국제/국가 표준 및 인증체계

■ 보안 제품 평가방법 및 기준

 

1. TCSEC 보안등급 (보안시스템 평가 기준)

 - TCSEC (Trusted Computer System Evaluation Criteria)는 흔히 Orange Book이라고 불리는 Rainbow Series1이라는 미 국방부 문서 중 하나이다. TCSEC는 1960년대부터 시작된 컴퓨터 보안 연구를 통하여 1972년에 그 지침이 발표되었으며, 1983년에 미국 정보 보안 조례로 세계에서 최초로 공표되었고 1995년에 공식화되었다. 무척 오랜 역사를 가진 인증으로 지금까지도 보아 ㄴ솔루션을 개발할 때 기준이 되는 표준이다

 - 효과적인 정보보호시스템 평가기준 개발과 이러한 기준에 맞게 개발된 제품들을 평가하는 데 초점을 두고 있다

 - TCSEC의 세부 등급은 'D→C1→C2→B1→B2→B3→A1'로 구분된다

 

  ⓐ D : Minimal Protection

   - 보안 설정이 이루어지지 않은 단계

  ⓑ C1 : Discretionary Security Protection

   - 일반적인 로그인 과정이 존재하는 시스템이다. 사용자 간 침범이 차단되어 있고 모든 사용자가 자신이 생성한 파일에 대해 권한을 설정할 수 있으며, 특정 파일에 대해서만 접근이 가능하다. 초기의 유닉스 시스템이 C1 등급에 해당한다

  ⓒ C2 : Controlled Access Protection

   - 각 계정별 로그인이 가능하며 그룹 ID에 따라 통제가 가능한 시스템이다. 보안 감사가 가능하며 특정 사용자의 접근을 거부할 수 있다. 윈도우 NT 4.0과 현재 사용되는 대부분의 유닉스 시스템이 C2 등급에 해당된다

  ⓓ B1 : Labeled Security

   - 시스템 내의 보안정책을 적용할 수 있고 각 데이터에 대해 보안 레벨 설정이 가능하다. 시스템 파일이나 시스템에 대한 권한을 설정할 수 있다

  ⓔ B2 : Structured Protection

   - 시스템에 정형화 된 보안 정책이 존재하며 B1 등급의 기능을 모두 포함한다. 일부 유닉스 시스템이 B2 인증에 성공했고, 윈도우 2000은 B2 등급의 인증을 신청한 상태이나 아직 결정되지 않았다

  ⓕ B3 : Security Domains

   - 운영체제에서 보안에 불필요한 부분을 모두 제거하고, 모듈에 따른 분석 및 테스트가 가능하다. 또한 시스템 파일 및 디렉터리에 대한 접근 방식을 지정하고, 위험 동작을 하는 사용자의 활동에 대해서는 백업까지 자동으로 이루어진다. 현재까지 B3 등급을 받은 시스템은 극히 일부이다

  ⓖ A1 : Verified Design

   - 수학적으로 완벽한 시스템이다. 현재까지 A1 등급을 받은 시스템은 없으므로 사실상 이상적인 시스템일 뿐이다

 

 

2. ITSEC (Information Technology Security Evaluation Criteria)

 - ITSEC는 TCSEC와는 별개로 유럽에서 발전한 보안 표준이다. 1991년 5월 유럽 국가들이 발표한 공동보안 지침서로 TCSEC가 기밀성만을 강조한 것과 달리 ITSEC는 무결성과 가용성을 포괄하는 표준안을 제시하고 있다

 -  영국, 독일, 네덜란드, 프랑스 등 유럽 국가에서 평가 제품의 상호인정 및 정보보호 평가 기준의 상이함에서 오는 시간과 인력낭비를 줄이기 위해 제정한 유럽형 보안 기준이다

 - 평가등급은 최하위 레벨의 신뢰도를 요구하는 E0(부적합 판정)부터 최상위 레벨의 신뢰도를 요구하는 E6까지 7등급으로 구분한다

 - ITSEC 평가기준은 기술적인 문제보다는 조직적, 관리적 통제와 보안제품의 기능성 등 비기술적인 측면을 중시한다

 

** ITSEC의 보안등급

 ⓐ E0 : 부적절한 보증

 ⓑ E1 : 보안목표를 만족하는지에 대한 기능적 테스트

 ⓒ E2 : 상세한 디자인의 기술

 ⓓ E3 : 소스코드와 하드웨어 도면 제공

 ⓔ E4 : 기반이 되는 보안정책 모델

 ⓕ E5 : 상세 디자인, 하드웨어 도면과 소스코드 사이의 유사성

 ⓖ E6 : 보안정책과 모델 사이의 일관성

 

