상세 컨텐츠

본문 제목

VB100, GS 인증, ICSA, 체크마크? 보안 인증 상식을 UP하자!

안전한 PC&모바일 세상/PC&모바일 TIP

by 알약(Alyac) 2014. 1. 23. 13:44

본문

 보안 인증에 대한 상식을 업그레이드! 해보도록 하겠습니다.

 

알약이 ㅇㅇ인증을 받았다! 라는 뉴스를 종종 접해본 적이 있으실 겁니다.(본적이 없으시면 여기를 클릭!!)

최근에는 윈도 서버 2008 환경에서 vb100인증을 획득하기도 했습니다. 

서버 부분은 인증받기가 쉽지 않습니다. 흑..


그런 뉴스를 접할 때마다, 대부분

"뭘 인증받았다는 거야? 알약이랑은 무슨 관계인데?" 라고 생각하고 무심코 지나치실 텐데요.


예를 들어, 마트에서 특정 물건을 살 때...

제품 뒷면에 품질보증마크가 붙어있는 걸 본 적이 있으실 겁니다.


이 품질보증마크는 이 제품이 품질, 기능, 디자인, 안정성 등의 엄격한 기준을 통과했다는 것을 나타냅니다. 즉, 공신력을 지닌 기관이 어떤 기술이나 제품에 대해 보증해 주는 것이 `인증'입니다.


그리고 '알약'같은 정보보안제품에도 관련하여 품질이나 성능을 검증하는 인증기관과 인증들이 있습니다.

여러 보안업체는 제품에 대한 사용자의 신뢰를 얻기 위해 자사의 보안 솔루션을 내세워 까다로운 '인증'을 획득하기 위해서 노력합니다. 보안 인증은 이 보안 제품은 안전하게 사용할 수 있다. 그것을 우리가 꼼꼼하게 확인했고, 일정 기준을 갖췄다라는 것을 사용자에게 이해하기 쉽게 알려주는, 일종의 중요한 표시인 것입니다!


보안제품은 사용자에게 '신뢰'를 주는 것이 특히 중요합니다. 공인된 인증기관의 인증을 거친 제품이라면? 믿고 사용할 수 있겠죠. 알약이 계속해서 관련 보안 인증을 획득하려고 노력하는 이유 중 하나입니다.


그러면 인증에는 어떠한 것들이 있는지 알아봅시다. 크게 국내인증과 해외인증으로 나누어 설명하겠습니다.



PART1. 국내인증


국내인증에는 요즘 핫이슈인 CC인증이 있습니다.

국가나 공공기관에 정보보호시스템 또는 정보보안제품을 공급하려면 반드시 받아야 하는 인증입니다.

알약을 비롯한 보안업체가 더욱 바빠지고 있지요.


평가기관은 KISA(한국인터넷진흥원), TTA(한국정보통신기술협회), KTL(한국산업기술시험원), KOSYAS(한국시스템보증), KSEL(한국아이티평가원)으로, 평가 제품이 기업 및 정부기관에 중요한 정보보안 제품으로서 갖춰야 할 신뢰도 기준에 부합하는지 판단합니다. (평가기관은 곧 6개로 늘어날 예정입니다.)

 

올해 2월 1일부터는 제도가 개편되어 CC인증을 받은 보안 시스템과 솔루션을 3년마다 갱신해야 하는데요.

이 정부방침은 보안 취약점을 노리는 해킹 공격들이 점차 고도화됨에 따라, 3년마다 이를 점검하겠다는 의미입니다. 모바일단말관리(MDM), 소스코드 보안 취약성 분석도구(시큐어 코딩), 전자여권 등이 추가되면서 CC인증의 의무제품군도 확대될 예정이라고 하네요.


CC 인증 관련 기사 보기

CC인증 제도 이렇게 달라진다

출처 : 전자신문


또한 최근 이스트소프트·SGA·안랩·하우리·윈스테크넷·시큐아이·엑스게이트 등 7개 사가 주도한 KCCUF(한국CC사용자포럼)의 발족을 통해, 앞으로 CC인증의 효율성과 글로벌 경쟁력의 제고가 가능할 것으로 전망됩니다.


그 밖에도 다음과 같은 인증들이 있습니다.


 종류

설명 

 

GS 인증

 

 * 우수한 품질의 소프트웨어에 부여하는 인증

 * 소비자와 기업이 우수한 소프트웨어 제품을 믿고 사용할 수 있도록 도입한 제도

 * 유효기간 3년

 * 국가가 인증 부여

 * 평가 기준은 지식경제부가 고시한 소프트웨어 기술성 평가기준에 따름


 

ISMS 인증

 * 정보통신망기업 및 조직 내의 정보자산이 안전하게 관리됨을 검증

 * 유효기간 3년

 * 한국인터넷진흥원(KISA)이 주관

 * 획득 후 매년 1회 사후 심사를 받아야 함

 * 연 100억원 이상 매출 혹은 하루 평균 이용자 수 100만명 이상 사업자는 의무

 

