주요 콘텐츠로 건너뛰기
이미지
보라색 육각형 패턴

사이버 보안 및 규정 준수 요건을 충족하는 가장 좋은 방법 중 하나는 전 세계적으로 인정받는 공통평가기준 인증을 받은 제품을 활용하는 것입니다.

익숙하지 않으십니까? 자세히 설명해 드리겠습니다.

아래에서는 공통평가기준 평가의 기본 사항에 대해 설명합니다. 공통평가기준 평가의 정의와 중요한 이유, 인증 제품이 기업에 유용한 이유까지 알아야 할 모든 사항을 살펴보겠습니다.

공통평가기준 인증이란 무엇입니까?

정보 기술 보안 평가를 위한 공통평가기준(줄여서 공통평가기준 또는 'CC')은 컴퓨터 보안 인증을 위한 국제 표준입니다. ISO/IEC 15408을 기반으로 하는 공통평가기준의 주요 목표는 IT 보안 제품이 엄격하고 반복 가능한 방식으로 평가되었음을 보증하는 것입니다. 더 구체적으로 말하면, 각 제품이 의도된 사용 사례에 적합한 테스트 프로세스를 거치도록 보장합니다.

원래 CC 인증 프로세스는 다양한 국가의 보안 인증 체계를 통합하고 대체하기 위해 개발되었습니다. 이러한 국가로는 미국, 캐나다, 독일, 영국, 프랑스, 호주, 뉴질랜드 등이 있었습니다. 이제 CC 인증은 전 세계적으로 보안 IT 제품을 상호 인정하는 종합적인 사이버 보안 프레임워크입니다.

개요

공통평가기준 인증 솔루션은 전 세계 정부 및 기업이 미션 크리티컬 인프라를 보호하는 데 필요합니다.

실제로 이 솔루션은 eIDAS로 더 잘 알려진 Electronic Identification and Trust Services 규정에 따른 공인 디지털 서명 서비스의 필수 요건입니다. 게다가 미국 정부 고객은 NIAP(National Information Assurance Partnership)에 등재된 보안 IT 제품을 요청하는 경우가 많습니다. 이 목록에 등재되려면 공통평가기준 평가가 필요합니다.

그 이유는 무엇일까요? 공통평가기준 표준은 제품 보안의 특정 측면이 철저하게 구현, 테스트, 유지관리되고 독립적으로 검증되었음을 보장하기 때문입니다. 보안 요건 중에서도 CC 인증은 다음 사항을 다룹니다.

  • 고급 설계, 아키텍처 및 구현을 포함한 제품 개발 및 관련 보안 기능
  • 안전한 제품 배포 및 준비를 위한 지침
  • 제품 구성, 제공, 폐기와 관련된 문서 및 프로세스에 대한 수명주기 관리
  • 기본 요건에 따른 보안 기능 테스트

인증 기관

국제 표준인 공통평가기준은 인증 기관이라는 조직을 통해 다양한 국가의 파트너십에 따라 관리됩니다. 각 인증 기관은 공통평가기준 보안 요건에 따라 제품을 독립적으로 평가하고 인증할 책임이 있습니다.

공통평가기준 이해: 주요 개념

공통평가기준 표준에 사용되는 고유한 용어가 있습니다. 다음에서는 각 용어를 간략하게 설명하고 해당 용어가 중요한 이유를 살펴봅니다.

