정보시스템 구축시 SW 개발보안 적용 의무화된다!

빠르면 4월 중 ‘정보시스템 구축·운영 지침’ 개정 통해 의무화 예정

[보안뉴스 김정완] 앞으로 해킹·분산서비스거부(DDoS) 공격 등에 대한 전자정부 서비스의 보안체계가 개선될 것으로 보인다.

행정안전부는 사이버공격의 주요 원인인 소프트웨어 보안약점을 전자정부 서비스 개발단계에서 제거하기 위해 금년부터 개발되는 정보시스템에 ‘소프트웨어 개발보안(시큐어코딩)’을 의무화하기로 했다고 27일 밝혔다.

이와 관련 행안부 관계자는 “시큐어코딩을 어떤 기준으로 어떻게 적용해야 하는지 등의 내용을 담은 ‘정보시스템 구축·운영 지침’을 빠르면 4월 중 개정해 의무화될 수 있도록 할 것”이라고 전했다.

시큐어 코딩(Secure Coding)이란 해킹 등 사이버공격의 원인인 소프트웨어의 결함, 오류 등으로 인해 사이버공격을 유발할 가능성이 있는 잠재적인 보안취약점을 소프트웨어 개발단계에서 제거해 안전한 소프트웨어를 개발하는 소프트웨어 개발 기법을 말한다.

이를 위해 행안부는 우선 올해 10월부터 행정기관 등에서 추진하는 40억원 이상 정보화사업에 소프트웨어 개발보안 적용을 의무화하고, 단계적으로 의무대상을 확대해 2014년에는 감리대상 전 정보화사업에 소프트웨어 개발보안을 적용할 예정이다.

개발보안 적용 대상 정보화사업은 정보시스템 감리시 소프트웨어 개발보안 여부를 의무적으로 확인해야 하며, 정부는 소프트웨어 개발보안 여부를 전문적으로 진단하고 조치 방안을 제시하는 ‘보안약점 진단원’ 자격제도를 도입해서 감리인력으로 활용하도록 할 계획이다.

▲ 행안부가 지난해 6월 발행한 ‘정보시스템 SW 개발·운영자를 위한 SW 개발보안 가이드’ 중에서.

또한, 행안부는 ‘소프트웨어 개발보안’ 제도의 조기 정착을 위해 다음과 같은 기반 조성사업을 추진할 계획이다.

첫째, 대학 등 연구기관을 ‘소프트웨어 개발보안 연구센터’로 선정해 소프트웨어 보안취약점 기준 및 진단방안 등을 연구하도록 지원할 계획이다.

연구센터는 행안부의 장기적인 지원을 통해서 국내 소프트웨어 개발보안 기술수준을 향상시킬 것으로 예상되며, 카네키멜론대학의 SEI(소프트웨어 기술연구소, Software Engineering Institute)처럼 개발보안 분야의 세계적인 연구기관으로 발전할 것으로 기대된다.

개발보안 연구센터 선정 관련 사항은 한국인터넷진흥원(KISA)에서 3월 28일(수) 공고할 예정이다.

둘째, 소프트웨어 개발자, 공무원 등 2,000명을 대상으로 소프트웨어 개발보안 교육을 확대 실시하고, 4월에는 안전한 소프트웨어 개발방법을 소개하는 ‘소프트웨어 개발보안 가이드’를 개정해 행정기관 및 민간기업 등에 보급할 계획이다.

셋째, 중소기업이 참여하는 40억원 미만 정보화사업을 대상으로 소프트웨어 보안약점 진단 및 개선 작업을 지원할 계획이다.

소프트웨어 보안약점 진단 서비스는 KISA를 통해서 무상으로 지원하게 되며, 모바일 전자정부서비스를 위한 모바일 앱도 보안약점 진단서비스를 받을 수 있다.

이와 관련 장광수 행안부 정보화전략실장은 “사이버공격에 효과적으로 대응하기 위해서는 인프라 투자도 필요하지만 소프트웨어 개발단계부터 근본원인(소프트웨어 보안약점)을 제거하는 것이 중요하다”고 강조하면서 “올해 하반기에는 운영 중인 전자정부 서비스와 상용 소프트웨어에도 소프트웨어 개발보안을 적용하는 방안을 마련하는 등 지속적으로 개발보안을 강화해 나갈 예정”이라고 밝혔다.

[김정완 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)