공공정보화 `SW 개발보안` 의무화

보안약점 개발단계부터 제거… 12월부터 40억 이상 사업에 우선적용 행안부 개정안 행정예고

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


행정안전부는 사이버공격의 주요 원인인 소프트웨어(SW) 보안약점을 개발단계부터 제거하기 위해 공공부문에서 `SW 개발보안(시큐어코딩)'을 의무화하는 `정보시스템 구축ㆍ운영 지침' 개정안을 마련해 행정예고한다고 16일 밝혔다.

이번 개정안은 행정기관 및 공공기관이 정보화사업을 추진하면서 SW 개발보안을 적용 및 점검하기 위한 기준과 절차 등을 규정한 것이다.

우선 올해 12월부터 행정기관 등에서 추진하는 개발비 40억원 이상 정보화사업에 SW 개발보안 적용이 의무화된다. 또 2014년 1월에는 20억원 이상 사업으로, 2015년 1월에는 감리대상 전 사업으로 확대된다. 다만 상용 SW는 적용대상에서 제외된다.

SW 개발사업자가 반드시 제거해야 할 보안약점은 SQL 삽입, 크로스사이트스크립트 등 43개다. 감리법인은 정보시스템 감리 시 검사항목에 보안약점 제거여부를 반드시 포함해야 한다. 감리법인은 효과적인 보안약점 진단을 위해 진단도구를 사용할 경우 2014년 1월부터는 국가정보원장이 인증한 보안약점 진단도구를 사용해야 한다.

또 감리법인은 개발보안분야 감리 시 전문성 제고를 위해 행정안전부장관이 자격을 부여한 개발보안 진단원을 우선적으로 배치할 수 있다. 진단원이 되기 위해서는 SW 개발경력 6년 이상 또는 SW 보안약점 진단경력 3년 이상인 자로서 진단원 양성교육 40시간을 이수해야 한다.

장광수 행안부 정보화전략실장은 "사이버공격에 효과적으로 대응하기 위해서는 SW 개발단계부터 근본원인인 소프트웨어 보안약점을 제거하는 것이 매우 중요하다"며 "지난 4월말 선정된 SW 개발보안 연구센터(고려대)를 통해 새로운 보안약점을 지속 발굴하는 등 지속적으로 개발보안을 강화해 나갈 예정"이라고 말했다.

SW개발업계에서는 시행 취지에는 공감을 하면서도 이를 적용할 수 있는 후속 조치도 있어야 한다고 지적하고 있다.

한 SW업체 관계자는 "보안을 위해서 제도를 시행하는 취지는 이해한다"며 "다만 시큐어코딩 적용 시 개발 프로세서가 강화되고 손이 더 많이 가는 점을 고려해 짧은 기간에 급하게 사업 일정을 정하는 기관들의 관행이 없어져야 한다"고 말했다.

강진규기자 kjk@




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


가장 많이 본 기사