CC(Common Criteria) 인증 정보통신기술사 단답형 정답

1. CC 인증 개념

 □ CC인증이란 IT 제품의 보안성 평가 국제표준(ISO/IEC 15408)의 공통평가기준(CC : Common Criteria)에 따라 정보보호시스템에 대해 기능 및 취약성 등을 평가/인증하는 제도입니다. cc 인증의 평가보증등급은 EAL1~EAL7로 구성되어 있으며, 숫자가 높아질수록 보증 수준이 높아집니다.

 

2. CC 인증 목적

 □ CC인증은 IT제품(H/W, F/W, S/W)의 보안 기능성과 평가 과정에서 그 제품들에 적용되는 보증수단에 대한 공통의 요구 사항들을 제시함으로써, 독립적으로 수행된 보안성 평가의 결과들을 비교할 수 있도록 한다. 평가결과는 소비자가 IT 제품이 그들의 보안 요구를 충족시키는지 결정하는데 도움을 줄 수 있다.

 

3. CC 인증 관련 국내 관계 규정

 □ 법적 근거

  1) 국가정보화기본법 제38조 (정보보호시스템에 관한 기준 고시 등)

  2) 국가정보화기본법 시행령 제35조 ( 정보보호시스템의 보완 등)

 □ 평가 기준

  1) 정보보호시스템 공통평가기준(미래창조과학부고시 2013-51호)

 □ 평가/인증지침

  1) 정보보호시스템 평가/인증지침(과학기술정보통신부고시 2017-7호)

 

4. CC 인증관련 국내 기관과 역할

 □ 정책기관

  1) 과학기술정보통신부

   - 정보보호시스템 평가 관련 버/제도 정비

   - 평가관련 기준 및 지침 고시

   - 평가관련 정책 수립

   - 정보보호시스템 개발자에 대한 평가기준 준수 권고

 □ 인증기관

  1) 국가정보원 IT보안인증사무국

   - 인증업무 수행 관련 규정 수립 및 시행

   - 인증서 발급

   - 평기기관의 평가업무 감독

   - 인증제품에 대한 사후 관리

 □ 평가기관

  1) 한국인터넷진흥원 보안성평가단

   - 평가업무 수행 관련 규정 수립 및 시행

   - 정보보호제품 평가 시행

   - 평가방법론 및 기술개발

 

5. CC 인증 등급별 산출물

 □ EAL1

  - 설치지침서, 기능명세서, 일치성 분석서, 설명서

 □ EAL2

  - EAL1에서 요구하는 산출물, 형상관리 문서, 배포문서, 기본설계서, 시험서, 취약성분석서

 □ EAL3

  - EAL2에서 요구하는 문서, 개발보안문서

 □ EAL4

  - EAL3에서 요구하는 문서, 검증명세서, 상세설계서, 보안정책모델명세서, 생명주기 정의문서, 개발도구 문서, 오용분석서

 □ EAL5, EAL6, EAL7

  - EAL4에서 요구하는 문서, 구조명세서, 비밀채널 분석서

 

6. CC인증과 보안적합성 검증 연관성

 □ 국내 관공서에서 보안 제품을 납품하기 위해서는 국정원의 보안적합성 검증을 거쳐야 한다. 보안적합성 검증을 통과하기 위해서는 CC 인증을 반드시 획득하여야 한다.

 

7. CC 인증 국제 효력

  □ 국내에서 보안적합성 검증이 있듯 각 나라마다 관공서에 납품하기 위해 거쳐야 하는 제도가 존재한다. 이때 제도에서 기본으로 요구하는 것이 CC 인증이다. CC 인증 회원국은 발행국과 수용국으로 분류되며, 발행국에서 발향된 CC 인증은 발행국과 수용국에 동일하게 효력을 가진다.

 

8. CC 인증에 대한 의견

  □ CC 인증을 회득하기 위해서는 많은 리소스가 투입된다. 개발 비용 이 외에 평가 비용이 더 추가가 되는 것이다. 작은 업체가 수익이 보장되지도 않은 상태에서 보안 제품 개발비 외 인증 비용을 들이면서까지 CC 인증을 취득해가리나 회사의 사활을 걸어야 할 수도 있다.