TCSEC (Trusted Computer System Evaluation Criteria): 컴퓨터 시스템 보안 평가 기준의 진화

TCSEC (Trusted Computer System Evaluation Criteria): 컴퓨터 시스템 보안 평가 기준의 진화

• 개요
• TCSEC의 역사적 배경
• TCSEC의 보안 등급 체계
  • D 등급 (Minimal Protection)
  • C 등급 (Discretionary Protection)
    • C1 (Discretionary Security Protection)
    • C2 (Controlled Access Protection)
  • B 등급 (Mandatory Protection)
    • B1 (Labeled Security Protection)
    • B2 (Structured Protection)
    • B3 (Security Domains)
  • A 등급 (Verified Protection)
    • A1 (Verified Design)
• TCSEC 평가 요소
• TCSEC의 한계점
• TCSEC에서 공통평가기준(CC)으로의 진화
  • 공통평가기준(CC)의 주요 특징
• 실제 적용 사례
  • TCSEC 적용 사례
  • 현대 CC 적용 사례
• TCSEC의 현대적 의의
• 결론
• Keywords

개요

TCSEC(Trusted Computer System Evaluation Criteria)은 1983년 미국 국방부에서 제정한 컴퓨터 시스템의 보안성을 평가하기 위한 최초의 체계적 기준. 일명 '오렌지북(Orange Book)'으로 불리며, 컴퓨터 시스템의 보안 수준을 등급화하여 신뢰성을 평가하는 표준 체계. 현대 정보보호 평가 체계의 근간이 되었으나, 현재는 공통평가기준(CC: Common Criteria)으로 대체되어 활용.

TCSEC의 역사적 배경

• 1960~70년대 컴퓨터 시스템의 급속한 발전과 함께 보안 문제 대두.
• 1972년 앤더슨 보고서(Anderson Report)를 통해 보안 요구사항 최초 정립.
• 1983년 미 국방부(DoD)에서 TCSEC 공식 발표.
• 오렌지색 표지의 책자 형태로 발간되어 '오렌지북'이라는 별칭 획득.
• 1985년 국가 컴퓨터 보안 센터(NCSC) 설립으로 TCSEC 평가 체계 강화.
• 1990년대 후반 국제 표준인 공통평가기준(CC)으로 대체.

TCSEC의 보안 등급 체계

TCSEC은 컴퓨터 시스템의 보안 수준을 크게 4개 등급(A, B, C, D)으로 구분하고, 각 등급을 다시 세분화하여 총 7개 등급으로 평가.

D 등급 (Minimal Protection)

• 가장 낮은 보안 등급.
• 평가된 시스템 중 어떤 상위 등급의 요구사항도 만족시키지 못하는 경우.
• 최소한의 보안 요구사항도 충족하지 못함.

C 등급 (Discretionary Protection)

C1 (Discretionary Security Protection)

• 사용자 식별 및 인증 기능 요구.
• 임의적 접근 제어(DAC) 메커니즘 구현.
• 여러 사용자가 동일 데이터에 접근하는 환경에서 보안 분리 제공.

C2 (Controlled Access Protection)

• C1의 모든 요구사항 포함.
• 더 세분화된 접근 제어 기능 요구.
• 로그인, 감사 추적, 자원 격리 기능 강화.
• 객체 재사용 보호 메커니즘 요구.

B 등급 (Mandatory Protection)

B1 (Labeled Security Protection)

• 강제적 접근 제어(MAC) 도입.
• 모든 시스템 객체에 보안 레이블 부여.
• 비공식적 보안 정책 모델 요구.

B2 (Structured Protection)

• 공식적인 보안 정책 모델 요구 (Bell-LaPadula 모델 등).
• 은닉 채널(covert channel) 분석 도입.
• 시스템 구조의 명확한 모듈화 요구.
• 신뢰 경로(trusted path) 구현.

B3 (Security Domains)

• 참조 모니터(reference monitor) 개념 완전 구현.
• 보안 관리자 역할 분리.
• 감사 메커니즘 강화.
• 침입 탐지 및 복구 기능 요구.

A 등급 (Verified Protection)

A1 (Verified Design)

• 최고 수준의 보안 등급.
• B3의 모든 요구사항을 포함하며 형식적 검증 기법 적용.
• 설계 명세에서 구현까지 모든 단계에 형식적 검증 방법 사용.
• 엄격한 구성 관리 및 배포 통제.

TCSEC 평가 요소

TCSEC은 다음 4가지 주요 영역에 대한 평가를 통해 보안 등급을 결정:

1. 보안 정책(Security Policy)

   • 시스템이 구현하는 보안 규칙과 관행.
   • 임의적 및 강제적 접근 제어 정책 포함.

2. 책임성(Accountability)

   • 사용자 식별 및 인증.
   • 감사 추적(audit trail).
   • 안전한 통신.

3. 보증(Assurance)

   • 시스템 아키텍처.
   • 시스템 무결성.
   • 보안 테스트.
   • 설계 명세 및 검증.

