세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
“사이버전쟁 시대, SW 개발보안 발전시켜야”
  |  입력 : 2018-10-31 11:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코딩 표준 마련, 설계보안 강화, SW·공급망 보증제도 확립, 기업 성숙도 평가 필요

[보안뉴스 김경애 기자] 최근 스파이칩 논란 등이 불거지면서 공급망 보안 위협이 가중되고 있는 가운데 소프트웨어(SW) 개발보안을 발전시켜야 한다는 의견이 제기됐다. 특히, 사이버전쟁 시대에 신무기체계로 SW가 중심이 되고 있고, 4차산업혁명 시대에 SW가 중심이 되고 있어 개발보안이 더욱 중요하기 때문이다.

[이미지=iclickart]


그렇다면 개발보안을 어떻게 발전시켜야 할까? 고려대학교 최진영 교수는 31일 양재동 엘타워에서 개최된 제8회 소프트웨어 개발보안 컨퍼런스에서 ‘4차산업혁명 시대의 개발보안 발전방향’으로 △코딩 표준의 필요성 △설계보안의 강화 △소프트웨어 보증제도 확립 △소프트웨어 공급망 보증제도 확립 △새로운 기업 성숙도 평가의 필요성을 제시했다.

먼저 코딩 표준의 경우 정보 시스템은 소프트웨어 보안성뿐만 아니라 소프트웨어 신뢰성 및 개인정보보호도 함께 만족시켜야 하므로, 정보 시스템의 주요 속성이라 할 수 있는 보안성, 신뢰성, 탄력성 및 개인정보보호도 개발단계에서 함께 구현돼야 한다는 게 최 교수의 설명이다.

이와 관련 최진영 교수는 “개발자를 위한 자바(JAVA) 시큐어코딩 가이드를 발전시킨 공공기관용 자바 표준 가이드가 필요하다”며 “시큐어코딩, 코딩 표준을 사용했을 때 신뢰성 등 프로그램의 품질이 좋아진다. 파이썬(Python) 등 다양한 언어를 대상으로 한 시큐어코딩 가이드나 코딩 표준이 필요하다. 또한, IoT, SCADA, 국방 임베디드 무기체계 등 다양한 도메인에 대한 특화된 코딩 표준 역시 마련돼야 한다”고 강조했다.

설계보안 강화 측면에서는 보안 SW를 이용해 설계보안을 필수로 하고, 보안약점을 반드시 제거해야 한다는 설명이다. 이를 위해선 설계단계에서 위협모델링, 위험분석, 설계보안을 효율적으로 사용하기 위한 체크리스트 배포 등 교육이 매우 중요하다.

▲고려대학교 최진영 교수[사진=보안뉴스]


다음은 SW 보증제도 확립이다. SW 보증은 SW가 예상대로 동작하며 취약점이 없다고 인정해주는 등급이다. SW 보증제도 확립을 통해 믿을 수 있는 정보 시스템을 운영할 수 있고, 고급 SW 엔지니어를 육성할 수 있으며, 장기적으로 SW 기술을 선도함으로써 세계 시장에서 기술 우위를 선점할 수 있다는 설명이다.

다음으로 SW 개발 기업의 SW 및 공급망 보증 관점에서 성숙도를 평가할 필요가 있다고 최 교수는 설명했다. 마지막으로 SW 개발보안 제도의 대상 확대를 제시한 최 교수는 “전자정부법 시행령 제71조에 명시된 ‘정보시스템 감리의 대상’, 대국민 서비스를 위한 행정업무나 민원업무 처리용으로 사용하는 경우, 중앙행정기관 등이 공동구축하거나 사용하는 경우 등으로 SW 개발보안 제도의 대상을 확대해야 한다”며 “SW 개발보안 제도는 전자정부법에 적용되는 정보시스템 뿐만 아니라 공공기관에서 사용하는 모든 정보시스템에서도 활용할 수 있도록 규제를 유도하고, 홍보를 강화해야 한다”고 강조했다. 또한, 교육기관에서는 시큐어코딩 교육을 통해 처음부터 시큐어 SW를 개발할 수 있도록 해야 한다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술