검토 중인 보안 솔루션이 인는데 CC인증을 받지 못한 제품입니다
제조사에서는 CC인증을 충분히 통과할 수 있으나
필요성이 없어 인증을 받지 않았다고 합니다
다른 회원분들은 CC인증 여부를 어떻게 받아들이시나요?
보안솔루션 선택시 CC인증 여부
검토 중인 보안 솔루션이 인는데 CC인증을 받지 못한 제품입니다
제조사에서는 CC인증을 충분히 통과할 수 있으나
필요성이 없어 인증을 받지 않았다고 합니다
다른 회원분들은 CC인증 여부를 어떻게 받아들이시나요?
12개의 답변이 있습니다.
CC인증 별로 중요치 안게 생각하지만 만약 사고 터지면 넌 왜 인증도 못받은 제품 사서 이 난리냐 할께 뻔한지라..(IT도 모르는 양반들이....) 가급적 CC, GS 이런 인증 받은제품으로 선택
CC인증을 받았다고 하더라도 기능추가나, 소스변경 등이 있으면 다시 재심사를 받아야되는 것이 CC인증입니다.
따라서 CC인증 후 사용자에게 판매되는 과정에서 프로그램의 업데이트나 기능 추가, 소스 변경 등이 이루어지기 때문에 CC인증 제품을 구매하신다고 하더라도 엄밀하게 이야기하면 인증 받은 제품을 구매하는 것이 아니게 됩니다.(인증받은 제품이라고 해서 비인증 제품에 비해 특별히 보안성이 뛰어나고 좋을 것이다 라고 생각하는 것은 잘못된 생각입니다.)
다만 CC인증 제품을 도입하실때 의미를 갖는 것은 제품이 해당 제품군에서 요구하는 기.본.적.인 보안 기능 및 수준을 만족하고, 이를 타 기관에서 인정하였으므로 도입 후 문제 발생시 보안담당자의 책임이 경감될 수 있다라는 점에 있을 것입니다.
전산업무를 진행하실 때 각종 감사를 받고 계신다면 아무래도 인증을 받은 제품을 구매하시는 것이 추후 문제 발생 소지가 적겠고, 감사와 무관한 전산 업무를 진행하고 계신다고 하면 굳이 CC인증 제품을 구매하지 않고 레퍼런스 위주로 보셔도 되지 않을까 합니다.
추가로 CC인증을 받을 수 있는 제품 카테고리가 한정적이기 때문에 해당 카테고리에서 정의되는 제품이 아닐 경우에는 CC인증 자체를 받지 못하는 경우도 있습니다.
참고하세요..^^
CC (Common Criteria)인증 제도는 제품의 보안성 검증에 대한 국제적 기준이기 때문에, CC인증을 받은 제품을 사용하는 것이 더 좋다고 생각하고 있습니다.
한국도 CCRA에 소속된 CC 인증 발행국이며, CCRA에 의해 가입국 중 어느 한 국가의 평가기준에 의해 인증된 제품은 다른 국가에서도 별도의 인증 절차 없이 동일한 효력을 발휘할 수 있습니다. 다시 받을 필요가 없다는 것이죠.
외산 업체들도 자국이나 타국의 공공기관에 납품하기 위해서는 CC 인증이 거의 필수입니다.
제품의 코어가 변경이 될 때마다 제품 출시에 맞추어서 CC인증을 획득하기 위해 오래전 부터 준비를 합니다.
국내 공공기관 납품시에도 필수적으로 CC인증을 요구를하죠.
하지만, 국내에서는 CC 인증이 국내용 CC(국정원 CC라고 하더군요) 와 국제용CC 요렇게 두 가지로 나뉘어져 있습니다. 국내 공공기관에서 요구하는 CC인증은 거의 대부분이 국내용CC를 의미합니다.
미국이나 독일에서 CC EAL4+를 받은 제품이라 하더라도 한국의 공공기관 납품을 위해서는 국내용 CC EAL2+ 이상을 다시 받아야 합니다.
그래서 국내용CC인증 제도가 외산 보안제품에 대한 진입장벽으로 작용해 왔었습니다.
현재는 여러 국가들과의 FTA로 인해서 국내용 CC가 무의미해 진 것 같아보이지만, 아직도 대다수의 공공기관 RFP에는 국내용CC인증 혹은 국정원 보안적합성 검증을 요구하고 있다고 하더군요.
guest | 9년 이하 전
오 진한 전문가의 냄새가 나시네요 ^^ 비꼬는거 아니구요 배워갑니다!
예전 연구소 근무 시 직접 CC인증을 Kisa에서 받아본 결과를 말씀드리겠습니다.
