CC (Common Criteria)

agnusdei·2025년 12월 2일

Information Security

목록 보기

36/96

🌐 CC (Common Criteria) 인증: 정보보호 시스템의 국제 표준 보안 평가 기준

CC (Common Criteria for Information Technology Security Evaluation) 인증은 정보 기술(IT) 제품의 보안 기능 및 보증 요구사항을 평가하기 위한 국제 공동 표준입니다. 다양한 국가에서 개별적으로 운영되던 보안 평가 기준을 통합하여 상호 인정 가능한 단일 기준으로 만든 것이 특징이며, 현재 정보보호 시스템 평가의 사실상 국제 표준으로 자리 잡고 있습니다.

💡 개념 및 배경

구분	내용
개념	IT 제품(컴퓨터 시스템, 소프트웨어, 네트워크 장비 등)이 특정 보안 요구사항을 만족하는지를 객관적이고 체계적으로 평가하고 보증하는 국제 표준 체계 및 그 인증.
목적	1. 보안 신뢰성 제공: IT 제품 구매자에게 해당 제품의 보안 수준에 대한 객관적 증거를 제공.
	2. 평가 결과 상호 인정: 평가 기준을 통일하여 한 국가에서 받은 평가 결과를 다른 참여국에서도 인정하게 함으로써, 평가 비용 및 시간 절감 및 국제 무역 촉진.
배경	- 미국 $\rightarrow$ TCSEC (Trusted Computer System Evaluation Criteria, 오렌지북) $\rightarrow$ ITSEC (Information Technology Security Evaluation Criteria, 유럽) $\rightarrow$ CC (국제 표준으로 통합)
비유	CC 인증은 마치 IT 제품의 '국제 품질 보증 마크'와 같습니다. 이 마크가 있다면 어느 나라에서든 해당 제품의 보안 수준을 신뢰할 수 있다는 의미입니다.

🏗️ CC 구조 및 핵심 원리

CC는 세 가지 핵심 파트(Part)로 구성되어 있습니다.

1. Part 1: 개요 및 일반 모델 (Introduction and General Model)

CC의 목적, 용어 정의, 일반 모델을 설명합니다.

2. Part 2: 기능 요구사항 (Security Functional Requirements, SFR)

제품이 무엇을 해야 하는가에 대한 요구사항입니다.
예시: 식별 및 인증( $F\text{ID}$ ), 암호화 지원( $F\text{CS}$ ), 보안 감사( $F\text{AU}$ ) 등 보안 기능 자체에 대한 요구사항을 정의합니다.

3. Part 3: 보증 요구사항 (Security Assurance Requirements, SAR)

제품이 얼마나 잘 만들어졌고, 평가가 얼마나 철저하게 이루어졌는가에 대한 요구사항입니다.
예시: 개발 프로세스의 엄격성( $A\text{ST}$ ), 문서화 수준( $A\text{PP}$ ), 취약성 분석의 깊이( $A\text{VA}$ ) 등 개발 및 평가의 신뢰성에 대한 요구사항을 정의합니다.

핵심 평가 절차

보호 프로파일 (Protection Profile, PP): 사용자 커뮤니티가 특정 유형의 제품(예: 방화벽)에 대해 공통적으로 요구하는 보안 요구사항을 정의한 문서. (범용적인 요구사항 정의)
보안 목표 명세서 (Security Target, ST): 특정 평가 대상 제품 (Target of Evaluation, TOE) 에 대해 개발자가 주장하는 보안 기능 및 보증 수준을 정의한 문서. (제품의 구체적인 명세)
평가: TOE가 ST에 명시된 요구사항을 만족하고, ST가 PP를 만족하는지 CC에서 정의한 절차와 기준( $E\text{AL}$ )에 따라 평가합니다.

📈 평가 보증 등급 (EAL)

CC의 보증 요구사항( $S\text{AR}$ )은 EAL (Evaluation Assurance Level) 이라는 7단계의 등급으로 체계화되어 있습니다. EAL이 높을수록 제품 개발 및 평가 과정이 더 엄격하고 철저했음을 의미합니다.

