- 올해 12월부터 국가 정보화사업에 ‘소프트웨어 개발보안 제도’ 적용 의무화

[디지털데일리 이민형기자] 오는 12월부터 행정기관이나 정부부처 등에서 추진하는 40억원이상 정보화사업 소프트웨어 개발에 ‘소프트웨어 개발보안 제도(시큐어코딩)’가 의무화됨에 공공기관의 발주가 크게 늘어나고 있다.

23일 관련업계에 따르면 시큐어코딩 프로젝트를 추진하고 있는 공공기관은 각 지역 교육청, 경찰청, 한국교육과정평가원, 대법원, 한국산업은행 등이다. 모두 이달에 발주된 사업들이다. 보압업계에서는 남은 2개월동안 더 많은 사업이 발주될 것으로 예상하고 있다.

이들 기관은 기존 시스템의 보안취약점 분석, 유지·보수와 함께 새로운 시스템 도입에 시큐어코딩도 적용하기로 했다.

대전교육청 관계자는 “사이버가정학습 학력평가시스템의 개선 프로젝트를 발주했다. 과거와 달라진 점이라면 단순히 개발과 구축으로 끝나는 것이 아니라 운영전, 시큐어코딩을 적용해 취약점을 최소화하도록 한 것”이라고 전했다.

또 한국산업은행 관계자는 “이달 초 소스코드 취약점분석시스템 도입을 위한 설명회를 열고 입찰공고를 냈다”며 “금융기관에 있어 보안취약점은 매우 치명적인 사안이다. 다른 금융기관에서도 추가 도입의사를 밝히고 있는 것으로 알고있다”고 말했다.

지난 3월 행정안전부는 사이버공격 주요 원인으로 꼽히는 소프트웨어 보안 취약점을 전자정부서비스 개발단계에서부터 제거하기 위해 올해 12월부터 시큐어 코딩 적용을 의무화해야한다고 밝혔다.

시큐어코딩이란 소프트웨어의 개발과정에서 개발자의 지식부족이나 실수, 또는 각 프로그래밍 언어의 고유한 약점 등 다양한 원인으로 발생할 수 있는 취약점을 최소화하기 위해, 설계 단계부터 보안을 고려해 개발하는 것을 의미한다.

실제 애플, 마이크로소프트, 오라클, IBM 등 많은 글로벌 기업들은 자신들의 서비스의 취약점을 사전에 점검하지만, 추가적으로 나오는 취약점에 대해서는 수시로 보안 패치를 제공한다.

시큐어코딩 의무화에 따라 시큐어코딩 솔루션을 보유한 파수닷컴, 이븐스타, 트리니티소프트 등 주요 업체들도 본격적으로 영업에 나서고 있다.

파수닷컴은 지난 9월 ‘스패로우 시큐어코딩 에디션’을 출시하며 이슈 대응에 나섰다. ‘스패로우 시큐어코딩 에디션’은 실행의미 기반(시맨틱 기반)의 분석 엔진을 적용해 행안부의 시큐어 코딩 가이드 43개 항목을 포함해 치명적인 소스코드 결함을 검출할 수 있는 분석 솔루션이다.

트리니티소프트도 행정기관, 금융권 공략을 통해 시장진출에 나선다는 계획이다. 트리니티소프트 관계자는 “지방자치기관, 증권사, 대학교, 교육청 등에 코드레이(Code-Ray) 도입을 마쳤다”며 “향후 제도가 의무화될 경우 매출 확대가 기대된다”고 전했다.

한편 이 제도는 우선 올해 12월부터 행정기관 등에서 추진하는 개발비 40억원 이상 정보화사업에 SW 개발보안 적용이 의무화된다. 또 2014년 1월에는 20억원이상 사업으로, 2015년 1월에는 감리대상 전 사업으로 확대된다. 다만 상용 소프트웨어는 적용대상에서 제외된다.

<이민형 기자>kiku@ddaily.co.kr