본문 바로가기
보안

ISO/IEC 15408: IT 보안의 표준, Common Criteria를 이해하자

by 낭만뚱랑이 2024. 11. 20.
반응형

IT 보안은 현대 사회에서 점점 더 중요해지고 있습니다. 정보 기술(IT) 제품과 시스템의 신뢰성을 확보하기 위해 국제적으로 통용되는 보안 평가 표준이 필요합니다. ISO/IEC 15408, 흔히 **Common Criteria(공통 평가 기준)**라고 불리는 이 표준은 바로 그런 목적을 위해 만들어졌습니다. 이번 포스팅에서는 ISO/IEC 15408이 무엇인지, 주요 개념과 특징, 그리고 실생활에서 어떻게 활용되는지를 알아보겠습니다.

ISO/IEC 15408이란?

ISO/IEC 15408은 IT 제품과 시스템의 보안 기능보증 수준을 평가하기 위한 국제 표준입니다. 이 표준은 개발자, 평가자, 그리고 인증 기관이 공통된 언어와 기준으로 IT 보안을 논의하고 평가할 수 있도록 도와줍니다.

주요 목적

  1. IT 시스템의 보안 요구사항을 명확히 정의.
  2. 전 세계적으로 표준화된 보안 평가 기준 제공.
  3. 제품의 보안성을 독립적으로 평가해 신뢰성을 확보.
  4. 국가 간 평가 결과를 상호 인정해 글로벌 보안 인증을 가능하게 함.

ISO/IEC 15408의 주요 구성 요소

ISO/IEC 15408은 세 가지 파트로 구성됩니다. 각각은 IT 보안 평가의 중요한 단계와 개념을 설명합니다.

1. Part 1: 소개 및 일반 모델

  • 개념과 용어 정의: ISO/IEC 15408의 목적과 적용 범위를 다룹니다.
  • 보안 환경보호 프로파일(Protection Profile, PP) 같은 핵심 개념 설명.

2. Part 2: 보안 기능 요구사항 (SFR)

  • IT 시스템이 반드시 가져야 할 보안 기능을 정의합니다.
  • 기능은 인증(Authentication), 접근 제어(Access Control), 데이터 암호화(Cryptography) 등으로 세분화됩니다.

3. Part 3: 보증 요구사항 (SAR)

  • 보안 기능이 제대로 설계되고 구현되었는지 확인하기 위한 평가 기준을 제시합니다.
  • **EAL(Evaluation Assurance Level)**로 보증 수준을 표현하며, EAL 1(기본 보증)부터 EAL 7(최고 수준 보증)까지 있습니다.

핵심 개념

ISO/IEC 15408을 이해하기 위해 알아야 할 몇 가지 핵심 용어가 있습니다.

Protection Profile (PP)

  • 특정 환경에서 요구되는 보안 요구사항을 정의한 템플릿입니다.
  • 예: 스마트카드, 방화벽 같은 제품군의 보안 프로파일.

Security Target (ST)

  • 특정 제품이 충족해야 할 보안 요구사항과 평가 범위를 구체적으로 기술한 문서입니다.

Evaluation Assurance Level (EAL)

  • 보안 보증 수준을 나타내며, 1에서 7까지 단계가 있습니다.
    • EAL 1: 기능 테스트 수준.
    • EAL 7: 정형적 설계와 검증이 필요한 최고 수준.

ISO/IEC 15408의 적용 사례

ISO/IEC 15408은 다양한 산업과 시스템에 활용됩니다.

  1. 정부 및 군사 시스템:
    • 높은 보안 수준(EAL 5 이상)이 요구되는 환경.
  2. 금융 시스템:
    • ATM, POS 단말기 같은 보안 민감 제품.
  3. 소프트웨어 및 하드웨어:
    • 운영 체제, 방화벽, 암호화 장치 등.
  4. IoT 기기:
    • 스마트 홈 장비, 자동차의 연결 시스템.

ISO/IEC 15408의 장단점

장점

  1. 보안 신뢰성 강화:
    • 공인된 평가 기준을 통해 제품의 보안성을 독립적으로 검증.
  2. 시장 경쟁력 향상:
    • 인증을 받은 제품은 국제 시장 진출에 유리.
  3. 표준화된 요구사항 제공:
    • 개발자와 사용자가 보안 기대치를 명확히 이해.

단점

  1. 비용과 시간 부담:
    • 높은 EAL 수준을 받으려면 많은 시간과 비용이 소요됨.
  2. 복잡성:
    • 모든 IT 제품에 적합하지 않을 수 있음.
  3. 기술 변화 반영의 한계:
    • 기술 발전 속도를 따라가지 못할 가능성.

ISO/IEC 15408의 중요성

ISO/IEC 15408은 글로벌 IT 보안 평가의 핵심 표준으로 자리 잡고 있습니다. 이 표준은 제품과 시스템의 보안성을 객관적으로 평가하고, 국가 간 인증 결과를 상호 인정받을 수 있도록 돕습니다. 이를 통해 안전한 IT 환경 구축에 기여하며, 국제 시장에서 신뢰받는 제품을 만드는 데 중요한 역할을 합니다.

맺음말

ISO/IEC 15408(Common Criteria)는 IT 보안 평가의 기본을 이루는 중요한 표준입니다. 특히, 보안이 중요한 산업에서는 제품이 이 표준을 준수했는지 여부가 신뢰의 척도가 됩니다. IT 제품의 보안을 강화하고 싶다면, Common Criteria 인증을 고려해보세요. 여러분의 제품이 글로벌 시장에서 더욱 빛날 수 있습니다!

 

반응형
저작자표시 비영리 변경금지 (새창열림)

'보안' 카테고리의 다른 글

GDPR: 개인정보 보호의 새로운 기준  (1) 2024.11.22
해킹의 역사: 기술과 보안의 끝없는 공방  (3) 2024.11.22
ISMP-P: 정보보호 관리체계 사전점검이란?  (3) 2024.11.20
스피어피싱(Spear Phishing): 정교해진 사이버 공격, 당신은 안전한가요?  (0) 2024.11.20
코드 인젝션과 SQL 인젝션: 웹 애플리케이션 보안의 주요 취약점  (0) 2024.11.13

관련글

티스토리툴바