[외신] 뉴욕주, 정부조달 조건에 ‘에러 Top 25’ 적극 이용

뉴욕주(州)가 소프트웨어 제조업체들에게 제품이 CWE/SANS의 ‘위험한 프로그래밍 에러 탑 25’에 열거된 코딩 에러와 무관하다는 것을 증명하도록 요구할 것으로 알려졌다.

외신 보도에 따르면 뉴욕주 당국은 이번 주 작성된 새로운 정부 조달 언어를 통해 소프트웨어 개발자들의 코딩 에러 양산을 줄인다는 계획이다. 즉, 조달 표준 초안에 근거해 뉴욕 주 기관과 사업을 진행하는 소프트웨어 제조업체들은 그들이 에러 탑 25에 속하는 코드를 제거했음을 증명해야만 한다.

뉴욕 주는 CWE/SANS가 최근 발표한 ‘위험한 프로그래밍 에러 탑 25’ 리스트를 인용, 가장 위험한 코딩 취약점을 규정하고 소프트웨어 개발자들이 그러한 에러를 피하도록 했다.

현재 초안이 SANS 인스티튜트 사이트에 “애플리케이션 보안 조달 언어(Application Security Procurement Language)”에 게시되어 있다. 한편, SANS는 이는 가이드일 뿐 실제 약정 언어는 공인된 대리인을 통해 작성되어야 한다고 조언했다.

이아 관련해 이번 새 언어의 초안 작성자이기도 한 뉴욕주 CISO 윌리엄 펠그린(William Pelgrin)은 “인간의 에러는 항상 요소가 될 수 있다”며 “정부 조달 과정에 책임과 신뢰를 부여하고자 한다. 또한 에러 발견시 가능한 빨리 치료와 완화가 이루어질 수 있도록 하고자 함이다”라고 밝혔다.

한편, 지난 12일(현지 시간) 발표된 SANS와 미트리(MITRE Corp.)가 주관하고 마이크로소프트, 시만텍, 미(美) 국가안보국 등 30개 이상의 단체가 참여한 ‘에러 탑 25(The Top 25 Errors)’에 관한 보다 자세한 내용은 SANS 홈페이지 www.sans.org/top25errors에서 확인할 수 있다.

[김동빈 기자(foregin@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)