공통평가기준

3. 주요 개념

wikitext

공통평가기준(Common Criteria, CC)은 IT 제품 및 시스템의 보안성을 평가하기 위한 프레임워크를 제공한다.

• '''보호 프로파일 (PP)''' – 일반적으로 사용자 또는 사용자 커뮤니티에서 생성하는 문서로, 디지털 서명을 제공하는 데 사용되는 스마트 카드 또는 네트워크 방화벽과 같이 특정 목적을 위해 해당 사용자와 관련된 보안 장치 클래스에 대한 보안 요구 사항을 식별한다. 제품 공급업체는 하나 이상의 PP를 준수하는 제품을 구현하고 해당 PP에 대해 제품을 평가받을 수 있다. 특정 유형의 제품을 찾는 고객은 요구 사항을 충족하는 PP에 대해 인증된 제품에 집중할 수 있다.
• '''보안 목표 (ST)''' – 평가 대상의 보안 ''속성''을 식별하는 문서이다. ST는 하나 이상의 PP와의 준수를 주장할 수 있다. 평가 대상(TOE)는 ST에 설정된 보안 기능 요구 사항(SFR)에 따라 평가되며, 그 이상도 그 이하도 아니다. ST는 일반적으로 잠재 고객이 평가를 통해 인증된 특정 보안 기능을 결정할 수 있도록 게시된다.
• '''평가 대상(TOE)''' – 평가의 대상이 되는 제품 또는 시스템이다. 평가는 대상에 대해 제기된 주장을 검증하는 역할을 한다.
• '''보안 기능 요구 사항(SFR)''' – 제품에서 제공될 수 있는 개별 보안 '''기능'''을 지정한다. 공통평가기준은 이러한 기능에 대한 표준 카탈로그를 제시한다. 예를 들어, SFR은 특정 역할을 수행하는 사용자가 '''어떻게''' 인증될 수 있는지를 명시할 수 있다. 공통평가기준은 ST에 포함될 SFR을 규정하지 않지만, 하나의 기능의 올바른 작동이 다른 기능에 종속되는 종속성을 식별한다.
• '''보안 보증 요구 사항(SAR)''' – 주장된 보안 기능과의 준수를 보장하기 위해 제품 개발 및 평가 중에 수행된 조치에 대한 설명이다. 예를 들어, 평가는 모든 소스 코드를 변경 관리 시스템에 보관하거나 전체 기능 테스트를 수행해야 할 수 있다. 공통평가기준은 이러한 요구 사항에 대한 카탈로그를 제공하며, 요구 사항은 평가에 따라 다를 수 있다.
• '''평가 보증 레벨 (EAL)''' – 평가의 깊이와 엄격성을 설명하는 숫자 등급이다. 각 EAL은 주어진 엄격성 수준으로 제품의 전체 개발을 포괄하는 보안 보증 요구 사항(SAR) 패키지에 해당한다. 공통평가기준은 7단계로 나열하며, EAL1은 가장 기본적인 단계이고 EAL7은 가장 엄격한 단계이다. 더 높은 EAL이 ''반드시'' "더 나은 보안"을 의미하지는 않으며, TOE의 주장된 보안 보증이 더 광범위하게 검증되었음을 의미한다.

