모바일용 전자정부 서비스 개발시 초기단계부터 보안을 검증하는 등 우리나라 전자정부의 보안 수준이 한층 강화될 전망이다.
안전행정부(장관 정종섭)는 정부기관, 공공기관이 준수해야 할 ‘모바일 전자정부서비스 관리지침’을 개정하고 모바일 전자정부 운영에 활용되는 소프트웨어에 대해 개발단계부터 ‘시큐어코딩’(Secure Coding) 프로그래밍 기법을 의무적으로 적용한다고 밝혔다.
‘시큐어코딩’이란 해킹 등 사이버범죄의 표적이 되는 소프트웨어 보안상 약점을 미리 차단하는 일종의 보안 프로그램 기법이다.
지금까지는 소프트웨어를 운영하는 과정에서 보안취약점을 발견하고 제거해 왔는데, 이 경우 수시로 발견되는 보안취약점에 신속히 대응하기 어려운 한계가 있었다.
이에, 안행부는 시간과 비용이 다소 늘더라도 소프트웨어 개발단계부터 보안코드를 활용해 안전성을 높인다는 계획이다. 이럴 경우 보안수준이 현재보다 90% 이상 높아지고 새로 발견되는 보안취약점에도 대응하기 수월해질 전망이다.
이와 관련, 안전행정부는 11월 10일(월), 대한상공회의소에서 소프트웨어 보안전문가들과 함께 “소프트웨어 보안 컨퍼런스”를 개최한다.
올해로 4회째를 맞는 이번 행사에서는 국방․금융․민간기업 등의 소프트웨어 개발보안 적용 사례와 미국 정부의 소프트웨어 보안 추진전략이 공유되고, 보안취약점 진단도구에 대한 평가기준 등 최근 이슈가 되는 주제에 관한 최신 정보가 소개된다.
더불어 ‘소프트웨어 개발보안 경진대회’ 시상식도 진행된다. 올해엔 총 47개 팀, 106명의 대학생이 참가해 치열한 경합 끝에 한국기술교육대학교 안성진 군이 대상의 영예를 안았다.
경진대회 심사위원장을 맡은 성균관대학교 원동호 교수는 “미래 소프트웨어 산업의 주역인 대학생들이 소프트웨어 보안에 관심을 갖는 좋은 기회가 됐다.”며 “우수한 실력을 가진 대학생들이 많다는 점이 매우 고무적이었다.”고 심사 소감을 밝혔다.
대상을 받은 안성진 군은 “이번 대회를 통해 보안약점을 정확하게 이해할 수 있었고, 안전한 소프트웨어 개발에 대해 다시 생각할 수 있었다”고 수상 소감을 말했다.
박제국 안전행정부 전자정부국장은 “우리나라 전자정부가 UN평가에서 3회 연속 1위를 하는 등 세계 최고수준으로 평가받고 있지만, 사소한 보안취약점으로도 그간의 성과가 한순간에 무너질 수 있다.”면서, “전자정부의 기초가 되는 소프트웨어의 보안을 획기적으로 높일 수 있도록 다양한 정책을 고민해 나가겠다.”고 설명했다.
* 소프트웨어 개발보안 제도 개요
1. 추진 배경
사이버공격의 75%는 SW 보안취약점을 이용하여 공격(가트너社, ‘09)
※ 소니社는 SW취약점(SQL인젝션)으로 인해 7,700만명의 개인정보 유출(’11)
따라서, 사이버공격에 효과적으로 대응하기 위해서는 보안장비 구축 뿐만 아니라 SW개발단계부터 보안취약점 제거 필요
신규 개발에 대한 SW개발보안 적용을 의무화* 규정 마련, ‘12.12월부터 시행하여 SW보안 약점을 사전에 삭제하는 등 SW보안 강화
* 「정보시스템 구축·운영 지침」(안행부고시) 의무화 반영(’12.6월), 개정(‘13.8.28)
2. 제도 개요 및 주요 추진내용
SW 개발보안(Secure coding) 의무화
12년부터 신규 개발 정보화사업 규모에 따라 단계별 적용 의무화
.대상 : 정부‧공공기관에서 신규로 개발하는 정보시스템 소스코드
※ (’12.12월) 40억원 이상 → (’14) 20억원 이상 → (’15) 5억원 이상 정보화사업 적용
SW보안취약점은 감리단계에서 전문진단원이 검증․조치 방안 제시
※ 진단원은 SW 개발(6년) 또는 보안취약점 진단(3년) 경력자가 교육 이수시 자격 부여
‘SW 개발보안’ 제도화 기반 조성
고려대에 ‘SW 개발보안 연구센터’를 설치, 신규 보안취약점 기준 및 진단방안 등 연구 지원(연간 2억원 규모)
※ 카네기멜론대학(CMU)과 같이 SW개발보안 분야의 세계적 연구기관으로 발전 지원
SW 개발자, 공무원 등을 대상으로 개발보안 교육 강화(연 2천명)
전자정부 주요서비스 대상으로 SW 개발보안 진단 지원
