검색
보안기능이 있는 IT 제품(즉, 정보보호제품)의 보안성을 평가기관에서 평가하고 이에 대한 결과를 인증기관에서 인증하는 제도입니다.
국제 표준으로 제정하고 국제상호인정협정(CCRA, Common Criteria Recognition Arrangement) 회원국이 공통으로 사용하는 공통평가기준(CC, Common Criteria) 및 평가방법론(CEM, Common Evaluation Methodology)을 평가기준 및 평가방법론으로 적용하고 있습니다.
현재 CC V3.1 R5 및 CEM V3.1 R5가 CCRA에서 승인한 최신 버전입니다.
다만, 국내용 인증은 CC V3.1 R2 및 CEM V3.1 R2를 적용하고 있습니다.
보안기능 개선으로 제품의 경쟁력을 높이고 국제 수준의 정보보호제품 신뢰성을 확보할 수 있도록 안전성과 신뢰성이 검증된 정보보호제품을 보급하는 것을 목적으로 합니다.
특히, 우리나라는 국가정보원이 필요성을 인정하는 정보보호제품의 경우 국가·공공기관에서 CC 인증 등 사전인증제품을 도입토록 하는 등 CC 인증제품을 활용하고 있습니다. 안전성 검증필 제품목록은 보안적합성 검증체계를 소개하는 국가사이버안보센터 웹사이트(https://www.ncsc.go.kr) "보안적합성 검증" 페이지를 참고하시기 바랍니다.
지능정보화기본법 제58조(정보보호시스템에 관한 기준 고시 등) 및 동법 시행령 제51조(정보보호시스템에 관한 기준 고시 등)에 의거하여 정보보호제품 평가·인증제도를 운영하고 있습니다.
과학기술정보통신부가 평가·인증제도 관련 법령 제·개정을 주관하며 관련 정책을 수립합니다.
국가보안기술연구소 IT보안인증사무국은 평가·인증제도 정책 수립을 지원하고 관련 정책을 시행하고 있습니다.
정보보호제품 평가·인증(CC 평가·인증) 제도 운영에 관한 구체적인 사항은 "정보보호제품 평가·인증 수행규정"에 정의되어 있으며 최신 개정 문서는 IT보안인증사무국 웹사이트의 "관련규정" 페이지에서 확인 및 다운로드가 가능합니다.
국제상호인정협정(CCRA, Common Criteria Recognition Arrangement)은 회원국간 CC 인증서를 상호인정하기 위한 공통평가기준 상호인정협정(Common Criteria Recognition Arragement)입니다. 우리나라는 2006년 5월에 CCRA 인증서 발행국의 지위로 가입하였습니다. CCRA 회원국 및 협정서는 CCRA 웹사이트(https://www.commoncriteriaportal.org)에서 확인할 수 있습니다.
IT제품의 보안성을 평가하기 위한 기준을 정의한 문서이며 ISO/IEC 국제표준이기도 합니다.
공통평가기준은 평가개념을 정립하고 평가에 필요한 보안기능컴포넌트와 보증컴포넌트를 정의하고 있습니다. 또한 제품의 신뢰성을 보증하는 수준을 차등화하여 제품 사용 환경 및 목적에 맞는 평가·인증을 받을 수 있도록 평가보증등급(EAL)을 정의하고 있습니다.
평가보증등급(EAL, Evaluation Assurance Levels)은 보증 수준을 판단하는 척도를 정의한 등급으로 EAL1에서 EAL7까지 정의되어 있습니다. EAL 등급에 따라 평가제출물, 평가범위 및 상세수준이 달라집니다. 다만, 등급이 높다고 하여 보다 많은 보안기능을 제공하는 것을 의미하는 것은 아닙니다.
정보보호제품을 개발 또는 제조한 회사가 CC 평가기관으로 평가신청을 할 수도 있고, 판매회사와 같이 개발회사와의 협력을 통해 제3자가 CC 평가기관으로 평가신청을 할 수 있습니다.
신청기관은 반드시 IT보안인증사무국 웹사이트에 공개된 CC 평가기관으로 평가신청을 해야 합니다. CC 평가신청과 관련된 세부 규정은 IT보안인증사무국 웹사이트에 공개된 "정보보호제품 평가·인증 수행규정"을 참고하시기 바랍니다. 이후 CC 평가기관은 업체와 평가계약을 체결한 정보보호제품에 대해 인증기관으로 인증신청을 합니다.
