SW개발 보안은 해킹 등 사이버공격의 원인인 보안약점을 소프트웨어 개발 전체 단계에서 사전에 제거해 안전한 SW로 개발하는 기법이다.
SW 개발뿐만 아니라 운영 등 전 단계에 걸쳐 SW보안 적용을 확대하고 전자정부 사업의 경우 예산편성을 위한 사업계획 심의단계에서 부터 SW개발보안 적용 여부를 점검한다.
지난 6.25 사이버해킹에서 보았듯이 홈페이지에 대한 사이버공격이 SW보안 취약점 때문에 발생하고 있어 안전행정부에서는 정보시스템 구축·운영 지침을 개정해 SW 개발뿐만 아니라 운영 등 전 단계에 SW개발보안 적용을 의무화하고 있다.
하지만 SW개발보안 적용에 따른 비용부담 때문에 일부기관에서 적용을 기피하는 경향이 있어 안전행정부에서는 SW개발보안 적용여부를 집중 점검해 이행을 촉구할 계획이다.
특히 2014년 1월부터는 20억원 이상 개발 사업은 의무적으로 적용하게 돼 있어 전자정부사업의 경우 65%가 적용대상이다.
전자정부 사업의 경우 예산배정을 위한 사업계획 심의단계에서 SW개발보안 적용여부를 확인하고 행정기관 자체 사업의 경우에도 보안성 진단을 통해 이행여부를 점검할 계획이다.
또한 안전행정부는 공공기관의 모바일앱 서비스가 급증에 따라 모바일 앱 소스코드에 대한 보안성 검증을 의무화할 계획이다.
2013년 현재 행정기관 및 공공기관에서 530여개의 모바일 앱 서비스가 제공되고 있으며 2015년에는 920개까지 확대될 전망이다.
하지만 최근 지방법원 등 공공기관을 사칭한 개인정보유출 사고(스미싱)가 발생하고 있어 행정 및 공공기관에서 모바일앱 서비스를 제공하기 전에 반드시 모바일 소스코드의 보안성을 검증 받도록 할 계획이다.
아울러 공공기관에서 공통으로 사용할 수 있는 앱 위변조 방지 기능, 인증서 전달 기능, 암호화 기능 등 모바일 보안 모듈을 제공하여 모바일 앱서비스의 안전성을 강화할 계획이다.
제공되는 모듈은 앱 및 단말위변조방지, 보안문서 문서모듈, 암호화, 화면캡쳐방지, 인증서 전달기능 등이다.
한편 안전행정부는 행정·공공기관의 정보화 및 사이버 보안 담당자, 학계·전문기관·민간기업의 SW보안 전문가 등 400여명을 대상으로 21일 '2013년 SW보안 컨퍼런스'를 개최하고 SW개발보안 및 모바일 앱 보안성 검증 의무화에 대한 배경과 운영체계, 구체적인 SW개발보안 적용 및 점검 기준을 설명했다.
이와 함께 IBM은 글로벌 SDL(Secure Engineering Framework)을 소개하면서 SW보안은 SW의 소스코드뿐만 아니라 요구사항 분석, 설계, 구축, 운영 전체 단계에서 보안 취약점을 제거하는 방법을 적용하는 것이 무엇보다 중요하다고 밝혔고 SW개발보안 연구센터장인 최진영 고려대 교수는 SW보안의 기반이 되는 다양한 코딩점검 기술들과 SW보안 취약점(고위험군 47개)들이 집중 연구돼야 한다고 지적했다.
부산광역시는 홈페이지 개발때부터 SW개발보안 적용을 고려하지 않고 운영단계에서 SW보안 약점을 진단한 결과 보안약점 개선에 어려움이 많았다며 SW개발보안은 개발단계부터 관련 버전관리, 모듈화 등에 더욱 신경을 써야한다고 발표했다.
박찬우 안전행정부 제1차관은 "대한민국 민원서비스의 50%는 전자정부를 통해 이뤄지고 있어 전자정부서비스가 해킹되면 국가·사회적으로 큰 혼란과 국민 생활의 불편함을 초래 할 수 있기 때문에 SW개발보안 적용과 모바일 앱 소스코드 검증 등을 통해 SW의 보안성 확보가 반드시 이뤄져야 한다"고 강조했다.
저작권자 © CCTV뉴스 무단전재 및 재배포 금지
