한국인터넷진흥원(KISA)이 1일 중소기업 대상 소프트웨어(SW) 보안약점 진단 서비스를 시작한다. 중소기업이 SW개발보안허브를 방문해 보안약점 진단을 받을 수 있는 내방형 서비스도 7월 30일부터 시행된다.
과학기술정보통신부와 KISA는 지난해 말 시행된 SW진흥법을 근거로 민간 SW개발보안 사업을 추진한다. SW 개발 단계부터 보안약점을 막아 침해사고로 인한 사회적 비용을 절감하기 위해서다. 민간 SW개발보안 사업이 시행되는 것은 올해가 처음이다.
SW개발보안허브는 이를 위한 거점으로 7월 중 판교 정보보호클러스터에 개소한다. 정부는 보안 투자 여력이 부족한 중소 SW 사업자를 대상으로 진단 인프라를 구축·운영한다. 보안약점 진단 전문가가 상주하면서 보안약점 진단 도구와 컨설팅 등 전문 서비스를 제공한다.
중소기업 SW 보안약점 진단 서비스는 이번 사업의 핵심이다. 각 기업이 보유한 서비스 가운데 'C', 'C++', 'C#', '자바', 'JSP' 등 8개 언어와 '전자정부' '스프링 프레임워크' 등 4개 프레임워크에 해당하는 SW가 진단 대상이다. 이외 언어 또는 프레임워크에 대한 진단 가능 여부는 별도 문의를 통해 확인할 수 있다. 진단 기준은 행정안전부 보안약점 기준 49개 항목이다.
SW 보안약점 진단 서비스는 출장형과 내방형 등 '투트랙'으로 진행된다. 출장형은 중소기업이 신청하면 전문가가 방문, 소스코드 보안약점을 진단해주는 서비스다. SW 보안약점 진단을 받고자 하는 중소기업은 보호나라 홈페이지를 통해 신청서와 중소기업확인서(또는 벤처등록증) 등 서류를 접수하면 된다.
출장형 서비스에서 KISA는 신청 기업 진단 대상 환경을 확인한 뒤 방문 일정을 조율해 전문가를 지원한다. 1차 진단이 끝나면 소스코드 보완과 이행 점검 일정을 협의하고 전문가가 재방문하는 2차 진단이 이뤄진다. 전체 소요 기간은 소스코드 보완 기간을 제외하고 약 7일이다. 출장형 서비스는 기업당 연 1회에 한해 지원할 수 있으며 예산 소진시 서비스 신청이 마감될 수 있다.
내방형은 중소기업이 진단 인프라가 갖춰진 SW개발보안허브에 내방, 소스코드 보안약점 진단을 받을 수 있는 서비스로 마련됐다. SW개발보안허브는 진단 전문가가 상주해 진단 도구를 제공하고 SW개발보안 체험, 교육 등 서비스를 제공하는 공간이다.
판교 정보보호클러스터 4층에 위치한다. 직접 허브를 방문해 보안약점을 진단하고자 하는 기업은 보호나라 홈페이지를 통해 서류 접수, 환경 분석을 거쳐 허브를 방문하면 된다. 소요 기간은 약 6일이다.
중소기업이 정부 지원을 통하지 않고 자체적으로 이 같은 서비스를 받을 경우 적지 않은 예산이 필요하다. 보안약점 진단 서비스는 제공업체별로 비용이 다르지만, KISA에서 제공하는 서비스는 중소기업에 약 1000만원 규모의 혜택을 주는 것으로 추산된다.
민간 개발자 대상 온·오프라인 교육도 진행한다. KISA는 SW개발보안 전문인력 양성을 위한 교육과정을 마련했다. 교육은 개발자와 대학생 대상 과정으로 구분돼 진행되며 개발자 대상 교육은 1일(4시간)으로 오프라인 5회, 온라인 5회(총 10회)가 예정됐다. 대학생 대상 교육은 3일(18시간)로 오프라인에서 총 4회 운영된다.
오다인기자 ohdain@etnews.com