법제도/정책

내달부터 시큐어코딩 의무화, 준비는 끝났나

이민형 기자
- KISA, 개발보안 진단원 확보 박차‧시큐어코딩 진단규칙 개선 사업 발주 등 마무리 작업 중

[디지털데일리 이민형기자] 내달 1일부터 행정기관이나 정부부처 등에서 추진하는 40억원이상 정보화사업 소프트웨어 개발에 ‘소프트웨어 개발보안 제도(시큐어코딩)’이 의무화됨에 따라 막바지 작업이 한창이다.

행정안전부는 사이버공격 주요 원인으로 꼽히는 소프트웨어 보안 취약점을 전자정부서비스 개발단계에서부터 제거하기 위해 올해 12월부터 시큐어 코딩 적용을 의무화해야한다고 지난 3월 밝힌 바 잇다.

시큐어코딩이란 소프트웨어의 개발과정에서 개발자의 지식부족이나 실수, 또는 각 프로그래밍 언어의 고유한 약점 등 다양한 원인으로 발생할 수 있는 취약점을 최소화하기 위해, 설계 단계부터 보안을 고려해 개발하는 것을 의미한다.

7일 업계에 따르면 현재 나라장터에 발주돼 있는 모든 정보화사업에는 시큐어코딩 절차가 들어가 있다. 또 올해 7월부터 행정안전부에서 실시한 개발보안 진단원 양성 과정도 효율적으로 진행돼 충분한 진단원을 확보한 상황이다.

또 한국인터넷진흥원은 여기에 맞춰 ‘SW‧모바일 앱 보안취약점 진단규칙 개선’ 사업을 발주했다. 시큐어코딩 의무화와 함께 기존 시큐어코딩에 관련된 가이드라인을 현재 상황에 맞춰 업데이트 하겠다는 의도다.

강필용 한국인터넷진흥원 공공소프트웨어보호팀장은 “SW‧모바일 앱 보안약점 진단규칙 개선‘ 사업은 단순히 올해 말부터 시행되는 시큐어코딩 의무화에 초점을 둔 것이 아니라, 시큐어코딩과 관련된 전반적인 가이드라인을 개선, 업데이트하기 위한 것”이라며 “사업이 완료되면, SW 보안약점 기준을 고려한 SW 및 모바일 앱 보안약점 진단규칙 개선으로 SW 개발보안 제도가 정착될 것으로 기대한다”고 설명했다.

이와 함께 한국인터넷진흥원은 시큐어코딩과 관련된 교육과정을 꾸준히 진행하고 있다. 강 팀장은 “소프트웨어 개발보안 가이드라인을 배포하고 이와 관련된 교육과정을 개설해 운영하고 있다”며 “시큐어코딩 업무와 관련된 공무원, 개발자들을 대상으로 추진하고 있다”고 설명했다.

또 시큐어코딩 의무화와 관련 소프트웨어 취약점에 대한 대책 수립, 취약점 확인 등의 업무를 수행하는 진단원도 지속적으로 양성하고 있다.

강 팀장은 “사업발주 후 소프트웨어 취약점 여부를 확인해주고 대책을 수립할 수 있는 능력을 갖춘 진단원을 양성하고 있으며, 현재 82명이 확보된 상황”이라고 전했다.

개발보안 진단원 자격은 6년 이상의 SW 개발경력과 3년이상의 SW 보안약점 진단경력을 보유하고, 진단원 양성교육 40시간을 이수한 자에게 주어진다.

한편 시큐어코딩 의무화에 SW 개발사업자가 반드시 제거해야 할 보안약점은 SQL 삽입, 크로스사이트스크립트 등 43개며, 감리법인은 정보시스템 감리시 검사항목에 보안약점 제거 여부를 반드시 포함시켜야 한다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널