3. 1. 핵심 용어

• '''보호 프로파일 (PP)''' – 일반적으로 사용자 또는 사용자 커뮤니티에서 생성하는 문서로, 특정 목적을 위해 해당 사용자와 관련된 보안 장치 클래스(예: 디지털 서명을 제공하는 데 사용되는 스마트 카드 또는 네트워크 방화벽)에 대한 보안 요구 사항을 식별한다. 제품 공급업체는 하나 이상의 PP를 준수하는 제품을 구현하도록 선택하고 해당 PP에 대해 제품을 평가받을 수 있다. 특정 유형의 제품을 찾는 고객은 요구 사항을 충족하는 PP에 대해 인증된 제품에 집중할 수 있다.
• '''보안 목표 (ST)''' – 평가 대상의 보안 ''속성''을 식별하는 문서이다. ST는 하나 이상의 PP와의 준수를 주장할 수 있다. TOE는 ST에 설정된 SFR(보안 기능 요구 사항, 아래 참조)에 따라 평가되며, 그 이상도 그 이하도 아니다. ST는 일반적으로 잠재 고객이 평가를 통해 인증된 특정 보안 기능을 결정할 수 있도록 게시된다.
• '''평가 대상(TOE)''' – 평가의 대상이 되는 제품 또는 시스템이다. 평가는 대상에 대해 제기된 주장을 검증하는 역할을 한다.
• '''보안 기능 요구 사항(SFR)''' – 제품에서 제공될 수 있는 개별 보안 '''기능'''을 지정한다. 공통평가기준은 이러한 기능에 대한 표준 카탈로그를 제시한다. 예를 들어, SFR은 특정 역할을 수행하는 사용자가 '''어떻게''' 인증될 수 있는지를 명시할 수 있다. 공통평가기준은 ST에 포함될 SFR을 규정하지 않지만, 하나의 기능의 올바른 작동이 다른 기능에 종속되는 종속성을 식별한다.
• '''보안 보증 요구 사항(SAR)''' – 주장된 보안 기능과의 준수를 보장하기 위해 제품 개발 및 평가 중에 수행된 조치에 대한 설명이다. 예를 들어, 평가는 모든 소스 코드를 변경 관리 시스템에 보관하거나 전체 기능 테스트를 수행해야 할 수 있다. 공통평가기준은 이러한 요구 사항에 대한 카탈로그를 제공하며, 요구 사항은 평가에 따라 다를 수 있다.
• '''평가 보증 레벨 (EAL)''' – 평가의 깊이와 엄격성을 설명하는 숫자 등급이다. 각 EAL은 주어진 엄격성 수준으로 제품의 전체 개발을 포괄하는 보안 보증 요구 사항(SAR, 위 참조) 패키지에 해당한다. 공통평가기준은 7단계로 나열하며, EAL 1은 가장 기본적인 단계이고 EAL 7은 가장 엄격한 단계이다. 더 높은 EAL은 ''반드시'' "더 나은 보안"을 의미하지 않으며, TOE의 주장된 보안 보증이 더 광범위하게 검증되었음을 의미한다.

3. 2. 평가 및 인증

• 캐나다: 캐나다 표준 위원회(SCC)가 시험소 인증 프로그램(PALCAN)에 따라 공통평가기준 평가 시설(CCEF)을 인증한다.
• 프랑스: fr/Comité français d'accréditation^프랑스어(COFRAC)가 일반적으로 fr/Centre d'évaluation de la sécurité des technologies de l'information^프랑스어(CESTI)로 불리는 공통평가기준 평가 시설을 인증한다. 평가는 국가 정보 시스템 보안청(ANSSI)에서 지정한 규범 및 표준에 따라 수행된다.
• 이탈리아: [http://www.ocsi.isticom.it/ OCSI (Organismo di Certificazione della Sicurezza Informatica)]가 공통평가기준 평가 실험실을 인증한다.
• 인도: 전자정보기술부(Ministry of Electronics and Information Technology)의 STQC 국이 보증 레벨 EAL 1에서 EAL 4까지의 IT 제품을 평가하고 인증한다.^[4]
• 영국: 영국 인증 서비스(UKAS)가 [http://www.ukas.org/testing 상업 평가 시설(CLEF)] 를 인증했다. 영국은 2019년부터 CC 생태계의 소비자일 뿐이다.
• 미국: 국립 표준 기술 연구소(NIST) 국가 자발 실험실 인증 프로그램(NVLAP)이 공통평가기준 시험소(CCTL)를 인증한다.
• 독일: 연방 정보 기술 보안청(BSI)이 담당한다.
• 스페인: [https://oc.ccn.cni.es/index.php?lang=en 국립 암호화 센터] (CCN)가 스페인 계획에서 운영되는 공통평가기준 [http://oc.ccn.cni.es/index.php?option=com_content&view=article&id=82&Itemid=81&lang=en 시험소]를 인증한다.
• 네덜란드: [http://www.tuv-nederland.nl/nl/17/common_criteria.html IT 보안 분야 인증을 위한 네덜란드 계획](NSCIB)이 IT 보안 평가 시설(ITSEF)을 인증한다.
• 스웨덴: [https://fmv.se/en/Our-activities/CSEC---The-Swedish-Certification-Body-for-IT-Security/ 스웨덴 IT 보안 인증 기관](CSEC)이 IT 보안 평가 시설(ITSEF)에 라이선스를 부여한다.

