상단메뉴 바로가기 본문 내용 바로가기

FAQ

정보보호제품 보안성평가에 자주하는 질문입니다.


  • Q.인증제품에 대한 인증효력을 유지하려면 어떻게 해야 하나요?
    인증제품의 형상이 변경되지 않는 한 인증제품의 효력은 계속해서 유지됩니다.
    보안기능 변경, 신규 취약점 발생 등 인증제품의 형상변경이 필요한 경우에는 다음과 같이 정보보호시스템 평가·인증 지침(행정안전부고시 제2009-51호) "5.2 인증효력 유지" 절차에 따르시면 됩니다.
    1. 지침의 '[별지 제5호 서식] 인증효력유지 신청서' 및 관련 제출물을 작성하여 인증기관에 제출
    - 관련 제출물 : 주요 변경내용, 변경된 기능의 설계과정 내용, 변경된 원시코드의 형상관리목록, 변경기능 시험 프로그램/시험도구/시험내용, 변경된 기능의 취약성 분석내용, 설명서/지침서 변경내용, 원시 코드, 대상 제품
    2. 인증기관은 신청인이 제출한 변경 내용을 검토하여 변경승인, 재평가를 결정하고, 그 결과를 신청인에게 통보
    3. 변경승인된 경우 인증의 효력이 그대로 유지되며, 재평가로 결정된 경우 평가기관에 재평가를 신청
    자세한 내용은 IT보안인증사무국에 문의하시기 바랍니다.
    - IT보안인증사무국(http://service2.nis.go.kr/) : (02)3432-0461
  • Q.인증제품을 사용하려는 고객이 해당 인증제품의 평가·인증 범위 및 정보를 알려면 어떻게 해야 하나요?
    인증이 완료된 제품에 관한 정보는 IT 보안인증사무국 홈페이지(http://service2.nis.go.kr/)에 공개된 보안목표명세서 및 인증보고서를 통해 확인하실 수 있습니다.
    - "http://service2.nis.go.kr/ -> 국가기관 도입가능 제품 -> CC 인증제품" 메뉴 참고
  • Q.정보보호제품 평가를 위해 제출하는 제출물은 반드시 한글로 작성되어야 하나요?
    정보보호시스템 평가·인증 지침(행정안전부고시 제2009-51호) 31항에 의거, 평가제출물은 한글 또는 영어로 작성하실 수 있습니다.
  • Q.평가·인증된 제품을 사이트에 납품하려고 할 때, 고객 요구에 의해 제품 변경이 필요한 경우 어떻게 처리해야 하나요?
    정보보호시스템 평가·인증 지침(행정안전부고시 제2009-51호) "5.2 인증효력 유지" 절차에 의거, 인증제품의 형상 변경이 필요한 경우 다음과 같은 사후관리 절차를 따르면 됩니다.
    1. 지침의 '[별지 제5호 서식] 인증효력유지 신청서' 및 관련 제출물을 작성하여 인증기관에 제출
    - 관련 제출물 : 주요 변경내용, 변경된 기능의 설계과정 내용, 변경된 원시코드의 형상관리목록, 변경기능 시험 프로그램/시험도구/시험내용, 변경된 기능의 취약성 분석내용, 설명서/지침서 변경내용, 원시 코드, 대상 제품
    2. 인증기관은 신청인이 제출한 변경 내용을 검토하여 변경승인, 재평가 여부를 결정하고, 그 결과를 신청인에게 통보
    3. 변경승인된 경우 인증의 효력이 그대로 유지되며, 재평가로 결정된 경우 평가기관에 재평가를 신청
    자세한 내용은 IT보안인증사무국에 문의하시기 바랍니다.
    - IT보안인증사무국(http://service2.nis.go.kr/) : (02)3432-0461
  • Q.평가비용은 얼마나 하나요?
    평가기관은 정보보호시스템 평가·인증 지침(행정안전부고시 제2009-51호)의 "제 7장 평가수수료"에 따라 산정된 수수료를 공지하여야 합니다. 따라서, 평가등급 별 수수료는 해당 평가기관에 고시된 내용을 참고하시기 바랍니다.
  • Q.평가업무에 있어서 국가정보원, 행정안전부, 한국인터넷진흥원의 역할은 무엇인가요?
    정보보호시스템 평가제도의 관련 기관으로는 인증기관, 정책기관, 평가기관이 있습니다.
    인증기관은 국가정보원으로써 다음 업무를 수행합니다.
