정부가 각종 소프트웨어의 보안상 취약점을 개발자 스스로 진단하는 내용을 담은 지침서를 무료로 배포한다. 이에 따라 소프트웨어의 보안 문제가 대거 해소될 전망이다.
행정자치부(장관 홍윤식)는 ‘공개소프트웨어를 활용한 소프트웨어 개발보안 진단 가이드’를 발간·배포한다. (소프트웨어 개발 보안 : 소스코드 등에 존재하는 잠재적 보안약점을 제거하고, 보안을 고려한 기능을 설계·구현하는 SW 개발과정 상 보안활동)
최근 사이버해킹은 주로 소프트웨어의 취약점을 이용해 이뤄진다.따라서 소프트웨어 개발과정에서의 보안취약점 진단이 중요하다.
이번에 배포하는 가이드는 무료인 공개 소프트웨어를 이용해 개발자 스스로 보안약점을 손쉽게 진단할 수 있는 방법을 소개한다.
특히, 행정자치부가 선정한 47개 보안약점을 직접 진단할 수 있고, 통합관리도구를 연계해 진단 결과분석과 보고서 작성도 가능하다.
이를 통해, 별도로 진단비용을 확보하기 어려운 소규모 사업이나, 제도 도입 전에 구축된 정보시스템도 유지보수 등을 통해 개선이 가능할 것으로 기대된다.
행정자치부는 안전한 전자정부 소프트웨어 개발을 위해 ‘소프트웨어 개발보안’ 제도를 2012년부터 도입·운영하고 있다.
이를 통해 방화벽 등 보안장비로 대응이 어려운 보안취약점을 초기에 확인해 개선하는 효과를 거두고 있지만, 제도를 적용하려면 상용 도구와 진단 전문가가 필요해 금액 기준 5억 원 이상 사업에만 의무적으로 적용하는 등의 한계가 있음에 따라 이번 가이드를 배포하게 됐다.
앞으로, 행정자치부는 한국인터넷진흥원과 함께 가이드에 소개된 여러 공개 소프트웨어를 활용한 진단 방법을 소개하는 실습형 교육과정을 운영할 계획이다.
아울러 매년 열리는 ‘대학생 대상 소프트웨어 개발보안 경진대회’에서 활용하도록 심사 기준에 반영하는 등 개발자 스스로 소프트웨어 개발보안을 적용하는 문화를 만드는 데 앞장설 예정이다.
강성조 행정자치부 개인정보보호정책관은 “소프트웨어 보안은 개발이 끝난 후 개선하는 것이 아니라, 기획 단계부터 보안을 고려해 안전하게 설계하고 구축해야 한다.”라며, ”안전한 소프트웨어를 개발하는 문화를 조성하기 위해서 개발자 대상 시큐어코딩 (소프트웨어 소스코드 개발 과정에서 보안 적용) 교육과 지속적인 홍보, 기반기술 연구 등을 추진할 것“이라고 밝혔다.
