[디지털데일리 이민형기자] 시큐어코딩 솔루션의 국제공통평가기준(CC) 인증이 올해부터 시작되면서 공공기관을 비롯해 금융, 기업에서 소스코드 취약점 점검도구 도입에 본격 나설 전망이다. 

이로 인해 시큐어코딩 솔루션은 올해를 기점으로 전 산업군으로 확산될 것으로 보인다. 이는 기존에 CC인증을 적용한 제품이 공공기관뿐만 아니라 민간까지 전파된 사례(무선침입방지시스템, 웹방화벽 등)가 증명해주고 있다.

아울러 올해부터 행정기관이나 정부부처 등에서 추진하는 20억원이상 정보화사업 소프트웨어 개발에 시큐어코딩이 의무화되는 점도 확산의 요인으로 꼽힌다.

특히 지난해 시큐어코딩 의무화 이후 전 산업군에서 발주되는 신규 프로젝트에 시큐어코딩을 적용하고 있어 시장의 성장은 예견되고 있는 상황이다.

보안업계에서는 올해가 시큐어코딩 시장 원년이 될 것으로 기대하고 있다. 한편 시큐어코딩 CC인증 규격은 지난해 2분기에 등장했으며, 현재까지 인증을 획득한 솔루션은 파수닷컴의 스패로우(SPARROW)가 유일하다.

◆시큐어코딩, 왜 필요한가=시큐어코딩은 소프트웨어의 개발과정에서 개발자의 지식부족이나 실수, 프로그래밍 언어 고유의 약점 등 다양한 원인으로 발생할 수 있는 취약점을 최소화하기 위해 설계 단계부터 보안을 고려해 개발하는 방식이다.

최근 기업용 소프트웨어의 취약점을 노린 해킹이 잦아지면서 시큐어코딩 솔루션에 대한 수요가 증가한 것으로 분석된다. 또한 기업이 모바일 애플리케이션을 개발, 배포하기 시작하면서 무결성 확보 도구로 이 솔루션 활용이 많아지고 있다는 점도 관련 시장을 키우는데 기여하고 있다.

시큐어코딩은 소프트웨어의 보안성과 안정성을 높이기 위해 사용한다. 흔히 알려져있는 플래시, 자바, 인터넷익스플로러 등의 취약점 공격이 대표적인 사례다. 물론 개발사가 시큐어코딩 솔루션을 적용하더라도 취약점은 존재할 수 있지만, 이를 최소화해줄 수 있다.

예를 들어, 대부분의 기업은 ERP(전사적자원관리) 솔루션을 구축해 업무에 활용한다. 이를 위해 기업은 ERP를 비롯해 다양한 프로그램들을 직접 개발해 사용하게 되는데, 개발 과정에서 보안성과 안정성 검토를 해야한다는 분위기가 확산되고 있다.

박진성 한국HP 이사는 “기업 보안팀에서 시큐어코딩 솔루션을 도입해야 한다. 개발팀은 자신들만의 방식으로 소프트웨어를 개발하기 때문에 보안에 취약하다는 사실을 모르고 있다”며 “사내에서 활용할 소프트웨어는 배포전에 QA(품질보증) 절차를 거쳐야하는데, 이 때 보안 취약점을 제거할 수 있도록 시큐어코딩을 적용하려는 기업이 많다”고 설명했다.

시큐어코딩은 보안성 강화 외에도 버그픽스 등 시스템 장애를 최소화할 수 있도록 도움을 주는 역할도 한다. 코딩하는 과정에서 개발자가 생각하지 못했던 소스들을 수정해 실제 사용시에 오류가 발생하는 것을 막아준다.

◆공공기관·금융권 중심으로 시큐어코딩 도입 활발 예상=지난해 공공기관과 제1금융권에서 시큐어코딩 솔루션을 적극 도입했다면 올해는 보험사, 증권사 등 제2금융권을 비롯해 제조, 건설, 서비스 등 다양한 산업에서도 도입이 활발히 이뤄질 것으로 예상되고 있다.

공공기관의 경우 최근 발주되는 공공IT 사업에선 사업 규모와 무관하게 시큐어코딩 적용이 사실상 의무사항으로 적용되고 있다. 대부분 10억원 미만의 소규모 사업들이지만 발주처에서는 시스템 오픈 전 시큐어코딩 적용을 통해 보안 취약점을 제거하도록 요구하고 있다.

금융권에서도 시큐어코딩 솔루션은 인기다. 비대면 채널의 증가과 모바일 기기의 확대로 신규시스템의 수요는 증대하고, 그만큼 보안위협과 취약점도 높아졌기 때문이다.

금융권 관계자는 “새로운 서비스를 출시할 때마다 가장 먼저 고민하는 부분이 바로 원천적인 취약점 점검”이라며 “제1금융권에는 이미 시큐어코딩 솔루션을 도입해 사용하고 있다”고 전했다.

올해는 저축은행과 보험사, 카드사에서 시큐어코딩 솔루션 도입이 증가할 것으로 보인다. 이미 지난해 한화손해보험과 한화생명이 시큐어코딩 프로젝트를 마쳤으며 동부화재와 현대카드 등도 지난해 시큐어코딩 프로젝트에 돌입했다.

◆보안업계, CC인증 놓고 우려=보안업계에서는 시큐어코딩 시장이 성장할 것이라는 점에는 동의하면서도 CC인증으로 인한 시장 파편화를 우려하고 있다.

올해부터 공공기관들은 CC인증을 획득한 시큐어코딩 솔루션을 도입해야 한다. 당연히 조달청에 시큐어코딩 솔루션을 등록하기 위해서는 CC인증이 필요하다.

문제는 CC인증을 획득한 시큐어코딩 솔루션이 파수닷컴의 스패로우밖에 없다는 점이다.

제도 시행 초기단계에서 CC인증이 갖는 이득은 매우 크다. CC인증을 받지 못한 업체들은 제품에 문제가 있는게 아니라는 점때문에 불만을 표현하고 있다. 올해 사업에 적잖은 타격을 받을 수 있다는 우려도 나온다.

보안업계 관계자는 “규정상으로 따지자면 올해 공공기관에 시큐어코딩 솔루션을 납품할 수 있는 업체는 파수닷컴 하나에 불과하다”며 “시장의 선순환을 위해서는 다양한 솔루션이 경쟁할 수 있도록 하루라도 빨리 CC인증 평가가 진행돼야 할 것”이라고 전했다.

<이민형 기자>kiku@ddaily.co.kr