본문 바로가기
IT기술

CC인증이란? 보안 제품 평가의 국제 표준과 PP의 차이점 해설

by romydady 2025. 7. 12.
반응형

CC인증의 개념과 중요성

CC인증(Common Criteria Certification)은 정보보안 제품의 안전성과 신뢰성을 국제적으로 인정받는 표준 평가 체계입니다. 1999년 ISO/IEC 15408로 제정된 이후, 전 세계 31개국이 참여하는 CCRA(Common Criteria Recognition Arrangement)를 통해 상호 인증을 받고 있습니다.

CC인증은 단순히 보안 제품의 기능을 확인하는 것을 넘어서, 제품 개발 과정부터 운영까지의 전체 생명주기에 걸친 보안성을 체계적으로 평가합니다. 이는 기업과 정부기관이 보안 제품을 도입할 때 객관적이고 신뢰할 수 있는 기준을 제공합니다.

<common criterial portal>

CC인증과 PP(Protection Profile)의 핵심 차이점

CC인증: 제품 중심의 평가

CC인증은 실제 보안 제품에 대한 종합적인 평가입니다.

방화벽, 침입차단시스템, 암호화 소프트웨어 등 구체적인 제품을 대상으로 합니다.

CC인증의 특징:

  • 특정 제품의 보안 기능과 성능을 직접 평가
  • EAL(Evaluation Assurance Level) 1~7단계로 보증 수준 구분
  • 제품 설치, 운영 가이드까지 포함한 전체적 평가
  • 평가 완료 후 해당 제품에 대한 인증서 발급

PP(Protection Profile): 요구사항 템플릿

PP는 보안 요구사항의 표준 템플릿입니다.

특정 제품군이나 사용 환경에 필요한 보안 기능과 보증 요구사항을 정의한 문서입니다.

PP의 특징:

  • 제품군별 보안 요구사항 표준화
  • 제품 개발자와 평가자를 위한 공통 기준 제공
  • 실제 제품이 아닌 요구사항 명세서
  • 여러 제품이 동일한 PP를 참조하여 개발 가능

실제 사례로 보는 차이점

방화벽 분야 예시:

  • PP: "Network Device PP"라는 표준 요구사항 문서가 존재
  • CC인증: 체크포인트의 "Check Point Firewall-1", 시스코의 "ASA 시리즈" 등 개별 제품들이 Network Device PP를 기반으로 CC인증을 취득

데이터베이스 분야 예시:

  • PP: "Database Management System PP"가 데이터베이스 보안 요구사항을 정의
  • CC인증: 오라클 Database 12c, IBM DB2 등이 해당 PP를 참조하여 개별적으로 CC인증을 획득

2025년 CC인증 트렌드와 신뢰도 분석

클라우드 시대의 CC인증 진화

최근 CC인증은 클라우드 환경과 가상화 기술에 맞춰 진화하고 있습니다. 전통적인 하드웨어 기반 보안 제품에서 소프트웨어 정의 보안(Software-Defined Security) 제품으로 평가 범위가 확대되고 있습니다.

주요 트렌드:

  • 클라우드 보안 서비스(CSP)에 대한 CC인증 증가
  • 컨테이너 보안 솔루션 평가 확대
  • AI/ML 기반 보안 제품에 대한 새로운 평가 기준 개발
  • 제로트러스트 아키텍처 구현 제품들의 CC인증 취득 활발

신뢰도와 한계점

CC인증은 높은 신뢰도를 자랑하지만, 몇 가지 한계점도 존재합니다.

신뢰도 측면:

  • 31개국 상호인정으로 글로벌 통용성 확보
  • 체계적이고 객관적인 평가 프로세스
  • 제3자 독립 평가기관의 엄격한 검증

한계점:

  • 평가 기간이 길어 신제품 출시 지연 가능성
  • 평가 완료 시점과 실제 운영 환경의 차이
  • 새로운 보안 위협에 대한 대응 시간 지연

국내 보안적합성 검증과 CC인증의 차이점

보안적합성 검증의 특징

국내 보안적합성 검증은 국가정보원에서 주관하는 국내 보안 제품 인증 체계입니다.

주로 정부기관과 공공기관의 보안 제품 도입 시 필수 요건으로 활용됩니다.

