현장의 소리 적극 반영된 실용적이고 효과적인 제도로 완성돼야

공통평가기준(Common Criteria, 이하 CC)란 세계 여러 국가에서 개발·생산되고 있는 정보보호제품에 대한 평가기준을 국제적으로 표준화한 것으로 세계적으로 유통되는 정보보호제품에 대한 단일화된 평가기준을 마련해 관련 시장에서 고객에게 해당 제품에 대한 안전성과 신뢰성을 국가적인 차원에서 상호 보장하는 것이다. 이러한 CC 평가인증제도는 시장의 사용자들로 하여금 안전하고 신뢰성 있는 제품의 선택 기준을 제공하지만 반면에 정보보호업체에서는 CC에서 요구하는 보안기능요구사항, 보증요구사항의 만족함을 증명하기 위해 많은 준비가 필요하다.

공통평가기준(Common Criteria, 이하 CC)은 정보보호업계에 종사하는 사람이면 한번쯤은 들어봤을 것이며 공공시장에 진출하려는 정보보호업체라면 필수적으로 통과해야 하는 인증제도이기도 하다. 참고로 국내에서는 공공기관에 정보보호제품을 납품하기 위해서는 EAL2 이상의 CC인증을 획득해야만 한다.

CC란 세계 여러 국가에서 개발·생산되고 있는 정보보호제품에 대한 평가기준을 국제적으로 표준화한 것으로써 세계적으로 유통되는 정보보호제품에 대한 단일화된 평가기준을 마련해 관련 시장에서 고객에게 해당 제품에 대한 안전성과 신뢰성을 국가적인 차원에서 상호 보장하는 것이다.

공통평가기준은 국가마다 상이한 평가기준을 연동시키고 평가결과를 상호인증하기 위해 제정된 평가기준으로 1999년 6월에 국제표준(ISO/IEC 15408)으로 승인되었다.

국내의 경우 K 시리즈로 운영되던 정보보호제품 평가 기준을 2005.1.1부로 국제 공통평가기준으로 일원화하여 평가를 진행하고 있으며 2006년 5월에는 상호인정협정(Common Criteria Recognition Arrangement, 이하 CCRA)에 인증서 발행국(CAP, Certificate Authorizing Participants) 자격으로 가입하기도 했다.

현재 CCRA 가입국은 25개국으로 그 중 인증서 발행국은 12개국이다. 국내 CC 평가기관은 한국정보보호진흥원(KISA), 한국산업기술시험원(KTL), 한국시스템보증(KOSYAS) 등 3개이며 국가정보원이 인증기관 역할을 담당하고 있다.

이렇듯 CC 평가인증제도는 시장의 사용자들로 하여금 안전하고 신뢰성 있는 제품의 선택 기준을 제공하지만 반면에 정보보호업체에서는 CC에서 요구하는 보안기능요구사항, 보증요구사항의 만족함을 증명하기 위해 많은 준비가 필요하다.

평가계약을 위해서는 제출물을 오랜 기간에 걸쳐 준비해야 하며 평가계약 이후 평가 수행 등 약 1년 이상의 기간이 소요된다.

CC V4.0, 평가기간과 소요비용 단축에 초점

정보보호제품의 특성상 변화하는 시장흐름을 따라가기 위해 새로운 제품이 쏟아지고 기존 제품도 패치, 업그레이드 등을 통해 새로운 모습으로 빠르게 변화하는데 인증을 받기 위해 1년여의 시간을 기다려야 하며 인증획득 이후에도 인증효력을 유지하기 위한 비용이 발생한다. 어떤 경우에는 기존 제품의 CC 인증 획득시점에 새로운 버전이 개발 완료되어 상용화된 사례도 있다. 극단적인 사례이기는 하지만 이러한 사실만 놓고 볼 때 CC 평가인증제도의 개선이 필요하다는 생각이 든다.

업체의 입장에서는 생존을 위해 개발중인 제품으로 CC 평가계약을 하고 평가과정을 통해 개발을 완료하고 인증획득 시점에 시장에 출시할 수 있다면 좋을 것이다. 국내에서도 이를 해결하기 위해 평가인력 추가 양성, 평가기관 추가 등의 다양한 방법을 내놓고 있지만 CC인증제도의 근본적인 틀이 바뀌기 전에는 해결이 어려운 것이 현실이다.