CC 평가기관이 평가를 수행합니다. CC 평가기관은 "정보보호제품 평가·인증 수행규정"에 의거 인증기관으로부터 승인받은 기관 또는 국내법에 의해 설립된 기관입니다.
인증기관은 평가기관을 승인하고 이들의 업무를 관리·감독합니다. 인증기관이 승인한 CC 평가기관은 현재 6개이며, 국내법에 의해 설립된 CC 평가기관은 현재 1개입니다. CC 평가기관 목록 및 연락처는 IT보안인증사무국 웹사이트에서 확인할 수 있으며, 평가기관 소개 및 평가신청 의뢰 등 평가기관에 대한 세부 사항은 해당 기관의 웹사이트를 참조하시기 바랍니다.
정보보호시스템 평가·인증 지침(과학기술정보통신부고시 제2017-7호) 정보보호시스템 평가·인증 등에 관한 고시 (과학기술정보통신부고시 제2022-61호)에 의거 한국전자통신연구원 부설 국가보안기술연구소의 IT보안인증 사무국이 인증기관 역할을 수행합니다.
정보보호제품 평가·인증제도에 관한 세부사항은 IT보안인증사무국 웹사이트에 게시된 "정보보호제품 평가·인증 수행규정"에 설명되어 있으니 참조하시기 바랍니다. CC 평가기관 웹사이트에 공개된 연락처를 통해 평가·인증제도 전반에 관한 문의 사항뿐만 아니라 평가절차에 대한 상세한 상담을 받을 수 있습니다.
※ 평가기관의 평가인증 사업소개/연락처 공지 웹페이지
한국인터넷진흥원(KISA) https://www.ksecurity.or.kr/kisis/subIndex/80.do
한국시스템보증(KOSYAS) https://www.kosyas.com/html/product/product01.php
한국아이티평가원(KSEL) https://www.ksel.co.kr/cc_summary.php
한국정보통신기술협회(TTA) https://sw.tta.or.kr/service/ccec_it.jsp
한국정보보안기술원(KOIST) http://www.koist.kr/sh_page/0201.php
한국기계전기전자시험연구원(KTC) http://www.ktc.re.kr/web_united/task/task.asp?pagen=1856
한국화학융합시험연구원(KTR) https://ktr.or.kr/test-evaluation/led/contentsid/1999/index.do
또한, IT보안인증사무국 웹사이트에 공개된 "정보보호제품 평가·인증 안내서"와 "정보보호제품 평가·인증 수행규정"을 참조하실 수 있습니다.
인증서 효력이 동일하지 않습니다.
국내용 인증서는 해외에서 인정받지 못합니다.
국제용 CC 인증서는 CCRA 회원국에서 인정받습니다.
인증제품의 형상을 변경한 경우 CCRA의 보증 연속성 요구사항(Assurance Continuity: CCRA Requirements) 최신문서에 따라 변경이 미치는 영향 정도를 분석하여 경미한 경우 인증제품의 변경을 승인한 것을 의미합니다. 변경이 미치는 영향 정도가 주요한 경우 재평가를 통해 새로운 인증서를 발급합니다.
인증제품 인증서의 유효기간이 만료되기 전에 인증서의 유효기간을 연장하는 것을 의미합니다. 상세한 절차는 다음 문서를 참조하시기 바랍니다.
- 정보보호제품 국내용 중간점검 및 인증서효력연장 수행 가이드
- CCRA 보조문서 보증 연속성 적용 가이드
개발업체에서 결정할 사안입니다. CC 인증서 획득 여부, CC 인증 시 준수해야 하는 사용자 요구사항 등은 개발업체에서 판단하여 선택해야 합니다.
다만, 정보보호제품이 CC 인증 필수제품 유형에 해당되고, 국가·공공기관에 판매하고자 하는 경우 CC 인증을 받아야 합니다. 이 때 제품 납품 기간 이전에 평가·인증이 종료될 수 있도록 평가기관과 일정을 미리 사전에 협의할 것을 권고드립니다.
CC 평가·인증제도는 CC 인증서를 획득하고자 하는 정보보호업체를 대상으로 CC 인증서를 획득할 수 있도록 지원하는 서비스를 제공합니다. CC 인증제품을 사용하는 것과 관련된 정책은 사용자가 결정할 수 있습니다.
