개요
CC 인증(Common Criteria Certification, 국제공통평가기준)은 정보보안 제품의 보안성을 평가하고 국제적으로 신뢰할 수 있는 인증을 부여하는 글로벌 보안 표준이다. 이 인증은 정부, 공공기관, 기업 등이 신뢰할 수 있는 보안 솔루션을 선택할 수 있도록 돕는다. 본 글에서는 CC 인증의 개념, 평가 체계, 등급, 프로세스 및 활용 사례를 살펴본다.
1. CC 인증(Common Criteria Certification)이란?
CC 인증은 정보보안 제품이 일정 수준 이상의 보안성을 갖추었음을 검증하는 국제 표준 인증이다. ISO/IEC 15408에 기반하여 설계되었으며, 여러 국가 간 상호 인증이 가능하다.
✅ CC 인증을 받은 보안 제품은 국제적으로 검증된 보안성을 보장한다.
1.1 CC 인증의 필요성
- 정보보안 표준화: 보안 제품의 신뢰성 및 일관성을 유지
- 정부 및 공공기관의 요구사항 충족: 국가 보안 정책에 따른 필수 인증
- 국제적 신뢰 확보: 여러 국가에서 인증을 인정하여 글로벌 시장 진출 용이
- 사이버 보안 위협 대응: 보안 취약점을 사전에 평가하고 개선
✅ CC 인증은 정보보안 제품의 품질을 객관적으로 평가하는 기준이 된다.
2. CC 인증 평가 체계
CC 인증은 보안 기능 및 보증 수준을 평가하는 체계적인 방식을 따른다.
2.1 CC 인증 평가 기준
| 평가 요소 | 설명 |
| 보안 기능 요구사항(SFR, Security Functional Requirements) | 제품이 제공해야 하는 보안 기능을 정의 |
| 보증 요구사항(SAR, Security Assurance Requirements) | 보안 기능이 안전하게 구현되었는지 평가 |
| 보안 목표(Security Target, ST) | 제품이 달성해야 하는 보안 목표 정의 |
| 보호 프로파일(Protection Profile, PP) | 특정 유형의 제품이 만족해야 하는 보안 요구사항 |
✅ CC 인증은 보안 기능과 구현의 신뢰성을 종합적으로 평가하는 구조를 갖는다.
2.2 CC 인증 등급(EAL, Evaluation Assurance Level)
CC 인증은 보안 평가 수준(EAL, Evaluation Assurance Level)에 따라 1~7단계로 구분된다.
| 등급 | 설명 |
| EAL1 (기능 테스트) | 기본적인 기능 테스트 수행 |
| EAL2 (구조 테스트) | 개발 문서 검토 및 보안 테스트 수행 |
| EAL3 (체계적인 테스트) | 보안 요구사항에 대한 보다 정교한 검증 수행 |
| EAL4 (설계 검토 및 테스트) | 보안 설계 검토 및 엄격한 테스트 수행 |
| EAL5 (반정형 설계 및 테스트) | 높은 보증 수준으로 보안 구조 검토 |
| EAL6 (반형식적 검증 및 설계 보증) | 정부 및 군사 수준의 보안 요구사항 충족 |
| EAL7 (정형적 검증 및 설계 보증) | 최고 수준의 보안 요구사항 평가 (극도로 민감한 환경에서 사용됨) |
✅ 보안 요구사항이 높을수록 높은 EAL 등급이 필요하지만, 인증 비용과 시간이 증가할 수 있다.
3. CC 인증 프로세스
CC 인증을 받기 위해서는 다음과 같은 절차를 따라야 한다.
3.1 CC 인증 절차
- 보안 목표(Security Target, ST) 설정
- 보안 평가 수행(보안 기능 및 보증 요구사항 검토)
- 독립적인 평가 기관에서 인증 평가 진행
- 테스트 및 보안 검증 수행
- CC 인증 획득 및 유지 관리
✅ CC 인증은 철저한 보안 검증을 거쳐야 하며, 정기적인 갱신이 필요할 수 있다.