4. 상호 인정 협정

공통평가기준 상호 인정 협정('''CCRA''', Common Criteria Recognition Arrangement)은 회원국 간에 공통평가기준(CC) 평가 결과를 상호 인정하는 국제 협정이다.^[5] 1998년 캐나다, 프랑스, 독일, 영국, 미국이 처음 서명했고, 1999년 호주와 뉴질랜드,^[5] 1999년 오스트레일리아와 뉴질랜드,^[23] 2000년 핀란드, 그리스, 이스라엘, 이탈리아, 네덜란드, 노르웨이, 스페인이 참여했다.^[5] 2000년에는 핀란드, 그리스, 이스라엘, 이탈리아, 네덜란드, 노르웨이 및 스페인이, 2003년부터는 일본도 참가했다.^[23] 그 이후 이 협정은 '''공통평가기준 상호 인정 협정'''('''CCRA''')으로 이름이 변경되었고, 회원국은 계속 확대되고 있다.^[5]

CCRA 내에서는 EAL 2까지의 평가만 상호 인정된다(결함 수정 보강 포함).^[5] 다만, SOGIS-MRA 내의 유럽 국가들은 일반적으로 더 높은 EAL도 인정한다. EAL5 이상에서의 평가는 해당 국가 정부의 보안 요구 사항을 포함하는 경향이 있다.^[5] 현재, 최고 EAL4(장애 수정 ALC_FLR의 추가를 포함)까지의 범위에서 CCRA 내의 국제적인 상호 인증이 이루어지고 있다.^[23] 더 높은 EAL에 대해서는, 매우 복잡하기 때문에 국경을 넘어 승인할 의무는 없으며, 일부 국가에서 국내 한정으로 평가·인증이 이루어지고 있다.^[23]

2012년 9월, CCRA 회원 다수가 상호 인정되는 CC 평가 제품의 범위를 EAL 2 이하로 낮추는(결함 수정 보강 포함) 비전 성명을 발표했다. 또한, 이 비전은 보증 수준에서 완전히 벗어나, 평가가 보증 수준이 명시되지 않은 보호 프로파일의 적합성에 국한될 것임을 나타낸다. 이는 전 세계적인 PP를 개발하는 기술 워킹 그룹을 통해 달성될 것이며, 아직 전환 기간이 완전히 결정되지 않았다.^[5]

2014년 7월 2일, 2012년 비전 성명에 제시된 목표에 따라 새로운 CCRA가 비준되었다.^[6] 이 협정의 주요 변경 사항은 다음과 같다.^[6]

• 협업 보호 프로파일(cPP) 또는 평가 보증 레벨 1~2 및 ALC_FLR에 대한 평가만 인정.
• cPP의 생성을 담당하는 기술 전문가 그룹인 국제 기술 커뮤니티(iTC)의 등장.
• 이전 CCRA에서 전환 계획, 이전 버전의 협정에 따라 발급된 인증서 인정 포함.

