ISO 15408: 정보보호시스템의 글로벌 공통 평가기준

ISO 15408: 정보보호시스템의 글로벌 공통 평가기준

• 개요
• ISO 15408의 역사적 배경
• ISO 15408의 구성
• 보안 기능 요구사항(SFR)의 주요 클래스
• 평가 보증 수준(EAL)
• 보호 프로파일(PP)과 보안 목표 명세서(ST)
• ISO 15408 평가 프로세스
• CCRA(Common Criteria Recognition Arrangement)
• ISO 15408의 실제 적용 사례
• ISO 15408의 장단점
  • 장점
  • 단점
• ISO 15408의 미래 전망
• 결론
• Keywords

개요

ISO 15408, 일명 Common Criteria(CC)는 정보보호시스템의 보안성을 평가하기 위한 국제표준으로, 여러 국가 간 인증체계의 상호인정을 위한 프레임워크를 제공함. 이 표준은 각국의 서로 다른 평가기준을 통합하여 전 세계적으로 일관된 보안 평가 방법을 제시하는 것을 목표로 함. ISO 15408은 정보기술 제품 및 시스템의 보안 기능과 보증 요구사항을 정의하고 평가하는 기준을 제공하여 국제적 수준의 보안성 검증을 가능하게 함.

ISO 15408의 역사적 배경

• 1980년대 이전: 각국은 독자적인 보안 평가 기준을 운영

  • 미국: TCSEC(Trusted Computer System Evaluation Criteria, Orange Book)
  • 유럽: ITSEC(Information Technology Security Evaluation Criteria)
  • 캐나다: CTCPEC(Canadian Trusted Computer Product Evaluation Criteria)

• 1990년대: 국제 표준화 필요성 대두

  • 1996년: CC 버전 1.0 발표
  • 1998년: ISO/IEC 15408 표준으로 공식 채택
  • 1999년: CCRA(Common Criteria Recognition Arrangement) 체결로 국가 간 상호인정 본격화

• 현재: 31개국 이상이 CCRA에 참여하여 상호인정체계 운영 중

ISO 15408의 구성

ISO 15408은 총 3개 파트로 구성됨:

1. Part 1: Introduction and general model

   • CC의 개념, 원칙, 일반 모델, 용어 정의
   • 평가 대상(TOE: Target of Evaluation)의 정의
   • 주요 이해관계자 역할 설명

2. Part 2: Security functional requirements

   • 보안 기능 요구사항(SFR) 정의
   • 11개 클래스, 66개 패밀리로 구성된 보안 기능 카탈로그 제공
   • 제품이 "무엇을 해야 하는지"에 대한 요구사항 정의

3. Part 3: Security assurance requirements

   • 보안 보증 요구사항(SAR) 정의
   • 8개 클래스, 36개 패밀리로 구성된 보증 요구사항 카탈로그 제공
   • 제품이 "얼마나 잘 구현되었는지"를 검증하는 기준 제공
   • EAL(Evaluation Assurance Level) 1~7 정의

보안 기능 요구사항(SFR)의 주요 클래스

graph LR
    SFR[보안 기능 요구사항] --> FAU[보안 감사]
    SFR --> FCO[통신]
    SFR --> FCS[암호 지원]
    SFR --> FDP[사용자 데이터 보호]
    SFR --> FIA[식별 및 인증]
    SFR --> FMT[보안 관리]
    SFR --> FPR[프라이버시]
    SFR --> FPT[TSF 보호]
    SFR --> FRU[자원 활용]
    SFR --> FTA[TOE 접근]
    SFR --> FTP[신뢰 경로/채널]

