CC인증과 관련하여 평가기관에서 평가를 하시거나, 또는 정보보호업체에서 CC인증 업무를 담당하고 계시는 분들은 이미 자격이 있으시거나, 잘 알고 계시겠지만 일반적으로는 접하기가 쉽지 않은 자격임은 분명합니다.
정보보호와 관련된 자격증에 대한 질문이나 글 중에 언급이 되는 경우가 있어서 알고 있는 부분에 대하여 작성을 해보려고 합니다.
정보보호제품 평가자는
정보보호제품 평가.인증 수행규정에 보면 평가자는 아래와 같이 구분을 하고 있습니다.
- 선임평가자 : EAL4 이하의 등급에 대해 평가수행이 가능한 자
- 주임평가자 : EAL 3 이하의 등급에 대해 평가수행이 가능한 자
- 수습평가자 : 상위 평가자의 평가업무를 보조하는 자
처음 시험에 합격을 하게 되면, 수습평가자가 되는 것이고, 일정한 자격을 갖춘 뒤에 상위 평가자가 될 수가 있는 것입니다. 정보보호업체에서는 직접 평가를 할 일이 없기 때문에 수습평가자 이상의 자격을 획득할 일은 없을 테지만, 현재 KISA를 포함한 5개의 평가기관에서 평가업무를 담당하는 경우에는 수습평가자로부터 시작해서 평가경험이 쌓여 주임평가자, 선임평가자가 되실 수가 있습니다.
예를 들어 수습평가자가 주임 평가자가 되려면 자격 취득 후 평가업무에 1년 이상 종사한 자로서 EAL3이상 등급의 평가수행에 2회 이상 참여를 해야 합니다.
정보보호제품 평가자격의 효용성
꼭 평가기관에서 근무를 하지 않더라도 CC인증에 대한 지식이 있으면 도움이 되는 경우가 많습니다.
- 저 처럼 CC인증에 대한 제출물을 작성하여 제품 인증 획득을 담당하는 경우라면 어떻게 평가가 진행 되는지를 알 수 있어서 도움이 되는 것은 당연하구요
- 정보보호업체에서 보안시스템을 개발하는 개발자의 경우라면 CC에서 정의 된 보안기능요구사항(SFR)을 참고하여 보안기능을 좀 더 체계적으로 설계할 수가 있을 것이고, 보안기능을 염두에 두고 개발을 할 수가 있을 것입니다.
- 구현을 하지는 않더라도 기획이나 설계를 담당하는 경우에도 위와 마찬가지로 다양한 보안기능을 고려하여 제품을 기획/설계 할 수가 있겠지요
- 그리고 또 하나. 보안목표명세서(ST)를 보게 됩니다. IT보안인증사무국 홈페이지에 들어가시면 인증받은 제품들의 목록이 나오고, 각 제품마다 보안목표명세서(ST)가 올라옵니다. 여기에는 각 보안제품들이 가지고 있는 보안기능, 보안목적 등을 확인할 수가 있어서 해당 솔루션에 대한 기술적인 지식을 습득하실 수가 있습니다. 컨설팅을 하시는 분들이나 제품을 구축하시는 업무를 담당하시는 경우 많은 도움이 될 것이라고 생각합니다.
-저 같은 경우에는 CC가 워낙 방대하기 때문에 이후에 실제 업무를 통하여 제출물을 작성하거나 평가를 받을 때에도 계속 고생을 하긴 했습니다만, 평가 진행 중에 평가 담당하시는 평가자분과 말이 통할 수 있었다는 것이 소득이었고, 앞서 설명드린 것처럼 다른 보안제품들의 보안목표명세서를 지속적으로 찾아서 보게 된 것이 또 하나의 소득이었습니다.
수습평가자가 되려면
1. 우선 시험을 볼 수 있는 자격을 얻고
저 같은 경우에는 교육(정보보호제품 평가 · 인증교육, 10일간 80시간의 교육)을 들어서 시험 볼 자격이 생기게 된 것이구요.
제가 다니는 대학원에서도 관련 과정이 개설되어 있는데요(2과목 6학점), 이 과목을 A학점 이상으로 이수하면 시험을 볼 수 있는 자격이 생기게 됩니다.
2. IT보안인증사무국에서 실시하는 시험에서 60점 이상을 득점하면 될 수가 있습니다.
시험이 정확하게 어떤 주기로 있는지, 언제 있는지 잘 모르지만 1년에 1-2회 정도 있는 듯 합니다. 찾아보니 최근에는 2010년 6월 25일에 있었네요. KISIA 홈페이지에 일정이 올라오기 때문에 지속적으로 확인을 할 필요가 있겠습니다.
저는 작년(2009년) 03월 13일에 있었던 시험에 응시를 하여 합격을 했었습니다. 합격을 하면 당시에는 IT보안인증사무국 홈페이지의 공지사항 쪽에 명단이 올라왔었는데, 올 해는 KISIA 홈페이지의 공지사항 쪽으로 올라오는 것으로 바뀌었나봅니다.
시험은
시험을 본지가 오래 되어서 시험문항이 기억나지는 않습니다만, CC나 CEM을 찾아보는 방법을 숙지하고 있으면 풀 수 있는 문제들이 다수 나왔었고, 정책에 대한 질문도 있었습니다. 저 같은 경우에는 2주간 교육이 진행 된 이후에 바로 시험을 볼 수가 있어서 그리 어렵지 않게 답안을 작성 할 수가 있었습니다. 시험 시간이 모자라지는 않아서 한 번 다 보는데에 전체 시험 시간의 반 정도가 걸렸었습니다. 아무리 책을 찾아보고 생각해봐도 답안 작성 할 수가 없는 문제가 하나 있어서 시험 종료 때까지 끙끙거렸던 기억이 나네요 ^^
시험 난이도는 전반적으로 어렵다고 생각하시는 것이 좋겠습니다. 제가 봤을 때에 4-50명 정도가 응시를 했었는데, 실제 합격자 명단에서는 그 반 수 정도만 있었거든요. 50%면 높은 합격률이 아닌가 생각하시게지만, 연속으로 80시간 교육을 들은 이후이거나 대학원에서 2과목 분량의 수업을 들은 사람들이 시험에 응시한다는 것을 고려한다면 결코 쉽지는 않은 것이지요
궁금해하시는 분들에게 조금이나마 도움이 되는 글이었으면 하는 사람입니다. ^^
'Work Log > As Cybersecurity Consultant' 카테고리의 다른 글
해외 CC인증제품 목록 확인할 수 있는 페이지 (2) | 2011.02.01 |
---|---|
로그 관리 자가 점검 10가지 항목 (0) | 2011.02.01 |
[보안제품 소개] CMF/DLP - 1 (0) | 2011.02.01 |
보안로그관리에 대한 가이드 (NIST SP 800-92 Guide to Computer Security Log Management) (0) | 2011.02.01 |
Syslog 메세지의 facility (0) | 2011.02.01 |