• 정보보호학회지
• /
• 제13권6호
• /
• pp.6-6
• /
• 2003

정보보호시스템 공통평가기준(정보통신부고시 제2002-40호)에 의해 정보보호시스템을 평가받기 위해 개발자는 해당평가보증등급의 보증패키지에 속하는 보증컴포넌트에서 요구하는 평가제출물을 작성하여야 한다. 공통평가기준에서는 평가제출물에 대한 작성방법을 제공하고 있지 않으므로 개발자가 평가제출물을 작성하는데 어려움이 있다. 본 고에서는 개발자가 공통평가기준에 기반한 평가제출물을 용이하게 작성할 수 있도록 적용될 수 있는 평가제출물 작성 방법론(순차방식, 병행방식)을 제시한다.

• 정보보호학회지
• /
• 제13권6호
• /
• pp.4-15
• /
• 2003

정보보호시스템 공통평가기준에 의해 정보보호시스템을 평가받기 위해 개발자는 해당평가보증등급의 보증패키지에 속하는 보증컴포넌트에서 요구하는 평가제출물을 작성하여야 한다. 공통평가기준에서는 평가제출물에 대한 작성방법을 제공하고 있지 않으므로 개발자가 평가제출물을 작성하는데 어려움이 있다. 본 고에서는 개발자가 공통평가기준에 기반한 평가제출물을 용이하게 작성할 수 있도록 적용될 수 있는 평가제출물 작성 방법론(순차방식, 병행방식)을 제시한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2002년도 추계학술발표논문집 (하)
• /
• pp.2087-2090
• /
• 2002

최근 보안성 평가기준의 국제 표준인 공통평가기준(Common Criteria, ISO/IEC 15408)의 국내 도입이 활발하게 진행되고 있다. 따라서 개발자들은 개발초기부터 공통평가기준에 대비하여 보안 제품을 개발하는 것이 필요하다. 본 논문에서는 공통평가기준과 공통평가방법론(Common Evaluation Methodology, CEM)을 참고하여 개발자들이 공통평가기준에 대비하여 보안 제품을 개발할 수 있도록 하기 위한 개발 지침을 제시한다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2002년도 종합학술발표회논문집
• /
• pp.642-645
• /
• 2002

본 논문에서는 기존의 평가기준에 기반하여 평가$\square$인증 받은 침입탐지시스템 제품의 대다수를 차지하는 K4 등급의 보안기능요구사항과 공통평가기준 보안기능요구사항을 본 논문에서 설정한 보안목적과 자산에 기반하여 비교 분석함으로써 이들 보안기능요구사항간의 호환 가능성을 검토하고 상호 호환되지 않는 K4 보안기능요구사항에 대해서는 새로운 공통평가기준 기반 기능 컴포넌트의 필요성을 제시한다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2003년도 하계학술대회논문집
• /
• pp.195-198
• /
• 2003

공통평가기준(CC: Common Criteria)은 1999년에 국제표준(ISO/IEC 15408)으로 채택되어 우리나라를 포함한 미국, 캐나다, 영국, 프랑스, 독일, 네덜란드 둥에서 사용되고 있는 IT제품 및 시스템의 보안성 평가기준이며, Interpretation 과정을 통하여 지속적으로 수정 및 보완되고 있다. 본 논문에서는 공통평가기준의 문제점 요청 및 Interpretation 제정 절차를 소개하고 현재 발표된 공통평가기준 버전 2.1의 Final Interpretation을 분석하였다.

• 융합보안논문지
• /
• 제2권2호
• /
• pp.137-142
• /
• 2002

정보보호시스템 공통평가기준이 고시되고 CCRA 가입이 활발하게 추진되면서 평가보증등급(EAL)에 관한 관심이 증대되고 있다. 본 논문에서는 기존의 프로세스 평가 기준들이 취하고 있던 평가 등급과 공통평가기준의 평가보증등급을 비교함으로써 정보보호시스템 평가에 활용되고 있는 평가보증등급이 가지고 있는 특징들을 확인하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 추계학술발표논문집 (하)
• /
• pp.1747-1750
• /
• 2003

IT 제품 및 시스템의 보안성 평가를 위한 국제표준(ISO/IEC15408)인 공통평가기준(CC)은 해당 평가 보증등급(EAL, Evaluation Assurance Level)의 요구사항에 따라 평가대상 제품(TOE, Target of Evaluation), 제품의 개발 및 운영 문서를 포함하는 평가제출물을 요구하고 있다. 개발자가 공통평가기준을 적용하여 제품의 보안성을 개선하고 성공적으로 평가인증서를 받기 위해서는 상당한 노력이 요구된다. 대부분의 개발자는 제품 개발 완료 후 제품의 보안성을 검토하고 평가를 준비하므로 리엔지니어링 등 추가적인 비용과 시간을 투입해야 하는 문제가 있다. 본 논문에서는 BSD(Berkeley Software Distributions) 4.4 기반의 운영체제인 MTOS(Mitretek)를 개발한 사례를 통하여 개발과정과 요구사항 및 평가준비를 위한 평가제출물 작성과의 연계성을 제시하였다. 개발자는 본 논문에서 제시한 연계성을 활용하여 소프트웨어 제품의 개발과정에 공통평가기준을 적용하여 제품의 보안성을 제고하고 보안성 평가를 준비하는데 시간과 노력을 절감할 수 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 봄 학술발표논문집 Vol.30 No.1 (A)
• /
• pp.248-250
• /
• 2003

