정보보호제품의 보안성을 검증하는 CC 인증
CC 인증이란 공통평가 기준(CC, Common Criteria)으로 보안 기능이 있는 IT 제품(정보보호제품)의 보안성을 평가기관에서 평가하고 이에 대한 결과를 인증기관에서 인증하는 제도입니다. CC 인증의 목적은 보안 기능 개선으로 제품의 경쟁력을 높이고 안전성과 신뢰성이 검증된 정보보호제품을 보급하는 것을 목적으로 합니다.
CC 인증 시작하기
1. CC 인증 프로세스를 이해하기 위해서는 우선 정보보호제품의 평가·인증 체계를 파악해야 합니다.
정보보호제품 평가·인증 체계는 역할 및 임무에 따라 정책기관, 인증기관, 평기기관 등으로 구성되어 있습니다.
- 정책기관: 정보보호제품 평가·인증에 관한 정책과 관련 규정을 수립·시행하는 기관
- 인증기관: “인증서를 발급하기 위해 평가 기관이 수행한 정보보호제품 등의 평가 결과를 승인”하는 인증업무를 수행하며 평가·인증체계를 지속적으로 감독하고 운영할 책임이 있는 기관
- 평가기관: ISO/IEC 17025 인증서를 획득한 공인시험기관이 정보보호제품 등이 평가기준 및 평가방법론에 부합하는지 여부를 조사할 수 있는 평가 능력을 갖추었음을 인증기관이 승인한 기관
2. CC 인증 업무 프로세스를 간단히 말씀드리자면 아래와 같습니다.
- 평가기관 업체 선정
- 평가신청서를 위한 제출물 및 제품 준비
- 사전점검 만족 후 평가기관 계약 진행
- 제출물 설명회 진행
- 평가착수 및 진행
- 제출물 및 제품 보완
- 개발환경 보안점검 진행
- 인증서 획득
3. 아래 이미지는 국내용 CC 최초 평가 및 재평가 인증 절차입니다.
“국내용 CC 인증의 유효기간은 5년입니다”
국내용 CC 인증의 효력은 발급일로부터 5년이며(2021년 1월 13일 이후 발급된 경우), 인증서에 표기된 만료일 이전에 인증서 효력을 연장하지 않을 경우 유효기간은 만료됩니다.
CC 평가 신청을 위한 준비
평가받고자 하는 평가 보증 등급을 선택하고(국내용 평가인증은 EAL2~EAL4 등급) 해당 제출물을 작성해야 합니다.
아래 이미지는 국내용 평가 등급에 요구되는 제출물 목록입니다.
참고로 제출물은 문서 평가에 해당하는 항목으로 평가 시작부터 완료되기 전까지 계속 수정 보완됩니다.
CC 인증은 인고의 시간
평가 신청부터 인증 획득까지 평가보증등급(EAL), 제품 복잡도, 평가제출물 완성도, 평가받으려는 제품의 기능 완성도에 따라 평가 기간이 상이합니다.
평가 종료 후 CC인증 완료 시까지도 평가 결과 보고, 인증 보고서 작성, 인증서 발급 등으로 인해 추가 기간이 소요됩니다.
위 조건마다 다르겠지만 평가 준비 및 평가 접수 후 대기 기간까지 포함하면 인증 획득까지 최소 1년 이상 소요됩니다.
"최근 CC 인증 제품은 스팸스나이퍼"
지란지교시큐리티에서 최근 진행한 CC인증은 스팸메일차단 제품인 스팸스나이퍼(SpamSniper) V6.2 입니다. EAL2 등급으로 2023년 8월2일 인증서를 획득하였습니다.
신규 버전인 스팸스나이퍼 V6.2는 기존 V5.9 제품에 비해 전체적인 UI 디자인이 변경되었고, 다양한 필터링 기능들이 추가된 버전입니다. 제출물 작성 시 변경된 기능들을 반영하고, 보안 요구 사항 대응 위주로 진행하였습니다.
CC 인증 보안 관리 실태 점검
CC 평가 중에 개발 환경 보안 점검이 있는데, 개발 환경 보안 점검 이란 평가 대상 제품의 개발 환경에 대한 보안 관리 실태를 점검하는 것입니다.
지란지교시큐리티의 경우 2023년 2월에 판교 사옥 이전 후 개발 환경 보안 점검에 대한 환경도 다시 구성해야 하는 상황이었지만, 여러 유관 부서의 도움을 받아 무사히 대응할 수 있었습니다.
"CC 인증은 문서와의 싸움"
평가 진행 시 8종의 보증 문서가 문서 평가에 해당되는데, 일부 문서의 경우 100P 이상 또는 300P 이상의 방대한 내용으로 구성되어 있습니다. 초반 보증 문서에 대한 수정 사항 및 문의 사항 양이 방대해서 잠시 당황했던 기억이 납니다. 하지만 기한은 정해져 있기 때문에 하나하나 대응하다 보면 끝날 거라는 마음으로 진행했었습니다.
CC 인증 말고, 보안 기능 확인서
2022년부터 정보보호 제품의 국가.공공기관 도입 요건이 확대되고, 기존의 CC 인증 필수 제품 유형이 폐지되었습니다. 하지만 스팸스나이퍼 제품군의 경우 기존에는 CC 를 필수로 받아야 했습니다.
“현재는 CC 인증, 보안 기능 확인서 둘 중의 하나만 ”
보안 기능 확인서란 간단히 말씀드리자면 공인된 시험기관으로부터 ‘국가용 보안요구사항’ 만족 여부를 검증 후 보안 적합성 검증 절차를 생략하기 위한 제도를 말합니다. 추후 회사의 인증 선택에 따라 보안 기능 확인서도 품질경영팀에서 진행할 예정입니다.
보안 인증 전문가 되기
보안 인증 전문가가 되기 위해서는 다양한 교육의 기회가 있으니 본인 선택에 따라 참여하시면 됩니다.
- 정보보호제품 CC 평가자 양성 과정 교육을 이수하고 수습 자격 시험 통과
- KISIA에서 주관하는 중소기업 대상 정보보호제품 CC 평가·인증제도 교육생 모집
- TTA에서 주관하는 CC 평가 제출물 작성 교육
정보보호제품 인증에 대한 지식도 물론 중요하지만 가장 중요한 건 이해관계자와의 협업을 위한 커뮤니케이션이라고 생각됩니다. 인증을 어려워하지 말고 우선 도전해 보셨으면 좋겠습니다. 😊