시스템 보안에 있어 FIPS 140 및 CC(Common Criteria: 국제 공동 평가 기준) 인증에 너무 의존하지 말라. CC는 한 제품 내의 특정 보안 기능에 중점하고 있으며, 취약점이 인증의 일부가 아닌 기능들에 존재할 수도 있다.

미국 정부가 많은 외국 정부 및 일부 개인 업체에 IA(infor mation assurance: 정보 보증) 및 IA 지원 제품을 판매하는 데 있어 FIPS 140 및 CC(Common Criteria: 국제 공동 평가 기준) 인증과 같은 보안 인증이 필수다. 하지만, 벤더들이 이런 인증을 요구하고 있다고 해서 이런 제품들을 일단 배치하기만 하면 비인증 제품보다 더 안전할 것이라는 착각은 하지 않는 것이 좋다.

FIPS 140 및 CC의 인증 프로세스에는 벤더에 의한 방대한 문서화 작업, 독립 테스트 연구소에 의한 철저한 보안 기능 테스트 및 관리팀에 의한 유효화 검토 작업이 포함된다. 이 프로세스가 완료되면 제품의 인증이 특정 하드웨어 버전상에 실행되는 단일 버전의 소프트웨어에 연결된다. 이것은 인증의 관점에서 보면 이해가 가지만, 실용성 및 배치의 관점에서 보면 설득력을 잃는 것이 사실이다.

필자의 경험에 의하면, 조직들은 일반적으로 인증된 제품을 이들 제품에 테스트의 한 구성으로 배치하지 않는다. 일반 회사에서 IA 또는 IA 지원 제품의 구입을 FIPS 140 및 CC 인증을 받은 제품으로 제한할 수는 있지만, 인증된 제품의 관리 지침과 상충하는 의무적인 시스템 보안 정책도 분명히 존재할 것이다. 이것은 인증 제품의 구성이 모든 시스템 배치에는 적절하지 않을 수도 있기 때문이다.

인증 제품이 사용자의 보안 목표와 상충하는 운영 환경에 대해 특정한 가정을 내릴 수도 있다. 사용자 환경에서 또는 환경에 대한 특정 위협에 거스르지 않을 수도 있다. FIPS 140 및 CC는 한 제품 내의 특정 보안 기능에 중점하고 있으며, 취약점이 인증의 일부가 아닌 기능들에 존재할 수도 있다.

또한, 일단 제품이 인증되면 해당 벤더가 원하는 경우, 추가된 모든 기능, 패치 또는 버그 수정들을 재인증해야 한다. 벤더들은 빠듯한 개발 주기를 가지고 있을 뿐만 아니라, 기능과 버그 수정판을 자주 출시하기 때문에 최신 버전의 코드를 인증하지 못할 가능성이 높다.

FIPS 140 및 CC는 내외부적으로 정보나 시스템에 무조건적인 보안은 제공하지 않는다. 그것이 이 인증들의 목표나 의도가 아니기 때문이다. 인증 제품으로 구성된 시스템을 구축한다고 해서 멀티 레벨 정보 등급의 상호 운영성, 성능 및 격리는 물론이고, 해당 시스템의 보안이 보증되는 것이 아니다.

시스템 소유자들은 핵심 제품들을 시스템의 전반적인 보안 및 보증 수준을 충족하도록 구성할 수 있는 명백한 지침을 확보해야 한다.

하지만, FIPS 140 및 CC 하에 인증된 제품들이 가치를 제공하는 것은 사실이다. 이러한 인증 정책에 포함되어 있는 보안 기능들이 일련의 공식적인 요구 사항, 업계 표준 및 모범 사례에 따라 구현된다는 충분한 확신을 가져도 된다.

또한, 이런 구현이 폭넓은 규격에 의해서 또는 제품에 대한 특정한 위협을 처리하기 위해 올바르게 수행된다는 것을 확신해도 된다. 뿐만 아니라, 여러분은 독립 단체에 의해 철저하게 검토되고 테스트되는 보안 기능들을 가진 제품을 구입하는 것이며, 암호 알고리즘이 올바르게 구현되거나 보안 기능이 적절하게 테스트된다는 벤더의 주장을 꼭 믿을 필요는 없다. 인증된 제품을 계속해서 구입하고 사용하라. 물론 시스템 보안을 희생하지 않는 범위 내에서 말이다.

<글: 레이 포터(Ray Potter) 에이펙스 어셔런스 관리 부장>  Copyright ⓒ 2006 Information Security and TechTarget

 

[월간 정보보호21c(info@boannews.com)]

                  <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>