공공정보화 사업 ‘SW 개발보안’ 설계·운영단계까지 확대

실시간
뉴스

법제도/정책

공공정보화 사업 ‘SW 개발보안’ 설계·운영단계까지 확대

디지털데일리 발행일 2015-10-05 18:00:11

이유지

URL복사

- 모바일 앱에도 개발보안 적용, 보안검증 강화

[디지털데일리 이유지기자] 정부가 전자정부서비스 보안성을 크게 강화한다. 현재 모든 감리대상 공공정보화 사업에 의무화돼 있는 소프트웨어(SW) 개발보안(시큐어코딩) 제도를 SW개발주기 전단계로 확대 적용하는 방안을 추진하고 있다.

모바일 앱을 대상으로도 개발보안을 적용하고 보안성 검증을 대폭 강화하기로 했다.

행정자치부는 5일 서울 대한상공회의소에서 개최한 ‘2015 SW 보안 컨퍼런스’에서 이같은 방침을 밝혔다.

현재 공공정보화 사업 ‘구현(코딩)’단계에만 적용하고 있는 SW 개발보안 제도를 그 이전단계인 ‘설계(디자인)’와 ‘운영·유지보수’ 단계까지 확대할 수 있도록 개선한다.

SW 설계와 개발단계에서 잠재적인 약점이나 취약점을 최소화할 뿐만 아니라 운영·유지보수단계에서 일어나는 변경사항에 대한 소스코드 점검·개선조치까지 실시한다는 의미다.

현재 운영단계에서는 모의해킹·웹 보안취약점 점검이 실시되고 있다.

행자부는 설계·유지보수 단계에 SW 개발보안을 확대 적용할 경우 기대효과 분석에 돌입했다. 전문가들과 함께 점검 항목과 개발보안 기준·적용 방안 등도 논의하고 있다.

하승철 행자부 정보기반보호과장은 “운영단계에서는 대개 모의해킹을 통한 동적분석이 이뤄지고 있지만 소스코드를 점검하는 정적 분석을 병행할 경우 취약점 제거 등의 효과가 극대화될 것으로 보고 있다”며 “현재 의무화돼 있는 웹 취약점 점검과 더불어 소스코드 점검 병행하고 보안설정 등 유지보수 점검항목도 마련할 것”이라고 말했다.

행자부는 행정기관에서 개발되는 모바일 앱의 보안성 검증도 크게 강화할 예정이다. 작년에 실시한 검증결과를 반영해 모바일 앱의 소스코드 보안약점과 암호화·접근권한 남용 여부까지 검증하겠다는 방침이다.

아울러 행자부는 보안약점 진단도구 성능 제고 방안과 SW 개발보안 진단원의 역량 제고를 위한 방안도 강구한다. 한국인터넷진흥원(KISA)이 운영하는 SW보안 전문가 민간 자격제도를 향후 국가공인자격제로 승격하는 방안도 검토 중이다.

SW 개발보안 제도는 전자정부 SW 보안약점을 개발단계부터 제거해 보안수준을 높이기 위해 지난 2012년에 도입, 정부·공공기관이 추진하는 정보화사업에 단계적으로 확대 적용해 왔다. 행자부는 연말까지 SW 개발보안 확대 적용 방안을 확정한 뒤 ‘정보시스템 구축·운영지침’을 개정할 계획이다.

<이유지 기자>yjlee@ddaily.co.kr