윈드리버 임베디드 리눅스 운영체제, CC인증 EAL4+ 획득

2011년 상반기 경 EAL4+ 인증 절차 완료 예정

윈드리버(한국지사장 이창표)는 보안 임베디드 리눅스 운영체제인 윈드리버 리눅스 시큐어(Wind River Linux Secure)가 범용운영체제 보호 프로파일(General Purpose Operating System Protection Profile) 기준에 부합하는 CC EAL4+인증 획득을 위해, NIAP(National Information Assurance Partnership)로부터 평가 절차를 밟고 있다고 밝혔다.

아울러, 윈드리버 리눅스 시큐어는 공식적으로 NIST(National Institute of Standard and Technology)에 의해 FIPS(Federal Information Processing Standards) 140-2 표준을 평가하기 위한 암호화 모듈로 채택되었다. 윈드리버 리눅스 시큐어는 인증 작업이 완료되는 2011년 상반기부터 시장에 공급될 예정이다.

CC EAL4+ 인증이 완료되면, 윈드리버 리눅스 시큐어는 사상 최초로 NIAP에 의해 채택된 상용 임베디드 리눅스 운영 시스템으로 공인되며, 이를 통해 프리스케일, 인텔, 텍사스인스트루먼트 등 다양한 업체의 하드웨어에 리눅스를 보다 안전하게 구현할 수 있게 된다. 모든 리눅스 모듈에 대한 완벽한 소스 코드 추적기능을 제공하는 윈드리버 리눅스 시큐어는 보안 소프트웨어 시스템 개발 시 높은 유연성과 상호 운용성, 그리고 투명성을 제공함으로써 제품 출시 시간을 단축시켜주며, 개발 비용을 절감하는 효과를 얻을 수 있게 해 준다.

윈드리버의 항공 및 방위 산업 분야를 담당하고 있는 칩 다우닝(Chip Downing) 이사는 “윈드리버는 다양한 고객의 요구를 만족시킬 수 있도록 국가 보안 기준에 부합하는 소프트웨어를 제공하기 위해 노력하고 있다”며, “CC EAL4+ 인증 임베디드 리눅스 솔루션을 생산하는 업계 최초이자 유일의 상용 리눅스 제공사로서, 윈드리버는 고객들이 군사용 커뮤니케이션 시스템이나 SDR(Software-Defined Radio) 시스템과 같은 보안 애플리케이션 용 하드웨어 플랫폼을 선정할 때 보다 넓은 선택의 폭을 제공하게 되었다”고 말했다. 그는 또한 “업계 전반에서 높아지는 보안 기준과 더욱 엄격해지고 있는 규제로 인해 네트워킹 인프라스트럭처, 에너지 및 의학 시스템 분야에서 사용하는 보안 솔루션에 임베디드 리눅스가 채택될 가능성은 무궁무진할 것”이라고 덧붙였다.

윈드리버 리눅스 시큐어는 CC EAL4+ 또는 FIPS 140-2와 같은 정부 지정 보안 인증 요구를 만족시키는 안전한 상용 및 범용 임베디드 리눅스 운영체제다. 윈드리버 리눅스 시큐어는 CC EAL4+ 요건을 준수할 뿐만 아니라, MAC(Mandatory Access Control), NSA가 개발한 SELinux(Security Enhanced Linux)와 같은 추가적인 보안 계층도 함께 제공한다. 윈드리버 리눅스 시큐어를 사용하는 기업들은 각 사에서 필요로 하는 보안 요구를 충족시킴과 동시에 다양한 종류의 하드웨어 플랫폼에서 구동되는 여러 가지 리눅스 기반 오픈소스 솔루션 중 각 기업에 가장 적합한 소프트웨어를 선택해 사용할 수 있다.

오픈소스 소프트웨어와 연관된 일반적인 위험 부담을 줄이기 위하여, 테스트와 평가를 완료한 제품들은 윈드리버의 글로벌 지원 및 서비스 조직의 지원을 받는다. EAL4+ 인증을 받은 리눅스 운영체제가 필요한 기업들은 직접 CC 인증이나 FIPS 인증을 받는 대신 단순히 윈드리버 리눅스 시큐어를 사용함으로써 다양한 위험 요소를 제거하고 공식적인 인증 절차 등을 피할 수 있다.

윈드리버 리눅스 시큐어는 인증과 증명, 감사, 임의적 액세스 제어(Discretionary Access Control), 암호화 서비스, 보안 관리, 그리고 보안 기능 보호 등 다양한 보안성을 제공한다. 또한 추가적인 보안이 필요한 경우, 고객들은 SELinux를 통한 다계층 보안 그리고 grsecurity를 비롯한 여러 시스템 복구 툴을 통한 런타임 메모리 보안을 사용할 수도 있다.

CC EAL4+ 인증에 있어서 윈드리버는 윈드리버 리눅스 시큐어에 대한 독립적인 평가를 진행하기 위해 소프트웨어 정보 보증(Information Assurance) 분야를 주도하는 전문 업체인 앳섹 인포메이션 시큐리티 (Atsec information security)를 CC 테스트 랩으로 선택했다. 앳섹 인포메이션 시큐리티는 CC 표준 가이드라인에 의거, 중간 수준의 안정성을 갖는 리눅스 운영체제 평가에 있어서 많은 경험을 보유하고 있다.

이와는 별도로, 윈드리버 VxWorks MILS 플랫폼은 CC 인증 및 검증 체계에 따라 EAL 6+/NAS 고강도 평가를 위해 미 NIAP에 등록되어 있다. 윈드리버 VxWorks MILS 플랫폼은 항공 및 방위 산업체들이 요구하는 다계층 보안 시스템 및 크로스 도메인 솔루션에 대한 리얼타임 운영체제 요건을 충족시키는 보안 기반을 제공한다.

[오병민 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)