이러한 현실을 반영하듯 국제 CC인증기관들의 협의체인 CCRA는 2008년 9월 제주 신라호텔에서 9차 국제CC컨퍼런스(International Common Criteria Conference, 이하 ICCC)를 개최하고 정보보호업체들이 보다 쉽게 CC인증을 획득할 수 있도록 체제를 대폭 수정한 새로운 버전의 CC를 개발하고 있다고 밝혔다.

CCRA가 밝힌 차기 평가기준 CC V4.0은 평가기간과 소요비용 단축을 위한 평가방식 대폭 간소화에 개발 초점을 맞추고 있으며 이를 위해 CCRA는 2008년 6월, 5개의 워킹 그룹을 발족하고 새로운 기준의 CC인증 V4.0 개발에 착수했다고 한다. 5개 워킹 그룹의 내용은 다음 표1과 같다.

CC개발위원회(CCDB, Common Criteria Development Board)의 데이비드 마틴 개발위원장은 “저등급(EAL1~2)에 대한 평가 구비서류 간소화로 평가기간을 단축하고 새로운 버전에서 제품 평가를 보다 빠르게 수행할 수 있는 기준을 개발하기로 결정하였으며 이를 위해 5개 워킹 그룹이 기술적인 내용을 준비할 것”이라고 언급하며 국내 정보보호업체들의 요구사항이었던 평가기간과 소용비용 단축에 대한 의지를 나타냈다.

국정원의 한 관계자도 “CC V4.0 버전의 취지는 평가기간을 간소화하고 업체의 의견을 적극 반영하자는 것이며 2009년 9월 초안을 선보인 후 2010년에 CC V4.0을 발표할 예정”이라고 말했다. 앞서 언급한 내용들을 살펴보면 현실적인 문제에 대한 공감대가 형성되어 있는 상태이며 문제 해결을 위한 강한 의지와 방안도 구상중인 것으로 생각된다. 반가운 일이 아닐 수 없다.  

CC인증제도 획기적인 변화 예상

CCRA에서 발표한 CC V4.0의 내용을 간단히 정리하면 다음과 같다.

1. 평가 시 제출서류 간소화를 통해 전체 평가기간 단축

2. 평가 시 불필요한 절차와 과정을 축소하여 평가를 빠르게 수행할 수 있는 기준 마련

3. 이를 통해 인증 시 투자되는 시간과 노력, 비용의 절감

CCRA에서 발표한 내용대로라면 CC인증제도에 대한 획기적인 변화가 예상된다. 정보보호업체에게도 희소식이 아닐 수 없다. 하지만 또 다른 걱정도 없지 않다. 물론 자세한 건 조금 더 기다려봐야 알겠지만 현재 적용중인 CC V3.1도 중복되는 평가활동 삭제, 제품의 보증에 기여도가 적은 보증 컴포넌트 최소화, 용어정의의 명확성 향상, 실제 보안성에 대한 보증 측면에서 평가활동 재구성 등 이전 버전에서 내제되어 있던 문제 해결을 위한 취지를 가지고 발표되었으나 오히려 더 난해해지고 혼란스러워진 부분이 없지 않았기 때문이다.

물론 더 나아진 부분이 훨씬 많기는 하지만 현실적인 문제의 해결에는 부족한 부분이 많았던 것이 사실이다. 하지만 어떠한 정책이나 제도도 첫 시행 시 모두를 만족할 수는 없다고 생각한다.

9월중 CC V4.0의 초안이 예정대로 발표되면 누구라고 가릴 것 없이 적극적인 검토와 협의를 통해 이전 버전의 문제점 해결 및 현장의 소리가 적극 반영된 실용적이고 효과적인 제도가 완성되기를 CC인증 담당자의 한 사람으로써 기대해본다.

<글 : 손민기 유넷시스템 과장(smk5@unet.kr)>

[월간 정보보호21c 통권 제109호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>