다만, 국가·공공기관에서 정보보호시스템을 사용하고자 하는 경우 국가정보원의 보안적합성 검증 절차를 따라야 하며, 국가정보원이 필요성을 인정하는 정보보호제품의 경우 CC 인증제품을 사용해야 합니다.
해당 정보보호제품 유형 및 관련 절차 등은 보안적합성 검증체계를 소개하는 국가사이버안보센터 웹사이트 "보안적합성 검증" 페이지에 게재되어 있습니다.
정보보호제품 평가·인증(CC 평가·인증) 제도는 CC 인증서를 획득을 희망하는 개발업체 또는 제조업체를 대상으로 정보보호제품 평가를 수행하고 결과의 타당성 및 공정성을 확인하여 인증서를 발행하는 자율제도입니다. 민간기관의 경우, CC 인증제품을 사용하는 것과 관련된 정책은 사용자가 결정할 수 있습니다.
국내에서 평가된 CC 인증제품은 IT보안인증사무국 웹사이트 "인증제품" 페이지에서 확인할 수 있으며, CCRA 회원국에서 인증된 제품은 CCRA 웹사이트(https://www.commoncriteriaportal.org) "Certified products" 페이지에서 확인할 수 있습니다.
IT보안인증사무국 또는 CCRA 웹사이트에 공개된 CC 인증제품의 기본 정보를 확인하고 사용하시기를 권고 드립니다.
정보보호제품 평가·인증(CC 평가·인증) 제도는 정보보호제품 개발업체 또는 제조업체가 자율적으로 선택하여 평가신청하는 제도이므로 신청기관은 신청단계에서 국제용 또는 국내용을 선택할 수 있습니다. 국제용 인증제품과 국내용 인증제품의 적용 기준 및 절차가 동일하지 않고, 국제용 인증제품의 인증서는 CCRA 상호인정 협정에 따라 CCRA 회원국에서 상호 인정하나 국내용 인증제품은 국내에서만 유효하므로, 민간기관의 경우 사용자가 도입목적 및 용도에 맞게 자율적으로 선택하여야 합니다.
다만, 국가·공공기관에서 정보보호시스템을 사용하고자 하는 경우 국가정보원의 보안적합성 검증 절차를 따라야 하며, 국가정보원이 필요성을 인정하는 정보보호제품의 경우 CC 인증 등 사전인증제품을 도입해야 합니다. 해당 정보보호제품 유형 및 관련 절차 등은 보안적합성 검증체계를 소개하는 국가사이버안보센터 웹사이트 "보안적합성 검증" 페이지에 게재되어 있습니다.
국제용 인증서의 유효기간은 2017년 7월 10일부로 CCRA 협정에 의해 5년입니다. 국내용 인증서의 유효기간은 2021년 1월 13일 이후 발급된 경우 5년이고, 2021년 1월 12일 이전에 발급된 경우 3년입니다. 다만, 2021년 1월 12일 이전에 발급된 국내용 인증서가 인증서효력연장을 통과한 경우 인증서의 유효기간은 5년으로 연장됩니다.
국내용 인증서 유효기간이 5년으로 확대됨에 따라 인증서의 효력은 5년을 1회 연장할 수 있도록 개정되었습니다. 국내용 인증서를 발급받은 이후 이미 2회 이상 인증서효력을 연장한 제품의 경우 인증서효력연장이 허용되지 않습니다.
인증서 효력이 만료된 CC 인증제품을 사용하는 것과 관련해서는 각 사용자의 도입정책에 따라서 사용자가 판단해야 합니다.
국가·공공기관의 도입정책은 보안적합성 검증체계를 소개하는 국가사이버안보센터 웹사이트 "보안적합성 검증" 페이지를 참고하시기 바랍니다.
정보보호제품 평가·인증은 CC 인증제품에 버그 또는 결함이 없음을 보장하는 것이 아닙니다. 평가신청한 보안기능요구사항(국가용 보안요구사항, 보호프로파일 등)을 충족하고 평가보증등급 수준에 부합함을 검증하는 것입니다.
국제용 인증제품의 경우 제품 구성에 따라 달라질 수 있습니다. 인증범위가 제품 구성요소의 일부인 경우 제품 출시버전이 아닌 인증범위에 포함된 제품 구성요소 버전을 확인해야 합니다.
국내용 인증제품의 경우 판매한 제품과 도입한 제품의 버전이 일치해야 CC 인증제품입니다. 인증서 및 인증보고서와 제품 설명서를 비교하여 CC 인증제품의 평가범위가 동일한지 확인해야 합니다. 또한 형상관리 버전의 확인을 업체에게 요구할 수 있습니다.
