본문 바로가기

Work Log/As Cybersecurity Consultant

CC인증 초보 담당자를 위한 FAQ


여러 보안제품을 개발하고 있거나, 오랜 기간 보안제품을 개발해온 전통적인 보안솔루션 개발업체의 경우에는 CC인증을 담당하는 전담부서가 있거나, 경험을 했던 분들이 계시죠. 하지만 여러가지 이유로 CC인증을 받으려는 업체들이 늘어나다보니, 회사 내에서 CC인증 업무에 대하여 아는 사람도 없고, 물어 볼 사람도 없는 경우가 있습니다. 

저 역시도 위의 경우에 해당했습니다. 회사에서 처음하는 도전적인 업무들을 처리하는 것이 주로 하던 일이었기 때문에 CC인증을 받기 위하여 다방면으로 알아보며 준비를 하게 되었었지요. 게다가 국내에서는 CC인증을 받은 적이 없는 제품을 준비해야 하여 더 궁금한 부분이 많았습니다. 

아래는 제가 실무 담당자로써 궁금해했던 부분과 답변을 정리한 것입니다. 처음으로 CC인증을 담당하게 된 벤더업체의 담당자들에게는 도움이 되겠지만, 이미 경험이 있으신 분들에게는 이미 알고 있는 일반적인 내용이 될 수도 있겠네요 :) 다만 수준은 교육기관에서 제출물 작성이나 평가 교육을 받은 분들이 이해할 수 있는 수준이 되겠습니다.


Q. 제품이 CC인증을 받을 수 있는지?

A. "공통평가기준은 IT 제품의 보안 기능성과 평가 과정에서 그 제품들에 적용되는 보증수단에 대한 공통의 요구사항들을 제시함으로써, 독립적으로 수행된 보안성 평가의 결과들을 비교할 수 있도록 한다"고 되어 있고, "평가 과정은 IT 제품의 보안 기능성과 이에 적용된 보증수단이 이러한 요구사항들을 만족하는지에 대한 신뢰도를 확인하는 것이다"고 되어 있습니다.

그래서 CC자체만 보면 보안 기능이 있는 IT제품이면 받을 수 있는 것이 맞습니다만, 국내의 경우 IT보안인증사무국에서 평가 Scheme을 관리하고 있고, "보안제품"으로 판단이 되는 경우에만 평가를 진행하도록 관리를 하고 있습니다. 그래서 기존에 평가를 받은 제품이 없는 경우에는 CC인증을 받을 수 있는 보안제품인지를 먼저 판단하는 것이 필요하겠습니다.

KISA 등에 문의해보는 것이 좋겠습니다만, 단순하게 구두로 문의하는 정도로는 답이 안나올 수가 있습니다. 경험적으로는 제출물 설명회 때까지 논란이 있었던 제품이라 11(평가):1(저)로 열심히 Defense하고 설득하는 과정이 있기도 했었습니다.


Q. PP (Protection Profile, 보호프로파일)이 없는 제품은?

A.PP가 없는 제품은 PP 수용 없이 ST(보안목표명세서)를 작성하면 됩니다.

방화벽이나 IPS 등 많이 알려진 보안제품의 경우 PP가 개발되어 있습니다. PP는 IT보안인증사무국 홈페이지 -> 왼쪽 메뉴에서 "국가기관 도입가능 제품" -> "보호프로파일" 에 들어가면 확인하실 수가 있습니다. PP는 민간에서도 개발이 가능하지만, 개발에 많은 비용이 들어가는 PP를 민간에서 작성 하기가 어렵겠죠. 따라서, 요구가 많은 보안제품에 대한 PP만 공공에서 개발이 되고 있습니다.

PP가 없는 경우에는 그냥 PP를 수용하지 않고, ST를 작성하면 되기 때문에 편한 점도 있고, 어려운 점도 있습니다. 

편한 부분은 보증수준이 정해져 있지 않기 때문에, 보증수준을 정하는 것이 자유롭고, "FAU_GEN.1 감사 데이터 생성" SFR(보안기능요구사항)의 경우에 명세해야 하는 감사수준을 "지정되지 않음"으로 정해서 실제 제품에서 제공하는 감사데이터를 정하거나 할 수 있는 부분이 되겠습니다.

어려운 부분은 대체 어떤 보안기능요구사항을 기본으로 수용해야 하는지에 대한 기준을 잡기가 애매하다는 점이었습니다. 그리고 보안문제를 정의하는 부분에 있어서도 참조를 할 수가 없기 때문에 해당 제품에 대한 "위협", "조직의 정책", "가정사항"을 완전하게 정의하지 못할 가능성이 높아서 이후에 OR(관찰보고서)이 나오기 쉽다는 점도 있었구요.


Q. 제품에서 제공하는 보안기능이 CC 2부 "보안기능요구사항"에 없는 경우?

A. ST(보안목표명세서) 작성 시에 "확장 컴포넌트 정의" 하는 부분에 SFR(보안기능요구사항)을 확장해서 사용해야 합니다.

물론 확장하기 전에 이미 정의가 되어 있는 SFR을 꼼꼼하게 검토하여 사용이 가능한지를 점검하는 것이 필요하겠구요. 도저히 없으면 확장을 해야겠지요. 작성시에는 이미 정의되어 있는 SFR을 참고하여 클래스-패밀리-컴포넌트 등의 구조를 그대로 참조하면 됩니다.


