CCRA는 올해 9월 현재까지 총 26개 국가의 회원국으로 활동하고 있으며 인증서 발행국(CAP)과 인증서 수용국(CCP)으로 구분된다. CAP 국가는 자국에 평가겴适?제도를 구축하여 운영하고 있으며 CCRA에서 인정되는 인증서를 발급하는 국가이다. 현재 우리나라는 2006년 CCRA에 가입하여 인증서 발행국으로 활동하고 있다.

최근 정보보호제품의 유형이 과거 방화벽, 침입방지시스템 등 전형적인 보안장비 범주에서 벗어나 프린터 등과 같은 복합 단말기를 비롯한 사무형 기기에서 개인이 소지하고 다니는 스마트카드 등으로 확장되어 가고 있다. 즉, 정보보호제품은 기업 차원의 보안문제에만 머물지 않고 개인 생활 문제로까지 깊숙이 연관되어 지고 있다. 특히 스마트 폰, 스마트 TV 등을 기반으로 한 정보기술의 보급화는 정보보호 문제가 개인 홈 네트워크 영역까지 밀접하게 연관됨을 보여주는 예라고 할 수 있다.

특히 과거 하드웨어 중심 산업에서 소프트웨어 중심산업으로의 비중 증가와 더불어 소프트웨어 고유의 복잡성이라는 특성으로 인해 정보보호제품 평가 및 인증은 개발업체 측면에서는 많은 시간과 비용이 소요되지만 제품의 품질 향상을 통한 기업 경쟁력 강화를 도모하고 국가적측면에서는 국가 정보보호 수준제고를 위해 반드시 필요한 과정이다.

이런 이유로 미국, 영국, 독일, 프랑스 등 IT 보안 분야의 선진국들은 80년대부터 국가겙彭澎璲活?정보보호 수준 제고를 목적으로 정보보호제품 평가겴适?제도를 운영하여 왔다. 하지만 인터넷의 확산에 따른 정보보호제품 시장이 글로벌화 됨에 따라 자국의 제품을 수출하기 위해 수출대상 국가에서 또 다른 평가를 받아야 했으므로 이에 소요되는 시간, 인력, 비용을 절약하기 위한 대책 마련 필요성이 제기되었다. 이에 따라 하나의 공통된 단일 평가기준 제정의 필요성으로 공통평가기준(Common Criteria)이 탄생하였다.

그리고 이들 국가를 중심으로 평가받은 제품을 국가 간 상호 인정하기 위해 국제 공통평가기준 상호인정협정(CCRA : Common Criteria Recognition Arrange ment)을 체결하고 1996년 공통평가기준(CC : Common Criteria for Information Technology Evaluation) 및 1999년 공통평가기준 방법론(CEM : Common Metho dology for Information Technology Evaluation) 버전 1.0을 개발했다.

CC 및 CEM은 각각 ISO 15408 및 ISO 18045로 표준화되었으며 지속적인 변경작업을 거쳐 2009년에는 CC 버전 3.1 R3 및 CEM 버전 3.1 R3로 개정되었다. CCRA는 신규 평가기준 및 방법론 개발 등 새로운 정책 발표 및 신규회원국 확보를 위한 홍보활동을 적극 전개하고 있다.

CCRA 구성 및 제도 동향

2010년 9월 현재 CCRA는 총 26개 국가의 회원국으로 활동하고 있으며 인증서 발행국(CAP : Certificate Authori zing Participant)과 인증서 수용국(CCP : Certificate Consuming Participant)으로 구분된다. CAP 국가는 자국에 평가·인증 제도를 구축하여 운영하고 있으며 CCRA에서 인정되는 인증서를 발급하는 국가이다. 현재 우리나라는 2006년 CCRA에 가입하여 인증서 발행국으로 활동하고 있다.

CCRA에서는 CC 및 CEM의 세부 평가 가이드라인, 기술적 변동사항 및 주요 평가  정책 등을 새롭게 제도에 반영하기 위한 세부 위원회들로 구성되어 있다. 이 세부 위원회들은 크게 CCRA 관리위원회(MC : Management Committee), CCRA 집행위원회(ES : Executive Subcommittee), CC 개발위원회(DB : Development Board), CC 개발실무  위원회(MB : Management Board)로 구성된다.

CC는 소프트웨어 생명주기에 따른 제품 개발 산출물(문서, 소스코드 등)을 요구하고 있으며 이에 따른 매우 체계적인 평가 보증을 위한 방법을 요구하고 있다. 하지만 현재 세계적으로 SW 제품 개발방법론은 과거 폭포수 모델의 정형적인 틀에서 벗어나 빠르게 변화하는 시장원리에 따라 에자일 방법론 등 제출물 작성 간소화 및 제품 생산성 극대화에 초점을 두고 있다.

