정보보안 전문 인력 교육 및 자격인증 서비스를 제공하는 대표적인 글로벌 비영리 기관 (ISC)²가 소프트웨어 개발 단계에서의 보안의 중요성을 적극적으로 강조하고 나섰다.

현재 모든 보안 침해의 약 80%가 애플리케이션과 관련이 있는 것으로 보고 되는 만큼, 소프트웨어 개발단계부터 소프트웨어 라이프사이클에 따른 보안을 필수적인 요소로 고려해야만 한다는 것이다.

(ISC)²는 소프트웨어 취약성으로 인한 손실이 사실상 너무 엄청나 측정하기도 어렵다며 “긱노믹스(Geekonomics)”의 저자 데이빗 라이스(David Rice)의 말을 인용, 소프트웨어의 보안 결함이 연간 천 8백억 달러에 이른다고 강조했다.

특히 미국 등 해외의 경우 단지 불안전한 소프트웨어를 사용했기 때문에 침해를 당한 기업은 천문학적인 벌금이라는 대가를 치루고 있고, 무엇보다 그러한 사고로 기업의 평판에 대한 손상과 결과적으로 고객의 신뢰를 상실함으로써 발생하는 손실을 생각하면 그 피해는 실로 엄청나다는 것이다.

아이다호 주립 대학 컴퓨터 정보시스템 프로그램학과 학과장인 코레이 스카우 박사(Corey Schou)도 또한 애플리케이션 취약성과 관련해 “프로그래밍이 좋지 않다는 것은 부분적인 이유에 불과”하다며 “프로그램 개발 시 보안을 처음부터 구현해야만 한다는 인식이 없다는 것이 문제의 핵심”이라고 주장했다.

이러한 이유로 (ISC)²는 소프트웨어 개발과 관련된 자격증을 개발, 내년 6월에 첫 자격시험을 실시할 예정이라고 밝혔다. 안전한 소프트웨어 라이프사이클 공인 전문가(Certified Secure Software Lifecycle Professional, 이하 CSSLP) 자격 프로그램은  소프트웨어 라이프사이클 관계자들에게 보안 구현의 방법뿐만 아니라 보안 요건 사항, 디자인, 설계, 테스트, 안전한 소프트웨어의 도입의 정보를 수집하는 방법을 교육하고 그에 관한 자격 인증을 제공하게 된다.

(ISC)²는 CSSLP가 소프트웨어 라이프사이클 관계자들이 알아야 할 모든 것을 매끄럽게 다루고 있어 업계에 엄청난 영향을 미칠 것이라며, 보안과 통제가 체계화된 검증 기술, 절차를 통해 효과적으로 구현되어 단체의 담당자들에게 적절한 안전장치와 대응 방법이 보호의 수단으로써 자리 잡고 있다는 자신감을 준다는 것이다. 즉, 자신들이 안전한 소프트웨어를 개발하고 있다고 자신할 수 있으며, 그로써 고객들의 신뢰를 통해 궁극적으로는 더 많은 이익을 창출하게 될 것이라는 것이다.

특히, CSSLP가 소프트웨어 라이프사이클 전반에 걸쳐 보안을 고려한다는 것을 보증해주는 업계 유일의 자격증이기 때문인 것도 막강한 영향력의 원인이 될 수 있다고 (ISC)²는 덧붙였다. 또한, (ISC)²에서 부여하는 기존의 다른 자격들과 달리 CSSLP는 CISSP를 획득하지 않고도 자격시험에 응시할 수 있다는 것이 특징이라고 설명했다.

현재 관련 전문가들을 통해 교육 자료를 제작중인 CSSLP는 안전한 소프트웨어 디자인, 구현, 유지 등 7개 전문 도메인으로 구분되어 있으며, 내년 4월에 완성 예정이다. 첫 CSSLP 자격시험은 2009년 6월로 예정되어있으나 우선은 영어로만 시험이 진행될 것으로 알려졌다. 자세한 내용은 홈페이지 www.isc2.org/csslp에서 확인할 수 있다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>