Page 261 고등학교 정보통신 교과서
P. 261
2 보안 인증과 관리 체계
정보 보호 관리 체계를 도입한 이유를 설명해 보자.
시스템이나 소프트웨어를 구매하는 조직이나 기업은 보안 문제에 관해 안전한지
확인할 수 있어야 하며, 판매자 입장에서도 자신의 제품이 안전한지 평가해 주는 인
증 기관이 필요하다.
1 보안 인증
보안 인증 기술은 크게 미국의 TCSEC(Trusted Computer System Evaluation Criteria),
유럽 연합의 ITSEC(Information Technology Security Evaluation Criteria), 국제 공통
의 CC(Common Criteria)로 구분할 수 있다.
(1) 미국의 보안 인증 TCSEC
TCSEC는 미국의 컴퓨터 보안 평가 지침서로, 하드웨어 및 소프
미국 보안 등급
트웨어 확인 등급을 이용해 기밀 또는 분류 정보의 보안을 평가하
TCSEC
는 기준이다.
D 최소한의 보호
보안 수준에 따라 A1(최고 수준 보안)에서 D(최소 보안)에 이르
C1 임의적 정보 보호
는 7등급(A1, B1, B2, B3, C1, C2, D)으로 보안을 규정한다.
C2 통제된 접근 보호
TCSEC는 기밀성, 무결성, 가용성 중에서 기밀성이 우선되는 군 B1 규정된 보호
사 및 정부 기관에 적용하기에는 무리가 없었지만, 무결성과 가용 B2 구조화된 보호
성이 요구되는 금융 및 데이터 처리 분야에 적용하기에는 다소 취 B3 보안 영역
약하다는 단점이 있다. A1 검증된 보호
(2) 유럽 연합의 보안 인증 ITSEC
유럽 연합 보안 인증
ITSEC는 유럽의 여러 나라들이 각각의 보안 평가 기준 중복을
ITSEC
개선하기 위하여 유럽 각국의 기준뿐만 아니라 미국의 TCSEC의
E0 부적절한 보증
내용을 참조하여 1991년 발표한 유럽 국가들의 공동 보안 지침서 E1 비정형적 기본 설계
이다. E2 비정형적 상세 설계
TCSEC이 기밀성만을 강조한 것과 달리 ITSEC은 무결성과 가용 E3 소스 코드와 하드웨어 도면 제공
성을 포괄하는 표준안을 제시하였다. E4 준정형적 기능 명세서, 구조 설명서, 상세 설
계서
또한 지역적 제한은 있지만 국제 표준을 지향하는 최초의 보안
E5 설계에 밀접하게 일치
평가 기준으로 평가받고 있다.
E6 정형적 기능 명세서, 구조 설명서
4. 정보 보안 실무 259
정보통신 3차제출본.indb 259 2017-09-06 오후 5:02:19