4. 1. CCRA의 발전

• 협업 보호 프로파일(cPP) 또는 평가 보증 레벨 1~2 및 ALC_FLR에 대한 평가만 인정.
• cPP의 생성을 담당하는 기술 전문가 그룹인 국제 기술 커뮤니티(iTC)의 등장.
• 이전 CCRA에서 전환 계획, 이전 버전의 협정에 따라 발급된 인증서 인정 포함.

4. 2. 상호 인정 범위

5. 비판 및 논란

2007년 8월, ''Government Computing News'' (GCN) 칼럼니스트 윌리엄 잭슨은 공통평가기준 방법론과 공통평가기준 평가 및 검증 제도(CCEVS)에 의한 미국의 구현에 대해 비판적으로 검토했다.^[9] 칼럼에서는 보안 업계 임원, 연구원, 국가 정보 보증 파트너십(NIAP)의 대표를 인터뷰했다. 이 기사에서 언급된 반대 의견은 다음과 같다.

• 평가는 비용이 많이 드는 과정이며 (종종 수십만 미국 달러로 측정됨) - 벤더가 투자에 대한 수익이 더 안전한 제품을 보장하지는 않는다.
• 평가는 실제 보안, 기술적 정확성 또는 제품 자체의 장점이 아닌 평가 문서의 평가에 주로 초점을 맞춘다. 미국 평가의 경우, EAL5 이상에서만 국가안보국 전문가가 분석에 참여하고, EAL7에서만 전체 소스 코드 분석이 필요하다.
• 평가 증거 및 기타 평가 관련 문서를 준비하는 데 필요한 노력과 시간은 너무 번거로워서 작업이 완료될 때쯤이면 평가 대상 제품은 일반적으로 구식이 된다.
• 공통평가기준 벤더 포럼과 같은 조직을 포함한 업계의 의견은 전체 프로세스에 거의 영향을 미치지 않는다.

• 이 취약점은 암호 분석 커뮤니티에서 게시 및 분석되지 않은 자체 개발 RSA 키 생성 알고리즘에 있었다. 그러나 공통평가기준 시험 연구소인 독일의 TÜV Informationstechnik GmbH (TÜViT)는 해당 사용을 승인했고 독일의 인증 기관인 연방 정보 보안청 (BSI)은 취약한 제품에 대한 공통평가기준 인증서를 발급했다. 평가된 제품의 보안 대상은 RSA 키가 표준 알고리즘에 따라 생성된다고 주장했다. 이 취약점에 대응하여 연방 정보 보안청 (BSI)은 이제 구현된 독점 암호화가 권장 표준과 정확히 일치하지 않는 경우 최소한 인증 보고서에 이를 명시하도록 요구함으로써 투명성을 개선할 계획이다. 연방 정보 보안청 (BSI)은 어떠한 방식으로도 독점 알고리즘을 게시하도록 요구할 계획이 없다.
• 현재 인증 기관은 공통평가기준 인증서에 명시된 보안 주장이 더 이상 유효하지 않다는 것을 알고 있지만, 국가 정보 시스템 보안청(ANSSI)도 연방 정보 보안청 (BSI)도 해당 인증서를 취소하지 않았다. 연방 정보 보안청 (BSI)에 따르면, 인증서는 오해를 받아 발급된 경우, 예를 들어 잘못된 증거가 제출된 것으로 밝혀진 경우에만 철회될 수 있다. 인증서가 발급된 후에는 개선되고 새로운 공격이 발견됨에 따라 인증서의 유효성이 시간이 지남에 따라 감소한다고 추정해야 한다. 인증 기관은 유지 관리 보고서를 발급하고 제품에 대한 재인증을 수행할 수도 있다. 그러나 이러한 활동은 벤더가 시작하고 후원해야 한다.
• 여러 공통평가기준 인증 제품이 ROCA 결함의 영향을 받았지만, 인증과 관련하여 벤더의 대응은 달랐다. 일부 제품에 대해 3072 및 3584 비트 길이의 RSA 키만 최소 100 비트의 보안 수준을 갖는다는 내용의 유지 관리 보고서가 발급된 반면, 일부 제품의 경우 유지 관리 보고서에는 TOE에 대한 변경 사항이 인증된 암호 보안 기능에 영향을 미친다는 언급 없이, 해당 변경 사항이 지침 문서 수준이며 보증에 아무런 영향을 미치지 않는다고 결론 내렸다.
• 연방 정보 보안청 (BSI)에 따르면, 인증된 최종 제품의 사용자는 벤더로부터 ROCA 취약점에 대한 정보를 받아야 했다. 그러나 이 정보는 취약한 제품을 75만 개 이상의 에스토니아 신분증에 배포한 에스토니아 당국에 적시에 전달되지 않았다.