 

3. CC (Common Criteria : 공통평가기준)

 - 정보보호 제품의 평가 기준을 규정한 국제 표준(ISO 15408)으로, 국제사회에서 널리 이용할 수 있는 IT 보안성 평가를 위한 기준개발 결과물

 - 공통평가기준(CC)은 선진국들이 정보보호 제품에 서로 다른 평가 기준을 가지고 평가를 시행하여 시간과 비용 낭비 등이 초래되는 문제점을 없애기 위해 개발되었다. 1998년 국제 공통평가기준 상호 인정 협정(CCRA)이 미국, 캐나다, 영국, 프랑스, 독일 간에 체결되고, 1999년 6월 8일 공통평가기준으로 ISO 15408 국제 표준이 제정되었다. CC는 정보화 순기능 역할을 보장하기 위해 정보보호 기술기준으로 정보화 제품의 정보보호 기능과 이에 대한 사용 환경 등급을 규정한다. 구성은 제1부 시스템의 평가 원칙과 평가 모델, 제2부 시스템 보안 기능 요구사항(11개), 제3부 시스템의 7등급 평가를 위한 보증 요구사항(8개)으로 되어 있다

 

 ** 국제 공통 평가기준의 보호 프로파일 : 정보제품이 갖춰야 할 공통적인 보안요구들이다

 

 ★ CC의 목적

  - 정보보호 시스템의 보안등급 평가에 신뢰성 부여

  - 현존하는 평가 기준과 조회를 통해 평가 결과의 상호 인정 (CCRA : Common Criteria Recognition Arrangement : CC 상호인정 협정)

  - 정보보호 시스템의 수출입에 소요 되는 인증 비용 절감 및 경쟁력 확보

  - EVAL 1~EVAL 7까지의 등급 (EVAL 0 : 불만족)

 

■ CC문서의 구성

구성	개요 및 성명	내용
Part 1	CC소개 및 일반모델 (일반사항 소개)	- Common Criteria의 일반사항 및 모델 설명
Part 2	보안 기능 요구사항 (쩡보보호 시스템이 갖추어야 할 기능적 요구사항 명세)	- 식별 및 인증 - 안전한 경로/채널	- 암호지원, 보안 감사 - 통신
		- 보안기능의 보호 - 사용자 정보보호 - 보안관리	- 자원 활용 - 프라이버시
Part 3	보증 요구사항 EAL 단계별 요구사항 (시스템을 보증하기 위한 요구사항 명세)	- 생명주기 - 형상관리 - 설명서	- 개발 - 시험
		- 배포 및 운영 - 보안목표명세서 - 보증유지	- 보호 프로파일 - 취약성 평가

 

■ CC의 구성 요소

구성 요소	설명
패키지	- 부분적인 보안목표를 만족시키기 위한 Component 들의 집합으로 구성 - 하나의 패키지는 규모가 더 큰 패키지나 보호 프로파일, 보안 Target를 구성하는 데 이용 가능
EAL	- Evaluation - 보증요구에 관련된 Component들의 집합으로 구성된 패키지의 일종 - 자체적으로 온전한 보증 Component들의 집합 - CC의 체계화 된 보증수준이 보증 등급을 형성
PP	- Protection Profile, 보호 프로파일 - 정보제품이 갖추어야 할 공통적인 보안 요구사항들을 모아 놓은 것 - 패키지, EAL, 기능 및 보증요구 Component 등의 집합으로 구성 - 검증/등록된 보호 프로파일은 보안 목표를 구성하는 입력 요소로 사용 - 전 세계 프로파일의 종류는 10개 내외 : 방화벽, IDS, VPN, 스마트카드 등 - 국내에서는 정보보호진흥원이나 국정원에서 만들어 국가기관 모두가 준수하도록 하고 있다 - 인증의 대상이 되는 제품을 TOE (Target Of Evaluation)이라 칭한다
ST	- Security Target, 보안목표명세서 - 필요에 따라 CC에 정의되지 않은 보안 요구를 포함 할 수 있다 - 벤더가 직접 작성 - 벤더는 PP를 먼저 참조한 후 SP를 작성하여 제품을 개발

 

