| 시큐어코딩 시장, CC인증으로 급물살 타나? | 2013.09.29 |
CC인증 규격으로 새롭게 추가...의무화 조치와 함께 시장활성화 호기 CC인증 평가기관의 평가 늦어져...관련 업계, 영업 차질 하소연
이는 기존 행정안전부(현 안전행정부)가 발표한 전자정부서비스 개발시 적용해야 할 보안기준에 대한 가이드라인과 유사하지만, 행안부의 ‘SW개발 보안기준 43개 항목’과 ‘시큐어코딩 CC인증 보안요구사항’은 조금 차이가 있다. 시큐어코딩 CC인증 보안요구사항에서는 시큐어코딩 솔루션의 경우 점검에 대한 감사데이터를 생성해야 하고 인가된 사용자에 대한 식별과 인증 기능도 제공해야 CC인증을 획득할 수 있도록 했다. 또한, 업데이트 서버를 이용해 운영하는 경우도 업데이트 서버의 무결성을 보장할 수 있도록 파일생성 주체에 대한 전자서명 검증을 수행해야 한다. 이러한 보안요구사항에 따라 시큐어코딩 솔루션에 대한 새로운 CC인증의 경우 기존 인증을 받았던 제품도 다시 CC인증을 받아야 하지만, 국제 CC인증을 받은 제품의 경우는 국정원의 보안적합성 검증을 통과하면 별도의 CC인증 없어도 공공기관 납품이 가능하다. 이에 따라 정부는 지난해 12월부터 공공기관에서 추진하는 40억원 이상 정보화사업에 시큐어코딩을 의무화했고, 오는 2015년까지 그 범위를 점차 확대해 모든 사업에 의무 적용할 계획이다. 이에 따라 2014년 1월부터는 20억원 이상 사업, 2015년엔 감리대상 전 사업에 시큐어코딩이 적용된다. 이로 인해 내년에는 20억원 이상 공공정보화 사업에는 시큐어코딩이 의무 적용되어야 한다. 하지만 시큐어코딩 솔루션의 CC인증 획득을 위한 평가가 아직 원활히 진행되지 않고 있다는 지적이 일고 있다. 이와 관련 시큐어코딩 솔루션 업체의 한 관계자는 “시큐어코딩 솔루션에 대한 CC인증 규격이 나오기 전에는 해당 항목이 없었기 때문에 ‘취약성 점검도구’라는 제품으로 CC인증을 받았다. 하지만 올해 CC인증 규격이 구체적으로 나오면서 ‘소스코드 보안약점 분석도구’라는 제품 항목으로 CC인증을 또 다시 받아야 한다”고 설명했다. 또한, 그는 “기존 CC인증을 받은 업체들이 해당 솔루션에 대해 재인증을 위한 평가를 받을 것인지, 처음부터 다시 평가 인증을 신청할지 대해서는 구체적인 가이드가 아직 없다”면서 “무엇보다 인증평가 기관의 업무가 밀려 있어 시큐어코딩 솔루션 중 올해 안에 CC인증을 받을 수 있는 제품은 많아야 2~3개에 불과할 것”라고 말했다. KISA는 시큐어코딩 솔루션에 대한 CC인증 규격이 나온 지 얼마 되지 않아 업체들이 해당규격에 맞추어 CC인증을 받는 것은 쉽지 않을 것으로 보고 올해 안에 CC인증을 획득할 수 있도록 가이드를 배포한 상황이다. 이에 KISA는 시큐어코딩 업체들이 제출한 기술규격과 성능 등, CC인증 평가를 위한 서류를 사전에 꼼꼼히 검토한 뒤, 9개 정도의 전문업체 솔루션 중 가장 적합한 솔루션을 선별해 평가를 진행한다는 계획이다. 이처럼 CC인증 평가가 늦어짐에 따라 관련 업체들의 불만도 고조되고 있다. 내년 1월까지 CC인증을 획득하지 못하면 공공 사업에 참여하지 못할 뿐더러 현재 영업에도 큰 차질이 있다는 게 업계 관계자들의 공통된 목소리다. 시큐어코딩 분야가 의무화 조치와 CC인증 등으로 인해 시장 활성화 호기를 맞은 만큼 인증평가기관에서도 좀더 유연하고 신속한 대응이 필요하다는 지적이 나오고 있다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
국가보안기술연구소가 발표한 ‘소스코드 취약점 점검도구 보안요구사항’은 △소스코드 분석 및 취약점 식별 △감사기록 △식별 및 인증 △점검도구와 업데이트 서버간 안전한 연동 등이며 탐지해야 할 소스코드 취약점은 입력데이터 검증, 보안기능, 시간 및 상태, 에러처리, 코드오류, 캡슐화, API 오용 등이다.