• FAU(Security Audit): 보안 관련 활동 기록, 검토, 분석 기능
• FCO(Communication): 정보 송수신의 부인방지 기능
• FCS(Cryptographic Support): 암호화 키 관리 및 암호 연산 기능
• FDP(User Data Protection): 사용자 데이터 보호 정책 실행 기능
• FIA(Identification & Authentication): 사용자 식별 및 인증 기능
• FMT(Security Management): 보안 속성, 데이터, 기능 관리
• FPR(Privacy): 사용자 프라이버시 보호 기능
• FPT(Protection of the TSF): TOE 보안기능 보호 메커니즘
• FRU(Resource Utilization): 자원 가용성 보장 기능
• FTA(TOE Access): 사용자 세션 설정 제어 기능
• FTP(Trusted Path/Channels): 신뢰 경로 및 채널 제공 기능

평가 보증 수준(EAL)

ISO 15408은 7단계의 평가 보증 수준(EAL: Evaluation Assurance Level)을 정의하여 제품의 보안 신뢰도를 단계별로 구분함:

graph TB
    EAL1[EAL1: 기능 테스트] --> EAL2[EAL2: 구조적 테스트]
    EAL2 --> EAL3[EAL3: 방법론적 테스트와 점검]
    EAL3 --> EAL4[EAL4: 방법론적 설계, 테스트, 검토]
    EAL4 --> EAL5[EAL5: 준형식적 설계 및 테스트]
    EAL5 --> EAL6[EAL6: 준형식적 검증 설계 및 테스트]
    EAL6 --> EAL7[EAL7: 형식적 검증 설계 및 테스트]

• EAL1(기능 테스트): 기본적인 보안 위협에 대응, 문서 검토 및 기능 테스트
• EAL2(구조적 테스트): 개발자 테스트 증거, 취약점 분석 포함
• EAL3(방법론적 테스트와 점검): 개발 환경 통제, 개발 과정 검증 강화
• EAL4(방법론적 설계, 테스트, 검토): 상업적 제품에 적합한 최고 수준, 설계 문서 검증
• EAL5(준형식적 설계 및 테스트): 준형식적 설계 표기, 모듈화 아키텍처 요구
• EAL6(준형식적 검증 설계 및 테스트): 고위험 환경용, 개발 환경 엄격 통제
• EAL7(형식적 검증 설계 및 테스트): 최고 수준, 형식적 모델과 수학적 증명 요구

보호 프로파일(PP)과 보안 목표 명세서(ST)

ISO 15408의 핵심 문서 개념은 다음과 같음:

1. 보호 프로파일(PP: Protection Profile)

   • 특정 제품군에 대한 구현 독립적 보안 요구사항 집합
   • 사용자나 규제 기관이 작성하는 "무엇이 필요한가"에 대한 명세
   • 공통적인 보안 요구사항을 재사용 가능한 형태로 정의
   • 예: 방화벽 PP, 스마트카드 PP, 네트워크 장비 PP 등

2. 보안 목표 명세서(ST: Security Target)

   • 특정 제품에 대한 구현 의존적 보안 요구사항 집합
   • 개발자가 작성하는 "무엇을 제공하는가"에 대한 명세
   • 평가 대상(TOE)의 보안 기능과 평가 범위를 정의
   • PP의 요구사항을 충족함을 주장하거나 독자적인 요구사항 정의 가능

graph TD
    PP[보호 프로파일<br>Protection Profile] -->|참조| ST[보안 목표 명세서<br>Security Target]
    ST -->|기술| TOE[평가 대상<br>Target of Evaluation]
    PP -->|"구현 독립적<br>(What is needed)"| REQ[보안 요구사항]
    ST -->|"구현 의존적<br>(What is provided)"| REQ

ISO 15408 평가 프로세스

Common Criteria 평가는 다음 단계로 진행됨:

1. 준비 단계

   • 보안 목표 명세서(ST) 작성
   • 평가에 필요한 증거 자료 준비
   • 평가 기관 선정

2. 평가 단계

   • ST 평가: 보안 목표 명세서의 완전성, 일관성 검증
   • 개발 평가: 설계 문서, 구현 표현의 일관성 검증
   • 지침 문서 평가: 사용자 매뉴얼, 관리자 가이드 평가
   • 생명주기 지원 평가: 형상 관리, 배포 절차 검증
   • 테스트 평가: 개발자 테스트 검증, 독립적 테스트 수행
   • 취약점 평가: 잠재적 취약점 분석 및 침투 테스트