    - 평가기관의 승인 및 평가업무 감독
    - 인증서 발급 및 신청인과 평가기관간의 분쟁조정
    - 인증제품 사후관리
    - 상호인정협정(CCRA) 관련 정책 결정
    정책기관은 행정안전부로써 다음 업무를 수행합니다.
    - 평가관련 법령, 지침, 평가기준 등 재개정 및 고시
    - 평가기관 정책 수립 및 지원
    평가기관은 한국인터넷진흥원과 인증기관으로부터 승인받은 기관으로써, 한국인터넷진흥원은 다음 업무를 수행합니다.
    - 정보보호시스템 평가시행(EAL1~EAL7 7개 등급 평가)
    - 공통평가기준, 평가지침서, 공통평가기준 해설서 개발 및 발간
    - 행정안전부 장관으로부터 위임받은 평가관련 기술개발, 방법론 및 간행물 발간
    - 상호인정협정(CCRA) 관련 연구 및 활동
    - 국가기반 전략사업의 정보보호시스템 평가
  • Q.평가관련 문의는 누구에게 하면 되나요?
    평가와 관련된 문의사항은 다음으로 연락주시기 바랍니다.
    연락처 : 보안평가팀 장병현, 02-405-5339
  • Q.국외에서 공통평가기준(CC)으로 평가·인증된 제품을 국내 공공기관에 납품할 수 있나요?
    국가정보원에서 2009년 6월 1일 부로 시행한 “정보보호제품 국가 공공기관 도입기준 및 절차“에 따르면 국가 공공기관에 도입되는 네트워크기반 및 컴퓨팅기반 제품은 EAL2 이상의 CC인증 획득을 요구하는 등의 도입기준을 정하고 있으므로, 자세한 사항은 IT보안인증사무국으로 문의하시기 바랍니다.
    - IT보안인증사무국(http://www.itscc.kr/) : itscc@ensec.re.kr
  • Q.일괄평가란 무엇을 의미하며, 일괄평가의 대상이 되는 제품은 어떤게 있나요?
    일괄평가 제도는 유사 정보보호제품의 보안기능이 각각의 운영환경에서 정상적으로 안전하게 동작하는 여부를 동시에 평가하는 제도로써, 평가완료 후 일괄적으로 하나의 인정서가 부여됩니다.
    유사 정보보호제품이란 보안기능이 동일하고 네트워크 카드 등 하드웨어 사양의 차이가 미미한 정보보호제품이라 이해하시면 됩니다. 일괄평가의 대상 유무를 확인하기 위해서는 평가기관 및 인증기관의 검토가 필요하므로 담당자에게 연락하시기 바랍니다.
    연락처 : 보안평가팀 장병현, 02-405-5339
  • Q.평가신청인이 평가 신청을 위해 어떤 제출물을 준비해야 하나요?
    평가 신청 시 평가기관에 제출해야 할 제출물은 평가보증등급에 따라 상이합니다.
    평가보증등급은 EAL1에서 EAL7까지 7등급으로 나누어져 있으며 일반적으로 보증등급이 높을수록 제공하셔야 할 제출물의 양 또한 증가하게 됩니다.
    제출물은 설계서 등 개발과 관련된 부분, 제품의 배포/설치 및 운영에 관련된 부분, 제품 형상의 관리와 관련된 부분, 시험 및 취약성과 관련된 부분, 개발환경 보안/개발도구 등 생명주기와 관련된 부분으로 나눌 수 있습니다.
    평가보증등급 별 상세한 제출물의 내용을 알고 싶으시면 다음 연락처로 문의해 주시기 바랍니다.
    연락처 : 보안평가팀 장병현, 02-405-5339
  • Q.정보보호제품 평가신청을 위해 보호프로파일(PP:Protection Profile)을 반드시 수용해야 하나요?
    반드시 보호프로파일을 수용할 필요는 없습니다. 단, 보호프로파일을 수용하지 않고 평가를 신청하실 경우, 신청인은 해당 제품의 보안요구사항을 독립적으로 도출해서 보안목표명세서(ST:Security Target)를 작성하셔야 합니다. 또한 28개 CC인증 필수 제품군은 정보보호제품 보안요구사항을 만족하여야 하며, 외에 제품은 시험기준을 만족하여야 합니다.
    28개 CC인증 필수제품군 확인
    - IT보안인증사무국(http://www.itscc.kr/) : itscc@ensec.re.kr
  • Q.공공기관에 정보보호제품을 납품하려면 어떤 절차를 거쳐야 하나요?
    "국가정보보안기본지침"에 따라 공공기관에 정보보호제품을 납품하려면 보안적합성 검증을 받아야 합니다.
