[김수연기자] 앞으로 소프트웨어 보안약점을 제거하는 시큐어코딩이 개발단계에서부터 의무적으로 적용된다.
행정안전부는 '소프트웨어 개발보안(시큐어코딩)'을 개발단계부터 적용토록 하는 '정보시스템 구축·운영 지침' 개정안을 마련, 행정예고 한다고 16일 발표했다.
소프트웨어 결함과 오류에 따른 해킹 등 소프트웨어(SW) 보안약점(Weakness)은 사이버 공격을 유발하는 원인으로 지목돼 왔으며, 시큐어코딩(Secure Coding)은 이러한 취약점을 개발단계에서 사전에 제거하는 기법이다.
이번 개정안은 정보화사업을 추진하는 행정기관 및 공공기관에서 시큐어코딩을 적용·점검하는 데에 필요한 기준과 절차 등을 규정하고 있다.
개정안에 따르면, 오는 12월부터 행정기관 등에서 추진하는 개발비 40억 원 이상 규모의 정보화사업에 시큐어코딩 적용이 의무화된다.
행안부는 시큐어코딩 적용 의무 대상을 오는 2014년 1월부터 20억 원 이상 규모, 2015년 1월부터 감리대상이 되는 모든 정보화사업으로 확대해 나갈 방침이다.
SW 개발사업자가 반드시 제거해야 할 보안약점은 SQL 삽입, 크로스사이트스크립트 등 43개며, 감리법인은 정보시스템 감리시 검사항목에 보안약점 제거 여부를 반드시 포함시켜야 한다. 또한 감리법인이 보안약점 진단도구를 사용할 경우, 국정원장이 인증한 것을 활용해야 한다.
감리법인은 개발보안분야 감리시, 전문성 제고를 위해 행안부 장관이 자격을 부여한 개발보안 진단원을 우선적으로 배치할 수 있다. 진단원 자격은 6년 이상의 SW 개발경력과 3년이상의 SW 보안약점 진단경력을 보유하고, 진단원 양성교육 40시간을 이수한 자에게 주어진다.
행안부 장광수 정보화전략실장은 "사이버공격에 효과적으로 대응하기 위해서는 인프라 투자도 필요하지만 SW 개발 단계부터 보안약점을 제거하는 것이 매우 중요하다"며 "지난 4월말 선정된 SW 개발보안 연구센터를 통해 새로운 보안 약점을 지속 발굴하는 등 개발 보안을 강화해 나갈 예정"이라고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기