단순히 CC인증이란건 누가 적법한지 인증해 준다는 의미가 아닙니다.
프로그램 코딩부터 테스트 방법까지 솔루션에 대한 기본기부터 완성도를 높이는 검증 및 수정작업이라고 생각하시면 됩니다.
단순히 개발자 맘대로 아키텍쳐를 구현하는게 아니라 기본 전제조건을 충족하여 보다 안전하고 품질이 보장되는 제품을 만들수 있도록 하는겁니다.
왜 인증기간이 오래걸리는 줄 아시나요? 서류만들고 심사기간이 오래걸리는 게 아닙니다. 기준에 맞춰 코드 수정하고 아키텍쳐를 변경해야 하기 때문에 오래걸리는 겁니다..
지금은 솔루션 도입하는 위치에 와있지만 CC인증 받은 제품과 안받은 제품에 대한 평가는 정확하게 하고 있습니다.
물론 레퍼런스도 중요합니다만 구매자 위치에 있다보면 성능과는 상관없이 이해타산으로 구매하는경우가 발생합니다.
제 경우에 제품만 보고 구입한다고 하면 레퍼런스보다 무조건 CC인증 받은 제품으로 선택합니다.
(CC인증 받은 제품이 대부분 레퍼런스도 좋더군요~)
저는 레퍼런스도 CC 인증도 다 의미 없다고 봅니다.
누가 쓰던지 말던지 현재 상황과 미래를 생각해서 우리에게 맞는 적합한 제품을 고르는 것이 중요하다고 생각합니다.
많은 분들의 의견이 CC인증 보다는 레퍼런스나 기능을 우선시 하고 있는 것 같은데요.
저는 조금 다른 의견입니다.
침입사고 등이 발생하였을 때, CC인증 제품인지 아닌지에 따라서 도입한 담당자의 책임이 달라집니다.
물론, 기능이나 레퍼런스도 중요하지만 한번 생각해보시는 것이 좋지 않을 까 싶습니다. ^^
특히 외산 밴드인 경우 CC인증에 극히 소극적입니다.
이는 과도한 인증 절차(핵심 기술 누출 우려)때문이라는 얘기를 많이 들었습니다.
큰 의미 없는 인증입니다. 실제 필요한 기능이 지원이 되는지 도입전 DEMO를 진행하시고
지속적인 업데이트와 유지보수가 가능한지...이런 부분만 체크하시면 될것 같네요..
guest | 9년 이하 전
네 검토중인 제품이 외산 제품이었습니다 ^^
레퍼런스를 많이 보시고 실제 사용하시는 분들 이야기 들어보세요.
회사 말씀하시면 아마도 대략적으로는 평가가 나올텐데요~ ㅎㅎㅎ
CC인증이 시간도 꽤 걸리고 비용도 상당히 든다고 하더군요 저는 인증보다는 레퍼런스나 미팅시 태도를 더 중요한 요소로 봅니다
외부기관 인증보다 해당제품의 고객 레퍼런스 먼저 분석해 보세요.
특히 금융권 / 대기업 고객 레퍼런스를 자세히 알아보시기 바랍니다.
금융권의 경우 제품 도입 시, 동종업계 레퍼런스 및 납품확인서 그리고 도입담당자 정보를 요구하는 곳도 있습니다.
이는 제조사의 말보다 현재 사용하고 있는 도입 담당자를 통해 확인하겠다는 취지입니다.
또한 도입 수량도 중요한데 부분도입을 한 것을 전체 도입으로 표기하는 경우도 있습니다.
금융권/대기업의 경우 도입비용이 크기 때문에 도입담당자가 최선을 다해 제품을 선정합니다.
향후 감사 대응 문제도 발생할 수 있기 때문에
도입 절차서, POC, BMT 기술평가지표를 모두 꼼꼼히 따져서 도입합니다.
guest | 9년 이하 전
레퍼런스 분석까지 요청해되 될런지...저희는 대기업이 아니라 받아들여질지 모르겠네요
CC인증이 사실상 공공기관 납품을 위한 자격이기에 공공시장에 관심이 없는 제조사라면 그럴수도 있겠네요
받으면 좋겠지만, 상황에 따라 받지 않는다해서 큰 문제가 있을까 싶은데요.
CC 인증을 받은 업체들은 CC 인증을 내세워 영업을 하고,
CC 인증을 받지 못한 업체들은 받을 필요있냐는 식으로 영업을 하고...ㅎㅎ
guest | 9년 이하 전
저도 큰 문제는 없다고 보는데 경쟁제안한 업체에서는 CC인증 없는 제품에 대해 우려의 이야기를 하네요 ㅎㅎ