황규철 행안부 정보보호정책과장, “SW 보안약점 진단기술력 제고”

[보안뉴스 호애진] 보안취약점이 내포된 소프트웨어(SW)는 해커의 공격목표가 돼 심각한 보안위협을 초래한다. 따라서 정보시스템 운영 이전 개발단계부터 보안성을 고려하고 잔존 보안약점을 제거할 필요가 있다.

이에 정부는 사전예방 체계 강화를 위한 SW 개발보안, 즉 시큐어코딩 체계 도입을 추진하고 있다. 시큐어코딩(Secure Coding)이란 SW 구현 시 보안약점을 배제하기 위한 안전한 코딩 기법을 말한다.

한국CSO협회가 25일 서울프라자호텔에서 개최한 ‘제7차 CSO포럼’에서 황규철 행정안전부 정보보호정책과장은 소프트웨어 취약점에 의한 침해사고 사례를 들고, 이러한 피해를 방지하기 위해 정부가 추진하고 있는 정책 등을 소개했다.

황규철 과장은 “시큐어코딩 체계를 강화하기 위해 보안약점 진단도구 개발, 개발자·담당공무원 대상 교육 실시, 전자정부 서비스 대상 시범 진단, SW 개발 보안 가이드 개발 및 보급, SW 개발보안 제도화 등을 추진하고 있다”고 밝혔다.

특히, 지난해 23개 전자정부 시스템 대상 시범 진단 결과 시스템별 평균 1,328개의 SW 보안약점이 발견돼 조치됐으며, SQL 삽입(9.7%), XSS(16.9%) 등 고위험 보안약점은 2010년, 44%보다 다소 감소한 추세를 보였다.

앞서 정부는 지난 6월 ‘전자정부법’ 제45조에 따라 행정기관 등의 장이 정보 시스템을 구축·운영함에 있어서 준수해야 할 기준, 표준 및 절차와 상호운용성 기술평가에 관한 사항을 정하고 있는 ‘정보시스템 구축·운영 지침’을 개정·고시하면서 SW개발보안 적용을 의무화했다.

이는 행정기관 및 공공기관이 정보화사업을 추진함에 있어 준수해야 할 소프트웨어 개발보안에 관한 기준 및 절차를 규정, 정보시스템 개발단계부터 보안 취약점을 제거해 안전한 전자정부 서비스를 제공하기 위해 마련된 것이다.

황규철 과장은 “SW 개발보안 제도화를 위해 개발보안 연구센터를 설치하고, 가이드를 보급하는 한편, 교육을 강화하고 있다”며, “앞으로 SW 보안약점 진단기술력을 제고시키고 서비스를 제공하는 데 적극 노력할 것”이라고 밝혔다.

또한, 운영 중인 SW에 대한 적용방안도 마련된다. 황규철 과장은 “기존 시스템은 사용자 인터페이스를 중심으로 개발보안 적용 시범사업을 추진하고, 운영시스템에 대한 SW 보안약점을 제거하기 위해 비용 대비 효과적인 방안을 도출해 주요 시스템부터 적용할 방침”이라고 말했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>