TCSEC (Trusted Computer System Evaluation Criteria): 컴퓨터 시스템 보안 평가의 초석

TCSEC (Trusted Computer System Evaluation Criteria): 컴퓨터 시스템 보안 평가의 초석

TCSEC의 개요

• 1983년 미국 국방부(DoD)에서 제정한 컴퓨터 시스템 보안 평가 기준
• 일명 '오렌지북(Orange Book)'으로 불림
• 보안성이 검증된 시스템 구축을 위한 지침 및 평가 표준 제공
• 최초의 체계적인 보안 평가 기준으로 현대 보안 인증의 기반을 마련
• 정보시스템의 보안 수준을 등급화하여 객관적 평가 가능

TCSEC 등급 체계

D 등급: 부적합(Minimal Protection)

• 어떤 보안 요구사항도 충족하지 못함
• 평가 결과 보안성이 없다고 판단된 시스템에 부여

C 등급: 임의적 보안(Discretionary Protection)

• C1: 임의적 보안 보호(Discretionary Security Protection)

  • 사용자 식별과 인증 기능 제공
  • 기본적인 접근 제어 메커니즘 구현
  • 공유 환경에서 사용자 간 분리 가능

• C2: 통제된 접근 보호(Controlled Access Protection)

  • C1의 모든 요구사항 포함
  • 더 세분화된 사용자 계정 관리
  • 감사(Audit) 기능 강화
  • 객체 재사용 통제 메커니즘 구현
  • 리소스 격리 기능 제공

B 등급: 강제적 보안(Mandatory Protection)

• B1: 레이블된 보안(Labeled Security Protection)

  • Bell-LaPadula 보안 모델 기반 구현
  • 민감도 레이블(Sensitivity Labels) 도입
  • 강제적 접근 제어(MAC) 정책 지원
  • 비형식적 보안 정책 모델 제시

• B2: 구조적 보호(Structured Protection)

  • 더 강화된 MAC 정책 구현
  • 보안 정책의 형식적 모델 제시
  • 은닉 채널(Covert Channels) 분석
  • 신뢰 경로(Trusted Path) 구현
  • 시스템 설계의 모듈화 요구

• B3: 보안 도메인(Security Domains)

  • 매우 견고한 보안 구조 요구
  • 감사 기능의 대폭 강화
  • 보안 관리자 역할 명확화
  • 침입 탐지 및 복구 메커니즘 필수
  • 신뢰 컴퓨팅 기반(TCB) 최소화

A 등급: 검증된 보안(Verified Protection)

• A1: 검증된 설계(Verified Design)
  • 형식적 검증 기법으로 보안 정책 증명
  • 전체 개발 수명주기에 걸친 보안 관리
  • 엄격한 형상 관리 및 신뢰성 검증
  • 가장 높은 수준의 보증 요구

TCSEC의 주요 특징

Bell-LaPadula 모델 기반

• 기밀성 중심의 보안 모델 채택
• "No Read Up, No Write Down" 원칙 적용
• 군사 기밀 보호에 초점을 맞춘 접근법
• 정보의 수직적 흐름 통제에 중점

graph TD
    A[Top Secret] --> B[Secret]
    B --> C[Confidential]
    C --> D[Unclassified]

    style A fill:#ff0000,color:white
    style B fill:#ff8000,color:white
    style C fill:#ffff00,color:black
    style D fill:#00ff00,color:black

평가 관점의 4가지 기본 요소

1. 보안 정책(Security Policy): 시스템이 따르는 보안 규칙 집합
2. 책임성(Accountability): 사용자 식별 및 감사 기능
3. 보증(Assurance): 보안 기능의 신뢰성 검증
4. 문서화(Documentation): 설계, 사용, 관리에 관한 문서

flowchart LR
    A[TCSEC 평가] --> B[보안 정책]
    A --> C[책임성]
    A --> D[보증]
    A --> E[문서화]

    B --> F[접근 제어]
    B --> G[객체 재사용]

    C --> H[식별 및 인증]
    C --> I[감사]

    D --> J[시스템 아키텍처]
    D --> K[시스템 무결성]
    D --> L[설계 검증]

