CC

개념
CC(Common Criteria) 개념 - 국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준

I. 정보보호시스템 공통 국제 표준 평가기준 Common Criteria 개요

가.  CC(Common Criteria) 개념

- 국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준

- 정보기술의 보안기능과 보증에 대한 평가기준, ISO/IEC 15408

나.  CC 목적

- 정보보호 시스템의 보안등급 평가에 신뢰성 부여

- 현존하는 평가기준과 조화를 통해 평가결과의 상호인정 (CCRA: CC 상호인정협정)

-  정보보호 시스템의 수출입에 소요되는 인증비용절감으로 국제유통 촉진

 

II. Common Criteria의 발전과정, 구성(버전 2.1) 및 보안기능 요구사항 구조

가. CC(Common Criteria)의 발전과정

나. Common Criteria 구성(버전 2.1)

-  Part1은 Common Criteria의 일반 사항에 대해 소개

-  Part2는 정보보호 시스템이 갖추고 있어야 할 기능적 요구사항을 명세

-  Part3은 정보보호 시스템을 보증하기 위한 요구사항을 명세

다. 보안기능 요구사항 구조

- 패키지: 기능보증사항의 집합, 재사용 가능, PP/ST의 기초

-  PP(Protection Profile): 공통 심사기준

-  ST(Security Target): 특정제품/시스템 의존기능 및 요구

-  EAL(Evaluation Assurance Level): PP/ST의 등급(0~7 등급)

-  TOE(Target of Evaluation): 심사 대상 객체

라. 보안요구사항과 보호프로파일, 보안목표명세서와 관계

 

3. Common Criteria 인증절차와 특징

가. Common Criteria의 인증절차

- 제품들에 적용되는 보증수단에 대한 공통의 요구사항들을 인증기관에 제시함으로써 IT제품의 보안 기능성과 평가를 인증 받음.

나. Common Criteria의 특징

구분

내용

평가

- 보안기능과 보호기능으로 나누어 평가

- 각 기능 및 보증요구는 사용자로 하여금 원하는 보안요구사항을 쉽게 활용할 수 있도록 계층적 구조를 갖도록 정의함

보안등급체계

- EAL(Evaluation Assurance Level) 부여

- EAL0: 부적절

- EAL1(기능시험) ~ EAL7(정형적으로 검증된 설계 및 시험) 평가 보안 등급 체계

관련작성문서

보호프로파일(Protection Profile), 보안목표명세서(Security Target)

PP: 정보보호제품이 갖추어야 할 공통적인 보안 요구사항들을 모아 놓은 것

ST: 요구사항을 구현할 수 있는 보안기능 및 보증수단을 정의한 것

평가수행지침

CEM(Common Evaluation Methodology) 평가진행을 위한 방법론 혹은 프로세스

인증서 효력

CCRA(Common Criteria Recognition Arrangement)에 가입 시 효력 발생

 

4. 보안요구사항(CC Part3)의 보호프로파일(PP)와 보안목표명세서(ST) 비교 및 동향

가. PP(Protection Profile)와 ST(Security Target)의 비교

구분

Protection Profile

Security Target

개념

동일한 제품이나 시스템에 적용할 수 있는 일반적인 보안기능요구사항 및 보증요구사항 정의

- 특정 제품이나 시스템에

적용할 수 있는 일반적인

보안기능요구사항 및

보증요구사항 정의

- 요구사항을 구현할 수 있는

보안기능 및 수단 정의

독립성

구현에 독립적

구현에 종속적

적용성

제품군(예: 생체인식시스템)의 여러 제품 및 시스템에 동일한 PP 수용 가능함

특정 제품(예: A사의 지문인식 시스템) 하나의 제품 및 시스템에 하나의 ST를 수용해야 함

PPT와 ST 관계

PP는 ST를 수용할 수 없음

(특정 제품 특성이므로)

ST는 PP를 수용할 수 있음

완전성

불완전한 오퍼레이션 가능

모든 오퍼레이션은 완전해야 함

-  시스템보증에 평가신청을 원하는 정보보호 업체는 CCRA용 평가신청서와 보안목표명세서(ST), 평가제출물 샘플, 평가 시급성과 평가대응 능력을 확인할 수 있는 문서를 작성하여 제출

-  평가수수료는 고급기술자 및 초급기술자 각 1명씩을 투입, 6개월 동안 평가했을 때 약 1억 1천만원 정도로 산정되었고 PP 수용여부, 제품의 복잡도 등에 따라 차이가 남

나. Common Criteria 동향

- 금융권은 CC인증 제품만 사용하는 의무규정 폐지

 - 사물인터넷이 미래 산업으로 주목되며 기기의 보안성 강화 문제가 화두로 부상

 - 국내 국제공통평가기준(CC) 인증 체계를 현실에 맞게 개선 필요

 - 미국과 일본 등 선진국은 CC등급을 낮추면서 많은 기기와 제품이 평가를 받는 형태로 제도를 변화

 - 각국은 특히 주요 IT기기 보안요구사항(CPP)을 직접 만들고 CC인증을 추진하면서 세계 시장 선점

 - CC인증 활성화 위해 국내, 국제용 국제공통평가기준(CC) 인증을 동시에 획득할 수 있는 제도 신설 예정

끝”

** 참고 인증 기준과 특징 비교

 

 

 

 

댓글