지난 주 금요일(2016년 6월 10일) 오후에 CC V3.1R4를 기준으로 작성된 국가용 정보보호제품 보호 프로파일(PP, Protection Profile) 5종이 IT보안인증사무국 > 보호프로파일에 게시되었다. 보호 프로파일과 함께 보조 문서도 함께 릴리즈되었다(보조문서를 모두 받으려면 여기를 클릭).

게시된 제품군은 네트워크 장비(스위치/라우터), 침입차단시스템(Firewall), 가상사설망(VPN), 인터넷 전화 방화벽, 무선랜 인증 이렇게 5종이다.

이제 막 침입차단시스템(Firewall) PP를 보고 있는 참인데, CC Part 1에서 정의된 보호프로파일 구성 항목 중 일부가 보이지 않는다. 보조 문서에는 있는데 ㅎㅎㅎ

  • 보안문제 정의가 없다.
  • 보안 목적 중에서 TOE 보안 목적과 보안목적의 이론적 근거가 없다.

조만간 수정된 문서가 게시되겠지?(업데이트1 2016.6.13. 11:17 am)확인해보니 평가보증등급이 EAL1+라서 ST의 보안목적 보증컴포넌트는 운영환경의 보안목적만 명세하고 있다. ASE_OBJ.1(운영환경에 대한 보안목적), ASE_REQ.1(보안요구사항)만 만족하면 된다. EAL2 이상은 모두 ASE_OBJ.2, ASE_REQ.2를 만족해야 한다. 보조문서는 EAL2 이상 평가에서 참고할 수 있도록 작성된 것같다.)

보조문서의 발간은 평가 스킴이 요구하는 내용들에 대해 벤더에게 적절한 가이드가 될 것이라 믿는다. 이 또한 읽어봐야지. :^)

덧붙임)

이번에 게시된 PP들은 국제용 인증, 그러니까 표준적인 CC 인증에 적용되는 PP다.

국내용 인증 평가에서 이 PP를 수용하는 것은 아직 의미가 없어보인다. 이 PP를 준수하면 EAL1+이고, 국내용 인증은 평가 신청 업체가 신청하는 평가보증등급(EAL)을 적용하고 있는데 방화벽 제품군은 관례적으로 EAL4가 기준이 된다. 꼭 EAL4를 받아야 할 이유가 없는데도 등급이 상향 유지되고 있는 까닭은 영업의 요구사항 때문에 그런 경우가 많다(국내용 인증에서 EAL이 높다고 보증수준이 높다고 할 수 있는지는 솔직히 의문이다).

그러니 언제쯤에나 국내용 인증이 폐지될지 지켜볼 필요가 있을 듯…

덧붙임2)확장된 SFR 컴포넌트로 FTA_SSL.5가 추가되었다. FTA_SSL.1과 FTA_SSL.3을 하나의 SFR 컴포넌트로 묶었다.