    E --> M[사용자 가이드]
    E --> N[관리자 가이드]
    E --> O[테스트 문서]

TCSEC의 한계

상업적 시스템 적용의 한계

• 정부 및 군사 요구사항 중심으로 설계
• 일반 기업환경에 적용하기 어려운 요구사항 포함
• 비용 효율성 측면에서 실용적이지 못한 기준 다수 포함

기밀성 중심의 불균형

• 무결성, 가용성 요소 경시
• 상업 환경에서 중요한 다른 보안 속성 간과
• 현대적 위협 모델을 충분히 반영하지 못함

기술 발전 대응의 한계

• 네트워크 보안 관점 부족
• 분산 시스템에 대한 고려 미흡
• 웹 기반 서비스, 클라우드 컴퓨팅 등 고려 불가

평가 과정의 경직성

• 평가 과정이 길고 비용 소모적
• 빠르게 변화하는 IT 환경에 적응 어려움
• 평가 기준 업데이트의 어려움

TCSEC의 영향과 후속 표준

국제 보안 표준으로의 발전

• 유럽의 ITSEC(Information Technology Security Evaluation Criteria) 개발 촉진
• 캐나다의 CTCPEC(Canadian Trusted Computer Product Evaluation Criteria) 영향
• 궁극적으로 CC(Common Criteria)라는 국제 표준 개발의 기반

timeline
    title 컴퓨터 보안 평가 기준의 발전
    1983 : TCSEC(미국)
    1990 : ITSEC(유럽)
    1993 : CTCPEC(캐나다)
    1996 : FC(연방 기준)
    1999 : CC(공통 평가 기준)

현대 보안 인증에 미친 영향

• 등급 기반 평가 방법론 확립
• 보안 기능과 보증 요구사항 분리 개념 도입
• 형식적 보안 모델 활용의 중요성 인식
• 다중 계층 보안(MLS) 개념의 확산

실제 적용 사례

군사 시스템 적용

• 미 국방부 정보시스템에 TCSEC B2/B3 등급 요구
• 군사용 보안 운영체제(Trusted Solaris, SEVMS 등) 개발
• 기밀 정보 취급 시스템에 대한 인증 기준으로 활용

상용 제품의 인증

• Oracle Database - B1 인증 획득
• Wang XTS-300 - B3 인증 획득
• Honeywell SCOMP - A1 인증 최초 획득
• Microsoft Windows NT - C2 인증 추진

후속 표준으로의 전환

• 1990년대 중반부터 TCSEC에서 Common Criteria로 전환
• 기존 TCSEC 인증 제품들이 CC 기준으로 재평가
• Protection Profile 개념으로 특정 환경 요구사항 수용

현대적 관점에서의 TCSEC 의의

보안 평가의 체계화

• 컴퓨터 보안에 대한 체계적 접근법 제시
• 정량적/정성적 평가 방법론 확립
• 보안 인증의 기본 틀 마련

보안 설계 원칙 제공

• 최소 권한 원칙 강조
• 완전 중재(Complete Mediation) 개념 도입
• 보안 정책과 메커니즘 분리 원칙 확립

보안 용어 및 개념 정립

• TCB(Trusted Computing Base) 개념 정립
• 보안 도메인 분리 개념 확산
• 형식적 보안 모델 활용의 중요성 인식

결론

• TCSEC은 컴퓨터 보안 평가의 선구자적 역할 수행
• 기밀성 중심의 접근법과 상업적 환경 고려 부족이 주요 한계
• 이러한 한계에도 불구하고 현대 보안 인증 체계의 기반 마련
• ITSEC, CTCPEC, CC 등 후속 표준 개발에 지대한 영향
• 보안 설계 원칙과 평가 방법론의 근간을 형성
• 역사적 관점에서 정보보호 발전의 중요한 이정표로 평가됨

---

Keywords

TCSEC, Orange Book, 보안평가기준, 벨라파듈라 모델, 임의적 접근제어, 강제적 접근제어, 신뢰 컴퓨팅 기반, 보안인증, 오렌지북, 다중계층보안