보안 평가

개요

오라클의 업계 리더 포지션과 제품 보안을 향한 헌신을 더 확실히 입증하고자 외부 보안 평가 및 인증 절차를 실시하고 있습니다. 본 평가는 다수의 공인된 독립 연구소에서 수행하는 엄격한 테스트를 포함합니다. 외부 평가 및 검증 절차를 통해 당사 IT 제품의 보안성에 대한 신뢰도를 더욱 높이고 있습니다. 전 세계적으로 보안 인증은 정부조달 관여 시 의무인 경우가 더러 있으며 정부든, 국방기관이든, 일반 비즈니스 기업이든 IT 구매자에게 제품에 대한 적정 수준의 자신감을 부여해주기도 합니다.

세계 IT 보안 평가와 관련해 두 가지 중요한 구성 요소로는 평가 수행의 기반이 되는 기준 및 방법론, 그리고 평가 프로그램 자체를 좌우하는 정부 계획이 있습니다. 여러분이 어떤 국가에 소재해 있든 평가 기준은 모두 동일하나, 정부 계획과 관련해서는 서로 다른 정책이 시행되고 있습니다. 현재 오라클은 다음 두 가지의 국제적으로 인정받은 보안 평가 기준에 적극 동참하고 있습니다:

1. CC(Common Criteria)는 유일한 국제 프레임워크(ISO/IEC 15408)로서, IT 제품의 보안 기능과 능력을 평가하기 위한 공통의 접근 방식을 정의합니다. 세 가지의 기존 국가 보안 기준을 기반으로 구축된 CC는 보안 트렌드와 제품 기술에 발맞출 수 있도록 수년 간 개정 작업을 거치며 진화해 왔습니다. 현재 30개 국가가 CC 프레임워크를 채택하였으며, 그 중 미국을 포함한 18개 국가는 인증서를 발급할 수 있는 권한을 지니고 있습니다. CC 인증을 받은 제품은 라이선스를 취득한 독립 평가 연구소에서 실시한 평가에 통과했음을 권한을 지닌 정부가 공표한 제품을 의미합니다.

2. FIPS(Federal Information Processing Standard) 140-2는 미국 국립표준기술연구소(NIST)가 분류되지 않은 민감한 데이터의 보호를 위해 개발한 암호화 표준입니다. FIPS 140-2를 준수하는 것으로 검증된 모듈은 미국과 캐나다의 연방기관에서 실시하는 조달 절차에 참여할 수 있습니다. 이 인증은 해당 인증을 받은 제품의 암호화 기능이 이 표준에 명시된 요구조건과 관련해 독립 연구소에 의해 테스트 받았으며 정부의 검증 과정 또한 거쳤음을 증명합니다. FIPS 140-2 요구조건은 금융, (PCI(Payment Card Industry)), 의료(HIPAA(건강보험 양도 및 책임에 관한 법률)), 정부 클라우드(FedRAMP), 미군(JITC(Joint Interoperability Command), CSfC(Commercial Solutions for Classified)) 등 다양한 업계에서 채택하였습니다.

더 자세한 내용은 보안 평가 웹사이트를 참조하시기 바랍니다. 오라클 보안 평가 전체 리스트(현재 진행 중인 건 및 완료 건 포함)는 오라클 보안 평가 현황 페이지에서 확인하실 수 있습니다.

오라클 보안 평가 블로그는 정부 인증, 검증, 승인 프로그램에 주안점을 두고 있습니다. 아래의 글을 확인해보세요.

  1. CC(Common Criteria), 그리고 보안 평가의 미래(Mary Ann Davidson)
  2. 제품 평가에 속도를 더하는 방법(Joshua Brickman)
  3. FIPS: 암호화의 역설(The Crypto "Catch 22")(Joshua Brickman)

오라클 보안 평가와 관련한 모든 문의 사항은 seceval_us@oracle.com으로 메일을 보내 주십시오.

평가가 지니는 보안 관련 이점

독립적인 검증 제품 보안 요구에 대한 평가는 정부 인증을 받은 공인된 평가 시설에서 이루어집니다.
기초 보장 조치 제품 보안 요구에 대한 평가는 정부 인증을 받은 공인된 평가 시설에서 이루어집니다.
제품 개선 보안 평가는 인증받은 솔루션 내 전반적인 보안 설계 및 실행 개선으로 이어집니다.
아키텍처 취약점의 식별 보안 평가를 통해 아키텍처 취약점을 식별할 수 있습니다.