    28개 CC인증 필수제품군은 납품시 CC평가인증이 필수사항이며,
    국내용 CC인증을 통해 평가를 받은 제품은 보안적합성 검증을 대체할 수 있습니다.
    보안적합성 검증에 대한 자세한 내용은 국가보안연구소로 문의하시기 바랍니다.
    28개 CC인증 필수제품군 확인
    - IT보안인증사무국(http://www.itscc.kr/) : itscc@ensec.re.kr
  • Q.공통평가기준(CC)을 통한 평가는 한국인터넷진흥원에서만 가능한가요?
    현재 공공기관에 납품하는 모든 정보보호시스템의 평가인증을 의무화함에 따라 평가수요가 급증하고 있습니다. 따라서, 평가적체를 해소하기 위한 방안의 일환으로 관계 법령을 정비하여 현재의 단일 평가기관 체제에서 복수 평가기관 체제로의 도입 근거를 마련하였습니다.
    개정된 법령 및 지침에 의하면 평가기관은 한국인터넷진흥원과 인증기관으로부터 승인받은 기관으로 정의하고 있습니다. 따라서, 우리 원 뿐만이 아니라 인증기관으로부터 평가기관으로 승인받은 기관에서도 평가를 수행할 수 있습니다.
    현재, 인증기관으로부터 평가기관으로 승인받은 기관은 아래와 같습니다.
    - 한국산업기술시험원(KTL) : 2007년 7월 승인
    - 한국시스템보증(KOSYAS) : 2007년 8월 승인
    - 한국IT평가원(KSEL) : 2009년 8월 승인
    - 한국정보통신기술협회(TTA) : 2009년 10월 승인
  • Q.“공정하고 투명한 평가서비스”를 제공하기 위하여 한국인터넷진흥원은 어떤 노력을 하고 있나요?
    한국정보보호진흥원의 임직원은 “공정하고 투명한 클린행정”을 정착시키기 위하여 '클린행정 서약서'를 작성하여 고객님들에게 제공하고 있으며 고객님들로부터는 '클린행정 협조서' 작성을 요청하고 있습니다.
    또한, 고객만족을 위해 5대 실천강령 및 임직원 실천서약을 홈페이지에 공지하여 공정하고 투명한 평가서비스를 제공하기 위해 노력하고 있습니다.
  • Q.국내용 인증과 국제용 인증(CCRA 인증)이 동일한 효력을 갖는지요?
    국내용 인증은 내수용 공급을 희망하시는 업체에서 신청하시게 되며, 국제용 인증(CCRA 인증)보다 평가기간이 감소되는 효과가 있습니다.
    국내용 인증, 국제용 인증(CCRA 인증) 모두 국내에서는 동일한 효력을 갖게 됩니다.
    다만, 국내용 인증은 공통평가기준(CC)을 통한 평가결과를 상호 인정하는 CCRA(Common Criteria Recognition Arrangement) 회원국 간에는 인정되지 않습니다.
  • Q.국내용 평가와 국제용 평가(CCRA 평가)란 무엇인가요?
    평가기준은 국제용 평가(CCRA 평가), 국내용 평가 모두 공통평가기준(CC)으로 동일하며, 평가기관에 제출하시는 평가제출물 또한 동일합니다. 다만, 국제용 평가에서는 CCRA(Common Criteria Recognition Arrangement) 수준의 제품 평가를 수행하게 되며, 국내용 평가에서는 평가산출물을 간소화하고 제품 취약성 등 핵심부분을 집중 검토하게 됩니다.
    국제용 평가 인증서는 CCRA에 가입되어 있는 회원국들에서도 인정을 받게 되는 반면, 국내용 평가 인증서는 국내에서만 인정됩니다. 국내용, 국제용 인증서 모두 국내에서는 동일한 효력을 갖고 있습니다.
  • Q.어떠한 제품들을 평가신청 할 수 있나요?
    정보보호시스템 평가·인증 지침(행정안전부고시 제2009-51호)에 의거 모든 정보보호시스템에 대한 평가신청이 가능합니다. 평가의 대상이 되는 정보보호시스템의 정의는 다음과 같습니다.
    - 정보보호시스템 : 정보의 수집·저장·검색·송신·수신 중에 정보의 훼손·변조·유출 등을 방지하기 위한 기술적 수단을 총칭
  • Q.자체개발 또는 공개된 운영체제를 기반으로 개발된 정보보호제품에 대한 평가를 신청할 경우, 해당 운영체제에 대한 보증문서를 제출해야 하나요?
    현재 TOE 범위에 포함되지 않는 경우 해당 운영체제에 대한 보증문서를 제출하실 필요가 없습니다.
