보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사 > 오피니언

[이슈칼럼] 정보보호제품 공통평가기준 개정 현황과 향후 과제

입력 : 2023-10-29 23:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
2023년 10월은 정보보안, 사이버 보안 및 프라이버시 관련 주요 행사의 달
ISO/IEC JTC 1/SC 27 국제표준화 회의, CC사용자포럼워크숍, 국제공통평가기준콘퍼런스의 성과와 과제


[보안뉴스= 이광우 에이치피프린팅코리아 마스터] 2023년 10월은 정보보안, 사이버 보안 및 프라이버시와 관련하여 매우 중요한 달이다. ISO/IEC JTC 1/SC 27 국제표준화 회의가 한국, 룩셈부르크, 온라인에서 각각 진행됐으며, CC사용자포럼워크숍, 국제공통평가기준콘퍼런스가 미국 워싱턴 D.C에서 개최됐다. 이번 칼럼은 지난 1년간 진행된 정보보호제품 평가인증 관련 주요 워크숍, 콘퍼런스, 국제 표준화 회의인 CCUF, ICCC, ISO/IEC JTC 1/SC 27회의의 주요 표준화 성과를 돌이켜보고, 우리나라에서 향후 무엇을 준비해야 하는지 살펴보고자 한다.

[이미지=gettyimagesbank]


우선 28개국 정보보호 관계자 400여명이 참석했던 ‘제22회 CC사용자포럼 워크숍(Common Criteria Users Forum, CCUF)’과 ‘국제공통평가기준콘퍼런스 2022(ICCC 2022, International Common Criteria Conference)’가 지난 2022년 11월에 스페인 톨레도에서 진행됐다.

CC사용자포럼은 전세계 800여명이 속해 있는 공통평가기준 최대 국제 커뮤니티로 CC사용자들이 정보보호제품 평가·인증에 대해 소통할 수 있도록 한 비영리조직이다. CC사용자포럼은 2012년 이후 지난 10여년간 매년 두 차례의 워크숍을 열었으며, 이러한 정기적인 행사를 통해 다양한 정보를 공유하고, 기술적 현안을 논의해 왔다. CC사용자포럼은 ISO/IEC SC 27 WG 3와의 연락체계를 통해 국제표준 개발에도 참여하고 있다. 또한, 국제기술커뮤니티(iTC, International Technical Community)를 활성화하여 국제적으로 통용될 수 있는 공통보호프로파일과 보조문서 개발에 참여하며, CCDB(CC Development Board)와 CCUF 사이의 연락체계를 통해 국제상호인정협정(Common Criteria Recognition Arrangement, CCRA)의 주요 현안이나 향후 정책 변경과 관련된 계획을 CC사용자에게 공유한다.

CC사용자포럼의 최대 구성원은 실제 정보보호제품을 개발하고 CC 평가를 받고 있는 개발업체와 평가업무를 수행하는 평가기관이기 때문에 CC와 관련된 제도, 정책, 표준의 변화에 민감하다. ICCC는 정보보호제품 평가·인증과 관련된 전 세계 최대 국제 행사로 2000년 이후 매년 개최되고 있으며, 정보보호 제품 평가기술과 정책을 대중이 쉽게 이해할 수 있도록 정보를 공유한다. CC사용자포럼과 ICCC 행사 모두 코로나19 팬데믹으로 인해 지난 2019년 10월 싱가폴 대면 행사 이후 모두 온라인으로 진행됐기 때문에 정보보호제품 개발사, 평가자, 정부기관 담당자들이 다시 모인 것은 꼭 3년만이었다.

