Home > 전체기사
소프트웨어 개발보안, 2021년까지 제도 활성화 한다
  |  입력 : 2019-10-30 17:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
행정안전부, 전자정부법 및 시행령 개정 통해 정책 및 제도 체계화

[보안뉴스 원병철 기자] 2009년 정보보호 중기 종합계획 국무회의 보고에서 ‘소프트웨어 개발보안 제도 수립 계획’을 포함한 이후 공식적으로 소프트웨어 개발보안(이하 SW 개발보안)에 대한 논의가 시작됐다. 특히 2012년 12월 행정 및 공공기관에서 정보시스템을 구축하고 운영할 때 반드시 개발보안을 적용하도록 하는 ‘정보시스템 구축 운영 지침’이 개정되면서부터 40억 이상 사업(2013년), 20억 이상(2014년), 5억 이상(2015년)으로 점차 의무화 대상이 넓어졌다. 하지만 여러 이유로 SW 개발보안 제도가 활성화되지 못하면서 현재 행정안전부와 한국인터넷진흥원은 활성화 방안 마련에 총력을 다하고 있다. 30일 개최된 ‘제9회 소프트웨어 개발보안 컨퍼런스’역시 이러한 노력의 일환이다.

▲제9회 소프트웨어 개발보안 컨퍼런스 전경[사진=보안뉴스]


SW 개발보안이란 SW 개발과정에서 개발자의 실수나 논리적 오류 등으로 인해 발생될 수 있는 보안약점들을 최소화해 안전한 SW를 개발하기 위한 일련의 보안 활동이다. 특히 SW 개발보안은 △개발보안 교육 △보안 요구사항 정의 △위협 모델링 △암호화 기준 수립 △보안약점 진단 △모의해킹 등 개발 단계별 보안 활동을 지칭한다. 양승권 KISA 선임연구원은 흔히 ‘보안약점(Weakness)’과 ‘보안취약점(Vulnerability)’을 혼용하는 경우가 많은데, 보안약점은 보안취약점의 근본 원인이 되는 SW 허점이나 결점, 오류 등을 말하며, 보안취약점은 해킹 등 실제 보안사고에 활용되는 보안약점을 말한다고 설명했다.

양승권 선임연구원은 “SW 개발보안을 적용하면 소프트웨어에 내재된 보안위협을 제거할 수 있는 것은 물론, 확연한 개발비용이 감소된다”면서 KISA의 진단사업 연구보고서를 언급했다. “실제로 KISA에서 모의해킹과 보안약점 진단 및 조치, 모의해킹 검출 내역 재확인 등 3단계 작업을 해보니 94% 이상의 보안위협이 제거된 것을 확인할 수 있었습니다. 또한 IBM 연구보고서에 따르면 설계 단계에서 SW 개발보안을 적용할 경우 24%의 투자 수익률을 올려 15%의 구현단계와 12% 테스팅 단계보다 높은 결과를 기대할 수 있었습니다.”

행정안전부는 특히 전자정부서비스를 대상으로 ‘보안약점 사전 진단·제거’를 지원해서 지금까지 총 498개 웹사이트와 1,160개의 모바일 앱의 보안약점을 진단하고 제거했다. 평균 보안약점 탐지 수 1,500여건(웹사이트)과 50건(모바일 앱)에 조치율 92%의 성과를 거뒀다고 양승권 선임연구원은 설명했다.

SW개발보안, 19년 보안약점 기준 개정, 20년 제도 체계화, 21년 제도 활성화 등 구체적 계획
행정안전부는 SW개발보안 정책을 강화하기 위해 최근 법개정 등 활발하게 움직이고 있다. 우선 법적 근거를 격상하고 제도 기반을 강화하기 위해 ‘전자정부법 개정안’을 통해 SW개발보안 의무화를 명시하는 한편, 준수 대상과 범위, 미준수시 법적 책임 등을 강화하고자 한다. 아울러 SW개발보안 역할에 따른 전문기관 지정 기준을 마련하고, 소규모 사업(1억 미만)을 대상으로 ‘SW 보안약점 진단 테스트베드’를 운영할 수 있는 기반을 마련한다는 계획이다.

또한, SW개발보안 활동의 체계화를 위해서 개발 단계별 수행주체의 개발보안 활동 기준을 정의하고, 개발보안 활동에 대한 산출물 공통 양식을 개발할 계획이다. 또한 개발보안 가이드와 보안약점 진단 가이드 등 가이드 개정을 통해 준수 의무를 부여할 계획이다.

무엇보다 행정기관 등의 개발보안 점검역량 강화를 위해 개발보안 체크리스트를 개발 및 보급해 기관 담당자가 적용 여부를 검토하고, 행정안전부가 정보시스템에 대해 개발보안 현황조사 실시 등 관리·감독을 수행할 수 있도록 했다.

진단원 자격제도도 개선된다. 기존 SW 보안약점 진단원 자격제도를 전자정부법 시행령에 명시해 국가전문자격으로 운영하고, KISA 위탁운영 등에 대한 내용을 명시하기로 했다. 또한 기존 감리법인 등이 보안약점 진단·제거 등 개발보안 활동을 할 때 SW 보안약점 진단원을 의무적으로 배치하고, 진단원의 자격 취득 요건과 절차를 개선해 자격 취득기회를 확대하기로 했다.

양승권 선임연구원은 “올해 12월까지 보안약점 기준 개정안을 마련하고 국외사례 비교와 전문가 자문을 수행해 개발보안 이행점검 체계를 마련할 것”이라면서, “아울러 2020년까지 제도를 체계화하고, 2021년까지 제도를 활성화하겠다”고 설명했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제