보안적합성 검증의 특징:

  • 국내 보안 환경과 법규에 특화된 평가 기준
  • 상대적으로 빠른 평가 기간 (6개월~1년)
  • 국내 보안 업체 중심의 평가 생태계
  • 한국형 보안 요구사항 반영

<출처 : 국가사이버안보센터>

CC인증과의 주요 차이점

구분 CC인증 보안적합성 검증
평가 범위 국제 표준 기반 국내 법규 기반
인정 범위 31개국 상호인정 국내 한정
평가 기간 1~2년 6개월~1년
평가 비용 상대적으로 높음 상대적으로 낮음
기술 문서 영어 기반 한국어 기반

국내 기업의 전략적 선택

많은 국내 보안 기업들이 두 인증을 모두 취득하는 듀얼 인증 전략을 채택하고 있습니다.

국내 시장에서는 보안적합성 검증이, 해외 진출 시에는 CC인증이 필수적이기 때문입니다.

CC인증 취득을 위한 실무 가이드

평가 준비 단계

  1. 제품 분석: 평가 대상 제품의 보안 기능과 아키텍처 분석
  2. PP 선택: 적합한 Protection Profile 선택 또는 자체 ST(Security Target) 개발
  3. 평가기관 선정: CCRA 인정 평가기관 선정 및 협의
  4. 문서 준비: 기술 문서, 개발 문서, 운영 매뉴얼 등 준비

평가 진행 과정

  • 1단계: 보안 기능 평가 (6개월)
  • 2단계: 보증 활동 평가 (6개월)
  • 3단계: 침투 테스트 및 취약점 분석 (3개월)
  • 4단계: 최종 인증서 발급 (1개월)

인증 제품 목록 확인 사이트 가이드

CC인증 제품 목록 확인 사이트

1. 국제 CC Portal (Common Criteria Portal)

2. 국내 IT보안인증사무국 (ITSCC)

PP(Protection Profile) 확인 사이트

1. 국제 CC Portal - Protection Profiles

2. 국내 IT보안인증사무국 - PP 정보

보안적합성 검증 제품 목록 확인 사이트

1. 국가정보원 (NIS) - 보안적합성 검증

2. 한국정보보호산업협회 (KISIA)

3. 국가사이버안보센터 (NCSC)

보안기능 확인서 발급 기관

1. 한국아이티평가원 (KSEL)

2. 한국시스템보증 (KSA)

사이트 활용 팁

  1. CC인증 제품 검색 시: 제품명, 제조사, 평가 보증 등급으로 필터링 가능
  2. PP 확인 시: 제품 유형별로 적용 가능한 PP 템플릿 확인
  3. 보안적합성 검증: 도입 예정 제품이 검증필 목록에 있는지 사전 확인 필수
  4. 인증서 유효성: 모든 인증서는 유효 기간이 있으므로 최신 상태 확인 필요

CC인증의 전략적 가치

CC인증은 보안 제품의 글로벌 경쟁력 확보와 시장 신뢰도 향상을 위한 필수 요소가 되었습니다. 특히 클라우드와 AI 시대에 맞춰 진화하는 CC인증은 앞으로도 보안 산업의 핵심 품질 지표 역할을 할 것입니다.

국내 보안 기업들은 보안적합성 검증과 CC인증의 특성을 이해하고, 시장 전략에 맞는 인증 로드맵을 수립하는 것이 중요합니다. 글로벌 시장 진출을 목표로 하는 기업이라면 CC인증은 선택이 아닌 필수 요건이 될 것입니다.

위에서 제공한 각종 인증 제품 목록 확인 사이트들을 통해 보안 제품 도입 시 필요한 인증 정보를 사전에 확인하고, 규정 준수를 위한 적절한 제품 선택이 가능합니다.

반응형
저작자표시 비영리 변경금지 (새창열림)

'IT기술' 카테고리의 다른 글

AIOps가 산업을 혁신하는 방법: 2025년 핵심 기술 트렌드와 시장 전망  (0) 2025.07.12
CSAP 클라우드 서비스 보안인증제도 : 해외 인증제도와 비교 분석  (0) 2025.07.12
BGP Route Leak 이란? : 인터넷 라우팅 장애의 원인과 대응 방안  (0) 2025.07.12
네트워크 엔지니어 BGP 면접 질문 완벽 가이드 - 합격을 위한 필수 답변 모음  (0) 2025.07.12
BGP 프로토콜 2024-2025 동향과 미래 전망: 대규모 장애 사례와 차세대 라우팅 기술  (0) 2025.07.12

관련글

댓글

티스토리툴바