최근 행정자치부 산하 한국지역정보개발원이 운영 중인 공공아이핀 시스템이 해킹돼 아이핀 75만건이 부정 발급됐다. 공공아이핀 발급 시스템은 2007년 개발된 후 제대로 보안 관리가 이뤄지지 않았다. 행자부는 매년 두 번식 공공아이핀 발급 시스템 취약점 점검을 했지만 해킹을 막아내지 못했다. 공격자가 발급 시스템의 가장 약한 부분을 뚫고 들어온 탓이다. 발급 시스템이 개발당시부터 해킹에 노출되는 취약점이 있었던 셈이다.
공공아이핀은 물론이고 최근 발생하는 다양한 보안사고는 각종 소프트웨어(SW) 취약점이 원인이다. SW나 각종 시스템은 언제나 100% 완벽할 수 없다. 과거 네트워크를 뚫고 들어오던 해커는 최근에는 애플리케이션 SW 취약점을 주로 노린다. 힘들게 네트워크를 통과하지 않고 웹이나 애플리케이션 취약점으로 원하는 정보를 얻거나 시스템을 우회할 수 있기 때문이다.
사이버 공격을 선제적으로 예방하고 대응하기 위해 제품 출시 이전에 SW개발 단계부터 보안 취약점을 제거하는 것이 효과적이다. 미국 국립표준기술연구소(NIST) 연구결과, 설계과정에서 발생한 결함이 개발완료 후 발견 조치되면 설계 때 수정하는 비용대비 30배나 비싸다. 통합과정에서 발생한 결함은 수정 비용이 20배 발생하는 등 개발 완료 이전 보안 취약점 원인을 진단하고 제거하는 ‘SW개발 보안’이 무엇보다 중요하다. 비용을 떠나 보안성도 훨씬 향상된다.
이런 문제를 미연에 극복하는 솔루션이 ‘취약점 분석 솔루션’이다. SW개발 초기부터 보안을 고려해 취약점 제로에 도전한다.
우리나라는 2010년부터 전자정부 서비스 개발에 시큐어코딩을 의무화했으며 범위가 확산 중이다. 개발단계에만 의무 적용하던 시큐어코딩을 유지보수 단계에도 적용할 계획도 수립돼 수요 증가가 예상된다.
특히, 올해는 공공기관 수요 증가가 예상된다. 행자부는 모바일 전자정부 시스템 구축에도 시큐어코딩을 적용하고 있으며 모든 공공IT시스템 사업에 의무화한다.
정보보호관리체계(ISMS) 인증 대상 확대도 시큐어코딩 시장에 호재다. ISMS 인증 요구 사항 중 시큐어코딩 항목이 존재한다. ISMS인증을 받으려면 시스템 개발보안을 만족시켜야 하는 데 보안 취약점 해소와 무결성 확보 등을 적용하라는 내용이 담겼다.
SW개발 단계별 결함 수정비용 분석
자료:NIST
시큐어 코딩이 적용돼야 할 7대 취약점(자료:행자부)
김인순기자 insoon@etnews.com