예년과 마찬가지로 CCRA 및 국가별 평가인증 현황 공유, 국제기술커뮤니티 현황, EUCC 현황 공유가 주요 안건이었으며, 그 밖에 암호 모듈 평가 표준, 암호 알고리즘, 양자 암호, 취약성 대응 관리 등이 논의됐다. 특히, 지난 회의에서 가장 크게 주목할 사항은 CCRA 정기총회 결과 공유와 관련하여 CCDB 의장인 Dr.Tiziano Inzerilli와 CCMC 의장인 Jon Rolf이 공개한 ‘CC:2022 Revision 1과 CEM:2022 Revision 1의 출판’ 소식이었다. CC/CEM v3.1 Revision 5이 2017년 5월 2일 CCRA 포털을 통해 게시되었으니, 국제공통평가기준인 CC/CEM이 5년 만에 개정 발표된 것이다.

이에 앞서 국제표준화기구(International Organization for Standardization, ISO)는 2022년 8월 ISO/IEC JTC 1 SC 27 WG3 작업반의 결과를 바탕으로 ISO/IEC 15408과 ISO/IEC 18045를 최종 투표를 통해 국제 표준으로 출판하기로 결정하고 ISO 홈페이지에 게시한 바 있다. 현재 발표된 CC:2022, CEM:2022는 ISO/IEC 15408:2022, ISO/IEC 18045:2022와 기술적으로 동일한 내용을 포함하고 있다.

사실 2022년 발표된 ISO/IEC 15408:2022과 ISO/IEC 18045:2022는 2016년 10월 신규 표준을 제정하기로 개정 결정된 바 있어 지적 재산권 문제 해결을 포함하여 최종 개정까지 대략 6년 정도의 시간이 걸렸다.

필자는 해당 표준 개발 기간 동안 CCUF와 ISO/IEC JTC 1/SC 27/WG 3와의 연락책임자, ISO/IEC 18045의 코에디터, 그리고 매 회의의 회의 결과를 작성하는 Drafting Committee로 활동했다. 매년 두 차례 열린 회의마다 각국의 전문가와 함께 밤을 새워 수백 여개의 코멘트를 가지고 의견을 조율했던 그 날을 잊을 수 없다.

또한, 각 국가의 최종 합의된 의견을 정리하여 다시 표준안을 개발을 하는데 많은 시간이 투자되었다. ISO/IEC 15408 (Part 1. Part 2. Part 3. Part 4. Part 5)와 ISO/IEC 18045의 최종 표준 문서 분량이 1200쪽이 넘는 점을 감안하면 이 표준이 얼마나 방대한 내용을 포함하는지 예상할 수 있을 것이다.

공통평가기준인 CC/CEM, 그리고 이에 대한 국제표준 ISO/IEC 15408, 18045는 IT 보안을 표현하기 위해 국제적으로 동의한 체계로, 보안 기능과 보증 요구사항의 표준 분류를 제공하는데, 국제적으로 인증 결과를 상호인정할 수 있도록 하기 위한 골격을 제시하기 위해 1990년대 각 국가별로 다른 정보보호제품 평가체계를 CC 개발프로젝트를 통해 국제적인 평가기준으로 만든 것이다.

CC/CEM의 개발은 한국을 포함하여 호주, 캐나다, 프랑스, 독일, 일본, 네덜란드, 뉴질랜드, 스페인, 스웨덴, 영국, 미국이 참여했다. 1990년대부터 벌써 30여년의 역사를 가지고 있기 때문에 분량만큼이나 해당 표준을 명확히 이해하고 개정하는 것은 쉽지 않은 일이다.

지난 2022년 10월에 열렸던 ISO/IEC JTC 1/SC 27/WG 3회의는ISO/IEC 15408:2022와 ISO/IEC 18045:2022 출판의 후속 과제로 차기 개정을 위한 로드맵 작업과 그에 따른 개정 가능 항목을 분석하는 예비 작업 항목을 제안했고, 9명의 신규 에디터가 할당되었다. 1200쪽의 국제 표준은 하루 아침에 만들어지지 않았다. 지난 30여년의 세월 동안 한국을 포함한 12개의 국가기관이 참여하여 그 틀을 만들었으며, 국제상호인정협정 하에서 유지·관리가 되었다.

