정부, 공공 정보시스템 유지보수 시에도 시큐어코딩 적용 추진

실시간
뉴스

법제도/정책

정부, 공공 정보시스템 유지보수 시에도 시큐어코딩 적용 추진

디지털데일리 발행일 2014-06-18 07:03:00

이민형

URL복사

[디지털데일리 이민형기자] 정부가 공공 정보시스템 개발 단계에만 의무적으로 적용하던 SW개발보안(시큐어코딩)을 유지보수 단계에도 강제화할 계획이다. 시큐어코딩 확대 적용을 위해 우선 사전조사를 시행하고 결과에 따라 적용 방법과 시기를 조정할 예정이다.

최근 한국인터넷진흥원(KISA)은 ‘시큐어코딩 확대 적용 방안 마련’ 사업을 발주했다. 이 사업은 개발이 끝난 시스템에 대해서도 꾸준히 시큐어코딩을 적용함으로써 얻을 수 있는 보안적 효과와 비용을 측정하기 위해 마련됐다.

김민경 KISA 보안평가팀 연구원은 “향후 시큐어코딩을 유지보수 시에도 의무적으로 적용하는 규정을 만들 계획”이라며 “아직까지 이에 대한 연구가 이뤄진 바가 없어 효과나 예산에 대한 논의가 필요해 사업을 발주하게 됐다”고 설명했다.

현재 정부의 시큐어코딩 의무화 제도는 지속적인 무결성 보장이 불가능하다는 맹점이 있다. 개발 단계에서만 시큐어코딩을 적용하기 때문이다. 개발 단계에서 취약점이 해소됐더라도 유지보수 과정에서 추가, 수정되는 소스코드에 대한 무결성은 보장받을 수 없다.

가령 많은 민원인들이 방문하는 홈택스, 주민센터 등과 같은 홈페이지는 소스코드가 자주 변경된다. 내부에서 쓰는 애플리케이션의 업데이트, 배너와 같이 고정적으로 변경되는 부분 등을 포함하면 하루에도 수 번은 소스코드가 수정된다.

이 때문에 개발과정에 시큐어코딩을 적용해 취약점을 모두 해소하더라도 유지보수 과정에서 취약점이 발생하는 경우도 심심치 않게 발견할 수 있다. 당초 OWASP 취약점에 대한 조치가 완료된 대학교 홈페이지가 몇 개월 뒤 악성코드 유포지나 경유지로 악용되는 사례는 셀 수 없다.

이런 문제점을 해결하기 위해 정부는 시큐어코딩을 유지보수 과정까지 확대 적용해 새로운 취약점의 발생을 사전에 차단한다는 계획이다.

KISA는 이번 사업에서 시큐어코딩 확대 적용에 따른 비용에 촉각을 세우고 있다. 시큐어코딩이 확대 적용되면 자연스레 공공 정보시스템 운영비용이 크게 증가하기 때문이다. 기존 전자정부 유지보수에 적용되는 예산만으론 부족할 수 있다.

김 연구원은 “예산확보가 이뤄지지 않은 상황에서 무작정 확대 적용할 순 없다”며 “어떤 취약점을 살펴볼 것인지 얼마의 비용이 추가될 것인지 등에 대한 결과에 따라 규정을 개선할 것”이라고 전했다.

이 사업은 올해 11월에 마감되며, 시큐어코딩 확대 적용 규정은 빠르면 내년 하반기 중 적용될 것으로 예측된다.

<이민형 기자>kiku@ddaily.co.kr