5. 1. 인증의 가치

5. 2. 비판

• 평가는 비용이 많이 드는 과정이며 (종종 수십만 미국 달러로 측정됨) - 벤더가 투자에 대한 수익이 더 안전한 제품을 보장하지는 않는다.
• 평가는 실제 보안, 기술적 정확성 또는 제품 자체의 장점이 아닌 평가 문서의 평가에 주로 초점을 맞춘다. 미국 평가의 경우, EAL5 이상에서만 국가안보국 전문가가 분석에 참여하고, EAL7에서만 전체 소스 코드 분석이 필요하다.
• 평가 증거 및 기타 평가 관련 문서를 준비하는 데 필요한 노력과 시간은 너무 번거로워서 작업이 완료될 때쯤이면 평가 대상 제품은 일반적으로 구식이 된다.
• 공통평가기준 벤더 포럼과 같은 조직을 포함한 업계의 의견은 전체 프로세스에 거의 영향을 미치지 않는다.

• 이 취약점은 암호 분석 커뮤니티에서 게시 및 분석되지 않은 자체 개발 RSA 키 생성 알고리즘에 있었다. 그러나 공통평가기준 시험 연구소인 독일의 TÜV Informationstechnik GmbH (TÜViT)는 해당 사용을 승인했고 독일의 인증 기관인 연방 정보 보안청 (BSI)은 취약한 제품에 대한 공통평가기준 인증서를 발급했다. 평가된 제품의 보안 대상은 RSA 키가 표준 알고리즘에 따라 생성된다고 주장했다. 이 취약점에 대응하여 연방 정보 보안청 (BSI)은 이제 구현된 독점 암호화가 권장 표준과 정확히 일치하지 않는 경우 최소한 인증 보고서에 이를 명시하도록 요구함으로써 투명성을 개선할 계획이다. 연방 정보 보안청 (BSI)은 어떠한 방식으로도 독점 알고리즘을 게시하도록 요구할 계획이 없다.
• 현재 인증 기관은 공통평가기준 인증서에 명시된 보안 주장이 더 이상 유효하지 않다는 것을 알고 있지만, 국가 정보 시스템 보안청(ANSSI)도 연방 정보 보안청 (BSI)도 해당 인증서를 취소하지 않았다. 연방 정보 보안청 (BSI)에 따르면, 인증서는 오해를 받아 발급된 경우, 예를 들어 잘못된 증거가 제출된 것으로 밝혀진 경우에만 철회될 수 있다. 인증서가 발급된 후에는 개선되고 새로운 공격이 발견됨에 따라 인증서의 유효성이 시간이 지남에 따라 감소한다고 추정해야 한다. 인증 기관은 유지 관리 보고서를 발급하고 제품에 대한 재인증을 수행할 수도 있다. 그러나 이러한 활동은 벤더가 시작하고 후원해야 한다.
• 여러 공통평가기준 인증 제품이 ROCA 결함의 영향을 받았지만, 인증과 관련하여 벤더의 대응은 달랐다. 일부 제품에 대해 3072 및 3584 비트 길이의 RSA 키만 최소 100 비트의 보안 수준을 갖는다는 내용의 유지 관리 보고서가 발급된 반면, 일부 제품의 경우 유지 관리 보고서에는 TOE에 대한 변경 사항이 인증된 암호 보안 기능에 영향을 미친다는 언급 없이, 해당 변경 사항이 지침 문서 수준이며 보증에 아무런 영향을 미치지 않는다고 결론 내렸다.
• 연방 정보 보안청 (BSI)에 따르면, 인증된 최종 제품의 사용자는 벤더로부터 ROCA 취약점에 대한 정보를 받아야 했다. 그러나 이 정보는 취약한 제품을 75만 개 이상의 에스토니아 신분증에 배포한 에스토니아 당국에 적시에 전달되지 않았다.

