CC(Common Criteria): 국제 정보보호시스템 평가의 표준
- 정의 및 개념
- 주요 구성요소
- 구조 및 프레임워크
- 보안기능 요구사항 (Part 2)
- 보증 요구사항 및 EAL 등급 (Part 3)
- PP와 ST 비교
- 인증 절차
- 활용 사례
- 기대 효과 및 필요성
- 마무리
- Keywords
Common Criteria(CC)는 정보기술 제품의 보안성을 평가하기 위한 국제 표준 프레임워크입니다. ISO/IEC 15408로도 알려진 이 평가 기준은 각 국가마다 상이했던 정보보호시스템 평가 방법론을 통합하여 국제적으로 일관된 평가와 인증을 가능하게 합니다.
정의 및 개념
- Common Criteria(CC): 정보보호시스템의 국제 공통 평가기준으로, ISO/IEC 15408 표준으로 제정된 보안성 평가 체계.
- 목적: 국가 간 서로 다른 정보보호시스템의 평가기준을 연동하고 평가결과를 상호인증하기 위한 국제적 정보보안 평가기준 확립.
- 특징: 국제 유통 촉진(수출입 인증비용 절감), 일관된 평가(하드웨어, 소프트웨어 등에 공통 요구사항 제시) 지원.
- 법적 근거: 국가정보화 기본법 제38조에 기반.
- 주관 기관: 과거 국가정보원에서 미래창조과학부로 이관.
주요 구성요소
- TOE(Target of Evaluation): 심사 대상이 되는 정보보호 제품이나 시스템.
- PP(Protection Profile): 보호프로파일로, 구현 독립적인 공통 보안 요구사항 명세.
- ST(Security Target): 보안목표명세서로, 특정 제품에 대한 구체적 보안 요구사항 명세.
- EAL(Evaluation Assurance Level): 평가보증등급으로, CC의 체계화된 7단계(EAL1~7) 보증수준.
- 패키지: 부분적인 보안목표를 만족시키기 위한 컴포넌트(Component)의 집합.
구조 및 프레임워크
graph TB
CC[Common Criteria\n국제 공통 평가기준]
CC --> P1[Part 1: 소개 및 일반모델]
CC --> P2[Part 2: 보안기능 요구사항]
CC --> P3[Part 3: 보증 요구사항]
P2 --> F1[기능 클래스]
F1 --> F11[식별 및 인증]
F1 --> F12[암호지원]
F1 --> F13[보안감사]
F1 --> F14[기타 기능요소...]
P3 --> A1[보증 클래스]
A1 --> A11[개발]
A1 --> A12[형상관리]
A1 --> A13[시험]
A1 --> A14[기타 보증요소...]
A1 --> EAL["EAL 등급\n(EAL1~7)"]CC는 크게 3개 파트로 구성되며, Part 2는 보안기능 요구사항을, Part 3는 보증 요구사항을 정의합니다. EAL 등급은 평가 보증 수준을 나타내는 척도로 사용됩니다.
보안기능 요구사항 (Part 2)
- 식별 및 인증: 사용자 식별, 인증 실패 처리, 다중 인증 메커니즘 등
- 암호지원: 키 관리, 암호 연산, 난수 생성 등
- 보안감사: 감사 기록 생성, 분석, 검토 등
- 안전한 경로/채널: 신뢰할 수 있는 통신 경로 제공
- 통신: 데이터 전송 시 기밀성, 무결성 보장
- 보안기능 보호: 자가 테스트, 장애 복구 등
- 자원활용: 자원 할당, 사용량 제한 등
- 사용자 정보보호: 데이터 보호, 접근 제어 등
- 프라이버시: 익명성, 가명성, 연결불가성 등
- 보안관리: 보안 속성, 기능, 역할 관리 등
보증 요구사항 및 EAL 등급 (Part 3)
| EAL 등급 | 수준 | 특징 |
|---|---|---|
| EAL0 | 부적합 | 최소 요구사항도 만족하지 못함 |
| EAL1 | 기능 | 기본적인 보안기능 테스트 수행 |
| EAL2 | 구조 | 구조적 테스트, 취약점 분석 |
| EAL3 | 방법론적 설계 | 체계적인 개발환경과 테스트 |
| EAL4 | 방법론적 시험 | 설계 중심의 독립적 취약점 분석 |
| EAL5 | 준정형적 설계 | 준정형적 방법론 적용, 심층적 분석 |
| EAL6 | 준정형적 시험 | 고도의 보증 개발환경, 체계적 취약점 분석 |
| EAL7 | 정형적 검증 | 정형적 방법론, 완전한 취약점 분석 |
보증 요구사항은 개발, 형상관리, 시험, 설명서, 배포 및 운영, 취약성 평가 등의 영역에서 각 EAL 등급별로 상세 요구사항을 정의합니다.
