CC(Common Criteria): 국제 정보보호시스템 평가 및 인증 체계
- 1. Common Criteria(CC)의 개념과 중요성
- 2. CC의 역사적 발전 과정
- 3. CC의 구성 요소
- 4. 평가 보증 등급(EAL)
- 5. CC 평가 프로세스
- 6. CCRA(Common Criteria Recognition Arrangement)
- 7. 한국의 CC 인증 체계
- 8. CC 인증의 실제 적용 사례
- 9. CC의 한계 및 과제
- 10. CC의 미래 전망
- 결론
- Keywords
1. Common Criteria(CC)의 개념과 중요성
Common Criteria는 정보기술 제품과 시스템의 보안성을 평가하기 위한 국제 표준(ISO/IEC 15408)으로, 다양한 국가에서 채택된 정보보호시스템 평가 기준을 통합하고 상호 인증하기 위해 개발됨.
- 목적: 국가별로 상이한 정보보호시스템 평가 기준을 연동하고 평가결과를 상호 인증하여 국제적으로 통용되는 보안 평가 체계 구축
- 특징: 다양한 IT 제품의 보안 기능에 대한 객관적이고 표준화된 평가 방법론 제공
- 중요성: 국제 무역에서 정보보호제품의 상호 인정을 통한 무역장벽 해소 및 글로벌 시장 접근성 향상
2. CC의 역사적 발전 과정
Common Criteria는 여러 국가의 보안 평가 기준을 통합하는 과정을 거쳐 발전해 왔음.
timeline
title Common Criteria 발전 역사
1985 : TCSEC(Orange Book) - 미국 최초 보안 평가 기준
1991 : ITSEC - 유럽 국가들의 통합 보안 기준
1993 : CTCPEC - 캐나다의 보안 평가 기준
1996 : CC 초안 개발 시작
1999 : CC 버전 2.0 및 ISO/IEC 15408 표준화
2005 : CCRA(국제상호인정협정) 체결
2009 : CC 버전 3.1 출시
현재 : 전 세계 31개국 이상 참여
3. CC의 구성 요소
Common Criteria는 세 가지 주요 부분으로 구성됨:
3.1 Part 1: 소개 및 일반 모델
- CC의 기본 개념과 원칙 정의
- 평가 프로세스의 전체적인 프레임워크 제시
- 주요 용어 정의 및 평가 대상(Target of Evaluation, TOE) 개념 설명
3.2 Part 2: 보안 기능 요구사항
- 제품이 제공해야 하는 보안 기능에 대한 카탈로그 제공
- 기밀성, 무결성, 가용성, 인증, 감사 등의 보안 기능 요구사항 명세
- 표준화된 보안 기능 컴포넌트 정의
3.3 Part 3: 보안 보증 요구사항
- 보안 기능의 효과성과 구현의 정확성을 평가하기 위한 기준 제공
- EAL(Evaluation Assurance Level) 등급 체계 정의
- 개발, 테스트, 취약점 분석 등에 관한 보증 요구사항 명세
4. 평가 보증 등급(EAL)
Common Criteria는 7단계의 평가 보증 등급(EAL)을 정의하여 보안 제품의 신뢰도를 평가함.
graph TD
A[EAL1: 기능적으로 테스트됨] --> B[EAL2: 구조적으로 테스트됨]
B --> C[EAL3: 방법론적으로 테스트 및 점검됨]
C --> D[EAL4: 방법론적으로 설계, 테스트 및 검토됨]
D --> E[EAL5: 준형식적 설계 및 테스트됨]
E --> F[EAL6: 준형식적 검증된 설계 및 테스트됨]
F --> G[EAL7: 형식적 검증된 설계 및 테스트됨]
style A fill:#e1f5fe
style B fill:#b3e5fc
style C fill:#81d4fa
style D fill:#4fc3f7
style E fill:#29b6f6
style F fill:#03a9f4
style G fill:#0288d1
- EAL1: 기본적인 보안 기능의 정상 동작 확인, 문서화 검토
- EAL2: 개발 환경 및 보안 설계 검토, 독립적 취약점 분석
- EAL3: 체계적인 개발 접근법, 테스트 증거, 개발 환경 통제
- EAL4: 상업용 제품의 최고 수준, 설계 구현 및 개발 과정 체계적 검증
- EAL5: 형식적인 모델 사용, 모든 모듈의 반형식적 설계 기술
- EAL6: 고도의 개발 환경 통제, 취약점 분석의 체계적 식별
- EAL7: 형식적 증명 기법 사용, 설계의 형식적 표현, 포괄적 테스트
5. CC 평가 프로세스
Common Criteria 평가는 체계적인 프로세스를 따라 진행됨.
flowchart LR
A[보호 프로파일\n정의] --> B[보안 대상\n명세서 작성]
B --> C[평가 준비]
C --> D[평가 수행]
D --> E[평가 결과\n검증]
E --> F[인증서\n발급]
style A fill:#ffecb3
style B fill:#ffe082
style C fill:#ffd54f
style D fill:#ffca28
style E fill:#ffc107
style F fill:#ffb300
- 보호 프로파일(PP) 정의: 특정 제품 유형에 대한 보안 요구사항 템플릿 정의
- 보안 대상(ST) 명세서 작성: 구체적인 제품에 대한 보안 기능 및 보증 요구사항 명세
- 평가 준비: 평가에 필요한 증거자료 수집 및 제출
- 평가 수행: 인가된 평가기관에서 제품 평가 실시
- 평가 결과 검증: 국가 인증기관에 의한 평가 결과 검토
- 인증서 발급: 성공적인 평가 완료 시 인증서 발급
6. CCRA(Common Criteria Recognition Arrangement)
CCRA는 CC 평가 결과의 국제적 상호 인정을 위한 협약으로, 참여국 간의 평가 결과를 상호 인정함.
