본문 바로가기

정보보안/보안 관련 지식

[보안 지식] CC인증(Common Criteria Certification)

CC인증(Common Criteria Certification)

<CC인증 마크>
CC인증 국제 마크 국내 CC인증 마크

 

CC인증이란

 

CC인증은 컴퓨터의 보안을 위한 국제 표준규격으로

보안기능이 있는 IT 제품(즉, 정보보호제품)의

보안성을 평가기관에서 평가하고 이에 대한 결과를

인증기관(IT보안 인증사무국 확인 가능)에서 인증하는 제도이다.

 

CC인증의 목적은 정보보호제품에 구현된 보안기능에 대하여

평가신청한 평가보증등급 수준에 부합하는지 검증함으로써,

사용자가 자신의 보안 요구를 충족하는 IT 제품 선택을 지원한다.

특히, 우리나라에서는는 국가정보원이 필요성을 인정하는 정보보호제품의 경우,

국가 및 공공기관에서 CC 인증제품을 도입하도록 활용하고 있다.

 

국내 CC인증 평가기관은 총 6곳으로 한국시스템보증(KoSyAs), 한국IT평가원(KSEL),

한국정보통신기술협회(TTA), 한국정보보안기술원(KOIST), 한국인터넷진흥원(KISA),

마지막으로 한국기계전기전자시험연구원(KTC)가 있다.

CC인증을 받은 제품 혹은 솔루션은 IT보안 인증사무국에서 확인 가능하다.

itscc.kr/certprod/list.do?product_class=1

 

인증제품목록

 

itscc.kr

CC인증은 EAL1부터  EAL7까지 총 7등급으로 나누어지며,

각 등급별로 필요로하는 수준과 산출물이 다르다.

보통 가장 많이 사용하는 방화벽이나 IPS와 같은

네트워크 장비들에서는 EAL4+ 등급이 가장 높은 등급이다.

 

 

관련 법령 및 관련 기관

 

CC인증 관련 국내 법적근거 및 관련 법령

- 지능정보화 기본법 제58조(정보보호시스템에 관한 기준 고시 등)

- 지능정보화 기본법 시행령 제51조(정보보호시스템에 관한 기준 고시 등)

- 정보보호시스템 공통평가기준(미래창조과학부고시 제2013-51호)

- 정보보호시스템 평가·인증지침(과학기술정보통신부고시 제2017-7호)

- 정보보호제품 평가·인증 수행규정(과학기술정보통신부·IT보안인증사무국, 2017. 9. 12.)

- 정보화촉진기본법 제15조 (정보보호시스템에 관한 기준 고시 등)

- 정보화촉진기본법시행령 제16조 (정보보호시스템의 보완 등)

- 정보통신망 이용촉진등에 관한 법률 제52조(한국정보보호진흥원) 제3항 제4호, 5호

    (‘정보보호시스템의 연구•개발 및 시험•평가’,

    ‘정보보호시스템의 성능과 신뢰도에 관한 기준 제정 및 표준화 지원’)

 

국내 CC인증 관련 기관

 

인증제도의 흐름

 

 

※자료 참조

- 한국정보보호산업협회(kisia.or.kr/)

- IT보안인증사무국(itscc.kr/main/main.do)

- m.blog.naver.com/kebinj/40102557431

- m.blog.naver.com/PostView.nhn?blogId=captaincyber&logNo=220456712676&proxyReferer=https:%2F%2Fwww.google.com%2F

 

 

 

한국정보보호산업협회

 

kisia.or.kr