보안 인증 체계란?
보안 인증은 제품이나 조직의 보안 수준이 일정 기준을 충족함을 공인 기관이 검증하는 제도입니다. 정보보안기사 시험에서는 CC, ISMS-P, ISO 27001의 개요와 차이점이 반복 출제됩니다.
CC 인증 (Common Criteria)
IT 보안 제품의 안전성을 평가하는 국제 표준(ISO/IEC 15408)입니다.
핵심 개념
- PP(Protection Profile): 특정 제품군의 보안 요구사항 명세
- ST(Security Target): 평가 대상 제품의 보안 명세서
- TOE(Target of Evaluation): 평가 대상 제품 또는 시스템
- EAL(Evaluation Assurance Level): 평가 보증 수준, EAL1~EAL7
EAL 등급
- EAL1: 기능 시험 (가장 낮음)
- EAL4: 방법론적 설계·시험 및 검토 (가장 일반적으로 요구되는 등급)
- EAL7: 형식적으로 검증된 설계 (가장 높음)
ISMS-P (정보보호 및 개인정보보호 관리체계)
조직의 정보보호 관리체계를 인증하는 국내 제도로, 과학기술정보통신부·개인정보보호위원회가 공동 운영합니다.
인증 구조
- ISMS: 정보보호 관리체계 인증 (80개 통제항목)
- ISMS-P: 개인정보보호까지 포함 (102개 통제항목)
의무 인증 대상
- 연매출 1,500억 이상 또는 정보통신서비스 매출 100억 이상 사업자
- 일일 평균 이용자 100만 명 이상
- 상급 종합병원, 학교 등 일부 기관
인증 유효기간
최초 인증 3년, 이후 매년 사후 심사 실시
ISO/IEC 27001
정보보안 관리체계(ISMS)에 대한 국제 표준입니다.
- 구성: ISO 27001(요구사항) + ISO 27002(실무 지침)
- PDCA 사이클: Plan-Do-Check-Act 기반의 지속적 개선
- 부속서 A: 93개 보안 통제 항목(2022년 개정판 기준)
- 인증기관: UKAS, DAkkS 등 인정 기관 산하 심사기관
세 인증 체계 비교
- CC: IT 보안 제품 평가 (제품 중심)
- ISMS-P: 조직의 정보보호·개인정보 관리 인증 (국내 법적 의무)
- ISO 27001: 조직의 정보보안 관리체계 인증 (국제 표준)
시험 핵심 암기사항
- CC EAL4: 국내 공공기관 보안 제품 요구 등급
- ISMS-P 관리체계 수립: 16개 항목 / 보호대책: 64개 항목 / 개인정보처리: 22개 항목
- ISMS-P 심사 유형: 최초심사, 사후심사, 갱신심사
- ISO 27001:2022 주요 변경: 통제항목 114개→93개로 재편
마무리
보안 인증 체계는 이론 위주로 출제되므로 각 인증의 목적과 대상, 구성 요소를 표로 정리해 비교하며 암기하는 것이 효율적입니다.