국가·공공기관 도입 시 CC 인증이 필요한 제품 유형은 국가정보원에서 결정하며 국가사이버안보센터 웹사이트 "보안적합성 검증" 페이지에 공지되어 있습니다. 따라서 국가·공공기관 도입 관련하여서는 국가사이버안보센터 웹사이트 "보안적합성검증"의 "안전성 검증필 제품목록"을 확인하시기 바랍니다.
국가용 보안요구사항을 모두 만족하도록 제품을 구현하여 평가기관으로 국내용 CC 평가신청을 하거나, 국가용 보호프로파일이 존재하는 제품유형인 경우 해당 보호프로파일을 준수하도록 제품을 구현하여 평가기관으로 국제용 CC 평가신청을 하면 됩니다.
국내용 인증 시 적용되는 국가용 보안요구사항은 국가사이버안보센터 웹사이트 "보안적합성 검증" 페이지에 공개되어 있습니다. 국제용 인증 시 적용되는 국가용 보호프로파일은 IT보안인증 사무국 웹사이트에 공개되어 있습니다
국제용 및 국내용 CC 평가·인증은 IT보안인증사무국 웹사이트에 공개된 "정보보호제품 평가·인증 수행규정" 및 "정보보호제품 국내용 평가·인증 세부 수행절차"에 따라 진행됩니다.
국가·공공기관에 보급할 목적으로 평가·인증 신청한 정보보호제품이 국가용 보안요구사항을 만족하는지 검증하는 것을 의미합니다.
국제용 CC 인증과 달리 국내용 인증은 CC V3.1 R2 일부 및 국가용 보안요구사항을 적용하여 인증하는 제도입니다. 국내용 인증제품은 IT보안인증사무국 웹사이트에 등재됩니다.
"정보보호제품 국내용 평가·인증 세부 수행절차"는 "정보보호제품 평가·인증 수행규정"의 붙임으로 제공되며, IT보안인증사무국 웹사이트의 "자료실"에서 다운로드할 수 있습니다.
국내용 인증은 사용자의 요구에 의해서 받을 수 있으며, 제품의 보안기능에 대한 신뢰성을 객관적으로 입증할 수 있는 증빙서류로 활용될 수 있습니다. 또한, 국가·공공 기관 도입 요구사항에 부합하도록 인증을 받음으로써 제품의 보안기능에 대한 신뢰성을 보여 주는 자료로 활용 가능합니다.
국가·공공기관에 납품을 목적으로 국내용 평가·인증을 받고자 하는 경우 국가사이버안보센터 웹사이트 "보안적합성검증"의 "사전 인증이 필요한 제품 유형"을 먼저 확인하셔야 합니다.
국내용 평가·인증 절차에 대해서는 IT보안인증사무국 웹사이트에 있는 "정보보호제품 평가·인증 안내서"와 "정보보호제품 평가·인증 수행규정"을 참조하실 수 있습니다.
평가신청 문의 및 평가상담은 평가기관에게 할 수 있으며 IT보안인증사무국 웹사이트에 평가기관 연락처가 기재되어 있습니다.
평가·인증 절차는 "평가신청 → 평가계약 → 평가 → 인증 → 인증제품 관리" 등 5개 단계로 구성됩니다.
세부적인 국내용 평가·인증 절차는 "정보보호제품 국내용 평가·인증 세부 수행절차"에 규정되어 있으며, [별표 1] 정보보호제품 국내용 평가·인증 절차에서 신청기관, 평가기관, 인증기관의 단계별 역할을 표현한 흐름도를 제시하고 있습니다.
"정보보호제품 국내용 평가·인증 세부 수행절차"가 포함된 최신의 "정보보호제품 평가·인증 수행규정"은 IT보안인증사무국 웹사이트의 "자료실"에서 다운로드할 수 있습니다.
IT보안인증사무국 웹사이트에 평가기관으로 소개되는 7개 평가기관 중에서 선택하여 평가신청 문의를 하시면 됩니다.
평가신청서와 함께 평가보증등급에 따른 평가제출물을 제출해야 합니다. 평가보증등급 및 국내/국제 CC 여부에 따라 평가제출물이 달라지므로 평가기관을 통해 자문 또는 상담 받을 것을 권고드립니다. 평가보증등급(EAL, Evaluation Assurance Level)이 높아질수록 평가제출물이 많아집니다.
