Home > 전체기사
안전한 전자정부 서비스의 시작은 ‘시큐어코딩’
  |  입력 : 2016-02-21 23:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
시큐어코딩, 모바일 분야 등 전자정부 시스템 전체로 확대
eGISEC 2016, 시큐어코딩 등 전자정부·민간 부문 보안 솔루션 한 자리에


[보안뉴스 김태형] 최근 정상적인 애플리케이션에 난독화된 스크립트를 삽입하거나 정상적인 웹 서비스에 악성코드나 악성링크를 숨겨 이용자들을 감염시키는 지능형 공격이 증가하고 있다. 이렇듯 고도화된 사이버공격을 방어하기 위해서는 SW 개발단계부터 보안을 고려하는 시큐어코딩(Secure Coding)이 필수라는 지적이다.


즉, 시큐어코딩은 해킹 등 사이버공격의 원인인 보안약점을 소프트웨어 개발단계에서 사전에 제거해 안전한 소프트웨어를 개발하는 소프트웨어 개발기법을 의미한다. 최근엔 스마트사회의 가장 큰 위협 중 하나로 소프트웨어(SW) 취약성으로 인한 보안사고가 손꼽히면서 시큐어코딩이 더욱 중요시되는 분위기다. SW의 설계 및 코딩 과정에서의 취약성으로 인해 보안사고가 발생하거나 SW 품질과 안전성이 저하된다면 공공이나 기업에서 막대한 손실을 입을 수 있기 때문이다.

이에 행정자치부와 한국인터넷진흥원은 지난해 초 ‘전자정부 SW IoT 보안센터’를 개소하고 그간 전자정부의 소프트웨어를 보호해온 ‘시큐어코딩’ 방식을 IoT와 모바일 분야까지 폭넓게 적용할 수 있는 방안을 마련해 관련기관에 보안기술 개발을 지원키로 했다.

실제로 시큐어코딩 방식을 적용하고 있는 전자정부 소프트웨어의 보안 효과성을 분석한 결과, 해킹 가능성이 94% 이상 제거되고 소스코드의 체계적인 관리로 ‘스파게티 코드 (Spaghetti Code: 스파게티처럼 복잡하게 얽혀있는 프로그램)’를 예방하는 효과를 거뒀다는 조사결과도 있다.

이에 정부는 지난해 12월 행정자치부 고시 제2015-45호(2015.12.22) ‘행정기관 및 공공기관 정보시스템 구축·운영 지침’ 개정을 통해 전자정부 시스템 보안을 강화했다. 해당 지침에는 전자정부 시스템 보안 강화를 위해 기존에 코딩 단계에서만 적용했던 소프트웨어 개발 보안을 전자정부 시스템 전체 라이프사이클로 확대하고 모바일 전자정부 앱 보안성 강화에도 초점을 맞췄다.

특히, 기존 코딩 단계에서만 적용했던 시큐어코딩을 설계와 유지보수 부문에도 적용하도록 제도를 개선했다. 또한, 운영시스템 SW 개발보안 방안을 마련하고 웹 보안 취약점 점검 시 모의해킹과 소스코드 점검을 병행하도록 했다. 아울러 유지보수 점검 항목에는 ‘SW개발 보안’을 추가했다. 이 외에 행자부는 각 기관이 운영하는 전자정부 시스템을 중요도에 따라 등급을 부여하고 시스템별 중요도를 고려한 5단계의 보안등급 분류기준을 마련했다.

행정기관 및 공공기관 정보시스템 구축·운영 지침의 제6장 소프트웨어 개발보안 제50조(소프트웨어 개발보안 원칙)에 따르면, 행정기관 등이 정보화사업을 추진할 때에는 소프트웨어 보안약점이 없도록 소프트웨어를 개발 또는 변경(이하 ‘소프트웨어 개발보안’이라 한다)하여야 한다. 또 행정기관 등의 장이 정보화사업 추진시 적용해야 할 소프트웨어 개발보안의 범위는 △신규개발의 경우 소스코드 전체 △유지보수의 경우 유지보수로 인해 변경된 소스코드 전체 △소프트웨어 개발보안 적용 시 상용 소프트웨어는 제외 등으로 했다.

