iOS 제품의 보안 인증, 검증 및 지침

이 문서에는 iOS 플랫폼의 주요 제품 인증, 암호화 검증 및 보안 지침에 대한 참고 자료가 포함되어 있습니다. 궁금한 점이 있는 경우 security-certifications@apple.com으로 문의하십시오.

암호화 모듈 검증

모든 Apple FIPS 140-2 준수 검증 인증서는 CMVP 협력업체 페이지에 게시되어 있습니다. Apple은 iOS의 주요 출시 버전마다 CoreCrypto 및 CoreCrypto Kernel 모듈 검증에 적극적으로 참여합니다. OS 공식 출시에 따라 정식으로 제출된 최종 버전의 모듈에 대해서만 검증을 수행할 수 있습니다. CMVP는 이제 암호화 모듈의 현재 상태에 따라 두 개의 개별 목록으로 암호화 모듈의 검증 상태를 유지/관리합니다. 모듈은 Implementation Under Test List(테스트 중인 모듈 목록)에 등재되었다가 Modules in Process List(처리 중인 모듈 목록)로 옮겨집니다.

iOS 12

Apple은 올해 말에 출시될 iOS 12에서 사용하는 CoreCrypto v9.0 모듈의 검증에 적극적으로 참여하고 있습니다.

이전 버전

다음의 이전 iOS 버전은 암호화 모듈 검증을 받았으며 지금은 아카이브되었습니다.

  • iOS 8
  • iOS 7

보안 구성 설명서

보안을 중시하는 조직은 다양한 플랫폼이 허용된 용도에 맞게 사용될 수 있도록 플랫폼을 구성하는 방법을 신중하게 정의하고 철저하게 검토하여 제공합니다. 보안 구성 설명서에는 보호 수준을 강화하는 데 사용할 수 있는 macOS 및 iOS의 기능이 개괄적으로 설명되어 있는데, 이를 '기기 보안 강화'라고 합니다. 전 세계 정부는 Apple과 협력하여 더욱 안전한 환경을 유지하는 데 필요한 지침 및 권장 사항을 담은 설명서를 제작했습니다. 

이와 같은 설명서를 사용하려면 숙련된 사용자 또는 시스템 관리자여야 하고, 사용자 인터페이스에 대해 잘 알고 있어야 하며, 대상 플랫폼의 관리 도구에 대한 실무적인 지식을 어느 정도 갖추고 있어야 합니다. 기본적인 네트워크 개념을 잘 알고 있으면 많은 도움이 됩니다. 설명서의 일부 지침은 복잡하지만, 지침을 정확하게 따르지 않으면 역효과가 나타나거나 보호 수준이 약해질 수 있습니다. 기기 설정을 변경한 경우에는 배포하기 전에 철저하게 테스트하십시오.

자세한 내용은 iOS 보안 설명서(PDF)를 확인하십시오.

보안 인증

아래에 나열된 Apple 인증은 공개적으로 확인이 가능하고 유효하며 완료된 인증입니다.

ISO 27001 및 27018 인증

Apple은 2017년 7월 11일자 Statement of Applicability v2.1에 따라 Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, 관리되는 Apple ID, Siri, Schoolwork 등의 제품과 서비스를 지원하는 인프라, 개발, 운영용 정보 보호 관리 시스템에 대해 ISO 27001 및 ISO 27018 인증을 받았습니다. Apple은 British Standards Institution(영국 표준 협회)으로부터 ISO 표준을 준수하는 것으로 인증받았습니다. ISO 27001ISO 27018에 대한 표준 준수 인증서는 BSI 웹 사이트에서 확인할 수 있습니다.

국제 공통 평가 기준 인증

Common Criteria 커뮤니티에서 명시한 것처럼 국제 공통 평가 기준 인증의 목적은 국제적으로 승인된 일련의 보안 표준을 통해 정보 기술 제품의 보안 기능에 대해 명확하고 신뢰할 수 있는 평가를 제공하는 것입니다. 국제 공통 평가 기준 인증은 제품의 기능이 보안 표준을 충족하는지 독립적으로 평가하여 정보 기술 제품의 보안에 대한 고객의 신뢰를 높이고 고객이 보다 많은 정보를 기반으로 의사결정을 내릴 수 있도록 해 줍니다.