"정보보호제품 평가·인증 수행규정"과 "정보보호제품 국내용 평가·인증 세부 수행절차"의 별지 양식으로 규정하고 있으며 신청서 양식의 파일이 필요하신 경우 평가기관 웹사이트에 방문하여 파일을 다운로드 받으실 수 있습니다.
평가보증등급(EAL), 제품 복잡도, 평가제출물 완성도, 평가제품 완성도에 따라 평가기간이 상이합니다. 평가 소요기간은 평가기관에 문의하시기 바랍니다.
평가 종료 후 CC 인증 완료 시까지는 평가결과 보고, 인증보고서 작성, 인증서 발급 등으로 인해 추가 기간이 소요됩니다.
평가보증등급(EAL), 제품 복잡도, 평가제출물 완성도, 평가제품 완성도에 따라 평가기간이 상이하고 이에 수반되는 평가 비용도 상이합니다. 또한 평가비용 산정기준은 평가기관마다 수립하여 운영하므로 정확한 평가 비용은 평가기관에 문의하시기 바랍니다.
현재 인증기관(IT보안인증사무국)은 별도의 CC 인증 수수료를 부과하지 않습니다.
인증제품의 형상을 변경한 경우 "CCRA 보조문서 보증 연속성 적용 가이드"에 따라 인증제품의 변경이 보증에 미치는 영향을 분석하여, 경미한 변경 사항에 해당하는 경우 인증효력유지(변경승인)를 신청할 수 있으나 주요한 변경 사항에 해당하는 경우 인증효력유지 신청 대신 재평가를 신청할 수 있습니다.
인증효력유지(변경승인) 신청은 인증제품을 평가하였던 평가기관으로 신청하셔야 합니다. 신청 시 "정보보호제품 국내용 평가·인증 세부 수행절차"의 국내용 인증효력유지 신청서 및 보안영향분석서를 작성하여 제출하셔야 합니다.
상세한 절차는 IT보안인증사무국 웹사이트의 "자료실"에 게시되어 있는 "CCRA 보조문서 보증 연속성 적용 가이드"를 참고하시기 바랍니다. 인증효력유지(변경승인)에 대한 문의 및 상담은 평가기관에게 할 수 있으며 IT보안인증사무국 웹사이트에 평가기관 연락처가 기재되어 있습니다.
국내용 인증서의 유효기간은 2021년 1월 13일 이후 발급된 경우 5년이고, 2021년 1월 12일 이전에 발급된 경우 3년입니다. 다만, 2021년 1월 12일 이전에 발급된 국내용 인증서가 인증서효력연장을 통과한 경우 인증서의 유효기간은 5년으로 연장됩니다.
국내용 인증제품 인증서 유효기간을 연장하기 위해서는 최소한 인증서 만료일 120일(인증서 만료일이 2021.10.17. 이전인 인증제품은 90일) 이전에 인증서효력 연장을 평가기관에게 신청해야 하며, 인증서효력연장에 소요되는 기간 등을 감안하여 충분한 시간을 확보하여 신청할 것을 권고드립니다.
인증서효력연장 신청서 및 자체취약성분석서를 작성하여 평가기관에게 제출해야 합니다. 인증서 효력연장 시 기인증제품의 인증보고서 및 인증효력유지보고서에 명시된 모든 인증제품에 대한 인증서 효력이 연장됩니다. 국내용 인증제품 인증서효력연장 신청서 및 자체취약성분석서 양식은 IT보안인증사무국 웹사이트에 공개된 "정보보호제품 국내용 평가·인증 세부 수행절차" 별지 제10호 서식과 별지 제11호 서식으로 제공하고 있으며, 세부 가이드는 "정보보호제품 국내용 중간점검 및 인증서효력연장 수행 가이드"를 참고하시기 바랍니다.
인증제품이 최신의 공격기법에 악용가능하지 않음을 인증서효력이 유지되는 동안 점검하는 것으로, 중간점검일은 인증서 만료일로부터 2년 전이 되는 날 입니다. 인증서보유기관은 인증제품의 중간점검을 위하여 중간점검일 120일 이전에 인증제품 중간점검 신청서 및 자체취약성분석서를 작성하여 평가기관에 신청하여야 합니다.