국제표준인 Common Criteria가 2002년에 국내표준으로 제정됨으로써, 앞으로 국내에서도 정보보호시스템에 대한 공통평가기준의 활용이 기대된다. 특히 국내는 조직의 내부 인프라 보호를 위해 네트워크 제품의 수요가 증가하고 있어 침입차단시스템, 침입탐지시스템 등 네트워크 솔루션에 대한 개발이 많이 진행되고 있으나 이러한 제품을 소비하는 대부분의 기업 및 조직에서 제품 구매 시 활용될 수 있는 자신들의 요구 사항을 정의한 보호프로파일을 개발한 경험이 없다. 앞으로는 공통평가기준을 활용하여 자체 보안요구사항을 정의할 경우가 많이 발생할 것으로 기대되지만 공통평가기준은 운영체제와 같은 단일 호스트 및 시스템 중심으로 기술되었으므로 네트워크 제품에 대한 보호프로파일을 개발 시 새로운 접근방법 필요하다. 따라서 본 논문에서는 기업이나 조직에서 네트워크 제품에 대한 보호프로파일 및 보안목표명세서를 개발시, 공통평가기준과 보호프로파일 및 보안목표명세서 작성법을 이용하여 요구사항을 정의하는 방법에 대해서 기술하고자 한다.

• 전자통신동향분석
• /
• 제17권5호통권77호
• /
• pp.89-101
• /
• 2002

이제 공통평가기준(CC)의 도입은 거를 수 없는 대세로 자리 잡고 있으며, 국내에서도 CC를 도입하기 위해 인증기관과 평가기관들이 도입을 위한 준비를 서두르고 있으나 개발자 입장에서는 아직 미흡한 실정이다. 따라서, 본 고에서는 CC를 고려하여 정보보호시스템을 개발하고자 하는 연구기관 및 업체에서 개발전략을 수립하는 데 도움이 될 수 있는 CC 관련 기술동향을 살펴보았다. 먼저, 기존 정보보호시스템 평가기준인 TCSEC과 ITSEC에 대해 간략히 살펴본 후, 국제간에 상호 인증을 받을 수 있는 정보보호시스템 공통평가기준에 대해 CC 출현 배경, CC 표준 규격, PP와 ST 개발동향, CC의 최근 표준화동향 관점에서 살펴본다. 그리고, 연구개발을 추진하는 개발자 입장에서 연구개발체계에 CC를 어떻게 적용할 것인가에 대한 방안을 제시한다. 이를 위해 먼저, CC 관련 주요 이슈에 대해 ICCC’2002를 통해 알게 된 내용을 위주로 살펴보고, 연구개발체계에 CC 도입시 개발자들이 고려해야 할 개발 보증 증거물들에 대해 살펴본다.

• 정보보호학회지
• /
• 제13권5호
• /
• pp.1-15
• /
• 2003

IT(Information Technology) 제품의 보안 기능을 평가하기 위한 서로 다른 체계를 이용함으로써 평가를 위한 이중의 비용 소요와 추가의 시간 소모 등의 문제점을 해결하기 위하여, 미국, 영국 등의 선진국들은 국제간에 상호 인정이 가능한 공통평가기준(CC : Common Criteria)에 대한 연구를 활발히 수행하고 있고, CCRA(Common Criteria Recognition Agreement)에 가입한 나라에서 평가된 제품은 다른 나라에서 재평가 과정을 거치지 않고 상호 인정하는 CCRA 라는 평가를 위한 국제 조약을 체결하여 시행 중에 있다. 그러나 CC는 다양한 보안 제품에 대하여 시행되고 있고, 표준안의 분량이 매우 많을 뿐만 아니라 복잡하며, 개발자와 평가자, 그리고 이용자 모두가 평가를 위한 기술적, 관리적, 절차적 과정의 이해가 무엇보다도 중요하다. 따라서 CC 주요 주체에 대한 평가 교육의 필요성이 매우 중요하게 대두되고 있다. 또한 우리 나라도 국제공통평가기준 인정 협정인 CCRA로의 가입을 준비중에 있고, 다양한 제품으로 평가제도의 확대를 준비하고 있다. 본 논문에서는 각 나라의 CC 교육 과정을 분석하고, 현재 CC 체제하에서 평가된 정보보호 제품들의 특성을 분석하며, 이를 바탕으로 우리의 평가 교육 현실을 살펴본 후, 국내 CC 교육 프레임워크와 실천 방안을 제시한다.