블로그 이미지

my hiding place

삶이 힘들 때, 조금이라도 고개를 들고 위를 보세요. 푸른 하늘이 당신을 맞이해줄 날이 있을 테니까. by nulonge


'암호 검증'에 해당되는 글 1건

  1. 2009.06.04 변경되는 정보보호제품 도입 절차

변경되는 정보보호제품 도입 절차

요즘 국가/공공기관에 정보보호제품을 공급할 때 필요한 인증 제도에 변화가 있어서 간단하게 정리해봅니다. 국가/공공기관에 제품을 공급할 때 적용되는 인증 제도로는 다음과 같은 것들이 있습니다. (클릭하면 IT보안인증사무국에서 각 항목을 설명하는 페이지로 이동합니다)

언뜻 보면 뭐가 뭔지 헷갈리고 이해하기 어렵습니다. 간단히 몇가지만 추려보면 다음과 같습니다.

  1. 검증필 제품 목록 제도 폐지 이전에 있던 '검증필 제품 목록'이 2009년 6월 1일부로 폐지되었습니다. 이에 따라 효력이 사라지는 제품들은 올해말까지 CC 인증 계약을 완료해야 합니다. 아직은 검증필 제품중에서 CC 인증을 취득한 제품이 없기 때문에, 국가/공공기관은 한시적으로 올해 말까지 CC 평가계약을 체결한 제품에 한해 도입이 허용됩니다. 그렇지 않으면, 2009년 12월 31일 이후 국가/공공기관 도입대상 제품에서 제외됩니다.
  2. 공공기관용 네트워크/컴퓨팅기반 제품의 CC 인증 획득 의무화 공공기관에 도입하는 모든 네트워크 기반 제품 및 컴퓨팅기반 제품은 EAL2 이상의 CC인증을 취득할 것을 원칙으로 합니다. (보호프로파일(PP)이 있다면, 보호 프로파일을 준수할 것이 적극 권장됩니다.)
  3. 암호 검증 암호 제품이 아닌 암호 모듈을 평가하는 제도입니다. CC 인증을 취득해야 하는 네트워크기반 제품인 VPN 제품군이나, 보안 USB 제품과 같이 행정정보의 유통/저장 용도로 도입되는 제품에 대해서 암호 검증은 의무사항입니다.
    • 다시 말해서, VPN 제품군이나 보안 USB 제품은 검증필 암호모듈을 탑재해야 합니다.
    • 검증필 암호모듈을 탑재한 제품은 우리나라의 평가 스킴에서 정한 절차에 따라 CC 인증(변경 승인) 평가를 받아야 합니다.
    • 예외사항으로, 저장자료 완전 삭제 제품이나 모바일기기 보안제품은 CC인증 또는 국가용 암호제품 지정제도의 적용을 받지 않습니다.
  4. 국가용 암호제품 지정제도 암호기반 제품은 국가용 암호제품 지정제도에 따라 검증을 받아야 합니다. 국가용 암호제품 지정제도는 검증필 암호모듈을 의무적으로 탑재해야 합니다.
    • 대상 제품군: PKI 제품, SSO 제품, 디스크/파일/문서 암호화 제품, 구간 암호화 제품(인터넷 뱅킹을 이용할 때 사용되는 통신 암호화 제품), 메일 암호화 제품, 키보드 암호화 제품, 하드웨어 보안 토큰 등
  5. 보안적합성 검증 CC 인증 또는 국가용 암호제품 지정제도에 따라 검증된 제품을 도입한 국가/공공기관은 검수 후 15일 이내에 국가정보원장에게 보안적합성 검증을 신청해야 합니다.[각주:1]

즉, 제품에 따라 먼저 암호 검증을 필한 검증필 (암호화) 모듈을 탑재해야 합니다. 그 다음으로는 CC 인증을 취득하거나, 국가용 암호제품 지정제도에 따라 검증을 받아야 합니다. 그리고, 제품 판매 후, 국가/공공기관에서 이뤄지는 보안적합성 검증을 지원해야 합니다. 이래저래, 보안인증을 담당하는 실무자들은 많이 바빠지겠네요.

정보보호제품 도입 절차


이와 관련된 국가정보원 IT보안인증사무국의 공지사항은 다음 링크를 참조하세요: http://www.kecs.go.kr/bbs/detail_new.jsp?bi=NOTICE&di=406

  1. CC인증 또는 국가용 암호제품 지정제도는 제품의 보안성을 평가하는 것이고, 보안적합성 검증은, 운용 과정에서 잠재적인 보안취약점을 개선하기 위한 검증입니다. 즉, 제품에 대한 보안성을 평가하는 것, 운영 환경 상에서 보안성을 평가하는 것으로 볼 수 있습니다. [본문으로]
Comment 0 Trackback 0
Top

prev 1 next