  • Q.평가제도에 대해 궁금합니다. 관련 자료를 어디서 구할 수 있나요?
    저희 한국인터넷진흥원은 국가정보화기본법 제38조 및 동 시행령 제35조에 따라 정보보호제품의 안전·신뢰성을 제고하기 위해 정보보호시스템 평가업무를 수행하고 있습니다.
    저희 원 홈페이지(http://www.kisa.or.kr)의 보안성평가 메뉴에서 "평가인증 제도" 세부 메뉴를 클릭하시면 평가제도에 대한 소개 및 관련 자료를 구하실 수 있으니, 참조 하십시오.
  • Q.평가진행중인 제품의 현재 상황을 알고 싶습니다. 평가 진행중인 정보를 어떻게 조회할 수 있나요?
    평가진행중인 제품에 대한 평가진행현황은 평가현황공유 시스템을 이용하시면 됩니다.
    자세한 이용 방법은 “평가현황공유 시스템 > 가이드 다운로드” 를 참조하시면 됩니다.
  • Q.보안기능이 하드웨어로 구현된 경우 평가신청은 어떻게 하나요?
    평가 신청 시 제출하는 평가제출물의 수준은 평가보증등급에 따라 상이합니다.
    신청하신 평가보증등급이 구현과 관련된 요구사항인 ADV_IMP를 포함하고 있다면 구현의 표현을 제출하셔야 합니다. 구현의 표현이라 함은 소프트웨어로 구현된 제품인 경우 소스코드를, 하드웨어로 구현된 제품인 경우 하드웨어 다이어그램, 하드웨어 설계언어 코드, 하드웨어 레이아웃 데이터 등을 의미합니다. 따라서, 보안기능이 하드웨어로 구현된 경우 평가보증등급에 따라 상기 제출물을 준비하시면 됩니다.
  • Q.상호인정협정(CCRA)이란 무엇인가요?
    상호인정협정은(CCRA : Common Criteria Recognition Arrangement) 정보보호제품의 평가인증 결과를 가입국가간 상호 인정하는 협정으로서 미국, 영국, 프랑스 등 선진국을 중심으로 시작되었습니다.
    CCRA의 주요 목적은 정보보호제품 평가에 국제표준인 공통평가기준(Common Criteria)을 적용하여 제품의 보안성을 강화하고, 국제적으로 안전성이 검증된 정보보호제품의 이용을 활성화하며, 국가간의 중복적인 평가비용 및 노력을 절감하기 위한 것입니다.
    현재 전 세계적으로 25개국이 CCRA에 가입되어 있으며, 우리나라는 2006년 상반기에 CCRA 인증서 발행국(CAP)에 가입하였습니다. 우리나라가 CCRA에 가입함으로써 국내에서 인증 받은 제품이 국외에서도 인정받게 되어 국제인증에 드는 경비 최소화, 평가기간 단축, 해외시장 개척 기회 확대 등 긍정적 역할을 할 것으로 기대됩니다.
  • Q.정보보호제품 평가란 어떤 의미인가요?
    정보보호제품 평가라 함은 평가신청인이 제출한 정보보호시스템 또는 보호프로파일이 공통평가기준에 부합하는지 여부를 평가기관이 확인하는 것을 말합니다. 공통평가기준은 행정안전부 장관이 고시한 "정보보호시스템 공통평가기준"을 말하며, 다음과 같이 총 3부로 구성되어 있다.
    1. 1부는 정보보호시스템 보안성 평가의 원칙과 일반개념을 정의하고 평가의 일반적인 모델을 설명하는 소개부분으로, IT 보안목적을 표현하고 IT 보안요구사항을 선택?정의하며, 제품 및 시스템의 상위수준 명세를 작성하기 위한 구조를 소개한다.
    2. 2부는 보안기능요구사항을 표준화된 방법으로 표현한 것으로 기능 컴포넌트들의 집합으로 구성되며, 기능 클래스, 기능 패밀리, 기능 컴포넌트로 분류된다.
    3. 3부는 보증요구사항을 표준화된 방법으로 표현한 것으로 보증 컴포넌트들의 집합으로 구성되고, 보증 클래스, 보증 패밀리, 보증 컴포넌트로 분류되며, 보호프로파일 및 보안목표명세서에 대한 평가기준을 정의한다.
  • Q.평가수수료는 언제 납입해야 되나요?
    평가수수료는 평가기관이 정한 방법에 따라 납부하도록 하고 있습니다.
