• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[특집]완벽한 보안 솔루션의 조건은 무엇인가? 2009.09.10

[특집] CC인증만 있으면 완벽한 솔루션인가?

CC인증 솔루션은 완벽하기 보다는 신뢰할 수 있다는 것을 의미

완벽한 솔루션이란 무엇일까? 사용자의 사용 편리성, 우수한 성능, 우수한 기능, 제품 자체 보안성, 개발 업체의 신뢰성, 적당한 가격 등등 여러 가지 요소가 존재할 것이다. 이는 솔루션을 도입하려는 업체에 따라 판단 근거가 달라질 것이며 업체의 판단 근거는 주관적이기 때문에 완벽한 솔루션을 명확하게 정의 내리기는 쉽지 않다. 그러나 분명한 것은 대부분의 도입업체들이 제품이 제공하는 기능(성능 포함)을 가장 먼저 확인 한다는 것이다. 


제품이 제공하는 기능이 완벽한 솔루션을 결정 하는데 매우 큰 부분을 차지한다. 또한 개발업체 입장에서도 사용자 요구사항에 따라 제품을 개발하기 때문에 사용자가 요구하고 필요로 하는 기능이 개발 우선순위가 된다. 그러므로 개발업체와 도입업체 모두 제품의 기능에 중점을 두고 완벽한 솔루션을 정의하려고 할 것이다.

CC인증은 어디에 기본을 두고 있는가?

CC인증의 목적은 제품의 보안성을 평가하는 것이다. 제품의 성능이나 기능은 개발자가 정의한 수준에서만 확인한다.

제품의 기능은 PP 또는 ST에서 정의된 기능요구사항을 기반으로 평가된다.(PP가 없어도 ST만을 작성해 CC인증을 받을 수 있으며 또한 PP에 명시된 기능들을 포함하여 추가적으로 더 많은 기능들을 ST에 명시해 인증 받을 수도 있다. 예를 들어 FireWall PP를 수용하여 ST에서 VPN이나 IPS 기능 등을 포함하는 것 들을 들 수 있다.)

그렇다면 PP와 ST에 정의된 기능요구사항들이 기능의 우수성을 입증할 수 있을까? PP와 ST에서 제공되는 기능요구사항들을 살펴보자. 현재까지 나와 있는 십 여종의 PP 내용을 살펴보면 공통적으로 요구하는 기능 요구사항이 있다.

CC인증을 어느 정도 진행해 본 경험이 있는 사람이라면 어떤 제품에 대해 신규로 CC인증을 진행하고자 할 경우 이런 공통적으로 요구하는 기능들이 제품에 구현되어 있는지를 본다.

PP를 수용하지 않는 제품이더라도 해당 요구사항들은 제품의 보안성을 위해 구현을 권고하기 때문에 CC인증을 위한 필수 구현 요구사항이라고 해도 무리가 없을 것이다. 제품의 보안성 측면에서 구현된 이러한 기능들은 오히려 제품의 성능을 떨어뜨리거나 사용자의 편리성을 해하는 부작용도 가지고 있다.

그러나 CC인증은 제품의 보안성을 최우선으로 평가하는 제도이기 때문에 이러한 부작용들이 있음에도 보안성을 위해 구현을 강제한다.

PP는 해당 제품군에 대한 최소한의 기능만을 담고 있다. 보다 많은 개발업체가 PP를 유연하게 사용 할 수 있도록 하기 위해 일반적이지 않은 특화된 기능에 대한 요구사항은 PP에는 존재하지 않는다.

이러한 PP에 명시 되지 않은 기능들은 개발업체가 ST를 작성하면서 추가로 기술하게 된다.

다시 말해 PP는 아주 최소한의 요구사항만을 제공하고 PP 사용자(개발 업체)는 여기에 평가 받고자 하는 제품의 기능들을 적용시키고 덧붙여 ST를 작성해 평가를 신청하게 된다.

우수한 기능을 가지고 있는 제품인지 여부는 CC인증 종료 후 공개되는 ST를 확인하여 도입기관에서 판단해야 하며 공개된 ST의 내용에 해당 기능이 우수한 성능을 제공하는지에 대한 정보는 존재 하지 않는다. 이는 CC인증이 기능의 정상동작 여부를 판단하지 기능의 Performance에 중점을 두지는 않기 때문이다.

그렇다면 CC인증만 획득한다면 완벽한 솔루션이 되는 것일까? 결론부터 말하자면 그렇지 않다. 개발업체와 도입업체 모두 제품의 성능과 기능에 중점을 두고 완벽한 솔루션을 정의하려 한다.

CC인증은 최소한의 성능과 기능에 대한 기준을 가지고 있을 뿐이며 개발업체가 정의한 기능에 대해 제품의 보안성을 평가하는 제도이기 때문에 일반적으로 생각하는 기능적으로 완벽한 솔루션을 판단하기 위한 제도 일 수 없다.

CC인증을 받은 제품이라는 의미는 제품의 보안성을 평가하면서 취약성이 검증되었으며 개발 환경도 검증된 신뢰 할 수 있는 제품이라는 것이다. 즉, CC인증이 있다면 해당 제품은 완벽한 솔루션이라기보다는 제품이 가져서는 안될 보안상의 문제점(인증 당시까지 알려진 문제점)을 제거한 신뢰할 수 있는 솔루션이라고 할 수 있다.

<글 : 이수연 어울림정보기술 보안인증팀 팀장(ockdol@oullim.co.kr)>


[월간 정보보호21c 통권 제109호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>