법제도/정책

‘시큐어코딩’ 의무화에 시장 들썩

이민형 기자
- 올해 12월부터 40억원 이상 정보화사업에 ‘시큐어코딩’ 적용 의무화

[디지털데일리 이민형기자] 오는 12월부터 행정기관이나 정부부처 등에서 추진하는 40억원이상 정보화사업 소프트웨어 개발에 ‘소프트웨어 개발보안 제도(시큐어코딩)’이 의무화됨에 따라 업계가 들썩이고 있다.

시큐어 코딩 솔루션을 보유한 파수닷컴, 이븐스타, 트리니티소프트 등 주요 업체들은 이번 의무화에 따라 시장확대와 더불어 매출 확대까지 기대하고 있다.

지난 3월 행정안전부는 사이버공격 주요 원인으로 꼽히는 소프트웨어 보안 취약점을 전자정부서비스 개발단계에서부터 제거하기 위해 올해 12월부터 시큐어 코딩 적용을 의무화해야한다고 밝혔다.

시큐어코딩이란 소프트웨어의 개발과정에서 개발자의 지식부족이나 실수, 또는 각 프로그래밍 언어의 고유한 약점 등 다양한 원인으로 발생할 수 있는 취약점을 최소화하기 위해, 설계 단계부터 보안을 고려해 개발하는 것을 의미한다.

예를 들어 개발 당시에는 모든 서비스에 SSL(보안접속) 암호화 기능을 탑재했으나, 특정 브라우저에서는 이것이 동작하지 않는 등 보안 상 사람이 확인하기 어려운 취약점을 대신 찾아 해결해 줄 수 있다.

이러한 취약점은 악용될 경우 해킹과 같은 범죄에도 활용될 수 있어 많은 기업들이 조바심을 내고 있는 부분이기도 하다.

실제 마이크로소프트, 오라클, IBM 등 많은 글로벌 기업들이 내놓는 서비스, 소프트웨어에도 수많은 취약점이 발견돼, 이들 업체들은 수시로 보안 패치를 제공하기도 한다.

시큐어코딩 의무화에 따라 국내 시큐어코딩 시장도 큰 성장이 기대된다.

파수닷컴은 지난 9월 ‘스패로우 시큐어코딩 에디션’을 출시하며 이슈 대응에 나섰다. ‘스패로우 시큐어코딩 에디션’은 실행의미 기반(시맨틱 기반)의 분석 엔진을 적용해 행안부의 시큐어 코딩 가이드 43개 항목을 포함해 치명적인 소스코드 결함을 검출할 수 있는 분석 솔루션이다.

이 회사 관계자는 “시큐어코딩 시장은 올해 말을 시작으로 내년께 본격적으로 열릴 것으로 기대된다”며 “행안부의 소프트웨어 개발보안 제도의 경우 취지와 목적 등을 고려할 때 국내 환경에 적합하도록 구현이 돼 있어야 하므로 외산보다는 국내 기업이 좀 더 경쟁력을 발휘할 수 있을 것”이라고 전했다.

트리니티소프트도 행정기관, 금융권 공략을 통해 시장진출에 나선다는 계획이다. 트리니티소프트 관계자는 “지방자치기관, 증권사, 대학교, 교육청 등에 코드레이(Code-Ray) 도입을 마쳤다”며 “향후 제도가 의무화될 경우 매출 확대가 기대된다”고 전했다.

소프트웨어 개발보안 제도로 시행으로 벌써부터 매출이 지속적으로 오르고 있는 업체도 있다.

엄재길 이븐스타 이사는 “시큐어코딩의 수요는 크게 오르지 않았으나, 매출은 꾸준히 상승해 작년 대비 2.5배의 매출을 달성할 것으로 기대하고 있다”며 “행안부에서 추진하는 소프트웨어 개발보안 제도로 인해 고객들의 수요가 앞으로 꾸준히 늘 것으로 보인다”고 전했다.

한편 이 제도는 우선 올해 12월부터 행정기관 등에서 추진하는 개발비 40억원 이상 정보화사업에 SW 개발보안 적용이 의무화된다. 또 2014년 1월에는 20억원이상 사업으로, 2015년 1월에는 감리대상 전 사업으로 확대된다. 다만 상용 소프트웨어는 적용대상에서 제외된다.

장광수 행정안전부 정보화전략실장은 “사이버공격에 효과적으로 대응하기 위해서는 인프라 투자도 필요하지만 소프트웨어 개발단계부터 소프트웨어 보안 취약점과 같은 근본원인을 제거하는 것이 중요하다”면서 “올해 하반기 운영 중인 전자정부서비스와 상용 소프트웨어에도 소프트웨어 개발보안을 적용하는 방안을 마련하는 등 지속적으로 개발보안을 강화해 나갈 것”이라고 밝혔다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널