정부가 연말부터 의무화되는 소프트웨어(SW) 개발보안(시큐어코딩) 제도를 활성화하고자 지난 2009년 정부가 개발, 적용해온 SW 개발보안 진단기술을 민간기업에 무료로 이전할 예정이다.
또 국내에서 사용 중인 SW 개발보안 진단도구가 `SW 보안약점 기준`에 명시된 43개 보안약점을 정확하게 진단하는지 확인하는 시범 검증을 추진하고 SW 개발보안 진단도구에 국제공통평가인증(CC)도 추진할 예정이다.
행정안전부는 29일 연말부터 의무화되는 SW 개발보안 제도를 효과적으로 정착시키고 국내 SW 개발보안 진단 기술 수준을 높이고자 정부의 `SW 개발보안(시큐어 코딩) 진단 기술`을 민간 기업에 무료로 이전한다고 밝혔다.
개발보안(Secure Coding)이란 해킹 등 사이버공격의 원인인 보안약점을 소프트웨어 개발단계에서 사전에 제거해 안전한 소프트웨어를 개발하는 소프트웨어 개발 기법을 말한다.
이번에 민간에 이전하는 기술은 자바(Java) 등 전자정부서비스에서 주로 사용하는 개발언어 SW 보안약점을 진단하는 진단규칙과 진단도구의 정확성을 확인할 수 있는 검증용 소스코드 등이다. 또 시범 검증은 SW 개발보안 진단도구가 43개 보안약점을 모두 찾아내는지 확인하고 진단 결과가 정확한지 검증하는 것이다. 진단도구 개발업체의 신청을 받아 진행할 예정이다.
김해숙 정보화전략실 전문위원은 “오는 12월로 예정된 SW 개발보안 제도 의무화를 앞두고 민간 기업에서 무엇으로 어떻게 준비해야 하는지 문의가 많다”며 “민간기업에서 SW 개발제도 의무화에 대비토록 하고자 정부의 개발보안 진단기술을 무료로 이전하는 동시에 민간에서 사용 중인 SW개발보안 진단도구 성능도 함께 테스트할 것”이라고 말했다.
국내에서 현재 사용 중인 SW 개발보안 진단도구 성능테스트 결과를 일정 부분 공유해 개발보안 기술이 적용된 SW 개발 시 유용하게 활용토록 민간에 공개할 계획이다.
행정안전부는 SW 개발보안에 관심이 높은 국내 개발업체·대학 등이 적극적으로 기술이전을 받을 수 있도록 `SW 개발보안 진단도구 기술이전 및 시범검증 설명회`를 29일 한국인터넷진흥원에서 개최한다.
정부는 지난 5월 전자정부서비스개발단계부터 보안약점을 제거하는 SW 개발보안을 의무화하는 `정보시스템 구축·운영지침` 개정안을 발표한 바 있다. 오는 12월부터 행정기관 등에서 추진하는 개발비 40억원 이상 규모 정보화사업에 개발보안 적용이 의무화된다.
장윤정기자 linda@etnews.com