행정안전부는 사이버공격의 주요 원인인 소프트웨어 보안약점을 개발단계부터 제거하기 위해 ‘소프트웨어 개발보안 시큐어코딩’을 의무화하는 정보시스템 구축?운영 지침 개정안을 마련해 16일 행정예고 한다고 밝혔다.
 
소프트웨어 보안약점(Weakness)이란 소프트웨어 결함, 오류 등으로 해킹 등 사이버공격을 유발할 가능성이 있는 잠재적인 보안취약점이다. 또 소프트웨어 개발보안(Secure Coding)이란 해킹 등 사이버공격의 원인인 보안약점을 개발단계에서 사전에 제거해 안전한 소프트웨어를 개발하는 기법을 말한다.  
 
이번 개정안은 행정기관 및 공공기관이 정보화사업을 추진함에 있어 소프트웨어 개발보안을 적용?점검하기 위한 기준과 절차 등을 규정한 것으로 주요 내용은 다음과 같다.
 
우선, 고시후 6개월이 지난 올해 12월부터 행정기관 등에서 추진하는 개발비 40억원 이상 정보화사업에 소프트웨어 개발보안 적용을 의무화하고 단계적으로 의무 대상을 확대해 ‘15년에는 감리대상 전 정보화사업에 소프트웨어 개발보안을 적용하게 된다.
 
올해 12월부터는 40억원 이상에 적용되고 2014년 1월부터는 20억원 이상, 2015년 1월부터는 감리대상 전 사업에 적용될 방침이다. 다만, 상용소프트웨어는 소프트웨어 개발보안 적용대상에서 제외된다.
 
소프트웨어 개발사업자가 반드시 제거해야 할 보안약점은 SQL 삽입, 크로스사이트스크립트 등 43개이다.
 
감리법인은 정보시스템 감리시 검사항목에 보안약점 제거여부를 반드시 포함하여야 한다. 또 효과적인 보안약점 진단을 위해 진단도구를 사용할 경우 국정원장이 인증한 보안약점 진단도구를 사용하여야 한다. 이 부분은 2014년 1월부터 적용된다.
 
또한 감리법인은 개발보안분야 감리시 전문성 제고를 위해 행정안전부장관이 자격을 부여한 개발보안 진단원을 우선적으로 배치할 수 있다.
 
진단원이 되기 위해서는 소프트웨어 개발경력 6년 이상 또는 소프트웨어 보안약점 진단경력 3년이상인 자로서 진단원 양성교육 40시간을 이수해야 한다.
 
장광수 행정안전부 정보화전략실장은 “사이버공격에 효과적으로 대응하기 위해서는 인프라 투자도 필요하지만 소프트웨어 개발단계부터 근본원인 소프트웨어 보안약점을 제거하는 것이 매우 중요하다”고 강조하면서, “지난 4월말 선정된 고려대 소프트웨어 개발보안 연구센터를 통해 새로운 보안약점을 지속 발굴하는 등 지속적으로 개발보안을 강화해 나갈 예정”이라고 밝혔다.
[데일리시큐=길민권 기자]