[디지털데일리 이종현기자] “우리가 건강할 때 관리를 잘 하면서 면역력을 키우듯, 소프트웨어(SW) 개발도 개발 과정에서 보안에 대한 인식을 가미해야 한다. 데이터센터 화재로 인한 카카오 사태도 사전 대책이 없어서 온 국민이 피해를 입었듯, 서비스 기획부터 SW 개발보안을 고려해야 한다.”(행정안전부 디지털안전정책과 소진숙 서기관)

4일 과학기술정보통신부(이하 과기정통부)와 행정안전부(이하 행안부), 한국인터넷진흥원(KISA)은 함께 제12회 SW 개발보안 컨퍼런스를 개최했다. SW 개발보안에 대한 전문가들의 발표와 정부 정책 방향 등이 공유됐다.

이날 컨퍼런스는 코로나19 대유행 이후 3년 만의 대면 행사다. 서울 강남구 GS타워에서 진행됐다. KISA가 운영하는 유튜브 채널 ‘SW 개발보안 시큐어코딩, 소개딩TV’에서도 생중계했다. 당초 가수 장재인 및 장구 연주가 임형규의 난타 공연이 계획돼 있었으나 국가애도기간에 행사가 진행된 만큼 일부 일정이 취소됐다.

컨퍼런스 주제는 ‘디지털 대전환 시대, SW 개발보안으로부터’다. SW 개발보안은 SW 개발 및 업데이트 과정에서 보안 취약점을 최소화하기 위한 일련의 보안 활동이다. 기획이나 설계, 구현, 운영, 유지보수, 폐기에 이르는 전 라이프사이클에 대한 개발보안의 필요성이 부각되고 있다.

행사 기조연설을 맡은 것은 한국마이크로소프트(MS) 신용녀(Anne Shin) 최고기술임원(NTO)이다. 그는 ‘중요 기반 시설에서의 개발보안 방안’을 공유했다.

스패로우, 체크막스 코리아, 쿠팡, 트리니티소프트, 쿤텍 등 국내·외 기업들의 전문가들도 발표를 진행했다. 스패로우와 체크막스는 각각 오픈소스 SW 공급망 보안을 제공하는 사이버보안 기업이다. 오픈소스 취약점 관리의 필요성과 공급망 관리의 중요성을 강조했다.

쿠팡의 경우 실제 SW 개발 및 적용 과정에서 필요한 원점 회귀(Shift Left) 보안 전략에 대해 공유했다. 이와 함께 전자정부의 주무부처인 행안부와 과학기술 및 SW 전반을 아우르는 과기정통부가 각각 공공·민간 SW 개발보안 제도 및 정책 방향 소개도 진행됐다.

행정안전부 디지털안전정책과 소진숙 서기관은 “데이터센터 화재로 카카오가 멈추자 온 국민이 피해를 입었다. 이렇듯 사전 예방책만 갖췄다면 막을 수 있었을 크고 작은 사건·사고들이 많다”며 “젊고 건강할 때 잘 관리하는 것이 효율이 좋듯, SW도 개발 초기 서비스를 기획하면서부터 발주자가 SW 개발보안에 대해 이해한다면 능률이 오를 수 있다”고 말했다.

과기정통부 사이버침해대응과 박인석 주무관은 “올해까지 민간 부문의 SW 개발보안 활성화를 마련하는 데 집중했다면, 내년부터는 보다 수준 높은 서비스를 제공하기 위해 노력할 계획이다. SW 개발보안을 적용할 수 있도록 중소기업을 지속적으로 지원하는 한편, 기업들이 개발보안을 능동적으로 도입할 수 있는 방안을 고민할 것”이라고 전했다.