정부가 국가 시스템의 보안성 강화를 위해 의무화한 '소프트웨어개발보안(시큐어코딩)'을 확대 적용할 방침이다. 기존 전자정부 시스템의 '운영·유지보수' 부문에도 시큐어코딩을 적용하도록 한다는 것이다.

14일 전자정부 시스템을 구축하는 안전행정부와 보안분야 주무기관인 한국인터넷진흥원은 공동으로 '시큐어코딩 제도 확대 적용' 방안 마련에 나섰다. 시큐어코딩은 대다수 해킹 및 사이버 공격이 응용 프로그램 소프트웨어의 취약점을 공격한다는 점에 착안, 소프트웨어 개발단계부터 취약점을 남기지 않고 보안성을 강화하며 소스코드를 짜고 보안 진단을 하는 개발 과정을 말한다.

정부는 지난 2012년 전자정부 시스템에 대한 사이버 공격이 일어나면서 시큐어코딩 도입을 전 공공기관에 의무화했다. 올해는 20억원 이상 공공기관 IT 사업에 시큐어코딩을 적용해야 하며 2015년부터는 모든 공공기관 전자정부 사업에 시큐어코딩이 의무적용된다.

정부는 이에서 한발 더 나아가 신규 시스템 개발이 아닌, 기존 시스템의 유지보수와 운영관리에도 시큐어코딩을 적용할 수 있도록 제도 확대를 검토하고 있다. 현재 제도 확대를 위한 연구 용역을 실시하고 있는 한국인터넷진흥원 측은 "정보시스템 운영·유지보수 사업에도 개발단계와 마찬가지로 시큐어코딩을 적용해 보안성을 강화할 필요가 있다"면서 "현행 국가 정보시스템 운영·유지보수 사업의 현상과 이슈를 분석하고 이 단계에서 시큐어코딩을 적용하는 방안을 올 연말까지 수립할 계획"이라고 밝혔다.

발주자나 사업자 입장에서 시큐어코딩 활용 방안을 수립하고, 감리나 진단원 입장에서 시큐어코딩을 확인하는 절차나 방법도 마련하겠다는 것이다. 그동안 시큐어코딩은 개발자들이 주로 담당했지 운영자나 감리를 할 때는 크게 관여치 않았지만 이를 운영 관리에도 확대 적용해 보안 틈새를 메우겠다는 것이 정부의 계획이다.

특히 이번 제도 확대 방안 연구에서는 시큐어코딩 제도의 확산과 정착을 위해 '대가산정'에 대한 기초 연구도 병행한다. 국내에 적용할 수 있는 운영·유지보수 단계의 시큐어코딩 대가산정 모델을 수립해 개발단계의 활동과 연동을 고려한다는 방침이다.

이에 대해 시큐어코딩 전문업계 CEO는 "시큐어코딩을 운영과 유지관리 분야로 확대하는 것은 보안 구멍을 메우기 위해 반드시 필요한 절차"라며 "특히 정부가 제도 도입 단계부터 대가 산정 모델을 마련하는 것은 그간 제값을 받지 못해 어려움을 겪었던 국내 정보보안이나 소프트웨어 업계에 매우 의미 있는 일"이라고 환영의 뜻을 나타냈다.

강은성기자 esther@dt.co.kr

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]