안녕하세요! 포티넷(Fortinet) 보안 장비를 운영하시거나 공공/금융권 도입을 검토 중인 분들이 가장 많이 궁금해하시는 FortiOS 7.2.10의 CC 인증 여부와 보안 패치의 관계를 완벽하게 정리해 드립니다.
많은 분이 "인증서에는 7.2.8만 적혀 있는데, 7.2.10을 써도 인증 효력이 유지될까?"라고 걱정하시는데요.
결론부터 말씀드리면 "YES, 실질적인 CC 인증 효력을 그대로 승계합니다"입니다.
[보안 가이드] FortiOS 7.2.10 CC 인증 현황과 패치 빌드 완벽 분석
국내외 보안 규정 준수(Compliance)를 위해 네트워크 장비의 CC(Common Criteria) 인증 여부는 필수 체크 항목입니다. 특히 최신 보안 취약점에 대응하면서도 인증 상태를 유지해야 하는 관리자들에게 FortiOS 7.2.10 버전의 지위는 매우 중요합니다.
1. 7.2.10은 CC 인증을 받은 버전인가요?
엄밀히 말하면, 국제 CC 포털과 NIAP(미국 국가보안보증협회)에 공식 등재된 평가 대상(TOE) 버전은 FortiOS 7.2.8입니다 (인증번호: VID 11562).
그렇다면 7.2.10은 인증이 없는 걸까요? 아닙니다. 여기서 '인증 연속성(Assurance Continuity)'이라는 개념이 등장합니다.
핵심 근거: 인증 연속성(Assurance Continuity) 원칙
국제 CC 공동 승인 협정(CCRA) 규정에 따르면, 인증을 받은 제품에 보안 패치나 사소한 변경이 발생했을 때 이를 매번 새로 평가받는 대신 기존 인증의 효력을 유지시키는 절차가 있습니다.
- 유지보수 보고서(Maintenance Report): 제품의 핵심 보안 기능에 영향을 주지 않는 업데이트는 별도의 재평가 없이 기존 인증서의 범위 내에 포함됩니다.
- 7.2.10의 지위: 7.2.8 버전에서 발견된 최신 취약점을 해결한 7.2.10은 이 원칙에 따라 '인증된 베이스의 최신 유지보수 버전'으로서 실질적인 CC 준수 제품으로 간주됩니다.
2. 포티넷의 빌드 분류: 'Certified' vs 'Patched'
포티넷은 인증 관리의 투명성을 위해 빌드를 두 가지로 분류합니다.
| 구분 | 상세 설명 | 7.2 계열 예시 |
|---|---|---|
| Certified Build | 인증 기관에서 직접 평가를 완료하여 인증서에 명시된 버전 | 7.2.8 (FIPS-CC-72-5) |
| Patched Build | 인증 이후 발견된 취약점(CVE)을 해결하기 위해 패치가 적용된 버전 | 7.2.10 |
포티넷의 공식 기술 가이드에 따르면,"패치된 빌드는 물리적으로 다른 버전이지만, 실질적으로는 동일한 인증서(Certificate)에 대응(Correspond)한다"고 명시하고 있습니다. 즉, 보안을 위해서는 'Certified'보다는 취약점이 해결된 'Patched' 빌드인 7.2.10 사용이 권장됩니다.
3. 7.2.10은 '기능 변경' 버전인가요, '보안 패치' 버전인가요?
관리자분들이 가장 우려하는 것이 "기능이 대거 바뀌어서 인증 범위에서 벗어나지 않았을까?" 하는 점입니다. 7.2.10은 'Mature(성숙)' 등급의 릴리스입니다.
- 소프트웨어 성숙도(Mature): 포티넷은 7.2.7 버전부터 해당 브랜치를 'Mature' 단계로 분류했습니다. 이는 새로운 기능 추가보다는 안정성 확보와 취약점 수정에 집중하는 단계임을 의미합니다.
- 주요 패치 내역: 7.2.10은 RADIUS 취약점(CVE-2024-3596) 및 암호화 서명 확인 프로세스 오류(CVE-2024-52964) 등 중요한 보안 결함을 해결하는 데 초점을 맞추고 있습니다.
물론 NP7 프로세서의 성능 최적화나 부팅 시 무결성 체크 강화 같은 일부 '개선(Enhancement)' 사항이 포함되어 있지만, 이는 CC 인증의 보안 목표 명세서(Security Target)를 훼손하는 것이 아니라 오히려 강화하는 방향입니다.
4. 대한민국 국내 도입 시 참고사항
국내 국가 및 공공기관 도입을 위해서는 국가정보원의 '보안기능 확인서'가 필요합니다.
- 검증필 제품 목록: FortiGate 7.2 계열은 이미 국내 보안 요구사항을 충족하여 보안기능 확인서 목록에 등재되어 있습니다.
- 패치 버전의 수용: 국내 보안 적합성 검증 체계 역시 국제 표준을 따르며, 인증 당시의 버전보다 최신 보안 패치가 적용된 버전의 사용을 적극 권고하고 있습니다. 따라서 7.2.10 버전은 국내 공공기관 도입 시에도 법적/기술적 근거를 충분히 갖추고 있습니다.
💡 관리자를 위한 최종 요약
- 공식 인증 버전: FortiOS 7.2.8 (국제인증 VID 11562)
- 7.2.10의 상태: 7.2.8의 보안 취약점을 해결한 'Patched Build'
- 결론: CCRA의 인증 연속성 원칙과 포티넷의 빌드 관리 체계에 의해 7.2.10은 실질적인 CC 인증 효력을 유지하며, 보안상 더 안전한 선택입니다.
[참고 문헌 및 공식 링크]
- (https://www.niap-ccevs.org/products/11562)
- (https://www.commoncriteriaportal.org/files/operatingprocedures/CCDB-014-v3.1-2024-February-29-Final-Assurance_Continuity.pdf)
- 포티넷 Certified vs Patched 빌드 확인 가이드
♥읽어주셔서 감사합니다♥
티스토리 댓글과 공감♥은 로그인이 필요 없습니다.
로그인하시면 구독 가능합니다.
'IT Lab > 네트워크 스케치' 카테고리의 다른 글
| [김해/창원/부산 약국 선정리] 복합기 뒤 지옥의 랜선 뭉치, '넷가이버'가 해결했습니다! 🛠️ (0) | 2026.05.22 |
|---|---|
| SDN 스위치 교체 시 100Base-FX SFP 호환 이슈, 완벽하고 돈 안 드는 해결책 (0) | 2026.05.14 |
| [Extreme] 5520 유니버설 스위치 완벽 가이드: 초기화부터 엔진(OS) 선택까지 (0) | 2026.05.12 |
| Extreme 4220 스위치 CRC 에러 해결 가이드 (0) | 2026.05.07 |
| [네트워크 실무] Bluemax 방화벽 세션 드랍 원인 분석 (feat. TCP 3-way Handshake) (0) | 2026.05.06 |
| [FortiAnalyzer] 1줄 = 1세션이 아니다? 장기 세션 (2분 이상) 로그 기록 주기 완벽 정리 (0) | 2026.05.01 |
| [네트워크 트러블슈팅] Ping은 나가는데 특정 포트만 죽는다? 비대칭 라우팅 이슈 (2) | 2026.04.25 |
| 광케이블과 광트랜시버 완벽 가이드 (2) | 2025.11.11 |