5. 3. 대안

참조

_[1] 웹사이트 Publications: CC Portal https://www.commoncr[...] 2024-01-06
_[2] 웹사이트 Common Criteria - Communication Security Establishment https://www.cse-cst.[...] 2015-03-02
_[3] 웹사이트 Common Criteria Certified Products https://www.commoncr[...] 2023-12-30
_[4] 웹사이트 Indian Common Criteria Certification Scheme (IC3S) Overview https://www.commoncr[...] 2023-12-30
_[5] 웹사이트 Members of the CCRA http://www.commoncri[...]
_[6] 웹사이트 Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security http://www.commoncri[...] 2023-12-30
_[7] 웹사이트 Common Criteria Management Committee Vision Statement http://www.commoncri[...] 2023-12-30
_[8] 웹사이트 Versions of Windows obtain Common Criteria EAL level 4+ http://www.nist.org/[...]
_[9] 뉴스 Under Attack: Common Criteria has loads of critics, but is it getting a bum rap http://gcn.com/artic[...] Government Computer News 2007-12-14
_[10] 웹사이트 Free-Libre / Open Source Software (FLOSS) and Software Assurance / Software Security https://dwheeler.com[...] 2023-12-30
_[11] 간행물 Security Engineering and eXtreme Programming: An Impossible Marriage?
_[12] 웹사이트 Towards Agile Security Assurance http://lersse-dl.ece[...] 2023-12-30
_[13] 웹사이트 Common Criteria meets Realpolitik - Trust, Alliances, and Potential Betrayal https://personal.utd[...] 2023-12-30
_[14] 논문 Estonian Electronic Identity Card and its Security Challenges https://dspace.ut.ee[...] University of Tartu 2023-12-30
_[15] 웹사이트 CAPS: CESG Assisted Products Scheme http://www.cesg.gov.[...]
_[16] 문서 Infosec Assurance and Certification Services (IACS) http://www.cesg.gov.[...]
_[17] 웹사이트 Common Criteria Reforms: Better Security Products Through Increased Cooperation with Industry http://www.niap-ccev[...]
_[18] 웹사이트 Common Criteria "Reforms"—Sink or Swim-- How should Industry Handle the Revolution Brewing with Common Criteria? http://community.ca.[...]
_[19] 웹사이트 CCRA Management Committee Vision statement for the future direction of the application of the CC and the CCRA https://commoncriter[...] 2023-12-30
_[20] 웹사이트 ITセキュリティ評価及び認証制度（JISEC） https://www.ipa.go.j[...] IPA 独立行政法人情報処理推進機構
_[21] 웹사이트 政府機関の情報セキュリティ対策のための統一管理基準(1.5.1.1 情報システムのセキュリティ要件及び1.5.2.2 機器等の購入) http://www.nisc.go.j[...] 内閣官房情報セキュリティセンター 2011-04
_[22] 웹사이트 IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リスト http://www.meti.go.j[...] 経済産業省 2011-04
_[23] 웹사이트 国際承認アレンジメント（CCRA） https://www.ipa.go.j[...] IPA 独立行政法人情報処理推進機構