앞으로 해킹·분산서비스거부(DDoS) 공격 등에 대한 전자정부서비스의 보안체계가 획기적으로 개선된다.
행정안전부는 사이버공격의 주요 원인인 소프트웨어 보안약점을 전자정부서비스 개발단계에서 제거하기 위해 금년부터 개발되는 정보시스템에 ‘소프트웨어(SW) 개발보안’을 의무화하기로 했다고 밝혔다.
행안부는 우선 올해 10월부터 행정기관 등에서 추진하는 40억 원 이상 정보화사업에 ‘SW 개발보안’ 적용을 의무화할 방침이다. 이어 단계적으로 의무대상을 확대해 오는 2014년에는 감리대상 전 정보화사업에 ‘SW 개발보안’을 적용할 예정이다.
개발보안 적용 대상 정보화사업은 정보시스템 감리시 SW 개발보안 여부를 의무적으로 확인해야 한다.
정부는 SW 개발보안 여부를 전문적으로 진단하고 조치 방안을 제시하는 ‘보안약점 진단원’ 자격제도를 도입, 감리인력으로 활용하도록 할 계획이다.
또한 행안부는 ‘SW 개발보안’ 제도의 조기 정착을 위해 다양한 기반 조성 작업을 추진할 계획이다.
우선 대학 등 연구기관을 ‘SW 개발보안 연구센터’로 선정, SW 보안취약점 기준 및 진단방안 등을 연구하도록 지원할 계획이다.
연구센터는 행안부의 장기적인 지원을 통해 국내 SW 개발보안 기술 수준을 향상시킬 것으로 예상된다. 또한 카네키멜론대학의 SEI(Software Engineering Institute)처럼 개발보안 분야의 세계적인 연구기관으로 발전할 것으로 기대된다.
SW개발보안에 대한 교육도 확대한다.
행안부는 SW개발자, 공무원 등 2000명을 대상으로 SW개발보안 교육을 확대하기로 하고, 내달 안전한 SW 개발방법을 소개하는 ‘SW개발보안 가이드’를 개정·보급키로 했다.
이 밖에 중소기업이 참여하는 40억 원 미만 정보화사업을 대상으로 SW 보안약점 진단 및 개선을 지원할 계획이다.
SW 보안약점 진단서비스는 한국인터넷진흥원을 통해 무상으로 지원하게 되며, 모바일 전자정부서비스를 위한 모바일 앱도 보안약점 진단서비스를 받을 수 있다.
장광수 행안부 정보화전략실장은 “사이버공격에 효과적으로 대응하기 위해서는 인프라 투자도 필요하지만 SW 개발단계부터 근본원인인 SW 보안약점을 제거하는 것이 중요하다”고 강조했다.
이에 덧붙여 “올해 하반기에는 운영 중인 전자정부서비스와 상용 SW에도 SW 개발보안을 적용하는 방안을 마련하는 등 지속적으로 개발보안을 강화해 나갈 예정”이라고 밝혔다.
◆소프트웨어 보안약점(Weakness) = SW의 결함, 오류 등으로 인해 사이버공격을 유발할 가능성이 있는 잠재적인 보안취약점을 말한다.
◆SW 개발보안 = 해킹 등 사이버공격의 원인인 보안약점을 SW 개발단계에서 사전에 제거해 안전한 SW를 개발하는 기법을 의미한다. 영문으로는 시큐어 코딩(Secure Coding)으로 풀이된다.