보안업계 CC(Common Criteria) 인증

[루아흐]

CC(Common Criteria) 인증 FAQ



흔히 보안 업계에서 말하고 있는 CC 인증에서 CC는 Common Criteria 우리말로 표현하면 공통평가기준을 말합니다.

CC 인증은 국가마다 상이한 평가기준을 연동시키고 평가결과를 상호인증하기 위해 재정된 평가기준으로 1999년 6월 국제표준(ISO/IEC 15408)으로 승인되었습니다.

국내의 경우 K 시리즈로 운영되던 평가기준을 2002년부터 공통평가기준에 적용하여 정보보호제품의 인증을 진행하고 있습니다.

CC 인증에 대해 더 궁금하신 분들은 IT 인증사무국 홈페이지(http://www.itscc.kr/)를 참고하시기 바랍니다.

본 포스팅에서는 많은 분들이 CC 인증에 대해서 자주 물어보시는 질문들을 정리해 보았습니다.



1. 국내용 CC, 국제용 CC의 차이점?


현재 국내에서는 CC 인증을 크게 국제용 CC 인증과 국내용 CC 인증으로 구분하고 있습니다.

국내용, 국제용 모두 CC를 평가기준으로 하는 것은 동일하지만, 국제용에서는 상호인정협정(이하 CCRA; Common Criteria Recognition Arrangement) 수준의 제품 평가를 수행하고 국내용에서는 평가 제출물을 간소화하고 제품 기능과 취약성을 집중적으로 평가합니다.

국내용, 국제용 모두 국내에서 동일한 효력을 갖고 있지만 국내용 은 CC을 통한 평가결과를 상호 인정하는 CCRA 회원국 간에는 인정되지 않는 것이 큰 차이입니다.

그러므로 해외 시장 진출을 생각하고 있는 업체라면 국제용 CC도 고려해야 합니다.

2. 상호인정협정(CCRA)이란?


상호인정협정(이하 CCRA)은 정보보호제품의 평가인증 결과를 가입국가간 상호 인정하는 협정으로서 미국, 영국, 프랑스 등 선진국을 중심으로 시작되었습니다.

CCRA의 목적은 다음과 같습니다.
 ● CC 평가 결과 일관성 보안기술 향상
 ● 국가별 기준에 의한 반복평가 방지
 ● 평가인증절차 정형화로 비용 대비효과 및 효율성 향상
 ● 글로벌 시장형성 촉진으로 인증제품 활용 증진

현재 전 세계적으로 25개국이 CCRA에 가입되어 있으며, 우리나라는 2006년 상반기에 CCRA에 인증서 발행국에 가입된 상태입니다.

즉 우리나라가 CCRA에 가입함으로써 국내에서 국제용 CC 인증을 받을 경우 CCRA 회원국 간에 동일한 효력을 인정받게 되므로 국제 인증에 드는 경비 및 평가기간 등을 단축할 수 있는 효과를 볼 수 있습니다.

현재 CCRA에 가입된 국가는 다음과 같습니다.

[그림 1] CCRA 가입국 현황

 ● 인증서 발행 국가: 국제용 CC 인증서 발행하며 타 회원국이 인증서를 인정함
 ● 인증서 수용 국가: 국제용 CC 인증서는 발행하지 않으며, 인증서 발행국의 인증서를 인정함



3. 평가보증등급의 차이점?


공통평가기준(CC)에서는 평가대상 제품의 보증등급을 [표-1]과 같이 EAL1에서 EAL7까지 7단계의 계층적인 등급으로 정의하고 있습니다.

[표 1] 평가보증등급 요약


[표-1]을 보면 아시겠지만 평가보증등급이 상대적으로 높다는 것은 해당 제품에 대해 더 많은 부분을 더욱 상세하고 엄밀하게 검토 및 시험하였다는 것을 의미합니다.

일반적으로 평가보증등급이 높을수록 업체가 제공해야 할 제출물의 양이 많아지며, 평가자가 검토해야 될 부분 및 검토의 수준이 높아지게 됩니다.



4. 국가/공공기관에 도입되는 정보보호제품 중 CC 인증이 필수인 제품군은?


현재 국가/공공기관에 도입되는 정보보호제품 중 CC 인증이 필수인 제품군은 총 28개입니다.

자세한 제품군 정보는 [표-2]를 참고하시기 바랍니다.


5. 국내 공공기관에 정보보호제품을 납품하려면 어떤 절차를 거쳐야 하나요?



국내 공공기관에 정보보호제품을 납품하려면 “국가정보보안기본지침”에 따라 보안적합성 검증을 받아야 합니다.
단 국내용 CC 인증을 받은 제품은 보안적합성 검증을 대체할 수 있지만 국제용 CC 인증을 받은 제품은 보안적합성 검증을 받으셔야 합니다.

6. CC 공통약어


CC 인증에서 자주 사용하는 공통약어는 다음과 같습니다.
 CC: 공통평가기준(Common Criteria)
 EAL: 평가보증등급(Eval‎‎uation Assurance Level)
 PP: 보호프로파일 (Protection Profile)
 ST: 보안목표명세서 (Security Target)



참고자료

정보보호시스템 공통평가기준 V3.1 R4(CC V3.1 R4)
CC 포탈 사이트: http://www.commoncriteriaportal.org/
IT 인증사무국 사이트: http://www.itscc.kr/