CC(Common Criteria) 인증 개념

CC인증은 CCRA 가입국 간의 정보보호 제품에 대한 상호 인증을 의미합니다. 한국기업이 침입차단시스템을 개발하고 CC인증을 받으면 CCRA 가입국인 미국에 침입차단시스템을 수출할 때 별도의 보안인증을 받지 않고 CC인증을 인정하는 식입니다. 

먼저 CC인증을 받을 수 있는 정보보호 제품을 개발하기 위해서는 소프트웨어 생명주기를 정해야 합니다. 소프트웨어 생명주기 모델은 소프트웨어를 개발하기 위한 기본적인 절차와 활동을 정의한 모델로 가장 고전 모델인 water fall 모델이라고 하며, 요구사항, 분석, 설계, 구현, 시험 순으로 소프트웨어를 개발하는 것을 말합니다.

Water fall모델 이외에도 소프트웨어를 개발하기 전에 어떻게 개발할 것인지 시제품을 먼저 만들고 사용자가 시제품을 확인한 후에 소프트웨어 개발을 하는 Prototyping 모델이 있습니다.

 

CC의 주요 제공 기능

• PP (Protection Profile)
  특정 고객의 요구를 충족시키는 제품의 기능성, 보증 관련 요구사항을 그룹화 시켜 놓은 것을 의미하며 ST의 일반적인 형태, 정보보안 요구사항을 구현하여 독립적으로 표현한 것을 말합니다.
• ST (Security Target)
  제품 평가 시 사용되는 기능성과 보증 관련 요구 사항을 포함한 제품의 명세서로서 벤더 또는 개발자에 의해 작성하며, 평가 대상의 구성요소, 설계 메커니즘을 명시합니다.
• ToE(Target of Evaluation)
  평가 대상 시스템이나 제품
• EAL (Evaluation Assurance Level)
  EAL1 ~ EAL7

CC의 구성

1부

• 소개 및 일반 모델 : 용어 정의, 보안성 평가 개념 정의, PP/ST 구조 정의

2부

• 보안 기능 요구사항(SFR, Security Function Requirement) : ToE의 보안 기능 정의 시 사용되는 표준화된 보안 기능 집합으로 11개의 기능 클래스가 있습니다.
• 11개 기능 클래스
• 보안감사(FAU), 통신(FCO), 암호지원(FCS), 사용자 데이터 보호(FDP), 식별 및 인증(FIA), 보안 관리(FMT), 프라이버시(FPR), TSF 보호(FPT), 자원 활용(FRU), ToE 접근(FTA), 안전한 경로/채널(FTP, 신뢰된 IT제품 간의 통신 경로와 채널)

3부

• 보증 요구사항(SAR, Security Assurance Requirement) : ToE의 보안 기능 정의 시 사용되는 표준화된 보안 기능 집합으로 11개의 기능 클래스가 있습니다
• 보안 요구사항 및 평가 보증 등급을 정의합니다.
• 7개 보증 클래스
• PP/ST, 평가(APE/ASE), 개발(ADV), 생명주기 지원(ALC), 설명서(AGD), 시험(ATE), 취약성 평가(AVA), 합성(ACP)