PIMS 인증

 * 고객정보의 보호조치가 개인정보보호표준에 맞게 구축되어 있는지 평가

 * 방송통신위원회 주관

 * 정보통신망법의 적용 대상

 * 심사 항목으로 크게 관리과정, 보호대책, 생명주기 분류

 

PIPL 인증

 * 정부가 개인정보보호법 준수기관을 인증

 * 안전행정부 주관

 * 개인정보보호법 적용

 * 2013년 11월 29일 본격 시행

 * 공공기관, 대기업, 중소기업, 소상공인에 이르는 개인정보 처리자가 각 특성에 따라 인증 신청 가능

 * 심사 항목 : 해당 기관의 개인정보 보호 관리 체계 구축, 개인정보보호 대책 구현 여부

 

ISO27001 인증

 * 국제표준 정보보안경영시스템 인증이라고도 함

 * 국제표준화기구(ISO)에서 제정

 * 기업의 정보를 위협하는 요소들을 파악하고 관리하는 정보보호체계의 국제 표준

 * 27001은 요구사항, 27002는 실행지침을 다룸

 * 현 ISO27001은 8년만에 ISO 27001:2013으로 개정된 것

PIA 인증

 

 * 개인정보영향평가 인증

 * 시스템의 구축, 운영, 변경 이전에 프라이버시에 미치는 영향 사전 파악, 개선 절차 거침

 * 일정 규모의 개인정보를 취급하는 정보시스템을 구축하거나 운용, 변경, 연계할 경우에는 이를 통해 개인정보 침해위협으로부터 보호받도록 개인정보보호법에 규정

 

* 이미지 출처 : 각 인증 기관의 홈페이지(ktl, ISO, KISA, NIA)



PART2. 해외인증


다음으로 해외인증입니다.

오히려 국내보안인증보다도 보안에 관심이 있는 분들이라면, 꼼꼼히 체크하시는 부분이죠.


업계에선 ICSA, VB100, Checkmark, AV-TEST를 공신력있는 국제 인증으로 평가하고 있습니다.

글로벌 알약! 이 되기 위해서, 알약을 비롯한 국내 보안업체들은 자사의 제품을 내세워 해외인증을 획득하기 위해 노력하고 있습니다. 이는 향후 글로벌 보안시장 진출을 위해서도 중요한 일이지요.


그럼, 각각의 평가 기준과 의미하는 바에 대해 말씀드리도록 하겠습니다.


 종류

설명 



Checkmark

 

 * 영국 Westcoast Lab에서 주관

 * 하드디스크에 위치하여 감염된 샘플에 대해 100% 탐지해야 인증 획득

 * 악성코드 샘플은 Wildlist 및 Westcoast Labs에서 직접 채취한 샘플 조합

 * 평가 신청자가 테스트 할 OS 직접 선택 가능

 


ICSA

 

 * 미국 ICSA Labs에서 주관

 * 미국의 암호검증(CVP) 평가 업무도 수행하는 대표적인 민간보안평가기관

 * 악성코드샘플인 Wildlist, Common Infectors, Zoo malware를 100% 탐지 테스트 및 치료 동작 테스트

 * 오탐이 없어야 인증 획득

 * 평가 신청자가 테스트 할 OS 직접 선택 가능

 


VB100

 

 * 영국 악성코드 전문 매거진 발행회사 Virus Bulletin에서 주관

 * 전 세계에서 실제 감염 활동이나 발견 보고가 있었던 악성코드들의 샘플목록인 Wildlist를 오탐 없이 100% 탐지해야 인증 획득

 * 평가 신청자가 OS를 직접 선택할 수 없음, 스케줄이 고정되어 있음

 * 평가는 대략 1개월 소요

 

 

AV-TEST

 * 독일 AV-TEST에서 평가 수행
 * 악성코드 감염으로 인한 변화 분석 시스템 SUNSHINE, 멀티스캔 시스템 VTEST와 
데이터베이스 FLARE 갖춤, 테스트의 범주는 탐지, 치료, 사용성 및 성능

 * 각각 6점 만점으로 총 10점 이상 획득해야 인증 획득 가능(각 범주에서 최소 1점 이상 획득)

 * 테스트된 성능은 업계 평균 기준 백분율 값 표시, 범주 결과는 막대 차트 형태로 제공

* 이미지 출처 : 각각 인증 기관의 홈페이지(Westcoast Lab, ICSA Labs, Virus Bulletin, AV-TEST)



이런 인증은 제품이나 서비스의 품질과 수준이 지속적으로 유지되어야 하기에 일회성으로 끝나지 않습니다. 

한번 인증받았다고 계속 인증해주는것이 아니구요. 정기적인 테스트를 통해 인증의 수정과 갱신을 지속적으로 하는 등의 과정이 필요합니다. (버전이 업데이트되면, 그 인증을 또 다시 받아야 한다는 사실..)


알약은 현재 Checkmark, ICSA, VB100 테스트를 모두 획득하였으며, 향후 AV-TEST 인증도 획득할 수 있도록 최선을 다하겠습니다. 앞으로도 지속적인 인증 획득을 통해 사용자 여러분께 '알약'의 우수성을 인정받도록 노력하겠습니다.




관련글 더보기

댓글 영역