세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
“사이버전쟁 시대, SW 개발보안 발전시켜야”
  |  입력 : 2018-10-31 11:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코딩 표준 마련, 설계보안 강화, SW·공급망 보증제도 확립, 기업 성숙도 평가 필요

[보안뉴스 김경애 기자] 최근 스파이칩 논란 등이 불거지면서 공급망 보안 위협이 가중되고 있는 가운데 소프트웨어(SW) 개발보안을 발전시켜야 한다는 의견이 제기됐다. 특히, 사이버전쟁 시대에 신무기체계로 SW가 중심이 되고 있고, 4차산업혁명 시대에 SW가 중심이 되고 있어 개발보안이 더욱 중요하기 때문이다.

[이미지=iclickart]


그렇다면 개발보안을 어떻게 발전시켜야 할까? 고려대학교 최진영 교수는 31일 양재동 엘타워에서 개최된 제8회 소프트웨어 개발보안 컨퍼런스에서 ‘4차산업혁명 시대의 개발보안 발전방향’으로 △코딩 표준의 필요성 △설계보안의 강화 △소프트웨어 보증제도 확립 △소프트웨어 공급망 보증제도 확립 △새로운 기업 성숙도 평가의 필요성을 제시했다.

먼저 코딩 표준의 경우 정보 시스템은 소프트웨어 보안성뿐만 아니라 소프트웨어 신뢰성 및 개인정보보호도 함께 만족시켜야 하므로, 정보 시스템의 주요 속성이라 할 수 있는 보안성, 신뢰성, 탄력성 및 개인정보보호도 개발단계에서 함께 구현돼야 한다는 게 최 교수의 설명이다.

이와 관련 최진영 교수는 “개발자를 위한 자바(JAVA) 시큐어코딩 가이드를 발전시킨 공공기관용 자바 표준 가이드가 필요하다”며 “시큐어코딩, 코딩 표준을 사용했을 때 신뢰성 등 프로그램의 품질이 좋아진다. 파이썬(Python) 등 다양한 언어를 대상으로 한 시큐어코딩 가이드나 코딩 표준이 필요하다. 또한, IoT, SCADA, 국방 임베디드 무기체계 등 다양한 도메인에 대한 특화된 코딩 표준 역시 마련돼야 한다”고 강조했다.

설계보안 강화 측면에서는 보안 SW를 이용해 설계보안을 필수로 하고, 보안약점을 반드시 제거해야 한다는 설명이다. 이를 위해선 설계단계에서 위협모델링, 위험분석, 설계보안을 효율적으로 사용하기 위한 체크리스트 배포 등 교육이 매우 중요하다.

▲고려대학교 최진영 교수[사진=보안뉴스]


다음은 SW 보증제도 확립이다. SW 보증은 SW가 예상대로 동작하며 취약점이 없다고 인정해주는 등급이다. SW 보증제도 확립을 통해 믿을 수 있는 정보 시스템을 운영할 수 있고, 고급 SW 엔지니어를 육성할 수 있으며, 장기적으로 SW 기술을 선도함으로써 세계 시장에서 기술 우위를 선점할 수 있다는 설명이다.

다음으로 SW 개발 기업의 SW 및 공급망 보증 관점에서 성숙도를 평가할 필요가 있다고 최 교수는 설명했다. 마지막으로 SW 개발보안 제도의 대상 확대를 제시한 최 교수는 “전자정부법 시행령 제71조에 명시된 ‘정보시스템 감리의 대상’, 대국민 서비스를 위한 행정업무나 민원업무 처리용으로 사용하는 경우, 중앙행정기관 등이 공동구축하거나 사용하는 경우 등으로 SW 개발보안 제도의 대상을 확대해야 한다”며 “SW 개발보안 제도는 전자정부법에 적용되는 정보시스템 뿐만 아니라 공공기관에서 사용하는 모든 정보시스템에서도 활용할 수 있도록 규제를 유도하고, 홍보를 강화해야 한다”고 강조했다. 또한, 교육기관에서는 시큐어코딩 교육을 통해 처음부터 시큐어 SW를 개발할 수 있도록 해야 한다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)