이와 함께 제51조(소프트웨어 개발보안 활동)에서는 행정기관 등의 장은 제안서 평가시 소프트웨어 개발보안을 위한 소프트웨어 보안약점 진단도구 사용 여부, 개발절차와 방법의 적절성, 제3항에 의한 교육계획의 적정성 등을 확인하고 평가에 반영할 수 있도록 했다. 또한, 사업자는 제50조에 따라 소프트웨어 개발보안을 적용하는 경우 행정자치부장관이 국가정보원장과 협의하여 공지하는 ‘소프트웨어 개발 보안가이드’를 참고할 수 있으며, 정보화사업 착수단계에서 ‘소프트웨어 개발 보안가이드’ 등 소프트웨어 개발보안 관련 교육을 실시하고 이후 투입되는 인력은 개발에 투입하기 전 소프트웨어 개발보안 관련 교육을 실시하여야 한다는 등의 조항을 신설했다.

이를 위해 최근 정부는 전자정부 SW 개발자와 진단원을 위해 SW 개발단계에서 보안진단이 가능한 ‘공개 SW를 활용한 소프트웨어 개발보안 진단가이드’를 무료 배포했다. 이번에 배포된 가이드는 무료 공개 소프트웨어를 이용해 개발자 스스로 보안약점을 손쉽게 진단할 수 있는 방법을 소개하고 있다.

이를 통해 행자부가 선정한 47개 보안약점을 개발자가 직접 진단할 수 있고 통합관리도구를 연계해 진단 결과 분석과 보고서 작성도 가능하다. 이는 별도로 진단비용을 확보하기 어려운 소규모 사업이나 제도 도입 전에 구축된 정보 시스템도 유지보수 등을 통해 개선이 가능할 것으로 기대되고 있다.

행자부는 안전한 전자정부 소프트웨어 개발을 위해 ‘소프트웨어 개발보안’ 제도를 2012년부터 도입·운영하고 있다. 이를 통해 방화벽 등 보안장비로 대응이 어려운 보안취약점을 초기에 확인해 개선하는 효과를 거두고 있으나 제도를 적용하기 위한 상용 도구와 진단 전문가가 필요해 금액 기준 5억 원 이상 사업에만 의무적으로 적용하는 등의 한계가 있어 이번 가이드를 배포하게 됐다는 설명이다.

앞으로 행자부는 한국인터넷진흥원과 함께 가이드에 소개된 여러 공개 소프트웨어를 활용한 진단방법을 소개하는 실습형 교육과정을 운영할 계획이다. 아울러 매년 열리는 ‘대학생 대상 소프트웨어 개발보안 경진대회’에서 활용하도록 심사기준에 반영하는 등 개발자 스스로 소프트웨어 개발보안을 적용하는 문화를 만들어 나갈 방침이다.

한편, 전자정부 시스템을 비롯해 민간기업의 보안강화를 위한 시큐어코딩 진단도구에서부터 컨설팅까지 관련 솔루션과 가이드를 한 자리에서 모두 해결할 수 있는 기회도 마련될 예정이라 주목받고 있다.

전자정부 시스템의 개선과 보안강화에 필요한 시큐어코딩을 비롯해 웹보안, 모바일 앱 보안, 네트워크 보안, IoT 보안, 개인정보보호, 문서보안 등의 정보보호 솔루션과 클라우드, 빅데이터, 모바일, 웹접근성 향상, 통신망, 문서관리 등의 정보화 솔루션들을 한꺼번에 비교·체험할 수 있는 ‘제5회 전자정부 솔루션 페어(eGISEC 2016)’가 개최되는 것. 행정자치부 주최로 오는 3월 16일부터 3월 18일까지 일산 킨텍스 전시장 4~5홀에서 열리는 이번 행사는 ‘eGISEC 2016’ 홈페이지(http://www.egisec.org/2016/)에서 사전 참관등록을 신청하면 무료로 참여가 가능하다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제