법제도/정책

“SW 개발보안 기준, 강화돼야”

이민형 기자
- 새로운 취약점에 대한 보안대책도 반영해야

[디지털데일리 이민형기자] “행정안전부에서 내놓은 ‘정보시스템 구축 및 운영 지침(전자정부법)’은 기존 취약점을 공격하는 초보자 수준의 해커와 자동화된 공격에 대해선 효과적이겠지만 시스템 분석을 통해 취약점을 공격하는 전문가 수준의 해커의 공격에 대해서는 효과가 미흡할 것으로 예상된다. 고도의 공격에 대응할 수 있는 사항을 고려해야 한다.”

김승주 고려대학교 교수는 28일 서울 양재동 엘타워에서 열린 SW 개발보안 컨퍼런스에서 기존에 법으로 명시된 ‘SW 보안약점 기준’이 더 강화돼야 한다고 주장했다.

현재 법률로 규정된 SW 보안약점 기준은 ▲입력데이터 검증 및 표현 14개 ▲보안 기능 16개 ▲시간 및 상태 2개 ▲에러처리 3개 ▲코드오류 2개 ▲캡슐화 5개 ▲API 고용 1개 등 총 43개의 항목이 존재한다.

이중 핵심적인 항목인 입력데이터 검증 및 표현은 프로그램 입력값에 대한 검증 누락, 부적절한 검증 등으로 인해 발생할 수 있는 보안 약점을 의미하며, 보안 기능은 인증, 접근제어, 암호화 등 일반적인 약점을 지칭한다.

김 교수는 “국내 해킹 그룹에서 다양한 논의를 거친 결과 SW 보안을 더 강화하기 위해 기존 항목 중에서 입력데이터 검증, 보안 기능의 항목 중 일부를 개선하고, 코드오류, 캡슐화, API오용 등의 항목에서 추가적인 기준을 수립할 필요가 있다고 판단했다”며 “앞서 설명한 것처럼 전문적인 해커들을 고려한다면 더 강화된 기준을 따라야 할 필요성이 있다”고 강조했다.

기존 SW 보안약점 기준 43개 항목을 바탕으로 해커의 관점에서는 9개의 사항을 추가적으로 고려해야 한다고 김 교수는 설명했다.

그는 “DB-애플리케이션 연동에서 유효성 검증이 이뤄지지 않을 경우 SQL문을 삽입하는 약점이 최근 이슈가 되고 있다. 그러나 기존 약점 항목은 자바(JAVA)언어에 대한 대책만 존재하는데, 모바일을 포함한 다양한 언어에 대한 SQL 삽입 공격 방법을 제시할 필요가 있다”고 말했다.

SQL 인젝션 공격의 경우는 최근에도 XE엔진 등을 활용한 웹 게시판에서 흔히 발견되는 침해사고다.

이어 “인증이 없는 중요 기능을 허용할 때, 단순히 라이브러리, 프레임워크를 사용하라고 권고하지만, 2채널 인증과 같은 더욱 향상된 보안 기술을 기재해야할 것”이라고 덧붙였다.

이 외에도 김 교수는 ‘Use After Free 대책’, ‘XTS 대책’, ‘API 검증’, ‘소프트웨어 난독화’ 등에 대한 항목을 추가하면 더욱 강력한 SW 개발보안을 이룰 수 있을 것이라고 거듭 강조했다.

한편 내달 27일부터 행정기관이나 정부부처 등에서 추진하는 40억원이상 정보화사업 소프트웨어 개발에는 ‘소프트웨어 개발보안 제도(시큐어코딩)’를 무조건 적용해야 한다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널