상세한 절차는 IT보안인증사무국 웹사이트의 "자료실"에 게시되어 있는 "정보보호제품 국내용 중간점검 및 인증서효력연장 수행 가이드"를 참고하시기 바랍니다.
인증제품 업데이트는 개발업체에서 결정하여 수행할 수 있습니다. 다만, 업데이트되어 형상이 변경된 제품을 인증제품으로 판매하는 등 인증서를 오남용하는 경우 일정 기간을 정하여 인증서 효력이 정지될 수도 있습니다.
업데이트되어 형상이 변경된 제품의 인증서 효력을 유지하고자 하는 경우, CCRA 보조문서 보증 연속성에 의해 인증효력유지 또는 재평가를 신청할 수 있습니다.
정책기관(과학기술정보통신부)의 정보보호제품 평가·인증제도 개선 정책에 따라 국내용 인증제품의 경우, 국내용 인증 범위에 포함되고 인증시점에서 평가제출물 및 인증보고서 명시되었으며, 지속적으로 관리되고 있는 일부 공개용 SW의 취약점을 패치하는 경우에 한하여 변경승인을 허용하고 있습니다.
상세한 절차는 IT보안인증사무국 웹사이트의 "자료실"에 게시되어 있는 "CCRA 보조문서 보증 연속성 적용 가이드"를 참고하시기 바랍니다.
CCRA 회원국이 공통으로 적용하는 공통평가기준(CC, Common Criteria) 및 CEM(Common Evaluation Methodology)을 적용하여 정보보호제품을 평가하고 그 결과를 인증기관에서 인증함을 의미합니다.
국제용 CC 인증제품은 IT보안인증사무국 웹사이트 및 CCRA 웹사이트(https://www.commoncriteriaportal.org)에 모두 등재됩니다. CCRA 상호인정 협정에 따라 CCRA 회원국에서 CC 인증서를 상호인정합니다.
CC 및 CEM V3.1 R5 한글판은 IT보안인증사무국 웹사이트에서, 영문판은 CCRA 웹사이트(https://www.commoncriteriaportal.org)에서 다운로드 받을 수 있습니다.
일반적으로 CC 인증은 사용자의 요구에 의해서 받을 수 있으며, 제품의 보안기능에 대한 신뢰성을 객관적으로 입증할 수 있는 증빙서류로 활용될 수 있고, 국내뿐만 아니라 CCRA 상호인정 협정에 따라 CCRA 회원국에서 CC 인증서를 상호인정합니다.
공통평가기준 또는 보호프로파일 등의 보안기능요구사항을 만족하는 보안기능을 갖춘 IT제품을 개발하고 신청등급에 부합하는 개발자 증거인 제출물을 작성하여 평가기관에 신청하시면 됩니다. 선택하시는 평가보증등급(EAL, Evaluation Assurance Level)에 따라 평가제출물이 달라집니다. 세부적인 절차는 IT보안인증사무국의 웹사이트에 게시된 "정보보호제품 평가·인증 수행규정"을 참조하시기 바랍니다. 평가신청 문의 및 평가상담은 평가기관에게 할 수 있습니다.
"정보보호제품 평가·인증 수행규정"의 별지 양식으로 규정하고 있으며 신청서 양식의 파일이 필요하신 경우 평가기관 웹사이트에 방문하여 파일을 다운로드 받으실 수 있습니다.
우리나라는 CC 인증서를 상호인정하는 국제협정인 국제상호인정협정(CCRA, Common Criteria Recognition Arrangement)의 CC 인증서 발급 권한이 있는 회원국입니다. CCRA에서 정한 기준 및 절차 등을 엄격하게 준수하여 CC 인증서를 발급하는 제도를 통상적으로 국제용 CC 인증제도라고 합니다. 국제용 CC 인증제도를 통해 발급된 CC 인증서는 CCRA의 모든 회원국(2021년 6월 현재 31개국)에서 상호인정 범위 내에 포함되는 등급까지 상호인정됩니다. 국제용 CC 인증제도와 관련된 세부 사항은 CCRA 웹사이트(https://www.commoncriteriaportal.org)에 공개된 각종 자료 및 IT보안인증사무국 웹사이트에 공개된 "정보보호제품 평가·인증 수행규정"을 참고하시기 바랍니다.
