금융 당국의 지속적인 보안 강화 노력으로 제2금융권에서도 시큐어코딩이 확산되고 있다.
시큐어코딩은 소프트웨어(SW) 개발 과정 중 소스코드에서부터 취약점을 제거해 보안을 강화하기 위한 개발 기법으로 은행권에서는 이미 널리 사용되고 있다.
16일 금융권에 따르면 한화손해보험과 한화생명이 시큐어코딩 프로젝트에 착수한 데 이어 흥국생명과 흥국화재가 프로젝트 착수를 앞두고 있다. 이 밖에도 D화재와 현대카드·캐피탈·커머셜, 외국계 보험사 등 상당수 금융사가 시큐어코딩 도입 검토를 시작했다.
시큐어코딩 프로젝트는 개발자와 관리자 PC마다 취약점 소스 점검 솔루션을 도입하는 게 핵심이다. 보안성 강화를 위한 코딩 기법을 교육하는 것도 한 방법이다. 하지만 SW 개발 각 단계마다 안전하게 코딩을 했는지 수시로 점검하는 것이 가장 현실적이고 확실한 방안이다. 한화생명과 한화손해보험 역시 이 방식으로 프로젝트를 추진한다.
규모에 따라 다르지만 대부분 프로젝트에는 2~3개월 정도가 소요된다. 시스템 변경이 있을 때마다 시큐어코딩 툴과 연계해 취약성을 점검하는 체계를 갖춰야 한다. 단순히 보안성 점검 툴만 도입하는 게 아니라 검출된 취약성을 수정하도록 하는 업무 프로세스 정립도 필요하다.
금융권 외에 공공 분야에서는 지난해 말부터 40억원 이상 전자정부 서비스를 개발할 때 의무적으로 시큐어코딩을 적용해야한다. 2015년부터 모든 공공 정보화 사업에 적용된다. 제조업을 제외한 공공·금융 분야에서 시큐어코딩 적용이 빠르게 확산되는 추세다.
시장 확대와 함께 업계 움직임도 분주하다. 국내 시장에서는 업계 선두를 달리고 있는 한국HP(포티파이)와 국산 솔루션 업체 트리니티소프트, 지티원 등이 경쟁하고 있다. 파수닷컴과 펜타시큐리티 등도 활발하게 사업을 추진하고 있다.
박진성 한국HP 이사는 “지난해부터 외국계 보험사를 비롯한 증권사, 카드사 등 제2금융권에서 시큐어코딩을 도입하는 곳이 늘고 있다”며 “모바일 관련 애플리케이션이 늘어나면서 대부분 금융권이 예외 없이 시큐어코딩 도입을 검토하고 있다”고 말했다.
안호천기자 hcan@etnews.com
