행정안전부는 빠르면 이달 전자정부용 소프트웨어(SW) 개발 시 지켜야 할 보안 규격 기준을 배포한다. 행안부는 SW 업체가 보안 규격 지침을 준수하면 입찰시 가산점을 부여하는 방식으로 참여를 우선 유도하고 향후 법으로 강제화할 계획이다.
행안부는 SW 설계 단계부터 보안취약성을 고려해 설계하는 ‘시큐어코딩(Secure Cording)’ 지침을 배포해 전자정부 대국민 서비스에 적용한다고 17일 밝혔다. 행안부는 이날 ‘시큐어코딩 제도 마련을 위한 토론회’를 개최해 정부의 정책을 발표한 가운데 의견을 수렴했다.
시큐어코딩 지침에는 안전한 SW을 개발하기 위해 지켜야 할 코딩규칙과 소스코드 취약성 목록을 반영했다. 행안부는 시큐어 코딩 지침과 함께 2년여에 걸쳐 개발한 소스코드 보안취약성 진단도구인 ‘룰체커(Rule Checker)’도 공개한다. 시큐어코딩 지침에 따라 개발한 프로그램은 룰체커로 검수하는 과정을 거친 뒤 전자정부 서비스에 적용하게 된다.
한근희 행안부 전문위원은 “올해 시큐어코딩 지침을 10여개 전자정부 대국민 서비스에 시범 도입해서 테스트 했다”면서 “이르면 이달 보안지침을 개발자들에게 배포해 적용할 것”이라고 설명했다.
한 위원은 “국내에서 SW를 체계적으로 개발하지 않는 탓에 SW 자체에 취약성을 안고 있고 이로 인해 각종 보안 사고가 발생하고 있다”면서 “시큐어코딩을 도입하면 전자정부 보안사고 예방은 물론 개발 프로세스를 정립해 국내 SW 품질 향상에 기여할 수 있다”고 강조했다.
실제 미국은 지난 2002년 연방정보보안관리법(FISMA)을 제정해 시큐어코딩을 의무화했고, 마이크로소프트는 윈도 비스타 개발 당시 시큐어코딩을 도입해 보안 취약성을 45% 가량 줄였다.
행안부는 시큐어코딩 제도 안착을 위해 내년 제도의 법제화를 추진할 방침이다.
강성주 행안부 국장은 “시큐어코딩 제도를 도입해야하는 상황인 것은 분명하다”면서 “먼저 장관 훈령으로 고시하고, 향후 전자정부법 등 관련 법률에 적용하는 방안을 추진하겠다”고 말했다.
또한 강국장은 “개발비용이 늘어나기 때문에 SW 개발비 산정 기준에 이를 반영해 개발자의 비용부담을 줄이겠다”면서 “시큐어코딩 제도를 지속적으로 유지·발전시키기 위해 여러 가지 교육훈련 프로그램을 운영할 것”이라고 덧붙였다.
이경원기자 won@etnews.co.kr