4. CC 인증 활용 사례
CC 인증은 다양한 보안 제품 및 기술에서 활용되고 있다.
4.1 네트워크 및 보안 장비
- 방화벽(Firewall), VPN, IDS/IPS 등의 네트워크 보안 솔루션
- 클라우드 보안 솔루션 (AWS, Azure, Google Cloud의 CC 인증 기반 서비스 제공)
4.2 운영 체제 및 소프트웨어
- Microsoft Windows, Linux 등의 보안 검증된 OS
- 백신 및 엔드포인트 보안 솔루션 (예: McAfee, Symantec)
4.3 스마트카드 및 인증 시스템
- 보안 칩(Trusted Platform Module, TPM)
- 생체 인증 시스템(FIDO, 지문 및 홍채 인식 장치)
✅ CC 인증을 받은 제품은 정부 및 기업에서 신뢰할 수 있는 보안 솔루션으로 인정받는다.
5. CC 인증의 장점과 한계
5.1 CC 인증의 장점
| 장점 | 설명 |
| 국제적 인증 표준 | 여러 국가에서 인정하는 보안 인증 |
| 보안성 검증 강화 | 체계적인 평가를 통해 보안 기능의 신뢰성 확보 |
| 공공 및 금융기관 도입 용이 | 정부, 공공기관, 금융사에서 필수 요구사항으로 적용 |
| 제품 경쟁력 강화 | 보안 인증을 통한 시장 경쟁력 확보 |
✅ CC 인증은 글로벌 IT 보안 시장에서 신뢰성을 보장하는 중요한 기준이다.
5.2 CC 인증의 한계
| 한계 | 설명 |
| 시간 및 비용 소요 | 높은 등급(EAL5 이상) 인증 시 비용 및 기간 증가 |
| 보안 위협의 빠른 변화 대응 어려움 | 인증 후에도 새로운 보안 위협에 대한 지속적인 관리 필요 |
| 인증 유지 필요 | 정기적인 보안 업데이트 및 인증 재평가 필요 |
✅ 보안 환경이 급변하는 만큼, CC 인증을 받은 제품도 지속적인 보안 업데이트가 필요하다.
6. CC 인증의 미래 전망
IT 보안 위협이 증가하면서 CC 인증의 중요성은 더욱 커지고 있다.
6.1 향후 발전 방향
- 클라우드 및 AI 기반 보안 인증 확대: 클라우드 환경에서 CC 인증을 요구하는 사례 증가
- 제로 트러스트 보안 모델과 연계: CC 인증이 제로 트러스트(Zero Trust) 보안 아키텍처와 결합될 가능성 증가
- 자동화된 보안 평가 기술 도입: AI 기반 자동화 보안 검증 프로세스 개발
✅ CC 인증은 변화하는 보안 환경에 맞춰 지속적으로 발전하고 있다.
7. 결론
CC 인증(Common Criteria Certification)은 정보보안 제품의 신뢰성을 평가하고 국제적으로 검증된 보안성을 보장하는 표준 인증이다.
- 네트워크 보안 장비, 운영 체제, 클라우드 보안 등 다양한 분야에서 활용된다.
- 보안성을 객관적으로 평가하고, 글로벌 시장에서 신뢰성을 확보할 수 있다.
- 향후 AI 및 클라우드 보안 기술과 결합하여 더욱 발전할 것으로 예상된다.
✅ CC 인증을 통해 보안성이 입증된 제품을 선택하면 기업과 공공기관의 보안 수준을 강화할 수 있다.
'Topic' 카테고리의 다른 글
| 메타모픽 컴퓨팅(Metamorphic Computing) (1) | 2025.03.20 |
|---|---|
| RISC-V 아키텍처(RISC-V Architecture) (1) | 2025.03.20 |
| 분산 시스템 아키텍처 (3) | 2025.03.20 |
| 중재자 토폴로지 vs 브로커 토폴로지 (0) | 2025.03.20 |
| 가상화(Virtualization) (0) | 2025.03.20 |