해커로부터 정보시스템을 안전하게 지키기 위해 ‘소프트웨어 개발보안 컨퍼런스’가 행정안전부 주최로 오는 11월28일 서울 양재동 엘타워에서 개최될 예정이다.

소프트웨어 개발보안(시큐어 코딩, Secure Coding)은 해킹 등 사이버공격의 원인인 보안약점을 소프트웨어 개발단계에서 사전에 제거해 안전한 소프트웨어를 개발하는 소프트웨어 개발 기법이다.

행정안전부는 해킹 공격의 주요 원인으로 주목이 돼 온 소프트웨어 상의 보안취약점을 근본적으로 제거하기 위해 노력해왔다.

소프트웨어 개발단계부터 개발보안 기법을 적용하기 위해 지난 2009년부터 전자정부지원사업 등을 대상으로 시범적용과 개발보안 방안에 대한 연구를 거쳐 올해 ‘소프트웨어 개발보안’ 제도를 도입했다.

이번 행사는 다음 달 제도 본격 도입에 앞서 행정기관 담당자, 감리업체, 개발자 등이 소프트웨어 개발보안 제도를 이해하고 민간 적용사례 등을 통해 제도 적용에 필요한 사항을 미리 준비할 수 있도록 하기 위해 마련됐다.

오는 12월부터 행정기관 등에서 추진하는 개발비 40억원 이상 정보화 사업에 소프트웨어 개발보안 적용 의무화하고 단계적으로 의무 대상을 확대해 오는 2015년에는 감리대상 전 정보화사업에 소프트웨어 개발보안을 적용한다.

정부 계획에 따르면 오는 12월부터는 40억원 이상, 노는 2014년 1월부터는 20억원 이상, 오는 2015년 1월부터는 감리대상 전 사업에 적용한다.

소프트웨어 개발사업자가 반드시 제거해야 할 보안약점은 SQL 삽입, 크로스사이트스크립트 등 43개이다.

개발보안 적용 대상 정보화사업은 정보시스템 감리시 소프트웨어 개발보안 여부를 의무적으로 확인해야 한다.

이날 행사에서는 마이크로소프트사의 Pierre Noel 아시아총괄책임자가 자사의 개발보안 기법(MS SDL, MS Secure Development Lifecycle)을 통해 보안취약점을 개선한 사례를 소개한다.

또 고려대 최진영 SW개발보안연구센터장이 ‘스마트 시대, 그리고 소프트웨어 개발보안제도’를 주제로 소프트웨어 보안의 중요성과 개발보안 제도의 의미를 발표한다.

특히 국제적인 웹보안 표준기구인 OWASP(The Open Web Application Security Project)의 조민재 한국대표가 홈페이지 개발시 적용하는 웹 개발보안 규칙을 발표하는 등 소프트웨어 개발보안 관련 정책부터 개발자를 위한 언어별 개발 기법까지 다양한 주제로 진행된다.

장광수 행정안전부 정보화전략실장은 “사이버공격에 효과적으로 대응하기 위해서는 인프라 투자도 필요하지만 소프트웨어 개발단계부터 근본원인(소프트웨어 보안취약점)을 제거하는 것이 중요하다”며 “앞으로 운영 중인 전자정부서비스와 상용 소프트웨어에도 소프트웨어 개발보안을 적용하는 방안을 마련하는 등 지속적으로 개발보안을 강화해 나갈 예정”이라고 설명했다.

세이프투데이 김용관 기자(geosong39@safetoday.kr)