인터넷 등 정보통신망에 연결한 정보시스템의 확대로 공유 정보가 급증함에 따라, 중요 정보에 대한 데이터 변조, 파괴 등 역기능 대처 를 위한 정보보호의 기술적 대책으로서 다양한 정보보호시스템이 개발되어 사용되 고 있다. 이에 따라 정보보호시스템이 제공하는 보안기능에 대한 신뢰성은 안전한 정보보호 체계 구축을 위하여 선행되어야 할 필수 요소로 인식되고 있다. 본 고에 서는 국내외 정보보호시스템 평가 동향과 침입차단시스템을 중심으로 한 국내외 평가제품, 국제공통평가기준 개발 및 이를 적용한 평가 동향에 대하여 살펴보고자 한다.

1. 정보보호시스템 평가 동향

 가. 국내 평가 동향

 '96년 8월 제정된 정보화 촉진 기본법 제15조 및 동법시행령 제15, 16조 를 근거로 '98년 2월 정보통신망 침입차단시스템 평가기준 및 평가지침서를 제정· 고시하여 한국정보보호센터에서 침입차단시스템에 대한 평가를 시행해 오고 있다. 현재 평가 완료된 제품은 [표 1]에서 보는 바와 같이 3종이며 평가진행 중인 제품 은 7종이다. 침입차단시스템 평가기준은 보안기능 요구사항과 보증 요구사항으로 이루어져 있으며 K1(E)∼K7(E) 등 7개의 평가등급 체계로 구성되어 있다. 여기서 괄호 안의 "E"는 비밀성 기능으로 선택적으로 제공할 수 있다. 향후 보 다 다양한 정보보호시스템으로 평가 범위를 확대하기 위하여 침입탐지시스템, 스 마트카드 제품 등에 대한 평가기준 및 평가환경을 준비 중에 있다.

 

[표 1] 국내 평가 완료 침입차단시스템 현황

제품명	개발 업체	평가등급	평가완료
SecureShield-Firewall V1.0	시큐어소프트	K4	'98.11.20
SecureWorks V1.0	어울림정보기술	K4	'99. 2. 8.
인터가드 V1.5	한국정보공학	K4	'99.6.29.

(※참조: www.kisa.or.kr)

 나. 국외 평가 동향

 ① 미국의 평가체계 추진 및 평가제품 현황

 NSA, NCSC 주관으로 '85년 TCSEC, '87년 TNI, '91년 TDI 등 정보보호시 스템 평가기준을 제정하고 TPEP 평가 프로그램에 의하여 정보보호시스템을 운영 체제, 네트워크 컴포넌트 등으로 분류하여 평가를 시행해 왔으며 '97년 이후로 NIST와 NSA가 공동으로 계획한 민간 평가 프로그램인 TTAP 절차에 의해 평가를 시행하고 있다. 미국의 평가기준인 TCSEC은 가장 오래된 정보보호시스템 평가기준 으로 C2, C1, B3, B2, B1, A1 등 6개의 등급 체계로 이루어져 있다. 미국의 평가 체계를 살펴보면, 평가 인증기관인 NSA 및 평가기관으로 NCSC가 있으며 TTAP에 의해 인정된 Arca Systems, Inc., Computer Science Corp. 등 5개 민간 평가기관 (TTAP Evaluation Facility, TEF)이 있다. 또한, 미국은 국제공통평가기준(Common Criteria) 개발에 적극적으로 참여하여 일정 등급(EAL4)이하의 국제 상호 평가 인정 체계를 구축할 수 있는 준비를 하고 있다. 이러한 결과로 CC에 의하여 4개 제품에 대한 평가를 완료하였으며 현재 NIAP 국제공통평가 scheme을 개발하여 CC를 근거로 정보보호제품에 대한 평가를 시행하고 있다.