  • 평가 대상(TOE): 단순히 CC 평가를 거친 제품을 의미합니다.
  • 보안 목표 명세서(ST): 보안 목표 명세서는 TOE의 보안 기능 및 속성을 정의하는 문서입니다. 보안 목표 명세서를 통해 공급업체는 솔루션의 특정 기능에 맞게 평가를 맞춤화할 수 있으며, 고객이 테스트된 보안 기능을 식별하도록 지원할 수 있습니다. 보안 목표 명세서는 하나 이상의 보호 프로파일(PP)을 참조할 수 있습니다.
  • 보호 프로파일(PP): QSCD(Qualified Signature Creation Device)와 같은 특정 유형의 제품에 대한 보안 요건을 작성한 문서입니다. 공급업체는 대개 보호 프로파일을 기준으로 자체 보안 목표 명세서를 만듭니다.
  • 보안 기능 요건(SFR): 제품의 모든 고유한 보안 기능 및 성능을 의미합니다.
  • 보안 보장 요건(SAR): SAR 목록은 제품이 주장하는 표준을 충족하는지 확인하는 데 필요한 단계를 설명합니다.
  • 평가 보증 등급(EAL): EAL은 평가 프로세스의 깊이와 엄격성을 설명하는 수치 등급입니다. 더 간단히 말하면, 보안 보장 요건에 따라 제품이 얼마나 엄격하게 테스트되었는지 고객에게 알려줍니다. EAL의 범위는 1(가장 기본)~7(가장 엄격)입니다.

공통평가기준 인증 프로세스

모든 공통평가기준 인증 제품 및 솔루션은 다음과 같은 특정 평가 프로세스에 따라 독립적으로 테스트 및 검증되어야 합니다.

  1. 개발자는 먼저 보안 목표 명세서를 완성하고 제품, 보안 기능 및 잠재적인 취약점을 개괄적으로 설명하는 증빙 서류를 제출해야 합니다.
  2. 원하는 경우 조직은 CC 인증 프로세스 전반에 걸쳐 지침으로 활용할 보호 프로파일(PP)을 선택할 수 있습니다. PP 선택이 반드시 필요한 것은 아니지만 철저한 평가에 대한 약속을 의미하며, 평가 대상(TOE)이 의도된 사용 사례에 적합한지를 보장합니다.
  3. 다음으로, 독립적으로 라이선스를 받은 인증 기관은 제품을 평가하여 공통평가기준 표준을 충족하는지 확인해야 합니다. 평가를 완료하면 결과를 평가 보고서에 정리합니다.
  4. TOE가 최소 요건을 충족하면 인증 기관은 공통평가기준 인증서를 발급합니다.

확인이 완료되면 모든 공통평가기준 인증 제품이 공통평가기준 포털에 등재됩니다.

디지털 서명 프로젝트를 위해 공통평가기준 인증 Entrust nShield HSM 및 SAM(서명 활성화 모듈) 활용

Entrust nShield HSM(하드웨어 보안 모듈)은 엄격한 공통평가기준 표준에 따라 테스트 및 인증된 안전한 신뢰 루트를 제공하여 고객이 규정을 준수하는 동시에 보안 솔루션에 필요한 확신을 할 수 있도록 지원합니다.

Entrust의 Solo XC, Connect X 및 nShield 5HSM은 CC 인증을 통해 모든 하드웨어 보안 모듈에 대한 업계 표준인 EN 419 221-5 공통평가기준 보호 프로필의 요건을 충족하는 것으로 확인된 제품입니다. Entrust의 솔루션은 보안 보장을 제공하며, 고객이 eIDAS 준수 암호화 자산을 생성할 수 있도록 지원합니다.

이러한 HSM은 안전한 암호화 처리, 키 생성 및 보호, 암호화 등에 적합한 강력한 변조 방지 환경을 제공합니다. 세 가지 폼 팩터 및 서비스형 제품으로 제공되는 Entrust nShield HSM은 다양한 배포 시나리오를 지원합니다.

eIDAS 준수 원격 서명 서비스의 배포를 위해 Entrust는 공통평가기준 CEN EN 419 241-2에 따라 인증된 SAM(서명 활성화 모듈)도 제공합니다. 이를 Entrust의 CC 인증 HSM 중 하나와 결합하면 eIDAS 준수 QSCD(Qualified Signature Creation Device)를 배포할 수 있습니다.

nShield HSM에 대해 더 자세히 알아보고 싶으십니까? 지금 바로 하드웨어 보안 모듈에 관한 최신 전자책을 다운로드하십시오.