대한민국 CC 인증 제도에서 요구하는 보안 지침

대한민국에서 CC인증을 획득한 정보보호제품은 평가 인증기관의 지침에 따라 다음과 같은 보안 지침을 준수하여 보안정책을 수립하고 준수하여야 합니다. 일부 보안 지침은 제품의 기능으로 구현되어 있습니다.

관리자 계정의 공유 금지

관리자 계정을 공유하여 사용하면 안됩니다.

모든 권한을 갖는 관리자 계정의 동시 로그인 금지

모든 권한을 갖는 관리자 계정으로 동시에 로그인하지 말아야 합니다. CC 인증을 획득한 제품은 모든 권한을 갖는 관리자 계정의 수를 제한하거나, 모든 권한을 갖는 관리자 계정으로 동시에 로그인하지 못하도록 구현해야 합니다.

접근 가능한 관리자 IP 주소의 제한

네트워크 보안 장비에 접근 가능한 IP 주소는 최대 2개로 제한해야 합니다. IP 주소를 지정할 때 넷마스크 값은 32만 허용됩니다.

기본 관리자 계정 사용 금지

제품의 기본 관리자 계정 정보는 반드시 변경하여 사용하여야 합니다. CC 인증을 획득한 제품은 설치 과정, 또는 첫 로그인 과정에서 반드시 관리자 계정 정보의 변경을 강제 적용해야 합니다.

비밀번호의 유효성 검증

비밀번호는 비밀번호는 최소한 9자 이상의 영어, 숫자, 특수문자의 조합을 사용해야 합니다. 기본 관리자 계정의 초기 비밀번호는 사용할 수 없습니다.

로그 또는 환경 설정 데이터의 암호화, 또는 신뢰된 채널의 사용

정보보호시스템이 시스템 외부로 로그 또는 데이터를 전송할 때, 기밀성과 무결성을 유지하도록 암호화하거나, SSL/TLS와 같이 신뢰된 채널을 사용하여야 합니다.

불필요한 서비스/애플리케이션 설치 금지

정보보호시스템은 필요 이상으로 많은 서비스 포트를 사용하지 말아야 합니다. 또한, 정보보호시스템의 운용 목적에 부합하지 않는 어떤 애플리케이션도 설치하면 안됩니다.

TCP 포트포워딩 금지

SSH 연결을 통해 관리자의 연결을 지원하는 정보보호제품은 TCP 포트 포워딩이 비활성화되어 있어야 합니다.

취약한 암호화 알고리즘 사용 금지

MD5, SHA1과 같이 이미 공격에 노출되었거나, 결함이 있는 암호화 알고리즘을 사용하지 말아야 합니다.