정보보안기사 기출문제 총정리 ㉓ 보안 인증 체계 – CC·ISMS-P·ISO 27001

보안 인증 체계란?

보안 인증은 제품이나 조직의 보안 수준이 일정 기준을 충족함을 공인 기관이 검증하는 제도입니다. 정보보안기사 시험에서는 CC, ISMS-P, ISO 27001의 개요와 차이점이 반복 출제됩니다.

CC 인증 (Common Criteria)

IT 보안 제품의 안전성을 평가하는 국제 표준(ISO/IEC 15408)입니다.

핵심 개념

• PP(Protection Profile): 특정 제품군의 보안 요구사항 명세
• ST(Security Target): 평가 대상 제품의 보안 명세서
• TOE(Target of Evaluation): 평가 대상 제품 또는 시스템
• EAL(Evaluation Assurance Level): 평가 보증 수준, EAL1~EAL7

EAL 등급

• EAL1: 기능 시험 (가장 낮음)
• EAL4: 방법론적 설계·시험 및 검토 (가장 일반적으로 요구되는 등급)
• EAL7: 형식적으로 검증된 설계 (가장 높음)

ISMS-P (정보보호 및 개인정보보호 관리체계)

조직의 정보보호 관리체계를 인증하는 국내 제도로, 과학기술정보통신부·개인정보보호위원회가 공동 운영합니다.

인증 구조

• ISMS: 정보보호 관리체계 인증 (80개 통제항목)
• ISMS-P: 개인정보보호까지 포함 (102개 통제항목)

의무 인증 대상

• 연매출 1,500억 이상 또는 정보통신서비스 매출 100억 이상 사업자
• 일일 평균 이용자 100만 명 이상
• 상급 종합병원, 학교 등 일부 기관

인증 유효기간

최초 인증 3년, 이후 매년 사후 심사 실시

ISO/IEC 27001

정보보안 관리체계(ISMS)에 대한 국제 표준입니다.

• 구성: ISO 27001(요구사항) + ISO 27002(실무 지침)
• PDCA 사이클: Plan-Do-Check-Act 기반의 지속적 개선
• 부속서 A: 93개 보안 통제 항목(2022년 개정판 기준)
• 인증기관: UKAS, DAkkS 등 인정 기관 산하 심사기관

세 인증 체계 비교

• CC: IT 보안 제품 평가 (제품 중심)
• ISMS-P: 조직의 정보보호·개인정보 관리 인증 (국내 법적 의무)
• ISO 27001: 조직의 정보보안 관리체계 인증 (국제 표준)

시험 핵심 암기사항

• CC EAL4: 국내 공공기관 보안 제품 요구 등급
• ISMS-P 관리체계 수립: 16개 항목 / 보호대책: 64개 항목 / 개인정보처리: 22개 항목
• ISMS-P 심사 유형: 최초심사, 사후심사, 갱신심사
• ISO 27001:2022 주요 변경: 통제항목 114개→93개로 재편

마무리

보안 인증 체계는 이론 위주로 출제되므로 각 인증의 목적과 대상, 구성 요소를 표로 정리해 비교하며 암기하는 것이 효율적입니다.