공통평가기준이란 무엇입니까?

사이버 보안 및 규정 준수 요건을 충족하는 가장 효과적인 방법 중 하나는 전 세계적으로 인정받는 공통평가기준 인증을 받은 제품을 사용하는 것입니다.

익숙하지 않으십니까? 자세히 설명해 드리겠습니다.

아래에서는 공통평가기준 평가의 기본 사항, 즉 공통평가기준이 무엇인지, 왜 중요한지, 인증이 조직의 보안 태세에 대한 신뢰를 강화하는 데 어떻게 도움이 되는지 살펴보겠습니다.

정보 기술 보안 평가를 위한 공통평가기준(일반적으로 줄여서 공통평가기준 또는 'CC')은 컴퓨터 보안 인증을 위한 국제 표준입니다. ISO/IEC 15408을 기반으로 하며, 그 목표는 의도된 사용 사례에 적합한 엄격하고 반복 가능한 프로세스를 통해 제품의 보안 기능이 독립적으로 테스트되고 검증되었다는 확신을 제공하는 것입니다.

원래 공통평가기준은 미국, 캐나다, 독일, 영국, 프랑스, 호주, 뉴질랜드 등 여러 국가의 인증 제도를 통합하기 위해 마련되었습니다. 오늘날 이는 전 세계적으로 보안 IT 제품 인증에 대한 가장 광범위한 상호 인정을 제공하는 포괄적인 글로벌 프레임워크로 자리 잡았습니다.

개요

공통평가기준 인증 솔루션은 전 세계 정부, 기업, 서비스 공급자가 미션 크리티컬 인프라를 보호하기 위해 사용합니다.

실제로 이 솔루션은 eIDAS(2024년에 업데이트되어 현재는 eIDAS 2로 불림)로 더 잘 알려진 Electronic Identification and Trust Services 규정에 따른 공인 디지털 서명 서비스를 비롯하여 수많은 솔루션의 필수 요건입니다. 게다가 미국 정부 고객은 National Information Assurance Partnership에 등재된 보안 IT 제품을 요청하는 경우가 많은데, 이 목록에 등재되려면 공통평가기준 평가가 필요합니다.

공통평가기준 표준은 제품 보안의 주요 측면이 철저하게 설계, 구현, 테스트, 유지 관리되고 독립적으로 검증되었음을 보장합니다. 그 핵심 중점 영역은 다음과 같습니다.

• 고급 설계, 아키텍처, 구현을 포함한 제품 개발 및 관련 보안 기능.
• 안전한 제품 배포 및 준비를 위한 지침.
• 제품 구성, 제공, 폐기와 관련된 문서 및 프로세스에 대한 수명주기 관리.
• 기본 요건에 따른 보안 기능 테스트.

인증 기관

국제 표준인 공통평가기준은 참여국에서 독립적인 인증 기관을 통해 관리됩니다. 각 기관은 공통평가기준 요구 사항에 따라 제품을 평가하고 인증할 책임이 있으며, 인증이 일관되고 전 세계적으로 인정받는 보증 기준을 충족하는지 확인해야 합니다.

공통평가기준은 평가 프로세스를 정의하는 몇 가지 주요 용어를 도입합니다.

• 평가 대상(TOE): 인증을 받는 제품 또는 시스템.
• 보안 목표 명세서(ST): TOE의 보안 기능과 목표를 정의하는 문서. 공급업체는 ST를 통해 자사 제품의 특정 기능에 맞춰 평가를 맞춤화할 수 있으며, 종종 하나 이상의 보호 프로필을 참조합니다.
• 보호 프로파일(PP): 제품 범주에 대한 표준화된 보안 요구 사항 세트(예: 하드웨어 보안 모듈 또는 서명 활성화 모듈). PP는 일관되고 반복 가능한 평가 기준을 보장합니다.
• 보안 기능 요건(SFR): 제품의 특정 보안 기능 및 성능.
• 보안 보장 요건(SAR): 제품이 주장하는 기준을 충족하는지 확인하는 데 사용되는 측정 기준.
• 평가 보증 등급(EAL): EAL1(기본)부터 EAL7(가장 엄격함)까지 평가의 깊이와 엄격성을 나타내는 숫자 등급.

모든 공통평가기준 인증 제품 및 솔루션은 다음과 같은 특정 평가 프로세스에 따라 독립적으로 테스트 및 검증되어야 합니다.