회원국 및 회원 지역에서는 CCRA(국제공통평가기준 상호인정협정)를 통해 동일한 신뢰 수준을 갖춘 정보 기술 제품의 인증을 인정하기로 합의했습니다. 유망 기술을 다루기 위해 PP(Protection Profiles: 보호 프로파일)의 깊이와 폭이 확장되고 그에 따라 회원국도 해마다 증가하고 있습니다. 이 협정 덕분에 제품 개발자는 인증 체계 중 하나에 따라 단일 인증을 추구할 수 있게 되었습니다.

이전의 PP(보호 프로파일)는 아카이브되었으며, 특정 솔루션과 환경에 초점을 맞춘 특정 보호 프로파일의 개발로 대체되기 시작했습니다. 모든 CCRA 회원국 간의 지속적인 상호 인정을 보장하기 위한 협력의 일환으로, iTC(국제 기술 커뮤니티)는 처음부터 여러 인증 기관이 참여하여 개발되는 cPP(Collaborative Protection Profiles: 협력 보호 프로파일)를 목표로 앞으로도 향후의 모든 PP 개발 및 업데이트를 주도합니다.

Apple은 2015년 초부터 일부 PP에 대해 새롭게 개편된 국제 공통 평가 기준에 따라 인증을 추진하기 시작했습니다. 아래에 나열된 Apple 인증은 공개적으로 확인이 가능하고 유효하며 완료된 인증입니다. 

iOS 11

 

보호 프로파일

VID

완료일

모바일 기기

PP_MD_v3.1

10851

2018.03.30

MDM 에이전트

EP_MDM_Agent_v3.0

10851

2018.03.30

WLAN 에이전트

PP_WLAN_CLI_EP_v1.0

10851

2018.03.30

VPN 클라이언트

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

응용 프로그램 소프트웨어(연락처)

PP_APP_v1.2

10915

ETA:2018.08

브라우저(Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA:2018.08

이전 버전

다음의 이전 iOS 버전은 인증받았으며 지금은 아카이브되었습니다.

  • iOS 10
  • iOS 9

Common Criteria 커뮤니티가 게시하는 보호 프로파일의 주요 버전 업데이트는 대체로 12~18개월 주기로 수행되며 이 과정에서 SFR(보안 기능 요구 사항)이 추가되거나 업데이트됩니다.

Common Criteria 포털에서 PP(보호 프로파일)와 cPP(협력 보호 프로파일)의 전체 목록 및 유효 기간을 확인할 수 있습니다. 또한 미국 인증 기관인 NIAP(National Information Assurance Partnership)와 같이 사용자가 선택한 인증 기관 웹 사이트에서도 보호 프로파일을 찾아볼 수 있습니다.

정부 사용 용도로 승인된 제품

다음은 기기를 정부 사용 용도로 승인한 일부 국가 및 지역에 대한 정보입니다.

오스트레일리아 정부


다음은 EPL - Evaluated Products List 페이지에 요약되어 있는 내용입니다.

ASD(Australian Signals Directorate)는 오스트레일리아 및 뉴질랜드 정부 기관의 사용 용도로 ASD에서 평가한 ICT 보안 제품의 EPL(Evaluated Products List)을 유지/관리합니다.

  • EPL에 등재된 제품은 특정 용도로 인증을 받았습니다.
  • EPL에 등재된 제품은 오스트레일리아 정부의 ISM(Information Security Manual)에 설명된 대로 보안 시스템 및 네트워크를 구축하는 데 사용될 수 있습니다.
  • EPL에 등재된 제품은 국제적으로 인정받고 있는 ISO 15408 CC(Common Criteria)의 인증을 받았습니다. 국제적으로 상호 인정되는 인증을 받은 기타 제품은 CC 포털에 나열되어 있으며, 이러한 제품도 사용할 수 있습니다.
  • ASD의 인증 사무국인 Australasian Certification Authority가 허가받은 상업적 평가 기관의 제품 테스트를 관리하는 AISEP(Australasian Information Security Evaluation Program)를 감독합니다.
  • EPL에는 또한 ASD의 암호화 평가(Cryptographic Evaluations)도 나열되어 있습니다.