3. 인증 단계

   • 평가 결과 검증
   • 인증서 발급
   • 인증제품 등록

CCRA(Common Criteria Recognition Arrangement)

CCRA는 CC 인증의 국제적 상호인정을 위한 협약으로, 다음과 같은 특징을 가짐:

• 인증서 발행국(Certificate Authorizing Participants): 자국 내 평가·인증체계 운영
• 인증서 소비국(Certificate Consuming Participants): 발행국의 인증결과 수용
• EAL2까지는 모든 제품 상호인정, EAL4까지는 협약된 제품군에 한해 상호인정
• 상호인정 제품군은 cPP(collaborative Protection Profile)를 통해 관리

ISO 15408의 실제 적용 사례

1. 정부 조달 분야

   • 미국 정부: NIAP(National Information Assurance Partnership)을 통해 보안 제품 조달 시 CC 인증 요구
   • 한국 정부: 국가·공공기관 납품 보안제품에 대한 CC 인증 의무화(정보보호제품 공통평가기준)

2. 산업별 적용

   • 금융: ATM, 스마트카드, 결제 터미널 등 CC 인증 요구
   • 의료: 의료정보시스템의 보안성 검증에 활용
   • 국방: 군사용 보안시스템 평가에 적용

3. 기업 제품 개발

   • Microsoft: Windows 운영체제의 CC 인증 획득
   • Oracle: 데이터베이스 관리 시스템 CC 인증
   • Samsung: 모바일 보안 플랫폼 Knox의 CC 인증

ISO 15408의 장단점

장점

• 국제적으로 인정받는 표준화된 평가 체계 제공
• 다양한 제품군에 적용 가능한 유연한 프레임워크
• 국가 간 상호인정을 통한 중복 평가 비용 절감
• 보안 요구사항의 명확한 정의와 검증 방법론 제공
• 제품 보안성에 대한 객관적 증거 제공으로 신뢰성 향상

단점

• 평가 과정의 복잡성과 고비용
• 평가 완료까지 장시간 소요(보통 6개월~1년)
• 기술 발전 속도에 비해 표준 개정 주기가 느림
• EAL 레벨만으로는 제품의 실질적 보안 강도 판단 어려움
• 평가 범위(TOE) 외부의 보안 취약점은 검증하지 못함

ISO 15408의 미래 전망

• 협력적 보호 프로파일(cPP)의 확대: 국제 기술 커뮤니티 주도의 보호 프로파일 개발 강화
• 클라우드 및 IoT 환경 대응: 새로운 기술 환경에 맞는 평가 방법론 발전
• 애자일 개발 방법론 수용: 빠른 개발 주기에 적합한 평가 프로세스 개선
• 자동화된 평가 도구 개발: 평가 효율성 향상을 위한 자동화 기술 도입
• 위험 기반 접근법 강화: 단순 준수 여부 확인을 넘어 실질적 보안 위험 평가 중심으로 전환

결론

ISO 15408(Common Criteria)은 정보보호시스템의 보안성 평가를 위한 가장 포괄적이고 국제적으로 인정받는 표준으로 자리매김함. 복잡한 평가 과정과 비용에도 불구하고, 글로벌 시장에서 보안 제품의 신뢰성을 객관적으로 보장하는 중요한 메커니즘으로 기능함. 급변하는 IT 환경과 새로운 보안 위협에 대응하기 위해 지속적인 발전이 필요하며, 효율성 개선과 새로운 기술 도메인 포용을 통해 미래에도 정보보호 분야의 핵심 표준으로서 역할을 계속할 것으로 전망됨.

Keywords

Common Criteria, 공통평가기준, Information Security, 정보보호시스템, EAL, 평가보증등급, Protection Profile, 보호프로파일, Security Target, 보안목표명세서, CCRA, 상호인정협정, Certification, 보안인증, ISO/IEC 15408