CC
태그 :
- 개념
- CC(Common Criteria) 개념 - 국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준
I. 정보보호시스템 공통 국제 표준 평가기준 Common Criteria 개요
가. CC(Common Criteria) 개념
- 국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준
- 정보기술의 보안기능과 보증에 대한 평가기준, ISO/IEC 15408
나. CC 목적
- 정보보호 시스템의 보안등급 평가에 신뢰성 부여
- 현존하는 평가기준과 조화를 통해 평가결과의 상호인정 (CCRA: CC 상호인정협정)
- 정보보호 시스템의 수출입에 소요되는 인증비용절감으로 국제유통 촉진
II. Common Criteria의 발전과정, 구성(버전 2.1) 및 보안기능 요구사항 구조
가. CC(Common Criteria)의 발전과정
나. Common Criteria 구성(버전 2.1)
- Part1은 Common Criteria의 일반 사항에 대해 소개
- Part2는 정보보호 시스템이 갖추고 있어야 할 기능적 요구사항을 명세
- Part3은 정보보호 시스템을 보증하기 위한 요구사항을 명세
다. 보안기능 요구사항 구조
- 패키지: 기능보증사항의 집합, 재사용 가능, PP/ST의 기초
- PP(Protection Profile): 공통 심사기준
- ST(Security Target): 특정제품/시스템 의존기능 및 요구
- EAL(Evaluation Assurance Level): PP/ST의 등급(0~7 등급)
- TOE(Target of Evaluation): 심사 대상 객체
라. 보안요구사항과 보호프로파일, 보안목표명세서와 관계
3. Common Criteria 인증절차와 특징
가. Common Criteria의 인증절차
- 제품들에 적용되는 보증수단에 대한 공통의 요구사항들을 인증기관에 제시함으로써 IT제품의 보안 기능성과 평가를 인증 받음.
나. Common Criteria의 특징
구분 |
내용 |
평가 |
- 보안기능과 보호기능으로 나누어 평가 - 각 기능 및 보증요구는 사용자로 하여금 원하는 보안요구사항을 쉽게 활용할 수 있도록 계층적 구조를 갖도록 정의함 |
보안등급체계 |
- EAL(Evaluation Assurance Level) 부여 - EAL0: 부적절 - EAL1(기능시험) ~ EAL7(정형적으로 검증된 설계 및 시험) 평가 보안 등급 체계 |
관련작성문서 |
보호프로파일(Protection Profile), 보안목표명세서(Security Target) PP: 정보보호제품이 갖추어야 할 공통적인 보안 요구사항들을 모아 놓은 것 ST: 요구사항을 구현할 수 있는 보안기능 및 보증수단을 정의한 것 |
평가수행지침 |
CEM(Common Evaluation Methodology) 평가진행을 위한 방법론 혹은 프로세스 |
인증서 효력 |
CCRA(Common Criteria Recognition Arrangement)에 가입 시 효력 발생 |
4. 보안요구사항(CC Part3)의 보호프로파일(PP)와 보안목표명세서(ST) 비교 및 동향
가. PP(Protection Profile)와 ST(Security Target)의 비교
구분 |
Protection Profile |
Security Target |
개념 |
동일한 제품이나 시스템에 적용할 수 있는 일반적인 보안기능요구사항 및 보증요구사항 정의 |
- 특정 제품이나 시스템에 적용할 수 있는 일반적인 보안기능요구사항 및 보증요구사항 정의 - 요구사항을 구현할 수 있는 보안기능 및 수단 정의 |
독립성 |
구현에 독립적 |
구현에 종속적 |
적용성 |
제품군(예: 생체인식시스템)의 여러 제품 및 시스템에 동일한 PP 수용 가능함 |
특정 제품(예: A사의 지문인식 시스템) 하나의 제품 및 시스템에 하나의 ST를 수용해야 함 |
PPT와 ST 관계 |
PP는 ST를 수용할 수 없음 (특정 제품 특성이므로) |
ST는 PP를 수용할 수 있음 |
완전성 |
불완전한 오퍼레이션 가능 |
모든 오퍼레이션은 완전해야 함 |
- 시스템보증에 평가신청을 원하는 정보보호 업체는 CCRA용 평가신청서와 보안목표명세서(ST), 평가제출물 샘플, 평가 시급성과 평가대응 능력을 확인할 수 있는 문서를 작성하여 제출
- 평가수수료는 고급기술자 및 초급기술자 각 1명씩을 투입, 6개월 동안 평가했을 때 약 1억 1천만원 정도로 산정되었고 PP 수용여부, 제품의 복잡도 등에 따라 차이가 남
나. Common Criteria 동향
- 금융권은 CC인증 제품만 사용하는 의무규정 폐지
- 사물인터넷이 미래 산업으로 주목되며 기기의 보안성 강화 문제가 화두로 부상
- 국내 국제공통평가기준(CC) 인증 체계를 현실에 맞게 개선 필요
- 미국과 일본 등 선진국은 CC등급을 낮추면서 많은 기기와 제품이 평가를 받는 형태로 제도를 변화
- 각국은 특히 주요 IT기기 보안요구사항(CPP)을 직접 만들고 CC인증을 추진하면서 세계 시장 선점
- CC인증 활성화 위해 국내, 국제용 국제공통평가기준(CC) 인증을 동시에 획득할 수 있는 제도 신설 예정
“끝”
** 참고 인증 기준과 특징 비교