Recommanded Free YOUTUBE Lecture: <% selectedImage[1] %>

Contents

Common Criteria

소개

Common Criteria(CC)는 정보보호 시스템의 보안평가를 위한 국제 표준(ISO/IEC 15408)이다. 1999년 ISO/IEC 15408 국제 표준으로 제정됐다. (2019년)현재 버전 3.1, 개정판 5의 상태다. CC는 컴퓨터 보안 제품의 사양, 구현 및 평가 프로세스가 대상환경에서 적합한 수준으로 엄격하고 표준적으로 수행됐음을 보증한다. 우리나라 말로 공통평가기준이라고 한다.

CC는 컴퓨터 보안 제품과 시스템에 대해서 수행한다.

표준으로 재정되기 까지

 Evolution of Security Standards

참고 : Common Criteria introduction

EAL

Evaluation Assurance Level(평가보증등급) : 평가가 얼마나 엄격하게 수행됐는지를설명하는 수치다. CC는 EAL 1 에서 EAL 7까지의 등급을 가진다. EAL 1 은 가장 낮은 기본등급이고 EAL 7이 가장 높은 등급이다. 높은등급의 보증등급을 받기 위해서는 까다로운 요구사항을 충족해야 한다. 비싸다는 얘기다.

EAL 7까지 구성하고 있으나, 아직 EAL7 등급을 받은 제품은 없다. 전 세계에서 현존하는 가장 높은 등급은 EAL5+다. 국내는 아직 EAL5+를 받은 제품은 없다.

일반적인 인터넷 서비스라면 신경쓸 필요가 없겠으나 금융서비스, 통신과금서비스(전자결제) 등 정보보호가 중요한 서비스인 경우 특정 EAL 등급의 보안 솔류션의 사용을 의무하는 경우가 있다. 구축/운영비용이 올라간다.

SARs

Security Assurance Requirements(보증요구사항) : 요구된 보안 기능을 준수할 수 있도록 제품을 개발하고 평가하는 동안 취해야 하는 조치를 설명한다. 예를들어 모든 소스코드의 변경 내용이 형상관리 시스템에 보관되거나, 완전한 기능 테스트를 수행해야 한다는 등의 요구사항이다. CC는 이들에 대한 카탈로그를 제공한다. 요구 사항은 평가항목마다 다를 수 있다. 아래와 같이 요구사항이 정리돼 있다.

ACM Configuration Management (형상관리)
ADO Delivery and Operation (배포 및 운영)
ADV Development (개발)
AGD Guidance Documents (설명서)
ALC Life Cycle Support (생맹주기 지원)
ATE Test (시험)
AVA Vulnerability Analysis (취약성 평가)
APE PP Evaluation(보호프로파일 평가)
ASE ST Evaluation (보안목표명세서 평가)
  • PP(Protection Profile) 보호프로파일이라고 한다. 정보보호제품이 갖추어야 할 공통적인 보안 요구사항들을 모아놓은 문서다.
  • ST(Security Target) : 요구사항을 구현할 수 있는 보안 기능 및 보증수단을 정의하고 있다.

참고