4. 문서화(Documentation)

   • 보안 기능 사용 설명서.
   • 테스트 문서.
   • 설계 문서.
   • 설계 사양.

TCSEC의 한계점

TCSEC은 역사적으로 중요한 보안 평가 체계였으나, 여러 한계점을 가지고 있었음:

1. 군사적 환경 중심

   • 상업적 환경보다 군사 환경에 초점을 맞춘 평가 기준.
   • 기밀성에 비해 무결성과 가용성 측면 평가 부족.

2. 제품 중심 평가

   • 전체 시스템이 아닌 개별 제품 평가에 초점.
   • 네트워크 환경의 보안 고려 부족.

3. 유연성 부족

   • 새로운 기술과 위협에 대응하기 어려운 경직된 구조.
   • 등급 체계의 단계적 특성으로 인한 평가 유연성 부족.

4. 평가 과정의 복잡성과 비용

   • 평가 과정이 길고 비용이 많이 소요됨.
   • 기술 발전 속도를 따라가지 못하는 경우 발생.

TCSEC에서 공통평가기준(CC)으로의 진화

TCSEC의 한계를 극복하기 위해 국제 표준으로 공통평가기준(Common Criteria)이 개발됨:

timeline
    title 보안 평가 기준의 진화
    1983 : TCSEC (미국)
    1985 : ITSEC (유럽)
    1993 : CTCPEC (캐나다)
    1996 : FC (연방 기준)
    1999 : CC v2.0 (국제 표준)
    2005 : CC v3.1 (현재 버전)

공통평가기준(CC)의 주요 특징

1. 국제 표준화

   • ISO/IEC 15408로 표준화.
   • 여러 국가의 평가 결과 상호 인정.

2. 평가 대상의 확장

   • 제품(TOE: Target of Evaluation) 뿐만 아니라 프로세스 평가.
   • 네트워크 환경의 보안 요소 고려.

3. 유연한 평가 구조

   • 보호 프로파일(PP: Protection Profile)과 보안 목표명세서(ST: Security Target) 개념 도입.
   • 평가보증등급(EAL: Evaluation Assurance Level) 도입으로 유연한 평가.

4. 균형 잡힌 보안 속성 평가

   • 기밀성뿐만 아니라 무결성, 가용성도 균형 있게 평가.
   • 다양한 환경과 요구사항 반영 가능.

실제 적용 사례

TCSEC 적용 사례

1. IBM의 RACF (Resource Access Control Facility)

   • B1 등급 획득.
   • 메인프레임 환경의 접근 제어 시스템.

2. Digital Equipment Corporation의 VMS

   • C2 등급 획득.
   • 운영체제 수준의 보안 기능 구현.

3. Honeywell의 SCOMP (Secure Communications Processor)

   • A1 등급 획득한 최초의 시스템.
   • 군사용 시스템으로 높은 수준의 보안 제공.

현대 CC 적용 사례

1. 스마트카드 및 보안 모듈

   • EAL4+ 이상의 등급으로 평가.
   • 금융 보안 환경에서 널리 사용.

2. 정부 기관 시스템

   • 민감한 정보를 다루는 정부 시스템에 CC 인증 요구.
   • 국가 간 보안 제품 상호 인정에 활용.

3. IoT 장치 보안 평가

   • 최근 IoT 장치의 보안성 평가에 CC 기준 적용.
   • 경량화된 평가 방법론 개발 중.

TCSEC의 현대적 의의

비록 TCSEC은 현재 직접 사용되지 않지만, 그 개념과 철학은 현대 보안 평가 체계에 지속적인 영향을 미치고 있음:

1. 계층적 보안 등급 개념

   • 현대 보안 인증의 등급 체계에 영향.
   • CC의 EAL 등급 체계에 개념적 기초 제공.

2. 형식적 검증 방법론

   • 높은 보증 수준의 시스템 개발에 형식적 방법론 도입.
   • 현대 고보증 소프트웨어 개발에 영향.

3. 참조 모니터 개념

   • 현대 보안 커널 설계의 기초.
   • 마이크로커널 아키텍처와 가상화 기술에 영향.

4. 보안 정책 모델링

   • Bell-LaPadula, Biba 등의 보안 모델 활용 확산.
   • 정형화된 보안 정책 설계의 기초.

결론

TCSEC은 최초의 체계적인 컴퓨터 보안 평가 기준으로서 현대 정보보호 평가 체계의 기반을 마련함. 비록 기술 발전과 환경 변화로 인해 CC로 대체되었지만, TCSEC이 도입한 개념과 철학은 현대 보안 평가와 인증의 근간이 되고 있음. 특히 보안 정책 모델, 참조 모니터, 보증 개념 등은 현대 사이버 보안 분야에서도 여전히 중요한 개념으로 활용되고 있으며, 새로운 환경과 기술에 맞게 발전하는 보안 평가 체계의 초석 역할을 하고 있음.

Keywords

TCSEC, Orange Book, Security Evaluation, 보안평가기준, 오렌지북, Mandatory Access Control, Discretionary Access Control, 강제적접근제어, 임의적접근제어, Common Criteria