PP와 ST 비교
| 구분 | PP(Protection Profile) | ST(Security Target) |
|---|---|---|
| 정의 | 보호프로파일 | 보안목표명세서 |
| 성격 | 구현 독립적 | 구현 종속적 |
| 대상 | 제품군에 대한 공통 요구사항 | 특정 제품의 구체적 요구사항 |
| 용도 | 소비자 요구사항 명세 | 개발자의 보안 기능 명세 |
| 특징 | 재사용 가능한 일반화된 요구사항 | 특정 TOE에 대한 상세 명세 |
PP는 보안 요구사항의 일반적인 템플릿으로, ST는 특정 제품이 이러한 요구사항을 어떻게 구현했는지를 명세합니다.
인증 절차
- 평가 준비: 신청서 제출 및 산출물 검토
- 평가 진행: 제출된 문서 및 제품에 대한 평가 수행
- 평가 인증: 인증위원회 개최 및 인증서 발급
- 사후 관리: 변경사항 승인 신청 및 처리
활용 사례
- 정부 조달: 많은 국가에서 공공부문 정보시스템 구매 시 CC 인증을 요구
- 금융 보안 시스템: ATM, 스마트카드, 결제 단말기 등의 보안성 검증
- 의료 정보 시스템: 환자 데이터 보호를 위한 시스템 인증
- 군사 시스템: 기밀 정보 보호를 위한 보안 장비 평가
- 네트워크 장비: 방화벽, IDS/IPS 등 보안 네트워크 장비 인증
기대 효과 및 필요성
- 국제 상호인증: 각국 평가기관의 평가결과를 상호 인정하여 중복 인증 비용 절감
- 보안성 향상: 체계적인 평가를 통한 제품 보안 품질 개선
- 시장 신뢰성: 검증된 보안 평가로 제품에 대한 소비자 신뢰 증진
- 표준화된 방법론: 일관된 평가 기준으로 보안 제품 개발 프로세스 향상
- 글로벌 경쟁력: 국제 표준 준수를 통한 수출 경쟁력 강화
마무리
Common Criteria는 정보보호시스템의 국제적 평가 기준으로서 제품의 보안성을 객관적으로 검증하는 중요한 프레임워크입니다. 국제 상호인증을 통해 중복 인증의 비용을 절감하고, 표준화된 방법론으로 보안 제품의 품질을 높이는 데 기여합니다. 정보보호 제품을 개발하거나 도입할 때 CC 인증을 고려함으로써 보안 위협에 효과적으로 대응하고 국제적으로 인정받는 보안성을 확보할 수 있습니다.
Keywords
Common Criteria, 국제 공통 평가기준, Protection Profile, Security Target, Evaluation Assurance Level, TOE(Target of Evaluation), 정보보호시스템, 보안인증, ISO/IEC 15408, 상호인증협정
'IT Professional Engineering > SEC' 카테고리의 다른 글
| TCSEC (Trusted Computer System Evaluation Criteria): 컴퓨터 시스템 보안성 평가를 위한 객관적 기준 (0) | 2025.05.07 |
|---|---|
| ITSEC (Information Technology Security Evaluation Criteria): 유럽의 정보시스템 보안 평가 기준 (1) | 2025.05.07 |
| APT(Advanced Persistent Threat): 지능형 지속 위협의 이해와 대응 (0) | 2025.05.07 |
| IoT 보안: 연결된 세상의 새로운 위협과 대응 전략 (0) | 2025.05.07 |
| 빅데이터 보안: 증가하는 위협 속 데이터 가치 보호 전략 (0) | 2025.05.07 |