행정기관 등에서 추진하는 개발비 40억 원 이상 정보화사업에 오는 12월부터 SW 개발보안 적용이 의무화된다. 또한 감리법인은 정보시스템 감리 시 검사항목에 보안약점 제거여부를 반드시 포함해야 하는 등 ‘정보시스템 구축운영 지침개정안’이 마련돼 행정예고에 들어갔다.
행정안전부는 사이버공격의 주요 원인인 SW 보안약점을 개발단계부터 제거하기 위해 SW개발보안(시큐어코딩)’을 의무화하는 ‘정보시스템 구축 운영 지침’ 개정안을 마련해 행정예고 한다고 16일 밝혔다.
이번 개정안은 행정기관 및 공공기관이 정보화사업을 추진함에 있어 SW 개발보안을 적용 점검하기 위한 기준과 절차 등을 규정했다.
개정안을 살펴보면 우선 올해 12월부터 행정기관 등에서 추진하는 개발비 40억 원 이상 정보화사업에 SW 개발보안 적용이 의무화된다. 2014년 1월에는 20억 원 이상 사업, 2015년 1월에는 감리대상 전 사업으로 확대되며, 다만 상용 SW는 SW 개발보안 적용대상에서 제외된다. 또한 SW 개발사업자가 반드시 제거해야 할 보안약점은 SQL 삽입, 크로스사이트스크립트 등 43개이다.
아울러 감리법인은 정보시스템 감리 시 검사항목에 보안약점 제거여부를 반드시 포함해야 한다. 감리법인은 효과적인 보안약점 진단을 위해 진단도구를 사용할 경우 2014년 1월부터는 국가정보원장이 인증한 보안약점 진단도구를 사용해야 한다.
또한 감리법인은 개발보안 분야 감리 시 전문성 제고를 위해 행안부 장관이 자격을 부여한 개발보안 진단 원을 우선적으로 배치할 수 있다. 진단원이 되기 위해서는 SW 개발경력 6년 이상, SW 보안약점 진단경력 3년 이상인 자로서 진단 원 양성교육 40시간을 이수해야 한다.
장광수 행안부 정보화전략실장은 “사이버공격에 효과적으로 대응하기 위해서 인프라 투자도 필요하지만 SW 개발단계부터 근본원인(SW보안약점)을 제거하는 것이 매우 중요하다”면서 “SW발보안 연구센터(고려대)를 통해 새로운 보안약점을 지속 발굴하는 등 지속적으로 개발보안을 강화해 나갈 예정이다”고 밝혔다.