Home > 전체기사
SW개발보안, 기관과 기업의 ‘체질계선’이 ‘목적’
  |  입력 : 2019-11-01 09:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기관 및 기업들 조금씩 SW개발보안 의지 보여
SW개발보안 제도화로 인해 ‘진단’통과 위한 ‘요식행위’ 변질 우려
행안부·KISA, ‘SW개발보안 협의체’ 4분기 정기회의 개최


[보안뉴스 원병철 기자] SW개발보안이 제도화 움직임을 보이면서 실제 이를 적용받을 기관 및 기업들과 SW개발보안 솔루션 기업, 그리고 제도화를 추진 중인 행정안전부와 KISA 관계자들이 모여 제도화 방향과 이행점검 방향 등에 대해 깊이 있는 토론의 장이 만들어졌다. 이날 토론에서는 제도화로 인한 강제성으로 얻을 수 있는 것과 잃을 수 있는 것, 제도화에 방해가 될 수 있는 주변 환경 등 다양한 의견들이 제시됐으며, 주무부처인 행정안전부는 이러한 문제에 대해 고민하겠다고 밝혔다.

▲‘SW개발보안 협의체’ 4분기 정기 회의[사진=KISA]


행정안전부(장관 진영, 이하 행안부)와 한국인터넷진흥원(원장 김석환, 이하 KISA)은 SW개발보안 분야의 법·제도 적용 확대를 위해 지난 10월 30일 서울 JW메리어트호텔에서 SW개발보안 관련 산·학·연 관계자 총 14인이 참석한 ‘SW개발보안 협의체’ 4분기 정기 회의를 개최했다. SW개발보안이란 소프트웨어의 개발과정에서 개발자의 실수, 논리적 오류 등으로 인해 발생될 수 있는 보안약점들을 최소화하여 안전한 SW를 개발하기 위한 일련의 보안 활동을 의미한다.

이번 2019년 4분기 정기 회의에서는 공공·민간 분야에 SW개발보안 제도화를 위하여 전자정부법 개정 관련 의견 수렴 및 기관의 SW개발보안 적용 여부 확인을 위한 이행점검 방향 등에 대한 토의가 이어졌다. 현재 전자정부법, SW산업진흥법 등 SW개발보안 관련 조항이 포함된 국회의원의 법 개정이 발의됐으며, 정부는 해당 내용에 대한 SW개발보안 산·학·연에서의 개발보안 제도화 방향에 대해 현장 의견을 고려할 예정이다.

2009년 개발보안 제도 계획이 수립된 후, 2011년 구현단계 43개 보안약점 기준이 신설됐고, 소스코드 진단도구 개발과 시범검증이 있었다. 이어 2012년 ‘정보시스템 구축 운영 지침’이 개정되며 개발보안 적용 의무화가 추진됐고, 2013년 보안약점이 43개에서 47개로 고도화 됐으며, 2015년 모바일 보안약점 기준이 신설됐다. 아울러 2016년에는 설계단계 보안약점 기준이 신설되고 4개 유형 20개 기준이 개발됐고, 2017년에는 비용 산정의 근거를 연구해 SW대가산정 가이드에 시큐어코딩 보정계수가 신설된 상황이다.

실제 현장에서 기술지원을 맡은 KISA의 조은래 수석은 기관과 기업의 문화가 조금씩 바뀌고 있다고 설명했다. 개발보안에 대해 좀 더 생각하고, 실현하려는 의지가 있다는 것. 다만 실제 담당자의 업무가 가중되는 점이나 장비 도입에 따른 비용 문제 등은 넘어야할 산이라고 밝혔다.

서동수 성신여자대학교 교수는 “2012년 보안약점 43개 기준을 만든 후 최근 컴퓨팅 환경이 바뀌면서 사용하는 컴퓨터 언어도 변화하고 있다”면서, “현장에서 체감할 수 있도록 신기술 동향이 시의적으로 반영됐으면 좋겠다”고 조언했다.

안준선 항공대학교 교수는 “자칫 잘못하면 진단을 통과하기 위한 요식행위로 변질 될 수 있다”고 지적하면서 “미국에서는 취약점 데이터를 수집해 연구하고 있는데, 우리도 데이터를 수집해 공동으로 연구할 수 있는 방법이 필요하다”고 말했다.

손윤식 동국대학교 교수도 “보안약점의 일부는 설계단계에서 일부는 구현단계에서 잡을 수 있도록 상황을 봐야 한다”면서, “데이터베이스를 구축할 때 기업들이 꺼려하는 소스코드가 아닌 취약점 특징 등을 중심으로 만들면 된다”고 설명했다.

이밖에도 협의체는 공공·민간 분야의 SW개발보안 활성화를 위해 국내외 동향 이슈사항을 공유하고 향후 협의체 발전 방향에 대해 모색하는 시간을 가졌다.

신승인 행정안전부 정보기반보호정책과장은 “SW개발보안 관련 법제도가 강화되기 위하여 SW개발보안 관련 전문가와 이해관계자들의 조언이 필요하며, 논의된 의견을 바탕으로 공공·민간 부문 정책에 적용될 수 있게 노력하겠다”라고 말했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제