F5네트웍스(www.f5.com, 이하 F5)는 자사의 BIG-IP Local Traffic Manager(LTM) 9.3 버전 제품이 미 정보보증조합(National Information Assurance Partnership, NIAP)으로부터 국제 CC EAL 2+(Common Criteria EAL2+ certification)를 획득했다고 4일 밝혔다.

F5 네트웍스 코리아의 남덕우 지사장은 “F5는 지난 5월에는 BIG-IP LTM 9.2.3 버전 제품으로 CC 인증을 획득했다”며 “후속 제품인 BIG-IP LTM 9.3 버전 제품의 CC 인증 획득으로 F5가 지속적으로 제품의 안정성과 성능, 그리고 신뢰성을 향상시키고자 하는 노력을 재확인할 수 있게 됐다. F5는 글로벌 기업들이 신뢰할만한 제3기관으로부터 제품 품질 평가를 받았다는 점에서 이번 CC 인증 획득을 자랑스럽게 생각한다”고 말했다.

국제공통평가기준(Common Criteria, CC)은 정보보호 제품의 보안성을 평가하기 위한 국제 인증 기준이다. 현재 미 정부 기관 및 국제 정부 기관, 포춘 500대 기업들은 각각의 고유한 네트워크 환경에 최적화된 IT 제품을 도입할 때 공통적으로 CC 인증을 요구하고 있으며 계약 업체들도 그와 같은 기준을 유지할 것을 요청하고 있다.

CC 인증 테스트는 인포가드 연구소(InfoGard Laboratories, Inc.)에서 실시됐으며 미 국립표준기술연구소(National Institute of Standards and Technology, NIST)와 미 국가 안전국의 합작 파트너사인 미 정보보증조합(NIAP)에 의해 발효된다. BIG-IP LTM 9.3 버전의 테스트 기준은 이들 기관이 제시하는 CC 평가 인증 조직(Common Criteria Evaluation & Validation Scheme, CCEVS)의 기준에 부합한다.

인포가드의 CC 평가 관리(Common Criteria Evaluations)자인 스티븐 윌슨은 “F5는 제품 기능들의 업데이트 사항들을 열거하며 구체적인 영향 분석 리포트를 제시했다”며 “우리는 이전에 인증된 버전 제품에서의 변경 사항들에 대해 조직적인 검토를 수행했으며 미 정보보증조합(NIAP)은 F5의 BIG-IP LTM 9.3 버전 제품의 인증을 발효했다. BIG-IP LTM 9.2.3 버전 제품의 인증에 이어 이번 CC 인증 획득은 보안성을 유지하기 위한 F5의 노력을 보여주는 것”이라고 말했다.

F5의 BIG-IP LTM 9.3 버전은 감식과 인증(Identification and Authentication), 감사(Audit), 정보 흐름의 제어(Information flow control), 보안 관리(Security management),커뮤니케이션 보안(Secure communications), 트래픽 보안(Secure traffic), 자체 보호 능력(Protection of the device itself) 등의 분야에 대해서 평가됐다.

CC EAL 2+ 인증을 받기 위해서는 개발자 테스트를 비롯해 취약성 분석 및 세부 평가대상물(Target of Evaluation, TOE) 규정에 기초한 독립적인 테스트 과정을 통과해야 한다.

인포가드 연구소가 발표하는 평가 리포트는 BIG-IP LTM 9.3 제품이 ALC_FLR.1이 보완된 EAL 2+ 인증을 규정하는 보안 타깃(Security Target)에서 정의된 보안 기준을 충족했다고 분석했다.

[김태형 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>