정보보호제품 평가 인증제도(CC인증, 보안적합성 검증)의 변경

충분히 안전한가요?

2011년 새해 들어 정보보호제품 평가/인증제도가 변경되었습니다

보안적합성 검증필 목록이 부활하고, CC(Common Criteria)인증 대상 정보보호제품군을 목록화하고, 보안적합성 검증 부분이 완화되었습니다.

작년까지 CC인증의 범위가 전 IT제품이었다가, 이번에 다시 기존처럼 한정했다고 하기도 합니다만, 사실 국내의 평가스킴에 따르면 평가를 받기 위해서는 해당 제품이 보안기능을 가진 '보안제품' 으로 인정되는 제품이어야 한다는 조건이 있었습니다. 그래서 한정됐다기 보다 정리하였다고 보는게 맞지 않나 싶습니다.

 

작년 한 해 동안 KISA가 주관하여, 설명회나 기타 여러가지 수단을 통하여 보안업체의 의견을 수렴한 것으로 알고 있습니다. 다양한 의견들을 종합하여 기존 정책을 운영하면서 발생한 이슈들을 해결하기 위해서 변경 한 것으로 보입니다. 지금은 관련 업무를 하고 있진 않지만, 업체의 시각에서 보면 변경 된 제도가 반가운 곳(또는 사람)도 있겠다는 생각이 듭니다. 하지만 정책이 아직 과도기 적이라 안정화 되지는 않았다는 생각이 들어 아쉽습니다. 언제쯤 완전하게 정착할 수 있을까요.

글이 도움이 되신다면 위의 손가락 한방 꾹! 눌러주세요~

* 공지 된 자료

보안적합성검증제도개선.pdf

- 위의 자료는 IT보안인증사무국 홈페이지에서 가져 온 자료이고, 최신 업데이트가 있을 수 있으니 해당 페이지 가서 보시는 것을 권고합니다

* 관련 기사

- 디데일리(2011.01.20): 국내용 CC인증 정보보호 제품, 보안적합성 검증의무 폐지

* 정책 변경에 대한 다른 관련기사

- 디데일리(2010.04.29): 정보보호 제품 국내용 CC평가 수수료 줄인다

- 디데일리(2010.02.25): KISA,  정보보안 제품 평가제도 변경 추진

- 이유지기자 블로그(2009.11.24): 일관성 없는 국가정보원 IT보안인증 정책

많은 고민 끝에 개선안을 도출하고, 공표를 하였으리라 생각을 합니다만, 여전히 모호한 부분이 있습니다. 세상의 모든 경우의 수를 고려하는 것이 사실상 불가능하기 때문에 어려울 것이라고 생각을 하고, 제가 제도를 완전하게 이해하지 못해서 드는 생각 일 수도 있겠습니다. 하지만, 좋은 가이드라인은 모호함이 없이, 판단을 위한 기준선을 제공하는 데에 의의가 있다고 생각을 해서 의문이 드는 부분 몇가지를 적어봅니다. 

- CC인증 대상 정보보호제품군을 정의하였으나, 보안적합성 검증을 받아야 하는 제품군 역시 CC인증 대상과 동일한 것인지가 애매합니다. 기존 별도지정제도에 있던 대상제품이 보안적합성 검증필 목록으로 들어가는 것으로 보면 CC인증 대상과는 다른 부분이 있는 것으로 보입니다.  그렇다면, 관련 제품 도입을 하는 공공기관 담당자는 해당 제품군이 보안적합성 검증 대상인지를 판단 할 기준이 여전히 모호할 듯 합니다. 기준이 애매하면 이를 비즈니스적으로 악용하는 사례가 발생하여, 불이익을 받게 되는 업체들도 발생할 수가 있으니까요.

- 보안적합성 검증필 목록에 등재 된 제품의 경우 형상변경에 대하여 CC인증과 같은 변경승인 절차가 있을지 궁금하네요.

- CC인증 대상 정보보호제품의 CC등급이 모두 EAL2 이상으로 표기가 되어있는데, PP(보호프로파일)이 존재하고 해당 PP에 EAL3 등으로 되어 있는 경우에도 그냥 EAL2로만 받아도 된다는 것인지.

- 검증필 암호모듈 탐재가 필요한 제품을 "가상사설망.보안USB 등 중요자료 소통.저장을 위한 암호사용시"라고 조건을 제시하였는데, 해당하는 제품을 구분하기가 역시나 애매합니다.

- 기타 등등

다른 법제도의 경우에도 완전하지 않을 까닭에 다양한 판례들이 참조되고, 공개되어 있습니다. 정보보호제품 평가제도의 경우에도 제도를 운영하면서 발생하는 다양한 문의과 그 답변 사례를 투명하게 공개하여 공유될 수 있도록 하면 어떨까 하는 생각을 해봅니다.

---

아래에 정보보호제품의 평가에 대하여 알고 있는 몇가지를 더 적어보겠습니다.

미국의 대응되는 제도

우리나라의 제도는 국제표준과 미국의 관련제도에 기반하고 있습니다.