우리나라는 또한 국가·공공기관에 도입되는 정보보호제품의 인증을 지원하기 위한 목적으로 국내용 인증제도를 운영하고 있습니다. 국내용 인증제도를 통해 발급된 인증서는 국외에서 상호인정되지 않습니다. 국내용 인증제도와 관련된 세부 사항은 IT보안인증사무국 웹사이트에 공개된 "정보보호제품 평가·인증 수행규정"의 붙임으로 제공되는 "정보보호제품 국내용 평가·인증 세부 수행절차"를 참고하시기 바랍니다.
인증제품의 형상을 변경한 경우 "CCRA 보조문서 보증 연속성 적용 가이드"에 따라 인증제품의 변경이 보증에 미치는 영향을 분석하여 경미한 변경 사항에 해당하는 경우 인증효력유지(변경승인)를 신청할 수 있으나 주요한 변경 사항에 해당하는 경우 인증효력유지 신청 대신 재평가를 신청할 수 있습니다.
인증효력유지(변경승인) 신청은 인증제품을 평가하였던 평가기관으로 신청하셔야 합니다. 신청 시 "정보보호제품 평가·인증 수행규정"의 인증효력유지 신청서 및 보안영향분석서를 작성하여 제출하셔야 합니다.
국제용 인증제품의 CC 인증서 효력은 2017년 7월 10일 CCRA 웹사이트(https://www.commoncriteriaportal.org)에 공지된 바와 같이 발급일로부터 최대 5년간 유효하며, 인증서 만료일 이전에 재심사를 통과하지 않은 발급 일로부터 5년이 경과한 인증서는 만료됩니다. 인증제품 재심사와 관련된 상세한 절차는 IT보안인증사무국 웹사이트의 자료실에 게시되어 있는 "CCRA 보조문서 인증서 유효성 적용 가이드"를 참고하 시기 바랍니다.
인증제품 업데이트는 개발업체에서 결정하여 수행할 수 있습니다. 다만, 업데이트되어 형상이 변경된 제품을 인증제품으로 판매하는 등 인증서를 오남용하는 경우 일정 기간을 정하여 인증서효력이 정지될 수도 있습니다.
업데이트되어 형상이 변경된 제품의 인증서효력을 유지하고자 하는 경우 인증효력유지(변경승인) 또는 재평가를 신청할 수 있습니다. 인증제품 형상 변경에 따른 변경승인 또는 재평가 신청을 판단해야 하는 경우 "CCRA 보조문서 보증 연속성 적용 가이드"의 3.1 전형적인 경미한 변경과 3.2 전형적인 주요한 변경에 서술된 내용을 참고하시기 바랍니다. 경미한 변경에 해당하는 경우 인증효력유지(변경승인)를 신청하실 수 있으며 주요한 변경에 해당하는 경우 재평가를 신청하실 수 있습니다.
공개SW 보안패치로 인한 인증제품의 보안기능에 영향을 미칠 수 있으므로 주요한 변경에 해당되어 재평가가 필요할 수 있습니다. "CCRA 보조문서 보증 연속성 적용 가이드"의 "4. 보안 영향 분석 수행 가이드"를 참고하시어 보안영향분석을 하셔서 결정하시기 바랍니다.
정보보호제품 평가·인증제도의 CC 평가기관은 IT보안인증사무국 웹사이트의 "국내관련사이트" 페이지에서 평가기관에 대한 정보(기관명, 연락처, 주소, 웹사이트 링크)를 확인할 수 있습니다.
평가보증등급(EAL), 제품 복잡도, 평가제출물 완성도, 평가제품 완성도에 따라 평가기간이 상이하고 이에 수반되는 평가 비용도 상이합니다.
또한 평가비용 산정기준은 평가기관마다 수립하여 운영하므로 정확한 평가 비용은 평가기관에 문의하시기 바랍니다.
CCRA는 CC:2022 및 CEM:2022를 2024년 7월 1일 이후 신규 평가 착수 시 적용해야 함을 CCRA 웹사이트(https://www.commoncriteriaportal.org)에 공지했습니다.
국제용 인증제품의 재평가, 재심사, 인증효력유지(변경승인), 보호프로파일(PP/cPP)을 준수한 평가 착수 시 유의사항, 스마트카드와 같은 복합제품 평가 착수 시 유의사항 등 세부 정책은 CCRA 웹사이트(https://www.commoncriteria portal.org)에 공개된 "Transition Policy to CC:2022 and CEM:2022"와 IT보안인증사무국 웹사이트의 공지사항에 게시되어 있는 "CC:2022 및 CEM:2022 전환정책"을 참고하시기 바랍니다.