우리나라 CC 인증 평가 스킴에 사용되는 보증 문서들은 첫단추를 잘못끼운 셈이다. 국내 최초의 CC 인증업체인 어울림정보기술(SECUREWORKS V3.0, SECUREWORKS ezWall V3.0) 이래로 모든 업체의 모든 보증 문서는 CC 인증을 위해 작성된 문서 중심이었다.

The second goal of this method is to base as much as possible the evaluation work on real documentation used by the developer and not documentation written for CC purpose only. The evaluatior will use “Collection of Evidence” method to limit as musch as possible some developer documentation written after the development.

[CCDB-2012-04-005 Collection of Developer Evidence]

CCDB-2012-04-005 문서는 인증을 위한 보증 문서를 평가신청업체가 작성하는 관행이 올바르지 않다는 취지에서 작성된 문서이다. 이 문서에 따르면, 인증을 위해 작성되는 유일한 문서는 보안목표명세서(ST, Security Target) 뿐이고, 그 외에 인증에 필요한 요구사항이 반영된 제품 매뉴얼만 있으면 된다. 개발 증거는 인증신청자와 평가기관이 협의해 평가자가 수집하는 것이다.

국내의 경우, 국내용 인증이든, CC 인증이든, 이러한 가이드 문서를 따르지 않는다. 설령 따른다 해도, 국내업체들은 저 가이드 문서를 적용하면 시행착오를 많이 겪을 것이다. 이 문서는 앞으로 지향해야 할 방향으로 보면 될 것같다.