◇ 국내 최초 CC인증 획득 제품은?

국내 최초 CC인증 획득 제품은 지난 2003년 10월 8일, 어울림정보기술의 네트워크 통합보안제품인 ‘시큐어웍스(SECUREWORKS) ezWall V3.0’이다. 그리고 ‘시큐어웍스(SECUREWORKS) V3.0’이 제2호 CC인증 획득 제품이며 2003년도에는 이 2개 제품이 유일하게 CC인증 획득 제품으로 등재돼 있다.

이 두 제품은 제품유형 ‘FW+VPN(방화벽+가상사설망)’, EAL3+ 보증등급으로 CC인증을 획득했으며, 침입차단 기능과 가상사설망 기능을 제공하는 하드웨어 일체형 통합 제품이다. 또한 현재 두개 제품 모두 5.2버전까지 업그레이드됐으며 최종 5.2버전 역시 2010년 12월 30일, EAL4 보증등급으로 CC인증을 획득했다.

국내 최초 CC인증 획득 기업이기도 한 어울림정보기술은 현재까지 21개 제품에 대해 CC인증을 획득하고 있기도 하다.

◇ ‘2-9-17-20-20-42-70-78’-?

‘2-9-17-20-20-42-70-78’...이 숫자는 2003년부터 현재까지 매년 CC인증 획득 제품의 수다(다음표 참조-2011년도 인증수는 2011.11.14 현재).

특히, 2008년도에는 전년대비 2배 이상의 획득 제품이 나타나기 시작했다. 이는 기존 평가기관이 한국인터넷진흥원(KISA) 한 곳 뿐이어서 평가 적체현상이 나타났는데, 이를 줄이기 위해 2007년도에 한국산업기술시험원(KTL)과 한국시스템보증(KoSyAs)을 민간 평가기관으로 지정한 것을 그 이유로 볼 수 있겠다. 또한 국내용 CC인증제도가 시작되고 보증등급을 하향 조정한 것 역시 중요한 이유로 파악된다.

아울러 현재 CC인증 평가기관은 위 3개 평가기관을 비롯해 2009년도에 민간 평가기관으로 한국IT평가원(KSEL), 공공 평가기관으로 한국정보통신기술협회(TTA)를 지정해 2개 공공 평가기관과 3개 민간 평가기간 총 5개 평가기관이 운영되고 있다.

◇ CC인증 획득해야 하는 필수적 제품군은?

국가·공공기관에 도입되는 정보보호시스템 중 CC인증이 필수적인 제품군이 있다. 25개 제품군이 이에 해당하며, 2012년 6월 1일부로 시행될 예정인 ‘패치 관리시스템’을 포함하면 26개다.

현재 CC인증이 필수적인 제품군은 △침입차단 △침입탐지 △침입방지 △통합보안관리 △보안관리서버 △웹방화벽 △DDoS 대응 △VoIP 보안 △무선침입방지 △무선랜 인증 △가상사설망 △네트워크접근통제 △스팸메일차단 △바이러스백신 △PC 매체제어 △PC 침입차단 △콘텐츠보안 △자료유출 방지 △메일보안 △서버보안 △DB 접근통제 △다중영역구분 △스마트카드 △보안USB △복합기 완전삭제 이상 25개 제품군이다.

이들 제품군의 CC등급은 EAL2 이상이면 국가·공공기관 납품이 가능한데, ‘스마트카드’ 제품군만이 EAL4 이상 등급으로 받아야 한다. 또한 최근 이슈가 되고 있는 ‘개인정보보호’ 제품군의 경우에는 사실 국가·공공기관에 구축하기 위해 CC인증을 반드시 필요로 하는 것은 아니다.

◇ 최다 CC인증 획득 업체는?

CC인증을 가장 많이 획득하고 있는 업체는 총 22개 제품에 대해 CC인증을 가지고 있는 ‘윈스테크넷’이다. 그리고 그 뒤를 이어 안철수연구소와 어울림정보기술이 동일하게 21개씩을 가지고 있다. 또한 이들 3개 기업을 포함해 10개 이상의 CC인증을 획득하고 있는 기업은 7개 업체로 시큐아이닷컴(15개), 퓨쳐시스템(14개), LG CNS(14개), 삼성전자(13개) 순이다.

◇ 국내용 CC인증을 획득하고 있는 외산 기업은?

외산 기업 중 유일하게 한 업체가 국내용 CC인증을 획득하고 있다. 바로 한국트렌드마이크로인데, ‘Threat Management Services v2.5’ 제품이 EAL2 보증등급으로 지난 2010년 3월 10일, CC인증을 획득했다.

◇ 가장 높은 보증등급을 가지고 있는 제품은?

현재 가장 높은 보증등급으로 등재된 CC인증 제품은 EAL5+ 등급으로 등재된 전자여권 제품 3개 제품으로, 삼성 SDS의 ‘SPass V2.0’과 LG CNS의 ‘XSmart e-Passport’ 1.1 버전과 1.2 버전이다.

보증등급은 EAL1부터 EAL7까지 7단계로 분류되는데, 이는 제품의 우수성을 판단해 등급을 부여하는 것과는 다르다. 즉 등급별 요구하는 수준을 만족했는지 여부를 점검하고 인정하는 것으로, 보증등급이 높아질수록 보안기능의 내부구조를 더욱 세부적으로 분석하고 검증하는 것이다.

현재 국내는 EAL2부터 EAL5+까지의 보증등급으로 CC인증 제품으로 등재돼 있으며, 각 보증등급별 수는 다음 표와 같다.

◇ 312개 CC인증 중 국제용 CC인증은?

결과적으로 312개 CC인증 중 국제용 CC인증은 45개로 대략 15% 정도다. 전자여권, 디지털복합기, 스마트카드 운영체제, 전자여권 운영체제 및 응용프로그램 등의 제품군이 국제용 CC인증 제품유형이 주를 이루고 있다.

또한 IT보안 제품군으로는 웹방화벽 제품인 ‘SECUI NXG W V1.0.1, V2.0(시큐아이닷컴)’, ‘WEBS-RAY V2.5(트리니티소프트)’, FW(방화벽) 제품인 ‘AhnLab Suhoshin Absolute v3.0(안철수연구소)’, IPS 제품인 ‘eXshield V1.0.1.R(삼성네트웍스)’, ‘NXG IPS 6000 V1.6(시큐아이닷컴)’, ‘SafeZoneIPS V3.0(SZ-4000)(LG CNS)’, ‘TESS TMS V4.5(정보보호기술)’, ‘SECUREWORKS IPSWall 1000 V4.0(어울림정보기술)’, 접근통제시스템 제품인 ‘RedCastle v3.0 for Asianux Server 3(레드게이트)’, 바이러스 백신 제품인 ‘V3Pro2004 and AhnLab Policy Center 3.0(안철수연구소)’, 통합보안관리 제품인 ‘ActiveTSM V3.0(이오소프트)’ 등이 국제용 CC인증으로 등재돼 그나마 국제공통평가기준의 명맥을 유지하고 있을 뿐이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>