    저희 한국인터넷진흥원은 평가계약이 체결된 날로부터 15일 이내에 평가수수료의 50%를 납부하고, 평가 종료 후 15일 이내에 평가수수료 잔액을 납부하도록 규정하고 있습니다. 평가수수료의 정확한 납부 시점은 평가계약서에 상세히 명시되어 있으니 계약서를 따르시면 됩니다.
  • Q.평가신청시 원시코드를 제출해야 하나요?
    원시코드의 제출 여부는 평가보증등급에 따라 다릅니다.
    평가보증등급이 구현의 표현과 관련된 ADV_IMP를 포함하고 있다면, 원시코드를 제출하셔야 합니다.
  • Q.인증서는 언제 발급받나요?
    평가기관은 평가가 완료되면, 최종 평가보고서를 인증기관에 송부하게 됩니다.
    보고서를 수령받은 인증기관은 평가결과의 적합성을 심의하기 위해 인증위원회를 개최하고, 심의결과 적합으로 판정된 경우 신청인에게 인증서를 발급합니다.
    평가종료 후 인증서를 발급받기 까지는 보통 2~3주 정도 소요됩니다.
  • Q.기 계약된 제품의 보증등급 변경, 제품명 변경 등 계약내용 변경이 가능한가요?
    기 계약된 제품이라도 계약내용에 대한 변경이 가능합니다.
    계약내용 변경이 가능한 항목은 제품명 또는 버전 변경, 운영체제 또는 버전 변경, 업체명 또는 대표자명 변경, 평가 보증 등급 변경 등이 있습니다.
    평가착수 전에 계약내용이 변경되는 제품에 대해서는 변경 내용에 따라 제출물 검토 등 추가적인 처리가 필요할 수 있으며, 평가중인 제품에 대해서도 변경 내용에 따라 평가기간에 영향을 줄 수 있으니 이 점 양지하시기 바랍니다.
  • Q.보안목표명세서(ST:Security Target) 작성 시 보증등급이 상이한 2개 이상의 보호프로파일을 동시에 수용할 수 있나요?
    공통평가기준(CC:Common Criteria)의 원칙에 따라 보증등급이 다른 2개 이상의 보호프로파일을 동시에 수용하실 수 있습니다.
    보증등급이 다른 보호프로파일을 수용할 경우 보증등급이 높은 보호프로파일의 보증수준으로 제출물을 작성해야 합니다. 예를 들어, 네트워크 침입방지시스템(IPS) 보호프로파일(EAL4)과 국가기관용 가상사설망 보호프로파일(EAL3+)을 동시에 수용하여 평가를 신청하면 보증등급은 EAL4+가 됩니다.
  • Q.국외에서 개발된 정보보호제품도 평가 신청을 할 수 있나요?
    정보보호시스템 평가·인증제도는 국내·외 개발 제품을 구분하지 않기 때문에 해당 제품에 대한 평가제출물을 준비하여 평가를 신청하실 수 있습니다.
  • Q.국가기관 및 공공기관 이외의 곳에 판매되는 정보보호제품에 대해 반드시 평가를 받아야 하나요?
    민간기관 등은 사용자 판단에 의존적이기 때문에 반드시 평가를 받으실 필요는 없습니다. 그러나, 최근 보안성 및 신뢰성 검증의 중요성으로 인해 민간기관 등에서도 점차 평가를 받은 제품을 선호하고 있는 추세입니다.
  • Q.국내에서 공통평가기준(CC)으로 평가·인증된 제품이 국외에서, 국외에서 공통평가기준(CC)으로 평가·인증된 제품이 국내에서 상호 인정되나요?
    우리나라는 2006년 5월에 상호인정협정(CCRA : Common Criteria Recognition Arrangement) 인증서 발행국(CAP)에 가입되어 국내에서 평가·인증된 제품(국제용으로 인증된 제품에 한함)은 CCRA에 가입된 회원국에서 인정받으며, 국외 인증서 발행국에서 평가·인증된 제품 또한 국내에서 인정 받습니다.
  • Q.공통평가기준(CC)에서 평가보증등급(EAL)의 차이점은 무엇인가요?
    공통평가기준(CC)에서는 평가대상 제품의 보증등급을 EAL1에서 EAL7까지 7단계의 계층적인 등급으로 정의하고 있습니다.
    평가보증 등급이 상대적으로 높다는 것은 해당 제품에 대해 더 많은 부분을 더욱 상세하고 엄밀하게 검토 및 시험하였다는 것을 의미합니다. 일반적으로 평가보증등급이 높을수록 개발자가 제공해야 할 제출물의 양이 많아지며, 평가자가 검토해야 될 부분 및 검토의 수준이 높아지게 됩니다.