1. 개발자는 먼저 보안 목표 명세서를 완성하고 제품, 보안 기능, 잠재적 취약점을 설명하는 증빙 서류를 제출해야 합니다.
2. 원하는 경우 조직은 CC 인증 프로세스 전반에 걸쳐 지침으로 활용할 보호 프로파일(PP)을 선택할 수 있습니다. PP 선택이 반드시 필요한 것은 아니지만 철저한 평가에 대한 약속을 의미하며, 평가 대상(TOE)이 의도된 사용 사례에 적합함을 보장합니다.
3. 다음으로, 독립적으로 라이선스를 받은 Common Criteria Laboratory가 제품을 평가하여 공통평가기준 표준을 충족하는지 확인해야 합니다. 평가를 완료하면 결과를 평가 보고서에 정리합니다.
4. TOE가 최소 요건을 충족하면 인증 기관은 공통평가기준 인증서를 발급합니다.확인이 완료되면 모든 공통평가기준 인증 제품이 공통평가기준 포털에 등재됩니다.

보호 프로필은 어떻게 작동합니까?

보호 프로필은 제품 범주에 대한 표준화된 보안 요구 사항을 정의할 뿐만 아니라 실제로 해당 제품을 평가하는 방식도 결정합니다. 각 PP는 인증 과정에서 해결해야 할 보안 목표, 잠재적 위협, 평가 활동을 간략하게 설명합니다.

공인 전자 서명 및 씰을 생성하는 데 사용되는 Qualified Signature Creation Devices(QSCD)는 안전하고 신뢰할 수 있는 서명 생성을 보장하기 위해 공통평가기준 보호 프로필을 적극적으로 활용합니다.

공급업체는 잘 정의된 산업 표준을 준수한다고 입증하기 위해 기존 PP(하드웨어 보안 모듈(HSM)의 경우 EN 419 221-5, 서명 활성화 모듈(SAM)의 경우 EN 419 241-2)에 대한 적합성을 주장할 수 있습니다. PP에 부합할 경우 제품이 일관되고 인정받는 기준에 따라 평가되므로 관할권 간 상호 인정이 가능하고 eIDAS 및 기타 디지털 신뢰 프레임워크에 따른 감사가 간소화됩니다.

eIDAS 2 규정 관점에서 QSCD는 PP EN 419 221-5를 충족하는 CC EAL4+ 인증 HSM과 PP EN 419 241-2를 충족하는 CC EAL4+ 인증 SAM으로 구성됩니다.

공통평가기준은 EU 사이버 보안법 및 새로운 EU 사이버 보안 인증 제도와의 긴밀한 연계를 포함하여 현대 사이버 보안 및 디지털 신뢰 프레임워크의 요구 사항을 충족하기 위해 지속적으로 발전하고 있습니다. 이러한 발전은 인증된 제품에 대한 지속적인 보증, 취약성 관리, 수명주기 보안을 강조합니다.

이러한 발전의 일환으로 Entrust Signature Activation Module 1.1.1은 ALC_FLR.2(결함 수정) 및 AVA_VAN.5(고급 취약성 분석)가 추가되어 공통평가기준 EAL4+ 인증을 획득했으며, PP EN 419 241-2를 충족한다고 주장합니다.

이 인증은 SAM의 설계, 테스트, 지속적인 보안 유지 관리에 대한 높은 수준의 보증을 제공하여 eIDAS를 포함한 유럽 사이버 보안 및 디지털 신뢰 규정 준수를 지원합니다. 이러한 보강은 Entrust의 성숙한 취약성 관리 프로세스와 고도화된 공격 시나리오를 식별, 해결, 방어하는 능력을 입증합니다.

Entrust nShield HSM은 공통평가기준 하의 엄격한 EN 419 221-5 보호 프로필에 따라 테스트 및 인증된 안전한 신뢰 루트를 제공하여 조직이 규정을 준수하고 암호화 운영에 대한 확신을 강화하도록 도와줍니다.

Entrust Solo XC, Connect XC, nShield 5c, nShield 5s 모델은 키 생성, 암호화, 서명에 대한 변조 방지 보호 기능을 제공합니다. 이 모델들은 다양한 폼 팩터와 서비스형으로 제공되므로 다양한 배포 요구 사항을 지원합니다.

원격 서명 서비스를 배포하는 조직의 경우 Entrust는 현재 EAL4+ 인증을 획득한 서명 활성화 모듈 1.1.1을 제공합니다. 이 모듈을 Entrust HSM과 함께 사용하면 eIDAS 규격을 준수하는 공인 서명 생성 장치가 마련되므로 규제 산업 전반에서 신뢰할 수 있는 표준 기반 전자 서명 및 씰을 사용할 수 있습니다.