EAL 등급	설명 및 특징
EAL1	기능 테스트 완료. 기본적인 보안 기능이 작동함을 확인.
EAL2	구조적 테스트. 개발자의 설계 정보를 활용하여 테스트.
EAL3	방법론적 테스트 및 점검. 개발 환경의 통제 및 구성 관리가 이루어짐.
EAL4	방법론적 설계, 테스트 및 철저한 검토. 상용 제품이 획득하는 가장 일반적인 수준의 등급. 대부분의 방화벽, $ID\text{S}$ 등이 이 수준을 요구받음.
EAL5	반정형화된 설계 및 테스트. 고도화된 보증 요구사항이 추가.
EAL6	정형화된 설계 및 검증. 고위험 환경에서 사용되는 특수 목적 시스템용.
EAL7	정형화된 설계 및 다단계 검증. 극도의 고위험 환경에서 사용되는 시스템용. 가장 높은 신뢰성 요구.

🚨 기술사적 판단: EAL 등급은 기능의 강도가 아니라, 그 기능이 얼마나 철저하게 개발되고 검증되었는가(보증 수준)를 나타냅니다. EAL7이 EAL4보다 더 강력한 암호 알고리즘을 사용한다는 의미가 아니라, EAL7이 적용된 제품은 설계부터 테스트, 검증까지의 과정이 훨씬 더 엄격하고 체계적이었다는 의미입니다.

📊 CC와 과거 기준 비교 (기술적 진화)

구분	TCSEC (미국)	ITSEC (유럽)	CC (국제 표준)
평가 기준	기밀성 중심의 등급제 (A1 $\sim$ D)	기능성과 보증을 분리 평가 (F/E 등급)	기능 요구사항(SFR)과 보증 요구사항(SAR, EAL)을 분리/조합 평가.
주요 특징	강제적 접근 통제( $M\text{AC}$ ) 등 군사/정부 기밀 보호에 중점.	TCSEC의 비유연성 극복. 기능과 보증을 독립적으로 평가하여 유연성 확보.	두 기준의 장점을 결합하여 국제 상호 인정에 최적화.

🚀 기술사적 판단과 미래 방향성

1. CC의 현재적 중요성

국내 제도와의 연계: 대한민국을 포함한 다수의 국가에서 공공 기관 도입 정보보호 시스템에 대해 $C\text{C}$ 인증 또는 $K\text{S}$ $C\text{C}$ (국내 $C\text{C}$ 인증 제도) 획득을 의무화하고 있어, 시장 진입의 필수 요건입니다.
보안 강제력 부여: $C\text{C}$ 는 보안 제품 개발 및 테스트에 일정한 품질과 보증 수준을 강제함으로써 전체적인 보안 산업의 신뢰도를 향상시킵니다.

2. 미래 방향성 (극복 과제)

평가 시간 및 비용 문제: $C\text{C}$ 평가, 특히 높은 $E\text{AL}$ 등급 평가는 매우 장시간과 고비용을 요구합니다. 이는 Agile 개발 방식이나 빠르게 변화하는 $S\text{aaS}$ (Software as a Service) 환경에는 적합하지 않아, 시장의 속도를 따라잡기 어렵다는 비판이 있습니다.
경량화 및 모듈화: 향후 $C\text{C}$ 는 평가 대상의 범위를 줄이고( $P\text{P}$ 모듈화) 평가 절차를 간소화하여 평가 소요 시간을 줄이는 방향으로 발전이 예상됩니다. (예: $P\text{P}$ $C\text{ertification}$ $S\text{cheme}$ $s$ )
클라우드/IoT 환경 수용: $C\text{loud}$ $C\text{C}$ $P\text{P}$ 와 같이 특정 환경에 특화된 보호 프로파일을 지속적으로 개발하여, 새로운 기술 환경의 보안 요구사항을 수용할 것입니다.

📝 요약

$C\text{C}$ 인증은 $T\text{CSEC}$ 와 $I\text{TSEC}$ 의 장점을 통합하여 탄생한 $I\text{T}$ 제품 보안 평가의 국제 표준입니다. $C\text{C}$ 는 기능 요구사항( $S\text{FR}$ )과 보증 요구사항( $S\text{AR}$ )을 분리하고 $E\text{AL}$ 등급을 통해 보증 수준을 체계화하여, 구매자에게 객관적인 보안 신뢰성을 제공하고 국가 간 상호 인정을 가능하게 하는 핵심적인 기술 표준입니다. 향후에는 $A\text{gile}$ 개발 환경에 맞추어 평가 기간 단축 및 경량화가 주요 과제가 될 것입니다.