[정의]
안녕하세요. 오늘은 정보보안에서의 CC(Common Criteria) 인증 제도에 대해서 알아보고자 합니다.
CC는 국제적으로 통용되는 정보보호 제품 평가 인증 제도 입니다. 저희는 CC인증이라고 부르지만, 실제로는 The Common Criteria for Information Technology Security Evaluation의 줄임말 입니다. 한국어로 번역하면 정보 기술 보안 평가를 위한 공통 기준 정도가 되겠습니다.
이게 무슨 소리냐 하면, 저희가 쓰는 정보보호 제품들을 (방화벽, 백신, 침입 탐지 시스템, 생체 인식 시스템 등등) 국제적으로 "이 제품은 쓸만하고 믿을 만 합니다." 라고 인증을 해주는 제도입니다. 소프트웨어든 하드웨어든 정보보호 제품이기만 하면 전부 인증을 받을 수 있습니다.
[가입 국가]
CC 인증 공식 사이트에서 정보를 확인해볼 수 있습니다. 한국도 회원으로 등록이 되어있습니다. CCRA 인증서 발행국에 들었다는건 우리나라에서 CC인증 마크를 붙일 수 있다는 뜻입니다.
[주요 개념]
 |
 |
| 국제용 CC 인증 마크 | 국내용 CC 인증 마크 |
왼쪽 마크는 공통평가기준 CC인증 마크라고 합니다. CCRA(the Common Criteria Recognition Arrangement)의 협정 조항에 따라 발급된 각 CC 인증서에는 CC 인증 마크가 표기됩니다.
오른쪽 마크는 한국의 인증 마크 입니다. 정보보호제품이 한국의 인증기관인 IT보안인증사무국에 의해 인증된 제품임을 증명하는 마크입니다. 우리나라는 국가나 공공기관에 도입되는 정보보호제품의 인증을 지원하기 위해서 국내용 인증제도를 운영하고 있습니다. 다만 국내용 인증제도를 통해서 발급된 인증서는 국외에서 상호 인정되지 않는다고 하니 참고하시길 바랍니다.
[작동 방식]
CCRA(the Common Criteria Recognition Arrangement - 국제 상호 인증 협정)에 참여하는 국가들은 정보보안제품에 대한 공통 평가 기준을 지니고 있습니다. 한국도 CCRA 회원국입니다.
회사 A가 평가기관에 평가를 신청하면 -> 평가기관이 보안성 평가 수행
-> 인증기관이 평가 결과 검토 후 인증서 발급 -> CC 인증 마크 획득 라는 느낌으로 볼 수 있을 것 같습니다.
한국의 평가 기관으로는 2025년 기준 7곳이 있습니다.
- 한국인터넷진흥원
- 한국시스템보증
- 한국아이티평가원
- 한국정보통신기술협회
- 한국정보보안기술원
- 한국기계전기전자시험연구원
- 한국화학융합시험연구원
한국의 인증 기관은 ITSCC(IT 보안 인증 사무국)입니다. 평가기관의 한 곳에서 평가를 받은 후에 인정을 받으면, 여기서 최종적으로 땅땅 인증을 내려주는 것입니다. 인증서의 유효기간은 5년이라고 하며, 기간이 지나면 재발급 받아야합니다.
[출처]
https://www.commoncriteriaportal.org/communities/index.cfm
읽어주셔서 감사합니다.
다들 좋은 하루 되세요!
'컴퓨터 관련' 카테고리의 다른 글
| [정보보안] AES(Advanced Encryption Standard)란 무엇일까? (2) | 2025.05.08 |
|---|---|
| [정보보안] 커버로스(Kerberos)란 무엇일까? (2) | 2025.05.08 |