(보안) CC(Common Criteria)

CC(Common Criteria)

1. 정의

• CC(Common Criteria, 공통평가기준)은 정보시스템 및 IT 제품의 보안 기능과 신뢰성을 평가하기 위한 국제 표준.
• IT 제품·시스템의 보안 수준을 객관적으로 검증하고, 국가 간 상호 인증을 통해 보안 평가 결과를 인정받기 위한 체계.
• 목적: 보안 기능과 신뢰성 보증을 국제적으로 통일된 방법으로 평가 및 인증.
• 평가 대상 : 운영체제, 데이터베이스, 네트워크 장비, 보안 소프트웨어 등 IT 제품 전반
• 국내 제도: 「정보보호 제품 보안인증(CC 인증)」 제도로 운영 (KISA 등).

 

2. 주요 구성요소

• PP(Protection Profile, 보호 프로파일): 특정 보안 요구사항을 기술한 문서 (제품군 수준)
• ST(Security Target, 보안 목표): 보안 요구사항 및 평가대상에 의해 제공대는 보안대책
• TOE(Target of Evaluation, 평가 대상): 평가 대상이 되는 제품 또는 시스템
• EAL(Evaluation Assurance Level, 보증 등급)
  • EAL1~EAL7 단계로, 단계가 높을수록 평가 심사 엄격·비용 상승
  • EAL4가 상용 제품에서 가장 일반적

 

3. 장단점

구분	내용
장점	국제 상호 인증 체계: CCRA에 가입된 30여 개국에서 상호 인정 제품 신뢰성 확보: 보안 기능의 객관적 검증 시장 진입 장벽 완화: 다국적 기업의 보안 인증 비용 절감
한계 및 고려사항	평가 비용 및 시간 소요: 인증 과정이 복잡하고 장기간 소요 기술 발전 속도와 괴리: 빠른 신기술 반영의 어려움 다량의 문서 작업 필요: 개발산출물 외 인증 취득을 위한 다량의 문서 작업 필요

 

 

 

4. 활용 분야

• 공공기관 정보보호 제품 도입 시 필수 요건
• 보안 솔루션 해외 수출 시 신뢰성 인증 수단
• 금융, 국방, 기간망 인프라 등 보안 요구가 높은 분야

 

5. 결론

CC(Common Criteria)는 정보보호 제품 및 시스템의 보안성을 국제적으로 보증하는 핵심 제도로, 글로벌 상호 인증 체계와 신뢰 확보 측면에서 중요한 역할을 수행한다. 다만, 인증 절차의 복잡성과 신속한 기술 반영 한계는 보완이 필요하다.