CC인증이란?
CC인증(Common Criteria Certification)은 정보보호 제품의 보안성을 국제적으로 공인된 기준에 따라 평가하는 제도입니다. 전 세계 30여 개국이 상호인정협정을 맺고 있어, 한 국가에서 인증받은 제품은 다른 국가에서도 동일하게 인정받을 수 있습니다.
CC인증 개념
정식 명칭: Common Criteria for Information Technology Security Evaluation
목적: 정보보호 제품의 보안 기능과 신뢰성을 국제 표준에 따라 검증
적용 범위: 방화벽, 암호 모듈, 보안 운영체제, 네트워크 장비 등 다양한 IT 보안 제품
국제적 효력: CC인증을 획득하면 CCRA(Common Criteria Recognition Arrangement) 회원국에서 상호 인정
평가 구조
EAL (Evaluation Assurance Level): 보증 등급을 의미하며, EAL1~EAL7까지 존재
EAL1: 기능 검증 수준
EAL4: 상용 제품에서 가장 많이 요구되는 수준
EAL7: 최고 수준, 수학적 검증까지 포함
TOE (Target of Evaluation): 평가 대상 제품
ST (Security Target): 제품이 제공하는 보안 기능을 기술한 문서
PP(Protection Profile)와의 차이
PP (Protection Profile): 특정 유형의 제품군에 요구되는 보안 요구사항을 정의한 문서
예: 스마트카드, 방화벽, VPN 장비 등
ST (Security Target): 개별 제품이 어떤 보안 기능을 제공하는지 설명하는 문서
차이점:
PP는 제품군 전체의 기준
ST는 개별 제품의 기준
즉, PP는 "이런 유형의 제품은 최소한 이런 보안 기능을 가져야 한다"라는 가이드라인이고, ST는 "우리 제품은 이런 보안 기능을 제공한다"라는 선언
CC인증의 의의
국제 신뢰성 확보: 한 번 인증으로 여러 국가에서 인정
시장 경쟁력 강화: 공공기관·금융권 등에서 필수 요건으로 활용
보안 품질 보증: 제품의 보안 기능이 객관적으로 검증됨
정리하면, CC인증은 국제적으로 통용되는 보안 제품 평가 표준으로, EAL 등급을 통해 보증 수준을 나타내며, PP는 제품군의 공통 요구사항, ST는 개별 제품의 보안 기능을 정의한다는 점에서 차이가 있습니다.