- 행안부, 국내외 시큐어코딩 솔루션업체와 테스트 진행 중

[디지털데일리 이민형기자] 시큐어코딩(SW 개발보안) 솔루션에 대한 CC인증 체계가 새롭게 나온다. 행정안전부와 국가정보원은 내년 초까지 기준을 마련한 뒤 시큐어코딩에 대한 CC인증 절차를 진행할 계획이다.

4일 보안업계에 따르면 행안부는 오는 27일부터 시행되는 ‘시큐어코딩 의무화’에 발맞춰 시큐어코딩 솔루션에 대한 CC인증 기준 항목을 새롭게 지정하고 있다.

이는 지난 6월 행안부가 발표한 ‘정보시스템 구축·운영 지침’ 개정안에 따른 것이다. 해당 개정안에는 ‘소프트웨어 개발사업자가 반드시 제거해야할 보안약점’ 항목이 신설되고, 공공기관의 시큐어코딩 적용 의무화 등의 내용이 들어있다.

새로운 CC인증 체계와 관련해 행안부가 지정한 ‘소프트웨어 개발사업자가 반드시 제거해야할 보안약점’은 ▲SQL 삽입 등 입력데이터 검증 및 표현과 관련된 항목 14개 ▲부적절한 인가와 취약한 알고리즘 사용 등 보안기능과 관련된 항목 16개 ▲시간 및 상태, 에러 처리, 코드 오류 등 7개 항목으로 모두 43개 항목이다.

입력데이터 검증 및 표현 부분은 프로그램 입력 값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 발생할 수 있는 보안약점으로, 현재 가장 많은 피해를 주고 있는 대표적인 약점들이다.

보안기능에는 인증, 접근제어, 기밀성, 암호화, 권한관리 등을 적절하지 않게 구현시 발생할 수 있는 보안약점들을 뜻한다.

시큐어코딩 솔루션이 CC인증을 받기 위한 최소한의 요건이 상기 43개의 보안약점을 모두 진단, 처리할 수 있어야 한다.

행안부는 시큐어코딩 솔루션 업체들과 함께 CC인증 기준 항목을 마련하고 있다. 기준이 마련되면 국정원(국가보안기술연구소)에서 최종 확정, 시행하게 된다.

현재 CC인증을 받기 위해 행안부와 함께 테스트를 진행하고 있는 곳은 한국IBM, 한국HP, SK C&C, 파수닷컴, 트리니티소프트, 지티원, 이븐스타 등 7개 업체다.

한편 시큐어코딩 솔루션에 대한 CC인증 체계가 아직 수립되진 않았지만 ‘시큐어코딩 의무화’는 예고대로 오는 27일부터 시행된다.

김해숙 행안부 사무관은 “시큐어코딩에 대한 CC인증 체계가 아직 나오지 않은 상황이기 때문에 시큐어코딩 의무화와 관련, ‘CC인증’ 여부를 1년간 유예할 계획”며 “이달 중 시범테스트 결과가 나오면 내년 초 CC인증 체계가 수립될 것으로 기대한다”고 말했다.

<이민형 기자>kiku@ddaily.co.kr