미국에서 평가 완료된 침입차단시스템 현황은 [표 2]와 같으며, 이외에도 민간 주도하에 상업적으로 사용되는 침입차단시스템 평가을 위하여 ICSA 평가·인증 제도가 있다. ICSA는 등급 구분 없이 최소한의 보안기능 및 취약성 평가를 위주로 평가하여 인증서를 부여하고 있으며, 이를 통한 평가 결과는 유럽평가기준의 ITSEC E1 등급이하 또는 CC의 EAL1 등급 수준과 동등하다. 참고로 현재까지 ICSA에 의해 평가·인증된 침입차단시스템은 41개 제품이며 상세한 정보는 www.icsa.net을 참조할 수 있다.

 

[표 2] 미국에서 평가 완료한 침입차단시스템 현황

제품명	평가등급	평가 기관	평가 완료
Cisco PIX Firewall 520 V4.3	EAL2	Computer Science Corporation	'98.12.31.
Lucent Managed Firewall V3.0	EAL2	Computer Science Corporation	'99. 1. 8.

※참조: www.radium.ncsc.mil/tpep/epl

 ② 영국, 프랑스, 독일의 평가체계 추진 및 평가제품 현황

 영국은 '87년 정보보호시스템 평가기준인 Green Book을 발표하였으며, '90년 독일, 프랑스, 네덜란드와 공동으로 유럽공통 평가기준인 ITSEC을 개발하여 UK Scheme에 의하여 평가를 시행하고 있다. 그리고 CESG를 주축으로 구성된 CB를 인증기관으로하여 Logica, Admiral Management Services Ltd.등 5개의 민간평가 기관(CLEF)에서 통신, 데이터베이스 네트워킹 등으로 정보보호시스템을 분류하여 평가를 수행하고 있다. ITSEC은 정확성 요구사항과 보증성 요구사항으로 구성되어 있으며 E1∼E6의 6개 등급 체계로 이루어져 있다. '89년 자체 평가기준을 개발하여 평가를 시작한 독일은 '90년부터 본격적으로 ITSEC을 근거로 BSI를 인증기관으로 하여 IABG, TUV PS 등 7개 민간평가기관(ITSEF)에서 데이터 통신, 스마트카드, 칩 리더기 등으로 정보보호시스템을 분류하여 평가를 시행하고 있다. 영국의 UK Scheme을 그대로 따르고 있는 프랑스 역시 SCISSI를 인증기관으로 하여 AQL, CR2A-DI 등 4개의 민간평가기관에서 영국과 같은 방식으로 정보보호시스템을 분류하여 평가를 시행하고 있다. 영국 등 이들 세나라는 국제공통평가기준 및 평가방법론(CEM) 개발에도 적극적으로 참여하여 CC를 적용한 평가를 준비 및 계획하고 있다.

 

[표 3] UK Scheme에 의해 평가 완료한 침입차단시스템 현황

제품명	평가등급	평가 기관	평가완료
Checkpoint Firewall-1 V4.0	E3	Admiral	'99. 3
CyberGuard Firewall-1 V2.2.1e	E3	Logica	'97. 3
CyberGuard Firewall-1 for UnixWare 4.1	E3	Logica	'99. 1
CyberGuard Firewall-1 for Windows NT4.1	E3	Logica	'99. 1
VCS Firewall V3.0	E3	IBM Grobal Service	'99. 3
Guntlet Internet Firewall V3.2	E3	EDS	'97. 8
Guntlet Internet Firewall for Windows NT V3.01	E3	EDS	'99. 7

※참조: www.itsec.gov.uk, www.bsi.bund.de, www.scssi.gouv.fr

③ 오스트레일리아

 '94년 국방부 산하기관인 DSD가 정보보호시스템 평가절차(AISEP)를 발표 하고 정보보호시스템을 네트워크 보안 제품, PC 보안 제품 등으로로 분류하여 ITSEC을 근거로 평가를 시행하고 있다. 평가기관은 Admiral Computing과 Computer Sciences Corporation이며 생성된 평가 결과는 뉴질랜드에서도 활용하고 있다. 오스트레일리아 역시 CC에 의한 평가를 준비하고 있다.