Q. 인증을 받기 위한 비용과 시간은?

A. 평가수수료는 국내용과 국제용으로 나뉘고, 국내용 기준으로 대략 1달에 2천만원 정도가 평가수수료로 책정이되기 때문에, EAL2의 경우 3달정도 걸려서 6천만원 정도가 됩니다. EAL3의 경우 이보다 조금 더 걸리는 것으로 알고 있구요, EAL4의 경우 차이가 많이 난다고 알고 있습니다.
대신에 중소기업이고, 국내용 평가이고, 1년에 1건에 대해서는 50% 정부지원이 있습니다.

평가팀이 있으면 평가수수료 정도만 들겠습니다만, 처음 하는 회사라면 담당자 교육에 들어가는 비용(KISIA에서 2주 교육이 있는데, 제가 받았을 때는 80만원이었습니다.), 컨설팅 비용 등이 추가가 되겠지요


Q. 컨설팅을 받을 때의 고려사항

A. 요즘은 KISA 사이트에서 제공하는 제출물 작성 시 참고를 위한 예제가 많이 좋아졌습니다. 작년 7월 경에 업데이트가 된 것으로 알고 있구요. 일단 정식 가이드를 참고해서 작성을 한 번 해보는 것이 좋습니다. 하지만 제출하기에 부족하다고 생각이 들고 검증을 받았으면 하는 경우에는 컨설팅을 받는 것도 방법이라고 생각합니다.

KISA를 제외한 다른 평가기관에서는 컨설팅을 제공하는 것으로 알고 있구요. 다만 평가기관마다 수수료 정책 등이 모두 다르기 때문에 여러 곳에 문의한 후에 결정하시는 것이 좋겠습니다. 

컨설팅 비용의 경우 1회당 금액을 정하는 경우가 있고, 산출물 당 금액을 정하는 경우가 있었습니다. 전체 산출물을 점검하는 것이 필요했기 때문에 1회 당 비용을 책정하는 업체를 계약을 했었구요. EAL2의 경우 5-6회 정도면 적당한 듯 합니다.

컨설팅 담당자가 선임심사원인지 주임심사원인지 확인하는 것이 필요 하겠고, 해당 솔루션에 대한 평가나 경험/지식이 있는지를 확인해봐야합니다. 컨설팅 해주는 방식도 업체마다 다르기 때문에 어떤 식으로 하는지 문의를 해야 하구요.

업체와 계약할 때에 범위를 확인하는 것이 필요하겠습니다. 그냥 접수를 하여 계약을 할 수 있는 수준으로 할 것인지, 실제 평가 진행 후 처음 OR나온 것 까지 일종의 AS를 해줄 것인지를 고려해 봐야겠구요

1회 당 비용을 책정하는 경우 그 1회를 반일로 나누어서 진행을 해달라고 요청하기도 합니다. 참고하시구요

1회에 해당하는 시간도 확인이 필요하겠습니다. 보통 하루면 8시간으로 보는데, 그 보다 짧게 진행할 수도 있기 때문이지요. 하루 컨설팅에 해당하는 비용이 상당하니 시간도 확인이 필요하겠지요.


Q. 일정계획

A. 시기나 정책에 따라 변수가 있기 때문에, 아래 일정은 참고로 보시길 바랍니다.

처음 1달 정도는 사전 준비단계로, 담당자가 교육을 받고, 제출물을 직접 작성을 하던지, 컨설팅업체를 선정하던지 하는 데에 들어갑니다.

이후에 제출물 작성을 완료하는 데에 3달 정도 걸리구요.

완성된 제출물을 평가업체에 제출하면 평가 대기를 하게 됩니다. 시기에 따라 다릅니다만 3개월 걸렸었구요. 보통 1-2개월 정도 걸리고, 내부인사이동 등이 있으면 더 길어지는 듯 합니다. KISA쪽이 아무래도 대기가 많습니다.

평가 진행하는 데에 3달 정도 걸립니다.

그리고 평가가 종료되고 인증서가 교부 될 때까지 보름 정도 걸리더군요(국내용)


Q. 제출물 설명회

A. 제출물 설명회 시 데모시연 부분은 주요 보안기능 위주로 준비하면 됩니다. 식별 및 인증이나 일반적인 기능을 보통 시간관계상 생략하게 됩니다. 제출물 설명회 이전에 검토 단계에서 방문하여 데모시연을 평가담당자들이 보기 때문입니다


Q. 제출물 제출 후 대기 기간 동안 제출물 수정을 해도 되는지

A. 제출물을 제출하고 나서 평가반이 할당되어 검토를 진행하기 까지 대기하는 기간이 상당합니다. 몇 주에서 길게는 몇 달을 대기해야 하는데요. 이 기간 동안에 이미 제출한 제출물이라도 미흡한 부분이 보인다면, 제출물을 수정해도 됩니다.

제가 이해하기로는 제출물을 접수 받을 때에는 제출물의 완성도가 접수가 가능한 수준인지 정도를 파악하고, 이후 검토에 들어 갈 때에는 최종 제출물을 다시 받아서 검토를 진행합니다. 그렇기 때문에 가능한 대기하는 기간 동안에도 제출물을 자체적으로 확인하여 개선이 필요한 부분을 개선하면 평가진행 시에 도움이 됩니다.


다른 부분들은 또 생각이 나면 여기에 추가 할 예정입니다~!

참고로, 한국인터넷진흥원쪽의 동영상 강의 링크: http://kisec.kisa.or.kr/kor/developer/developer02A.jsp