Home > 전체기사
SW개발보안, 기관과 기업의 ‘체질계선’이 ‘목적’
  |  입력 : 2019-11-01 09:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기관 및 기업들 조금씩 SW개발보안 의지 보여
SW개발보안 제도화로 인해 ‘진단’통과 위한 ‘요식행위’ 변질 우려
행안부·KISA, ‘SW개발보안 협의체’ 4분기 정기회의 개최


[보안뉴스 원병철 기자] SW개발보안이 제도화 움직임을 보이면서 실제 이를 적용받을 기관 및 기업들과 SW개발보안 솔루션 기업, 그리고 제도화를 추진 중인 행정안전부와 KISA 관계자들이 모여 제도화 방향과 이행점검 방향 등에 대해 깊이 있는 토론의 장이 만들어졌다. 이날 토론에서는 제도화로 인한 강제성으로 얻을 수 있는 것과 잃을 수 있는 것, 제도화에 방해가 될 수 있는 주변 환경 등 다양한 의견들이 제시됐으며, 주무부처인 행정안전부는 이러한 문제에 대해 고민하겠다고 밝혔다.

▲‘SW개발보안 협의체’ 4분기 정기 회의[사진=KISA]


행정안전부(장관 진영, 이하 행안부)와 한국인터넷진흥원(원장 김석환, 이하 KISA)은 SW개발보안 분야의 법·제도 적용 확대를 위해 지난 10월 30일 서울 JW메리어트호텔에서 SW개발보안 관련 산·학·연 관계자 총 14인이 참석한 ‘SW개발보안 협의체’ 4분기 정기 회의를 개최했다. SW개발보안이란 소프트웨어의 개발과정에서 개발자의 실수, 논리적 오류 등으로 인해 발생될 수 있는 보안약점들을 최소화하여 안전한 SW를 개발하기 위한 일련의 보안 활동을 의미한다.

이번 2019년 4분기 정기 회의에서는 공공·민간 분야에 SW개발보안 제도화를 위하여 전자정부법 개정 관련 의견 수렴 및 기관의 SW개발보안 적용 여부 확인을 위한 이행점검 방향 등에 대한 토의가 이어졌다. 현재 전자정부법, SW산업진흥법 등 SW개발보안 관련 조항이 포함된 국회의원의 법 개정이 발의됐으며, 정부는 해당 내용에 대한 SW개발보안 산·학·연에서의 개발보안 제도화 방향에 대해 현장 의견을 고려할 예정이다.

2009년 개발보안 제도 계획이 수립된 후, 2011년 구현단계 43개 보안약점 기준이 신설됐고, 소스코드 진단도구 개발과 시범검증이 있었다. 이어 2012년 ‘정보시스템 구축 운영 지침’이 개정되며 개발보안 적용 의무화가 추진됐고, 2013년 보안약점이 43개에서 47개로 고도화 됐으며, 2015년 모바일 보안약점 기준이 신설됐다. 아울러 2016년에는 설계단계 보안약점 기준이 신설되고 4개 유형 20개 기준이 개발됐고, 2017년에는 비용 산정의 근거를 연구해 SW대가산정 가이드에 시큐어코딩 보정계수가 신설된 상황이다.

실제 현장에서 기술지원을 맡은 KISA의 조은래 수석은 기관과 기업의 문화가 조금씩 바뀌고 있다고 설명했다. 개발보안에 대해 좀 더 생각하고, 실현하려는 의지가 있다는 것. 다만 실제 담당자의 업무가 가중되는 점이나 장비 도입에 따른 비용 문제 등은 넘어야할 산이라고 밝혔다.

서동수 성신여자대학교 교수는 “2012년 보안약점 43개 기준을 만든 후 최근 컴퓨팅 환경이 바뀌면서 사용하는 컴퓨터 언어도 변화하고 있다”면서, “현장에서 체감할 수 있도록 신기술 동향이 시의적으로 반영됐으면 좋겠다”고 조언했다.

안준선 항공대학교 교수는 “자칫 잘못하면 진단을 통과하기 위한 요식행위로 변질 될 수 있다”고 지적하면서 “미국에서는 취약점 데이터를 수집해 연구하고 있는데, 우리도 데이터를 수집해 공동으로 연구할 수 있는 방법이 필요하다”고 말했다.

손윤식 동국대학교 교수도 “보안약점의 일부는 설계단계에서 일부는 구현단계에서 잡을 수 있도록 상황을 봐야 한다”면서, “데이터베이스를 구축할 때 기업들이 꺼려하는 소스코드가 아닌 취약점 특징 등을 중심으로 만들면 된다”고 설명했다.

이밖에도 협의체는 공공·민간 분야의 SW개발보안 활성화를 위해 국내외 동향 이슈사항을 공유하고 향후 협의체 발전 방향에 대해 모색하는 시간을 가졌다.

신승인 행정안전부 정보기반보호정책과장은 “SW개발보안 관련 법제도가 강화되기 위하여 SW개발보안 관련 전문가와 이해관계자들의 조언이 필요하며, 논의된 의견을 바탕으로 공공·민간 부문 정책에 적용될 수 있게 노력하겠다”라고 말했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)