■ CC의 특징

구분	설명
평가	ㆍ보안(ST)과 보호(PP) 기능으로 나누어 평가
보안등급체계 (EAL)	ㆍEvaluation Assurance Level ㆍ보증요구에 관련된 Component들의 집합 ㆍCC에 체계화 된 보증수준인 0~7단계 평가보안등급 부여 ㆍEAL 0 : 부적절 ㆍEAL 1(기능시험)~EAL 7(설계 및 시험)
보호 프로파일 (PP)	ㆍProtection Profile ㆍ정보제품이 갖추어야 할 공통적인 보안 요구사항들을 모아 놓은 것     - 패키지, EAL, 기능 및 보증요구 Components 등의 집합으로 구성     - 검증/등록된 보호 프로파일은 보안 타깃을 구성하는 입력 요소로 사용 ㆍ프로파일의 종류 : 방화벽, IDS, VPN, 스마트카드 등 ㆍ인증의 대상이 되는 제품을 TOE (Target of Evaluation)
보안목표 명세서 (ST)	ㆍSecurity Target ㆍ요구사항을 구현할 수 있는 보안기능 및 보증수단을 정의, 필요에 따라 CC에 정의되지 않은 보안요구 포함가능하며, 벤더가 직접 작성 ㆍ벤더는 PP를 먼저 참조한 후 SP를 작성하여 제품을 개발
평가수행지침	ㆍCEM (Common Evaluation Methodology) ㆍ평가 진행을 위한 방법론/프로세스

* 인증서 효력은 CCRA에 가입 시 효력 발생

 

 

■ 보호 프로파일(PP)과 보안목표명세서(ST)의 비교

구분	보호 프로파일 (Protection Profile)	보안목표명세서 (Security Target)
개념	- 동일한 제품이나 시스템에 적용할 수 있는 일반적인 보안기능 요구사항 및 보증 요구사항 정의	- 특정 제품이나 시스템에 적용할 수 있는 일반적인 보안기능 요구사항 및 보증 요구사항 정의
독립성	- 구현에 독립적	- 구현에 종속적
적용성	- 제품군 (ex, 생체인식시스템) - 여러 제품/시스템에 동일한 PP를 수용가능	- 특정제품 (ex, A사의 지문감식시스템) - 하나의 제품/시스템에 하나의 ST를 수용해야 한다
관계성	- PP는 ST를 수용할 수 없다	- ST는 PP를 수용할 수 있다
완전성	- 불완전한 오퍼레이션 가능	- 모든 오퍼레이션은 완전해야 한다

 

■ CC 인증의 동향

 - CCRA 가입국 사이에 정보보호 제품을 공통으로 평가하는 기준이었던 공통평가기준(CC)이 보안솔루션은 물론이고 운용체계, 디지털 복합기, 반도체 등 IT제품 전만의 신뢰성을 평가하는 기준으로 확산되고 있다

 - 우리나라는 지난 2006년 2월 인증서 발행국(CAP)으로 인정되었다

 - 국내 공공기관에 정보보호 제품을 납품하는 기준이 우리나라의 CCRA 가입으로, 공공기관은 해외에서 국제공통평가인증(CC)을 획득한 보안제품을 국내 제품과 동일하게 구매할 수 있게 되었다(보안제품에 대한 경쟁 과열 예상)

 - 한편 국내 평가인증제도인 기존 K제도 인증은 2008년 말로 유효성을 완전히 상실하였다

 

■ 공통 평가기준 특징

 - 정보보호 측면에서 정보보호 기능이 있는 IT 제품의 안전성을 보증ㆍ평가하는 기준이다

 - 국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호인증하기 위해 제정된 평가기준이다

 - 국제공통평가기준은 소개 및 일반모델, 보안기능 요구사항, 보증 요구사항 등으로 구성되고, 보증등급은 7개이다

 - 보안기능 요구사항과 보증 요구사항의 구조는 클래스로 구성된다

 - 상호인정협정(CCRA : Common Criteria Recognition Arrangement)은 정보보호 제품의 평가인증 결과를 가입 국가 간 상호 인정하는 협정으로 미국, 영국, 프랑스 등을 중심으로 시작되었다

 - 평가 보증 등급(EAL : Evaluation Assurance Level)은 EAL 1 부터 EAL 7까지 있다. 가장 엄격한 보증 등급은 EAL 7이다

 - 국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호인증하기 위해 제정된 평가기준이다

 - 보안기능 요구사항과 보증 요구사항의 구조는 클래스로 구성된다

 - 보호 프로파일(Protection Profile)과 보안목표명세서(Security Target) 중 제품군에 대한 요구사항 중심으로 기술되어 있는 것은 보호 프로파일(Protection Profile)이다

 - 평가대상에는 EAL 1에서 EAL 7까지 보증등급을 부여할 수 있다

 - CC의 개발은 오렌지북이라는 기준서를 근간으로 하였다

 - CC의 요구사항은 class, family, component로 분류한다

 - 보안목표명세서(Security Target)는 특정 제품이나 시스템에만 종속되어 적용하는 보안기능 수단과 보증수단을 기술한 문서이다

 - 보안 요구조건을 명세화하고 평가기준을 정의하기 위한 ISO/IEC 15408 표준이다

 