 

[표 4] 오스트리아에서 평가 완료한 침입차단시스템 현황

제품명	평가등급	평가 기관	평가완료
Secure-IT Guntlet V3.2	E3	CSC Australia	'98. 8.
Cisco PIX Firewall V4.1	E1	CSC Australia	'98. 7.

※참조사이트: www.dsd.gov.au/infosec/epl/

 ④ 캐나다

 '89년 CTCPEC을 개발하여 CSE에 의하여 평가를 시행하고 있으며, 평가 절차로서 미국의 TTEP를 따르고 있다.

 북미 지역에서 미국과 함께 CC를 개발하는데 중요한 역할을 수행하고 있으며 최초로 CC를 적용한 평가를 완료하였다. 현재는 Carnadian CCS(Common Criteria Evaluation and Certification Scheme)을 개발하여 EWA 등 3개의 민간 평가기관을 지정하여 CC를 적용한 평가 시행 및 국제 평가방법론 개발에 적극적 으로 참여하고 있다.

 

[표 5] 캐나다에서 평가 완료한 침입차단시스템 현황

제품명	평가등급	평가 기관	평가완료
BlackHole Firewall V3.0.E2	EAL3	CSC Australia	'97.11.

※참조사이트: www.cse.dnd.ca/cse/criteria/english/cpl.htm

 다. 국제공통평가기준 개발 및 평가 동향

 '93년 6월 TCSEC, ITSEC, CTCPEC 등 각 나라의 정보보호시스템 평가 기준을 통합하여 단일화된 평가기준을 제정하려는 CC프로젝트가 결성되어 미국, 캐나다, 영국, 프랑스, 독일, 네덜란드 등 6개국의 참여 하에 '96년 1월 버전 1.0을 거쳐 '97년 10월 버전 2.0 초안을 완성하였으며 '99년 6월에 ISO/IEC 15408 국제 표준으로 채택되었다. '99년 10월 현재 V2.1이 개발 완료된 국제공통 평가기준인 CC는 소개 및 일반모델(Part1), 보안기능요구사항(Part2), 보증요구 사항(Part3) 등 3개 부분으로 구성되어 있으며 EAL1∼EAL7 등 7개 등급 체계로 이루어져 있다. 또한 CC의 보안요구사항을 기반으로 구성된 제품별 PP(Protection Profile) 및 PP·ST(보안목표명세서) 등록 절차 또한 표준화 추진 중에 있다. 그리고 CC 적용을 위한 국제 평가방법론인 CEM(Common Criteria Evaluation Methodology) V1.0이 개발되어 있다. 미국, 영국, 독일, 프랑스는 '98년 10월 CC를 적용한 일정 등급(EAL4) 이하의 평가결과를 상호 인정하는 협약을 체결 하였으며, 이에 따라 각국은 CC를 기반으로한 평가체계를 개발하여 국제 평가 상호 인정 체계에 적극적으로 대비하고 있다. 현재까지 CC에 의해 13개 제품이 평가되었다.

 2. 전망

 컴퓨터 통신망을 통하여 전세계를 포괄하는 정보 공유, 전자상거래 등 사이버 패러다임이 다가오는 21세기의 주요한 가치로 부각되고 있는 현실에서, 안전하고 신뢰성 있는 정보보호시스템 공급을 위한 정보보호시스템 평가는 이제 국가차원을 뛰어 넘어 국제적인 차원에서 요구되고 있다. 정보보호 선진국과 비교할 때 국내의 정보보호시스템 평가는 초기 단계에 있으나, 평가 시행 이후 축적된 평가기술과 국제 공동 평가기준 개발 등 한국정보보호센터를 중심으로 변화하는 국제 평가 환경에 적극적으로 대응해 나가고 있어 머지않아 국제적인 평가 수준을 갖출 수 있으리라 예상된다.

출처 : http://www.kisa.or.kr/K_trend/KisaNews/199911/2_4condition.htm