행정안전부는 사이버공격의 주요 원인인 소프트웨어(SW) 보안약점을 전자정부서비스 개발단계에서 제거하기 위해 올해부터 개발되는 정보시스템에 ‘SW 개발보안(시큐어코딩)’을 의무화하기로 했다고 3월27일 밝혔다.

SW 보안약점(Weakness)은 SW의 결함, 오류 등으로 인해 사이버공격을 유발할 가능성이 있는 잠재적인 보안 취약점이다. 

SW 개발보안(시큐어 코딩, Secure Coding)은 해킹 등 사이버공격의 원인인 보안약점을 소프트웨어 개발단계에서 사전에 제거해 안전한 SW를 개발하는 소프트웨어 개발 기법이다.

행정안전부는 오는 10월부터 행정기관 등에서 추진하는 40억원 이상 정보화 사업에 SW어 개발보안 적용을 의무화하고 단계적으로 의무 대상을 확대해 오는 2014년에는 감리대상 전 정보화사업에 SW 개발보안을 적용할 예정이다.

개발보안 적용 대상 정보화사업은 정보시스템 감리시 SW 개발보안 여부를 의무적으로 확인해야 한다.

정부는 SW 개발보안 여부를 전문적으로 진단하고 조치 방안을 제시하는 ‘보안약점 진단원’ 자격제도를 도입해서 감리인력으로 활용토록 할 계획이다.

또 행정안전부는 ‘SW 개발보안’ 제도의 조기 정착시키기 위해 다양한 정책을 펼칠 예정이다.

첫째, 대학 등 연구기관을 ‘SW 개발보안 연구센터’로 선정해 SW 보안취약점 기준 및 진단방안 등을 연구하도록 지원할 계획이다. 연구센터는 행안부의 장기적인 지원을 통해서 국내 SW 개발보안 기술 수준을 향상시킬 것으로 예상되며 카네키멜론대학의 SEI(소프트웨어기술연구소, Software Engineering Institute)처럼 개발보안 분야의 세계적인 연구기관으로 발전할 것으로 기대된다. 개발보안 연구센터 선정 관련 사항은 한국인터넷진흥원에서 오는 3월28일 공고할 예정이다.

둘째, SW 개발자, 공무원 등 2000명을 대상으로 SW 개발보안 교육을 확대 실시하고 4월에는 안전한 SW 개발방법을 소개하는 ‘SW 개발보안 가이드’를 개정․보급한다.

셋째, 중소기업이 참여하는 40억원 미만 정보화사업을 대상으로 SW 보안약점 진단 및 개선을 지원할 계획이다. SW 보안약점 진단서비스는 한국인터넷진흥원을 통해서 무상으로 지원하게 되며 모바일 전자정부서비스를 위한 모바일 앱도 보안약점 진단서비스를 받을 수 있다.

장광수 행정안전부 정보화전략실장은 “사이버공격에 효과적으로 대응하기 위해서는 인프라 투자도 필요하지만 소프트웨어 개발단계부터 근본원인(소프트웨어 보안약점)을 제거하는 것이 중요하다”며 “올해 하반기에는 운영 중인 전자정부서비스와 상용 소프트웨어에도 소프트웨어 개발보안을 적용하는 방안을 마련하는 등 지속적으로 개발보안을 강화해 나갈 예정”이라고 설명했다.

세이프투데이 전영신 전문기자(tigersin@safetoday.kr)