■ CC의 등급별 보안수준

 - EAL (Evaluation Access Level)

 - EAL 1 ~ EAL 7 (7개 등급, EAL 7이 최고 등급

 - EAL 0 (부적합, 등급 외)

 

등급	목적	설명
EAL 1	기능 시험	- 보안행동을 이해하기 위한 기능ㆍ인터페이스 명세서나 설명서를 통해 보안기능을 분석하여 기초적인 보증을 제공
EAL 2	구조적인 시험	- 개발자의 시험, 취약점 분석, 더 상세한 TOE명세에 기초한 독립적인 시험 요구
EAL 3	조직적인 시험 및 검사	- EAL 2보다 더 완전한 범위의 보안기능 시험, TOE가 개발과정에서 변경되지 않도록 하는 메커니즘 또는 절차를 요구
EAL 4	조직적인 설계, 시험, 검토	- EAL 3보다 더 많은 설계 설명, TSF 일부에 대한 구현의 표현, TOE가 개발과정에서 변경되지 않도록 하는 개선된 메커니즘 또는 절차 요구 - 낮은 수준과 높은 수준의 설계 명세를 요구한다. 인터페이스 명세가 완벽할 것을 요구한다 - 제품의 보안을 명시적으로 정의한 추상화 모델을 요구한다 - 독립적인 취약점 분석을 요구한다 - 개발자 또는 사용자가 일반적인 TOE의 중간 수준부터 높은 수준까지의 독립적으로 보증된 보안을 요구하는 곳에 적용 가능하다
EAL 5	준정형적인 설계 및 시험	- 준정형화 된 설계 설명, 완전한 구현, 더 구조화 된 구조, 비밀채널 분석, TOE가 개발과정에서 변경되지 않도록 하는 개선된 메커니즘 또는 절차 요구
EAL 6	준정형적으로 설계 검증 및 시험	- EAL 5보다 더 포괄적인 분석, 구조화 된 구현의 표현, 더 체계적인 구조, 더 포괄적이고 독립적인 취약점 분석, 체계적인 비밀채널 식별, 개선된 형상관리와 개발환경 통제 요구
EAL 7	정형적으로 설계 검증 및 시험	- 정형화 된 표현, 정형화 된 일치성 입증ㆍ포괄적 시험을 이용한 포괄적 분석 요구

* TOE : Target of Evaluation

** TSF(TOE 보안기능, TOE Security Function) : TOE(평가대상) 보안정책 수행에 기여하는 TOE의 모든 하드웨어와 소프트웨어, 펌웨어로 구성된 집합

 

 

구분	ITSEC	TCSEC	CC
국가	유럽	미국	공통
인증기준	- 등급에 대한 평가는 보증의 평가만으로 이루어짐	- 기능성과 보증을 모두 고려하여 등급을 부여	- 다양한 기능에 필요한 요구사항을 분류하여 기준으로 제시 - 이들을 부품처럼 필요한 기능만 선택 가능(PP, ST)
등급	- E1(최저), E2, E3, E4, E5, E6(최고) 등 6등급 - E0은 부적합 판정	- C1(최저), C2, B1, B2, B3, A1(최고) - D는 부적합 판정	- EAL 1(최저), EAL 2, EAL 3, EAL 4, EAL 5, EAL 6, EAL 7(최고) - EAL 0은 부적합 판정
보안속성	- 기밀성, 무결성, 가용성 등 고려	- Bell-Lapadula 기반 기밀성 중심, 무결성 반영 안됨	- 기밀성, 무결성, 가용성 등 고려
장점	- 영국, 독일, 프랑스 및 네덜란드 4개국의 제품에 대한 상호 인정 - 상이한 평가기준에 따른 인력 및 시간, 비용을 절감	- 정부기관 요구사항 만족 - 신뢰할 수 있는 컴퓨터 기반(TCB) 사상 - 평가기준의 최초 상용화 된 모델로 의의	- 평가기준 유연성 부여(제품 유형 및 기술 추세에 적합한 PP 개발) - 단일 평가기준으로 다양한 정보보호 제품 평가 - 범용성 확보, 구제 표준 수용
단점	- 유럽 외 국가에 수출 시 재인증 필요	- 상업적 용도 한계 - 단일 컴퓨터 시스템에만 적용 가능, 네트워크에 연결된 Client Server 환경을 고려 안 함 - 인증기간은 평균 1~2년 - 비용 매우 비쌈 - 현재 거의 사용 안 함	- 문서 위주의 평가