* 정보보호제품 평가.인증 제도 - CC(ISO/IEC 15408)

* 보안적합성 검증 제도 - DITSCAP (DoD IT Security Certification and Accreditation Program)

- CC인증이 주어진 시험환경에서 평가가 이루어 졌기 때문에, 공공기관 도입 시 실제 구축 환경에서도 안전한지를 검증하기 위한 제도

* 암호검증 제도 - CAVP/CMVP(Cryptographic Module Validation Program)

- 우리나라의 경우 알고리즘에 대한 검증은 실제 하고 있지 않기 때문에 CMVP만 해당되긴 합니다.

* 국가용 암호제품 지정제도 - CAVP/CMVP

보안성평가의 배경

보안성 평가는 정보보증(IA, Information Assurance)을 위하여 시행하게 되었습니다.

우선 정보보증은 기존 정보보호에서 확장 된 개념이므로 정보보호에 대한 정의를 한 번 살펴보겠습니다.

* 정보화촉진기본법 제1장 제2조에 이렇게 나와 있습니다. "정보의 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신ㆍ수신 중에 정보의 훼손ㆍ변조ㆍ유출 등을 방지하기 위한 관리적ㆍ기술적 수단(이하 "정보보호시스템"이라 한다)을 강구하는 것을 말한다"

일반적으로는 정보시스템 내부에 보관되거나 통신망을 통하여 전송되는 정보를 시스템 내, 외부의 각종 위협으로 부터 안전하게 보호하여 정보시스템의 기밀성, 가용성, 무결성을 보장하는 활동 및 절차

* 정보보증은 위의 '기밀성', '가용성', '무결성'외에 

- Reliability(신뢰성)를 포함하고, Strategic Risk Management를 강조한 개념입니다.

- 다른 정의에서는 Authentication(인증)과 Non-Repudiation(부인방지)을 포함 한 개념이라고 하기도 합니다.

* 정보보증을 위하여 1980년 DoD(미국방성)의 보안책임자인 Steve Walker가 아래와 같은 보안성평가의 필요성을 제안합니다.

- Background: 관련 시장에 대해서 국가에서는 더이상 통제를 할 수가 없음, 하지만 시장에서 통용되는 제품보다 국가에서는 더 안전한 제품을 사용하기를 원함

- What: 보안성을 향상시켜 개발한 GOTS(Government off-the-shelf)를 사용할 수 있지만 추가적인 비용이 소요되고, COTS (Commercial off-the-shelf, 상용 기성품)에도 국가에서 요구하는 보안요구사항들을 탑재하면 좋겠는데

- How: 국가의 요구사항을 제공하고, 이 요구사항에 맞게 개발 된 제품에 점수를 매기면 되겠군

- 그래서, 점수를 매기기 위한 기준(TCSEC)과 조직(DoD의 NCSC)를 구성하게 되고, 평가 된 제품만 국가기관에 납품되도록 하였습니다.

미국의 TCSEC과 유럽의 ITSEC 등을 국제표준으로 만든 것이 CC인증(ISO/IEC 15408)이지요. 짜잔~

그래서 CC인증을 보면 CC인증의 제2부 보안기능요구사항(SFR)에 요구되는 기능들을 정리를 해두었습니다. 그리고 CC인증의 제3부에 사용환경 등에 따라 필요한 수준(EAL)을 정의하고 각 수준에 따른 보증요구사항을 정의 해 둔 것이지요. 평가기관에서는 제품의 특성을 고려하여 보호하는 자산의 중요도나 환경적인 요소들을 고려하여 적절한 수준의 보증수준을 결정하고, 필수적인 보안기능요구사항(SFR)의 구현을 요구하게 되는 것입니다.

맺으며..

국가에서는 정보보호제품에 대한 도입을 위한 정책 수립 시 보안성과 경제성을 모두 고려하는 것이 맞을 것이고, 부가적으로 관련산업의 활성화 등의 요소들도 고려를 하겠지요. 

보안성만을 고려한다면 보안이 매우 중요한 공공기관이라면 폐쇄망에서 개발을 하고, 해당 소스를 파기하거나 별도로 보관을 하는 전용 제품을 사용할 수도 있을 것입니다. 반대로 경제성만을 고려한다면 일반 기업과 같이 상용제품을 구매해서 사용할 수도 있을테니까요

하지만 국가기관에서 좀 더 중요한 부분은 보안성이겠지요. 여러 비판적인 의견들도 여기에 기반하고 있습니다. 다시 맨 위의 사진을 감상하며 질문해봅니다. "충분히 안전한가요"

현실적으로는 많은 부분들이 고려 될 필요가 있겠지만 정책 수립 시 좀 더 기본에 충실하면 혼선이 적고, 일관적인 정책을 수립할 수 있지 않을까 하는 생각을 해봤습니다. 기존처럼 제품 별로 기준을 정하는 대신 관리하는 자산, 정보에 대한 중요도를 구분하고, 해당 정보의 수준에 따라 특정 수준 이상의 정보를 관리하는 경우 보안적합성 검증을 받는다던가 하는 식으로 말이지요. 현재 정책이 변할 수 밖에 없는 이유가 "제품" 기준으로 되어 있어서 라고 생각합니다. 변화하는 환경 속에 다양한 보안위협들이 나타나게 되고, 이로 인하여 새로운 보안제품들이 나오는 환경이다보니 제품 기준의 제도는 변경될 수밖에 없을테니까요.