모자란 CC 인증기관

제발 좀 그러지 마요

최근 모 업체가 CC 인증 평가를 받으려고 제출물설명회를 할 때, 인증자가 NTP 통신을 암호화하라고 되지도 않는 요구를 해서, 아예 제품에서 NTP 동기화 기능을 빼기로 했다는 이야기를 들었다. IT보안인증사무국 인증자 여러분, 여러분들이 요구하는 얼토당토않은 것들, 결국은 모두 다 알게 됩니다. 제발 좀 그러지 마요.

[Read More]

Red Hat의 공통평가기준(Common Criteria) FAQ

Red Hat의 CC 인증 FAQ 번역본

Red Hat 블로그에 게시된 CC 인증 관련 글을 전문 번역했다. Red Hat 홈페이지에서는 이 글을 FAQ라는 이름으로 정리해두기도 했다(관련 링크는 읽다보면 나오니 생략). 한 벤더의 입장이지만, CC(공통평가기준)의 현실을 잘 반영한 글이라 생각해서 번역해두고 싶었다.

[Read More]

fail-open? fail-close?

장애 상황에서 네트워크 제품의 기본 동작은 무엇이 되어야 하나

링크: Fail Open or Fail Closed?

우리나라 CC 인증 평가에서 네트워크 방화벽 제품의 기본 정책은 “모든 연결 차단”이고, 장애가 발생했을 때 역시 “모든 연결 차단”이다. CC 인증을 받으려면 별로 이견의 여지가 없다. 하지만, 장애 상황에서 네트워크 제품이 어떤 동작을 취해야 하느냐(차단? 개방?)는 제품이 보호해야 하는 대상 자산이나 서비스의 중요성과 장애나 침해사고 발생 비용을 평가하고 결정해야 한다.

[Read More]

우리나라의 CC 인증에 대해

인증 제도는 여전히 구태를 벗어나지 못했다

2006년부터 CC 인증 업무를 해왔다(지만… KCCUF 활동에 참여하지도 않으니 아웃사이더라고 해야겠지). 어울림정보기술, 안랩을 거쳐 지금은 시큐아이에 있다. 중간에 2년 6개월 정도는 테크니컬 라이팅 업무만 했었으니, 대략 7년 6개월 간 인증 업무를 한 셈이다. 2012년 즈음에 CC 인증 제도에 대한 회의감때문에 CC 인증 업무를 손놓았었다. 그 회의감이 요즘 다시 든다. 그 좋은 테크니컬 라이팅을 왜 놓았을까. 2012년 즈음이나, 지금이나 여전히 인증 제도는 구태를 벗어나지 못했다.

[Read More]

CC 전용 문서는 쓸모 없다

개발 증거는 인증신청자와 평가기관이 협의해 평가자가 수집하는 것

우리나라 CC 인증 평가 스킴에 사용되는 보증 문서들은 첫단추를 잘못끼운 셈이다. 국내 최초의 CC 인증업체인 어울림정보기술(SECUREWORKS V3.0, SECUREWORKS ezWall V3.0) 이래로 모든 업체의 모든 보증 문서는 CC 인증을 위해 작성된 문서 중심이었다.

[Read More]