- 목적: 중복 평가 방지 및 국제 무역 촉진
- 참여국: 미국, 영국, 독일, 프랑스, 한국, 일본 등 31개국 이상
- 인정 범위: EAL2까지는 모든 제품 인정, EAL4까지는 보호 프로파일 준수 제품 인정
- 협력 방식: 기술 정보 공유, 평가 방법론 개발 협력, 공통 보호 프로파일 개발
7. 한국의 CC 인증 체계
한국은 국가정보원 산하 IT보안인증사무국을 통해 CC 인증을 수행하고 있음.
- 법적 근거: 정보통신기반보호법, 전자정부법 등
- 인증 대상: 네트워크 장비, 운영체제, 스마트카드, 바이오인식 제품 등
- 인증 절차:
- 제품 개발자/벤더의 평가 신청
- 인가된 평가기관에서 평가 수행
- IT보안인증사무국의 평가 결과 검증
- 인증서 발급
- 주요 평가기관: 한국인터넷진흥원(KISA), 한국정보통신기술협회(TTA) 등
8. CC 인증의 실제 적용 사례
8.1 정부 및 공공 부문
- 국가 정보 시스템 도입 시 CC 인증 제품 우선 고려
- 군사 시스템, 전자여권, 주민등록시스템 등 국가 중요 인프라에 CC 인증 제품 적용
- 예: 한국의 국가 정보통신망에는 EAL4 이상 인증된 네트워크 장비 사용 요구
8.2 금융 부문
- 전자금융 보안 장비에 CC 인증 요구
- ATM, 금융IC카드, 키관리시스템 등에 CC 인증 적용
- 예: 유럽의 EMV 지불 시스템은 CC 인증된 스마트카드 및 결제 단말기 사용
8.3 기업 및 상용 시스템
- 글로벌 시장 진출을 위한 경쟁력 확보 수단으로 CC 인증 활용
- 클라우드 서비스, 가상화 솔루션, 데이터베이스 시스템 등의 인증
- 예: Microsoft Windows, Oracle Database, VMware 가상화 솔루션 등이 CC 인증 취득
9. CC의 한계 및 과제
Common Criteria 인증 체계는 몇 가지 한계와 개선 과제를 가지고 있음.
- 시간 및 비용: 인증 과정이 길고(6개월~2년) 비용이 많이 소요됨
- 기술 발전 속도: 빠른 IT 기술 발전 속도를 따라가지 못하는 평가 체계
- 범위 제한: 특정 보안 기능에 대한 평가로, 운영 환경에서의 전체 보안성 보장 어려움
- 상호운용성: 인증된 제품 간의 상호운용성 보장 미흡
- 클라우드 및 신기술: 클라우드, IoT, AI 등 신기술 평가를 위한 기준 마련 필요
10. CC의 미래 전망
Common Criteria는 변화하는 기술 환경에 적응하기 위해 지속적으로 발전하고 있음.
- 평가 효율화: 평가 시간 및 비용 절감을 위한 간소화된 방법론 개발
- 도메인 특화: 클라우드, IoT, 산업제어시스템 등 특화된 보호 프로파일 개발
- 지속적 인증: 제품 생명주기 전반에 걸친 지속적 평가 및 인증 체계 도입
- 자동화 평가: 자동화된 테스트 및 평가 도구 개발을 통한 효율성 증대
- 국제 협력 강화: CCRA 참여국 확대 및 협력 영역 확장
결론
Common Criteria는 정보보호시스템의 보안성을 평가하고 인증하는 국제 표준으로, 글로벌 IT 시장에서 중요한 역할을 담당하고 있음. 국가 간 상호인증을 통해 무역장벽을 낮추고 보안 제품의 품질을 향상시키는 데 기여하고 있으며, 빠르게 변화하는 기술 환경에 적응하기 위한 지속적인 발전이 요구됨. 각국 정부와 기업은 CC 인증을 통해 정보시스템의 보안성을 확보하고 국제 경쟁력을 강화할 수 있음.
Keywords
Common Criteria, ISO/IEC 15408, 정보보호시스템 평가, 국제상호인증, EAL, CCRA, 보안인증, 보호프로파일, 보안평가, 정보보안표준
'IT Professional Engineering > SEC' 카테고리의 다른 글
CISO (Chief Information Security Officer): 기업 정보보호의 수호자 (4) | 2025.06.09 |
---|---|
ISO 15408: 정보보호시스템의 글로벌 공통 평가기준 (2) | 2025.06.09 |
PPDM(Privacy-Preserving Data Mining): 프라이버시와 데이터 활용의 균형점 찾기 (1) | 2025.06.09 |
프라이버시 보호모델: 개인정보 익명화와 재식별 위험 방지 전략 (1) | 2025.06.09 |
개인정보 비식별 조치 적정성 평가: 안전한 데이터 활용을 위한 필수 프로세스 (0) | 2025.06.09 |