2016.3.7 월 12:18
> 뉴스 > 기획/특집 > 특집
   
[이슈분석]CC인증 제도 이렇게 달라진다
병목현상 더 심해진 CC인증
2014년 01월 23일 (목) 04:01:32 김원석기자 stone201@etnews.com

2월 1일부터는 CC평가인증제도에 유효기간이 생긴다. 특정 보안 제품에 대해 한 번 인증을 받더라도 3년마다 갱신해야 한다. 해커들의 사이버 공격이 매우 교묘해지면서 숨어 있는 악성코드를 3년에 한 번씩 체크하겠다는 복안이다. 우리 몸 속 암세포를 찾기 위해 종합검진을 하듯이, 금융사 및 공공기관 네트워크 망에 잠복해 있는 솔루션을 찾겠다는 것이다. 이는 지능형지속위협(APT) 등 오랜 기간 사회공학적 공격을 위해 잠복하는 사이버 공격을 방지하기 위한 정책이다.

CC(Common Criteria)인증 대상 품목도 확대된다. 모바일 보안 솔루션 기업 입장에서는 비용 부담이 늘어날 수 밖에 없다. 국보연 IT보안인증사무국은 올해 CC인증 의무 대상에 모바일 단말관리(MDM)와 소스코드 보안 취약성 분석도구(소위 시큐어코딩) 2종류를 추가했다. 소스코드 보안 취약성 도구는 1월부터, MDM은 6월 이후부터 CC인증을 받아야 한다. 국내 업체 중에서는 최근 파수닷컴이 시큐어코딩 CC인증을 받았다.

CC인증 관련 국제 표준도 한층 강화된다. 국제적인 CC인증 표준화 단체인 CCRA는 그 동안 회원국과 개발업체 및 평가기관이 협력해 보호프로파일 개발을 하도록 장려해 왔다. 하지만 앞으로 CCRA 협정서가 개정되면, 현재 등급(EAL)기반 상호인정 방식에서 공동 보호프로파일(cPP) 기반 상호인정 방식으로 전환된다. 국제 기술 커뮤니티(iTC)에서 개발하고 CCRA CC개발위원회에서 승인한 cPP를 적용한 인증 제품에 한해 상호인정을 해 주겠다는 것이다.

cPP를 적용하지 않은 경우 EAL2까지만 상호인정한다. EAL(Evaluation Assurance Level)은 1~7단계까지 있으며, 외국기업의 경우 제품에 따라 4또는 5의 높은 EAL을 요구하는 경우도 있다. 현재까지는 한국의 인증사무국에서 EAL4를 받은 경우 이를 인정했으나, 앞으로는 cPP에서 인정받은 것을 엄격히 적용한다. EAL 등급기반에서 보안지침(cPP) 기반으로 변경되는 제도는 국제용에서부터 적용된다.

이에 따라 앞으로 cPP 준수 여부가 보안제품 해외수출 경쟁력에 영향을 미칠 전망이다. 국내 보안업체 30여개사는 현재 CC 사용자 포럼(CCUF)을 구성, 대응책을 마련 중이다.

ⓒ 보안닷컴(http://www.boan.com) 무단전재 및 재배포금지 | 저작권문의  

     
이 기사를 추천하시면 "오늘의 좋은 기사" 랭킹에 반영됩니다   추천수 : 0
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
양승조 의원 "사물인터넷 보안 철...
<양승조 새정치민주연합 의원과 정진홍 한국ICT융합보안협회 회장 등 관계자들이 정책세미나 시작에 앞서 ...
[보안칼럼]IoT 산업의 미래, ...
모든 사물이 인터넷으로 연결되는 ‘초연결사회’가 도래했다. 이미 스마트워치와 같은 웨어...
[2014년 10대 뉴스]한수원 ...
고리와 월성 등 국내 주요 원자력발전소 제어시스템 설계도가 해킹된 후 웹에 공개되는 사상 초유의 사건이 발생...
[단독]이달초 한수원 업무망PC ...
원자력발전소 도면 등 주요 자료 유출사고로 홍역을 치르고 있는 한국수력원자력(한수원)의 그간 정보보호 체계가...
[정보보호]IoT 보안 이슈 ...
급성장하는 사물인터넷(IoT)시장의 보안기술을 한자리에서 보는 행사가 열...
[정보보호]SOPT `빅데이터...
안랩, 15일 코엑스서 ‘안랩...
[정보보호]제9회 POC201...
한국침해사고대응팀협의회 제주서...
한국해킹보안협회, 10월 7일...
안랩, 금융정보보호 콘퍼런스서...
사이트 소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부