CC(ISO/IEC 15408)는 국제적으로 표준화된 IT 제품에 대한 정보기술 보안평가 기준이다. 국가 기관에 도입되는 IT 제품은 일정 수준 이상의 평가보증등급을 획득해야만 납품이 가능하다.
CC 인증을 위한 소프트웨어를 개발할 때, 일반적인 소프트웨어 개발 생명주기는 개발 과정에서 보안약점을 제거하기 위한 지침을 제시하지 않고 있다. 따라서, 보안약점이 제거되지 않고 개발된 소프트웨어는 치명적인 상황을 초래할 수 있다. 한편, CC는 현재 평가대상에 대한 보안인증만을 할 뿐, 개발과정에서 보안약점을 고려할 수 있는 소프트웨어 개발 생명주기에 관련된 가이드라인까지 제시하지는 않고 있다.
평가대상 제품이 CC에 특화된 소프트웨어 개발 생명주기에 의해 개발 된다면, 평가자와 개발자 모두 객관적인 시각으로 CC 평가에 임할 수 있다.
따라서, 본 논문은 CWE(Common Weakness Enumeration)에서 제공하는 보안약점을 기반으로 MS-SDL, McGraw's TouchPoints, OWASP CLASP을 참조하여 보안약점을 판별함으로써 CC에 적합한 소프트웨어 보안 개발 생명주기를 제시한다.
이 연구의 결과는 CC 인증을 목표로 하는 개발자가 보안약점이 제거 된 소프트웨어 개발 과정의 가이드라인으로 활용이 가능하다.