공기관에 CC인증을 획득한 신뢰할 수 있는 보안솔루션을 도입함으로써 보안 사고로 인한 경제적인 손실을 미연에 방지할 수 효과 또한 적지 않을 것이다.
 
3. 사회적 측면의 기대효과
CC인증을 통해 보안 기준이 제시됨에 따라 보안솔루션에 대한 이해도를 높이고 보안에 대한 인지도를 향상시킬 수 있다. 또한 위에서 비교로 언급한 Q마크나 KS인증처럼 CC인증이 사회에 안전성을 보증하는 IT제품의 인증 브랜드로 통용됨으로써 수요자와 공급자에게 제품에 대한 신뢰를 제공할 수 있을 것이다.
 
4. 기술적 측면의 기대효과
CC인증은 보안솔루션에 대한 보안성 및 보증 수준의 기준과 평가 지침을 제공한다. 따라서 보안솔루션에 대한 보증뿐만 아니라 보안솔루션 개발을 위한 보안 기술을 연구하고 발전시키는 효과, 동시에 이를 다시 CC인증에 반영하게 하는 상호보완적 작용의 긍정적인 효과를 기대해볼 수 있다.
 
새롭게 개발된 보안 기술은 CC인증을 통해서 검증을 받고 또한 CC인증에서의 요구사항을 위해 개발사는 끊임없이 새로운 보안 기술을 연구 개발하게 되는 것이다. 여기서 보안 기술이라 함은 보안솔루션은 개발하는 기술과 더불어 보안솔루션에 대한 평가 기술도 포함된다. 보안 기술은 단독적인 개발 보다는 여러 측면이 함께 고려되어야 하는데 이러한 보안 기술 수준을 한 단계 더 높이기 위하여 해당 보안 기술을 평가하는 평가 기술이 무척 중요하기 때문이다.
<글 : 이병권 안철수연구소 기술문서팀 팀장(bgyi@ahnlab.com)>

[월간 정보보호21c 통권 제109호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>