행자부, ‘제6회 소프트웨어(SW) 개발보안 컨퍼런스’ 개최
‘제3회 SW 개발보안 경진대회’ 시상식...세종대, 가톨릭대 대상

[보안뉴스 김태형] 행정자치부(장관 홍윤식)는 6일 대한상공회의소에서 소프트웨어(SW)를 개발하는 단계에서부터 보안 취약점을 없애 전자정부의 안전성을 높이기 위한 ‘소프트웨어(SW) 개발보안 컨퍼런스’를 개최했다.


행정자치부가 주최하고 한국인터넷진흥원(원장 백기승)이 주관한 이번 행사는 행정·공공기관 담당자, 개발자, 정보보호 전문가 등 5백여 명이 한 자리에 모여 SW 보안 최신기술을 공유하고 향후 발전방향을 공유하는 자리로 올해로 6회째를 맞았다.

이번 행사에서는 ‘신기술 시대와 SW 개발보안’을 주제로 사물인터넷(IoT)·인공지능 등 다양한 분야에서 발생 가능한 SW 보안위협과 사이버공격 대응기술 및 발전방향 등이 소개되었다.

이날 특별 강연을 맡은 미국 국토안보부 산하 SW 보안평가기관 마이터(MITRE)의 수석엔지니어 로버트 마틴(Robert A. Martin)은 미국 연방정부의 SW 보안 추진전략과 보안취약점 국제표준기술을 통한 SW 보안 개선 노력 등의 최신 SW 보안 트렌드를 공유했다. 특히, 그는 “SW는 거의 모든 분야에서 사용되며 많은 사람들의 일상생활에서 중요한 역할을 수행하고 있는 등 거의 모든 것이 SW에 의존하고 있다”면서 “하지만 SW 개발자의 짧은 수명은 개선되어야 할 문제이며 SW의 위험을 관리하고 보안성을 인정받는 SW 개발을 위한 활동이 필요하다”고 강조했다.

이어서 두 번째 특별강연을 맡은 고려대 정보보호대학원의 고품질융합SW연구센터장인 최진영 교수는 ‘신기술 시대와 SW 개발보안’을 주제로 SW 개발 전 단계에서의 보안 적용을 강조했다. 최진영 교수는 “스마트사회에서 SW는 다양한 기능을 가진 생명력이 있는 무한 능력의 발전이 이루어지게 됐다. SW는 안전성, 의존성, 보안성이 중요하며 조그마한 오류도 인간의 생명을 위협할 수 있는 사고로 이어질 수 있고 외부 침입을 가능하게 하는 취약점은 새로운 위협으로 대두되고 있다”고 밝혔다.

이어서 그는 “SW 개발 보안 취약점을 예방하기 위해서는 시큐어 코딩을 활용해 버그를 줄이고 취약점과 제로데이 취약점 등 미래의 취약점을 예방해아 한다. 현재 58%의 사이버 공격이 설계 보안 약점을 이용하기 때문에 시큐어 디자인을 통해 설계단계에서 발생할 수 있는 보안약점을 제거해야 한다”면서 “시큐어 SW 개발방법론(Secure Software Development Life Cycle, S-SDLC)을 활용해서 SW 개발 전단계에에서 보안 요소를 적용해 개발 전 단계에서 보안약점을 제거하고 제로데이 취약점을 예방해야 한다”고 강조했다.

또한, 그는 “행정자치부의 SW 개발보안제도는 SW 보안성 한 가지에 초점을 둔 제도이다. 요즘은 두 개 이상의 복합 속성을 요구하므로, 이러한 개발보안제도의 개선과 발전이 요구된다. 특히, 행정자치부 SW보증제도의 확립과 보안중심 성숙도 모델 활용 등이 필요하다”고 덧붙였다.

이날 개회식에서 행정자치부 이인재 전자정부국장은 “최근 급증하고 있는 사이버 공격에 효과적으로 대처하기 위해서는 개발단계부터 SW 보안취약점을 제거하는 것이 중요하다”며 “최근 정보통신기술(ICT)의 융합으로 인공지능, 빅데이터, 로봇기술, 생명과학이 주도하는 제4차 산업혁명으로 인해 우리 사회는 앞으로 커다란 경제적, 사회적인 변화들이 예상되고 있다. 이에 적극적인 대응을 위해서 정부는 전자정부 서비스에 인공지능을 활용한 재설계를 추진하기 위해 ‘전자정부 2020 기본계획’을 마련해 추진하고 있다”고 설명했다.

이어서 그는 “‘신기술 시대와 SW 개발 보안’을 주제로 열린 이번 컨퍼런스를 통해 정보보호 강국으로 발돋움할 것이며 이를 위해 정보보호 전담인력 구성, 사이버보안 통합관제, SW 개발보안 제도 등을 추진하고 있다. 무엇보다 행자부의 감리를 받는 모든 정보화 사업에 시큐어 코딩을 적용하고 있으며 향후 이 제도는 성공적으로 정착할 것으로 기대된다”고 말했다.

또한 그는 “정부는 이번에 관련 법 개정 시 개발보안 사후관리 강화와 SW 개발 전 단계 보안 적용, 그리고 SW 보안약점 진단원 자격증을 국가 자격으로 격상하는 일 등에 중점을 두고 추진할 계획”이라면서 “앞으로 SW 개발보안 제도가 법제화되면 이를 계기로 적용대상을 중·소규모 사업까지 확대해나가고 제도의 실효성을 높이기 위해 노력하겠다”고 강조했다.

한국인터넷진흥원 백기승 원장은 환영사에서 “정부가 사전 기획해서 SW 개발보안의 필요성을 만들고 예산도 확보해서 업계와 함께 하고 SW보안 약점 진단원의 자격 강화 등을 추진하겠다고 했는데, 향후 10년 뒤에는 더욱 발전된 컨퍼런스를 기대한다”면서 “특히, 이번 행사와 함께 진행된 SW 개발보안경진대회는 올해로 3년째다. 이번 대회에서는 고교생으로 확대해 학생들에게 처음부터 SW개발보안을 인식시키는 계기가 됐다”고 덧붙였다.

한편, 이날 오후에는 행정자치부와 한국인터넷진흥원에서 전자정부법 개정을 통해 SW 개발보안을 법적으로 제도화하고 보안약점 진단기준을 현재 운영 중인 구현(코딩)단계 뿐만 아니라, 설계단계와 운영단계까지 확대하는 등의 정책 발전방향에 대해 발표했다.

이 외에도 자율주행차가 해커에 의해 조정권한을 하이재킹(hijacking) 당하는 등 최근 사고사례를 통해 기기에 내장된 SW 취약점에 의해 발생할 수 있는 보안위협과 각 위협별 방어기술을 소개했다.

아울러 최근 뜨거운 쟁점으로 자리 잡은 인공지능 보안기술의 현재와 미래에 대해서도 열띤 토론이 진행되었으며, 카이스트(KAIST) 차상길 교수는 정보보안을 지키는 파수꾼의 역할을 인공지능이 머지 않아 대체할 것이라고 내다봤다.


한편, 이날 행사에서는 ‘제3회 SW 개발보안 경진대회’ 시상식도 진행됐다. 올해엔 88개 학교, 182개 팀(424명)의 학생들이 참가해 17대 1의 치열한 경합 끝에 세종대학교와 가톨릭대학교에서 대상의 영예를 안았다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>