제품: iOS 9
제품 유형: 모바일 제품
제품 상태: 완료됨
보증 등급: ASD에서 평가함
버전: 9.3.5 및 이후 버전
설명서: PDF

영국 정부


다음은 NCSC의 Commercial Product Assurance - products at foundation grade 페이지에 요약되어 있는 내용입니다.

CPA(Commercial Product Assurance)는 게시된 보안 및 개발 표준과 비교하여 상용 제품과 제품 개발자를 평가합니다. 성공적으로 평가된 보안 제품에는 Foundation Grade 인증이 수여됩니다. 이는 제품에서 상용 보안이 실제로 훌륭하게 구현되었음이 입증되었고 위협도가 낮은 환경에 적합한 제품임을 의미합니다.

  • CPA 인증은 2년 동안 유효하며, 취약성 보완 및 업데이트가 필요할 경우 인증 유효 기간 중에 제품을 업데이트할 수 있습니다. 
  • CPA 인증은 NATO 카탈로그에 등재될 수 있으며 EU 카탈로그 등재에 필요한 평가 중 하나로 인정됩니다.
  • Foundation Grade는 NCSC 사이트에 자세히 설명되어 있습니다.

미국 정부


다음은 Commercial Solutions for Classified 페이지에 명시되어 있는 내용입니다.

주어진 임무의 목표를 달성하기 위해 NSS(National Security Systems) 내에서 최신 상업용 하드웨어 및 소프트웨어 기술을 즉시 사용하기를 원하는 미국 정부 고객의 요구가 점점 늘어나고 있습니다. 이에 따라 NSA/CSS(National Security Agency/Central Security Service)의 IAD(Information Assurance Directorate)는 빠르게 진화하는 고객 요구 사항을 충족시키기 위해 유망 기술을 활용하여 IA 솔루션을 더욱 적시에 제공하는 새로운 방법을 개발하고 있습니다.

NSA/CSS의 CSfC(Commercial Solutions for Classified) 프로그램은 기밀 NSS 데이터를 보호하는 계층화된 솔루션에 상용 제품을 사용할 수 있도록 하기 위해 마련되었습니다. 이는 수년이 아니라 수개월 만에 편성될 수 있는 솔루션으로 상용 표준에 따라 안전하게 통신할 수 있는 방법을 제공합니다.

Apple 솔루션을 배포하고 싶어 하지만 제품 인증을 이유로 제지된 기밀 환경이 계속해서 증가하고 있습니다. Apple에서 위에 언급된 보호 프로파일에 대해 공통 평가 기준 인증을 추진함에 따라 Apple 제품은 CSfC 구성요소 목록에 등재되었고 기밀 환경에서 사용할 수 있게 되었습니다.

관련된 각 보호 프로파일에 대해 Apple 제품의 공통 평가 기준 인증이 추가로 개시되면 해당 Apple 구성요소가 CSfC 구성요소 목록에 등재 승인을 받기 위해 제출되고 아래에 추가됩니다.

CSfC 구성요소 목록

CSfC 솔루션으로 사용할 수 있는 Apple 제품은 다음과 같습니다.

제품 목록에 Apple 제품 추가하기

CPA, EPL 및 CSfC와 유사한 자체 프로그램에 Apple 제품을 제출해 줄 것을 요청하는 정부 기관의 수가 늘어나고 있습니다. 정부에서 운영하는 솔루션 프로그램의 공식 에이전트이면서 Apple 제품을 정부 인증 제품 목록에 등재하는 데 관심이 있는 경우 security-certifications@apple.com으로 문의하십시오.

기타 운영 체제

다음 제품의 보안, 검증 및 지침에 대해 자세히 알아봅니다.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: