침해사고/위협동향

공공 IT사업 ‘시큐어코딩’ 급속 확산

이민형 기자

- 하반기 CC인증 획득 솔루션 출시 예정

[디지털데일리 이민형기자] 공공 IT사업에서‘SW개발보안(시큐어코딩)’이 본격적으로 확산되고 있다.

27일 관련업계에 따르면, 최근 발주되는 공공IT 사업에선 사업 규모와 무관하게 시큐어코딩 적용이 사실상 의무사항으로 적용되고 있다. 대부분 10억원 미만의 소규모 사업들이지만 발주처에서는 시스템 오픈 전 시큐어코딩 적용을 통해 보안 취약점을 제거하도록 요구하고 있다.


앞서 지난해 12월부터 공공 IT사업에 시큐어코딩 적용이 의무화된 것은 사실이나 아직까지 공통평가기준(CC)인증을 획득한 시큐어코딩 솔루션이 없고 또 ‘40억원 이상의 사업’이란 제약때문에 업계의 반향은 크지 않을 것으로 예상됐다.

그러나 현재까지 발주된 모든 신규 공공IT 사업에는 시큐어코딩이 의무화됐으며, 유지보수 사업에도 시큐어코딩을 요구하는 발주가 나오는 상황이다.

이러한 분위기는 하반기 더욱 고조될 것으로 예상된다. 안행부는 지난 21일 공공기관 홈페이지에 시큐어코딩을 시범적용할 것이라고 발표했다. 이번 시범사업은 기구축된 홈페이지의 취약점을 탐지, 삭제하는 것으로 향후 신규 시스템까지 확대해나간다는 계획이다.

이번 시범사업에 사용되는 시큐어코딩 툴은 한국인터넷진흥원(KISA)에서 개발한 취약점점검도구다. 지난해 6월 안행부가 고시한 ‘정보시스템 구축·운영 지침’ 43개 항목을 비롯해 시스템 운용 상 발생할 수 있는 취약점을 사전에 제거할 수 있는 솔루션이다. KISA는 지난해 해당 기술을 민간으로 이전해 확산을 촉진한 바 있다.

아울러 하반기에는 CC인증을 획득한 시큐어코딩 솔루션이 등장할 것으로 기대된다. 지난 3월 국가보안연구소는 ‘소스코드 취약점 점검도구 보안요구사항’을 발표하고 하반기부터 본격 CC인증 심사에 돌입한다고 밝힌 바 있다.

현재 국내 시큐어코딩 솔루션 업체 네 곳과 글로벌 업체 한 곳이 인증을 받기 위해 준비하고 있으며 빠르면 10월 경 최초의 인증제품이 등장할 것으로 예상된다.

이와는 별도로 최근 잇달아 발생하는 보안사고로 인해 민간에서도 시큐어코딩 도입에 적극적이다. 올해 초 한 대기업 그룹사는 기구축된 시스템의 취약점 점검을 위해 시큐어코딩 솔루션을 전격 도입했다. 그 결과 ERP(전사적자원관리)와 그룹웨어에 잔존한 200여개의 취약점을 모두 수정했다.

금융권에서도 시큐어코딩 솔루션은 인기다. 비대면 채널의 증가과 모바일 기기의 확대로 신규시스템의 수요는 증대하고, 그만큼 보안위협과 취약점도 높아졌기 때문이다.

국내 보안업계 관계자는 “각종 보안사고로 인해 시큐어코딩 도입 사업은 앞으로도 꾸준히 증가할 것으로 예측된다”며 “특히 대기업, 금융권에서 문의가 많다. 공공기관 수요 역시 지난해 의무화 고시 발표 이후 지속적인 증가가 목격되고 있다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널