이런 이유로 CCRA는 단기적으로 CC 버전 3.1에서 CC 버전 4.0으로 개정함과 더불어 장기적으로 산업 요구에 적합한 공통평가기준을 제공하기 위한 노력의 일환으로 크게 5개의 작업그룹(WG)을 운영하고 있다.

CCRA 인증제품 동향

CC 기준에 따른 평가 및 인증이 완료된 정보보호제품에 대해서는 CC 포털 사이트(www.commoncriteriaportal.org)를 통해 제품 평가 동향 정보를 확인해 볼 수 있다. 1997년~2010년 8월까지 정보보호제품 평가 및 인증 통계를 살펴보면 독일 및 미국이  가장 큰 비중을 차지하고 있다. 인증 제품군을 살펴보면 국내 네트워크 기반 정보보호 제품 위주의 산업과 달리 스마트카드를 중심으로 한 소형 IC 칩 기반 제품군이 큰 비율을 차지하고 있다.

그림 1은 CCRA 포털사이트에 등재된 국제용 CC인증 제품군별 통계현황을 참고한 자료로 국내용 CC인증제품군 분류체계와 상이함에 주의해야 한다. 2010년 1월~8월까지의 최근 평가보증 등급별 인증제품 동향을 살펴보면, EAL4+ 등급이 평가제품의 가장 큰 비중을 차지하며 차순으로는 EAL3+ 등급이 큰 비중을 차지함을 확인할 수 있다.

CCRA는 EAL 수준 등급까지에 대해서만 상호인정을 해주고 있으며 EAL5 등급 이상의 고등급 평가 및 인증에 대해서는 각국 스킴의 정책을 따르도록 규정하고 있다. EAL5+ 이상의 고등급 인증 제품수는 총 5개로 EAL2+ 저등급 인증제품수와 비슷한 개수임을 확인할 수 있다.

최근 국내에는 스마트폰 폰 기반 모바일 앱, 모바일 오피스 등의 중요성이 확산됨에 따라 모바일 단말, 원격 다운로드형 애플리케이션, 무선 네트워크, 개인정보보호 등의 보안 문제점 및 대책에 대한 관심이 증대되고 있다.

외국의 경우에는 RIM 社에서 2007년부터 블랙베리 모바일 단말에 대한 CC 최초 인증을 시작으로 하여 MS 진영 또한 Windows Mobile 제품에 대한 인증을 획득하였다.

신규 제품 평가기술 확보로 정책 주도

국내에서는 CCRA에 가입(2006년)전부터 국산 정보보호제품의 신뢰성 향상 및 국가 정보보호 수준 제고를 위해 1995년부터 정보보호제품 평가 기반을 마련하여 국내용 정보보호 제품 평가 및 인증 제도를 적용하여 왔다.

국내용은 국제용 CC 평가체계와 달리 CCRA 평가제도 및 기준을 변형하여 제출물 간소화 및 평가기간 단축 등 국내 정보보호 시장  동향 및 환경에 맞게 현행화하여 정책을 적용하고 있다.

하지만 결국 기본 평가체계의 핵심 기술은 CCRA 평가제도의 근간을 두고 있기 때문에 국내 정보보호 시장 및 업체에 미치는 영향이 크다고 할 수 있다. 이런 이유로 우리나라는 CCRA 주요 활동사항을 지속적으로 모니터링 하고 국내에 유리하도록 국제 평가기술 및 정책 변화에 많은 관심을 기울어야 한다.

또한 모바일 생태계 활성화에 따라 모바일 단말기 기반 제품군(예, USIM, TPM(Trusted Platform Module), 모바일 VPN 등)으로도 보안적 관심을 갖게 되는 시대에 살고 있다. 근본적으로 평가기술 확보는 제품 개발 과정에 대한 산출물 검증뿐만 아니라 신규 취약점을 포함하고 있기 때문에 결코 단 시일 내에 이루어지지 않는다.

이런 이유로 CCRA에서는 평가 제품 유형별 세부 평가가이드라인을 작성하고자 노력하고 있으며 국내 또한 단지 국제 평가정책 동향 파악수준에서 벗어나 보다 적극적으로 신규 제품에 대한 평가기술을 확보해야지만 국제 평가기술 정책을 주도할 수 있으리라 예상된다.

<글 : 김일곤 한국인터넷진흥원 공공서비스보호팀 책임연구원(igkim@kisa.or.kr)>

[월간 정보보호21c 통권 제122호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>