이번 개정부터는 국제표준화기구를 통해 기술 내용이 개발됐는데, 국제표준화에 참여하는 각국의 표준화 단체 및 전문가를 포함하여 CC사용자포럼 등과 같은 연락기관에게도 국제표준화에 참여할 수 있는 기회가 주어졌다.

이에 우리나라는 3명의 에디터가 표준안 작성에 참여하였으며, 한국 SC27 WG3전문가그룹은 ISO/IEC 15408, 18045를 꾸준히 매 회의에 앞서 검토하고 기술검토의견을 작성하여 기고하는데 기여했다. 개발업체, 컨설턴트, 평가기관, 정부기관, 인증기관, 시험기관, 학계 전문가 등 다양한 구성원이 논의에 참여하여 표준화 활동을 성공적으로 수행할 수 있었다. 또한, 공통평가기준 국제표준화 워크숍, 보안평가 기술 국제표준화 워크숍 등을 통해 국제표준화 진행현황을 공유하는데 앞장서 왔으며, 국제 정보보호제품 평가 표준의 개발 및 보급에 기여한 바가 크다.

정보보호제품 평가 국제 표준은 정보보호 산업 및 국가사이버안보체계에 미치는 영향이 매우 크다. CC:2022R1, CEM:2022R1이 개정됨에 따라 CC정책기관과 인증기관은 CCRA 포털에 발표된 ‘Transition Policy to CC:2022 and CEM:2022’에 따라 새로운 CC/CEM의 구체적 활용 계획 및 도입·적용 시점을 구체화하여 발표할 것으로 예상된다.

이와 별개로 차기 ISO/IEC 15408, 18045 표준 개정을 준비해야 하는데, 한국 SC27 WG3 전문가 그룹은 산·학·연 전문가들의 다양한 전문성이 국제 표준에 기여될 수 있도록 할 것이다. 지속적으로 국내외 표준화 현황을 공유함으로써 차세대 표준화 인력을 이끌 인력을 확보하기 위해 노력할 것이다.

이렇게 하기 위해서는 국제표준화 참여 필요성에 대한 국내 산업계의 인식 개선이 필요하며, 국가 차원에서의 적극적인 지원도 요구된다. 국제 표준화에 걸리는 시간을 고려한다면, 향후 정보보호 국제표준화를 이끌어 나갈 차세대 인력을 꾸준히 양성하는 것과 선진 연구를 통해 표준화에 필요한 기술적 연구 및 지원을 논의하는 것은 학계와 함께 풀어가야 할 과제이다.

▲JTC1/SC27 전문위원인 이광우 에이치피프린팅코리아 마스터[사진=이광우 마스터]

필자는 지난 11여년 간의 CCUF, ICCC, ISO 등의 회의에 지속적으로 참여하고 있는데, 최근 몇 년 사이에 CCRA, EUCC 등과 같이 급변하고 있는 정보보호제품 평가·인증과 관련된 각국 또는 단체의 정책 변화는 우리에게 시사하는 바가 크다. 세계 각국에서 더 이상 자국 내에서의 정보보호제품 평가인증 제도가 아닌 자국의 제도를 개방하고 확대하는 방향으로 나아가고 있다. 물론 더욱 더 많은 정책과 인증체계가 생겨나면서 매우 혼란스러운 것도 사실이다.

하지만, 그 과정에 있어서의 공통점은 관련 전문가들과의 수많은 합의를 통해 정책을 도출해내고 있다는 점이다. 즉, 국가 사이버안보 체계에 필요한 정보보호 제품을 도입하기 위해서는 다양한 분야의 전문가가 합의에 의해 도출한 보안평가, 시험 및 규격 표준이 필요하다. 현 시점에 정보보호제품 평가인증 관련 국제표준화에 대한 관심이 요구되는 이유다.
[글_ 이광우 에이치피프린팅코리아 마스터]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대