솔루션

안행부, ‘시큐어코딩 의무화’ 본격 추진

이민형 기자
- 안행부, 주요 행정기관 홈페이지에 시큐어코딩 적용

[디지털데일리 이민형기자] 안전행정부가 ‘소프트웨어 개발보안 제도(시큐어코딩)’ 확산에 두 손을 걷어부쳤다. 주요 행정기관 홈페이지에 시큐어코딩 적용 시범사업을 시행하고 확대한다는 계획이다.

23일 보안업계에 따르면 안행부는 134개 행정기관의 홈페이지에 시큐어코딩을 적용하고 보얀약점 기준과 조치방안 등 세부사항들을 마련할 예정이다. 보안업계에서는 이번 시범사업으로 공공기관 시큐어코딩 사업이 다량 발주될 것으로 기대하고 있다.

시큐어코딩이란 소프트웨어의 개발과정에서 개발자의 지식부족이나 실수, 또는 각 프로그래밍 언어의 고유한 약점 등 다양한 원인으로 발생할 수 있는 취약점을 최소화하기 위해, 설계 단계부터 보안을 고려해 개발하는 것을 의미한다.

실제 마이크로소프트는 개발보안라이프사이클(Software Development Lifecycle, SDL)을 적용하고 어도비시스템즈는 개발보안시스템(SPLC)을 적용한다. 이외에 애플, 오라클, IBM 등은 자체적인 개발보안툴과 방법을 사용해 취약점을 사전에 점검한다.

사이버공격에 효과적으로 대응하기 위해서는 보안장비 구축 뿐만 아니라 SW를 개발하는 단계부터 보안취약점 제거가 필요하다. 이에 안행부는 지난해 6월 신규 개발시스템에 대한 시큐어코딩 의무화 규정(정보시스템 구축·운영 지침, 행안부고시 2012-25)을 마련했다.

규정을 살펴보면 행정기관 등에서 추진하는 40억원 이상 정보화사업에는 시큐어코딩 적용을 의무적으로 해야한다는 내용을 담고 있다. 이는 단계적으로 확대돼 내년부터는 20억원 이상 사업에, 2015년에는 감리대상 전 정보화사업에 소프트웨어 개발보안을 적용할 예정이다.

시큐어코딩 의무화에 SW 개발사업자가 반드시 제거해야 할 보안약점은 SQL 삽입, 크로스사이트스크립트 등 43개며, 감리법인은 정보시스템 감리시 검사항목에 보안약점 제거 여부를 반드시 포함시켜야 한다.

이번 시범사업으로 국내 시큐어코딩 시장의 활성화도 기대된다. 지난해 의무화 규정이 나온 직후 교육청, 경찰청, 대법원 등이 시큐어코딩 사업을 발주한 바 있으나 전체 수요처에 비해 미미한 수준이었으며, 오히려 금융권, 제조사 등 민간에서 시큐어코딩 적용에 속도를 냈다.

시큐어코딩 업계 관계자는 “이번 시범사업으로 공공기관 시큐어코딩 발주가 많아질 것으로 기대된다”며 “이와는 별도로 공통평가기준(CC) 인증 획득이 이뤄지면 더욱 탄력을 받을 것”이라고 전했다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널