[이슈분석]CC인증 제도 이렇게 달라진다

2월 1일부터는 CC평가인증제도에 유효기간이 생긴다. 특정 보안 제품에 대해 한 번 인증을 받더라도 3년마다 갱신해야 한다. 해커들의 사이버 공격이 매우 교묘해지면서 숨어 있는 악성코드를 3년에 한 번씩 체크하겠다는 복안이다. 우리 몸 속 암세포를 찾기 위해 종합검진을 하듯이, 금융사 및 공공기관 네트워크 망에 잠복해 있는 솔루션을 찾겠다는 것이다. 이는 지능형지속위협(APT) 등 오랜 기간 사회공학적 공격을 위해 잠복하는 사이버 공격을 방지하기 위한 정책이다.

CC(Common Criteria)인증 대상 품목도 확대된다. 모바일 보안 솔루션 기업 입장에서는 비용 부담이 늘어날 수 밖에 없다. 국보연 IT보안인증사무국은 올해 CC인증 의무 대상에 모바일 단말관리(MDM)와 소스코드 보안 취약성 분석도구(소위 시큐어코딩) 2종류를 추가했다. 소스코드 보안 취약성 도구는 1월부터, MDM은 6월 이후부터 CC인증을 받아야 한다. 국내 업체 중에서는 최근 파수닷컴이 시큐어코딩 CC인증을 받았다.

CC인증 관련 국제 표준도 한층 강화된다. 국제적인 CC인증 표준화 단체인 CCRA는 그 동안 회원국과 개발업체 및 평가기관이 협력해 보호프로파일 개발을 하도록 장려해 왔다. 하지만 앞으로 CCRA 협정서가 개정되면, 현재 등급(EAL)기반 상호인정 방식에서 공동 보호프로파일(cPP) 기반 상호인정 방식으로 전환된다. 국제 기술 커뮤니티(iTC)에서 개발하고 CCRA CC개발위원회에서 승인한 cPP를 적용한 인증 제품에 한해 상호인정을 해 주겠다는 것이다.

cPP를 적용하지 않은 경우 EAL2까지만 상호인정한다. EAL(Evaluation Assurance Level)은 1~7단계까지 있으며, 외국기업의 경우 제품에 따라 4또는 5의 높은 EAL을 요구하는 경우도 있다. 현재까지는 한국의 인증사무국에서 EAL4를 받은 경우 이를 인정했으나, 앞으로는 cPP에서 인정받은 것을 엄격히 적용한다. EAL 등급기반에서 보안지침(cPP) 기반으로 변경되는 제도는 국제용에서부터 적용된다.

이에 따라 앞으로 cPP 준수 여부가 보안제품 해외수출 경쟁력에 영향을 미칠 전망이다. 국내 보안업체 30여개사는 현재 CC 사용자 포럼(CCUF)을 구성, 대응책을 마련 중이다.

김원석기자 stone201@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]