한국인터넷진흥원(KISA)이 다음 달 소프트웨어(SW)개발보안허브를 개소한다. 중소 SW 사업자에 보안약점 진단 인프라와 컨설팅 서비스를 제공, SW 개발 단계부터 보안 약점을 막고 침해사고로 인한 사회적 비용을 절감하는 게 목적이다.
16일 KISA에 따르면 다음 달 판교 정보보호클러스터에 중소 SW 사업자 대상의 SW개발보안허브가 마련된다. SW개발보안은 공공 부문 중심으로 추진돼 왔다. 민간 영역에서 SW개발보안 사업이 시행되는 것은 올해가 처음이다.
SW개발보안허브에는 보안약점 진단 전문가가 상주하면서 중소 SW 사업자에 소스코드 보안약점 진단 도구와 컨설팅 등 전문 서비스를 제공한다. 자가진단실 두 곳과 함께 진단검증실, 관리실 등으로 구성된다. 86㎡(약 26평) 규모로 사물인터넷(IoT) 융합보안 테스트베드, 융합보안교육장 등이 입주한 정보보호클러스터 4층에 위치해 있어 타 정보보호 서비스와의 시너지도 기대된다.
KISA는 민간 SW개발보안 강화와 지원을 목표로 두 가지 채널을 마련했다. 보안약점 진단 전문가가 중소기업을 방문해서 SW개발보안 컨설팅을 수행하는 방안(출장형), SW개발보안허브에 중소기업이 방문 진단을 받을 수 있도록 하는 방안(내방형)이다. 출장형은 다음 달 초, 내방형은 허브 구축이 완료되는 다음 달 말 각각 시작할 예정이다.
SW개발보안허브에는 최소 2명의 보안약점 진단 전문가가 상주한다. KISA는 허브 이용 가이드 보급 등 중소기업이 허브를 더욱 쉽게 이용할 수 있도록 부가 수단도 마련할 방침이다. 내년도 사업은 올 3분기 중 선발주를 통해 허브 이용에 따른 업무 연속성을 유지할 계획이다.
SW개발보안은 SW 개발 과정에서 개발자의 실수, 논리적 오류 등으로 발생할 수 있는 보안약점을 최소화해서 안전한 SW를 개발하기 위한 보안 활동이다. SW개발보안을 활용하면 SW 개발 생명주기에서 단계별로 요구되는 보안 활동을 수행하게 된다. 개발 과정에서 보안 약점을 제거하면 해킹 등 실제 보안 사고에 악용될 수 있는 보안 취약점을 예방할 수 있어 근본적인 보안 대책으로 평가된다.
지난해 말부터 시행된 SW진흥법에는 민간 SW개발보안을 위한 근거 조항(제29조)이 포함됐다. KISA는 올해 보안취약점 대응체계 운영 예산 18억7500만원을 확보했다. SW개발보안 제도 활성화를 위한 기반 마련(제도 연구), 중소 SW 보안약점 진단 지원 서비스 제공과 개발보안 자가진단 체계 마련(기술 지원), 개발보안 전문 인력 양성을 위한 교육과정 개발·운영(인력 양성), 개발보안 인식 제고를 위한 캠페인과 설명회(인식 제고) 등을 추진한다.
심재홍 KISA 사이버침해대응본부 사이버방역단장은 “보안약점이 방치되면 사고 발생 시 원인을 고치기 위한 비용이 더 많이 소모된다”면서 “SW 개발 시점부터 보안을 고려하면 향후 발생 가능한 침해사고 위협을 대폭 감소시킬 수 있다”고 말했다.
심 단장은 “실제 허브 이용은 다음 달부터 가능하다”면서 “SW를 개발하는 중소기업에 보안 역량을 강화하는 등 도움이 될 수 있도록 노력하겠다”고 말했다.
오다인기자 ohdain@etnews.com