SW업계 SDL 도입 활발 "제로 버그에 도전하라"

Photo Image
관련 통계자료 다운로드 최근 나타나는 보안취약점 분포

 ‘소프트웨어 보안 제로 버그에 도전한다.’

 소프트웨어 개발 초기 단계부터 소스코드의 보안 취약점을 최소화, 버그 제로에 도전하는 기업이 늘고 있다.

 그동안 소프트웨어 개발사는 운용체계(OS)에서 데이터베이스(DB)·애플리케이션 같은 소프트웨어를 먼저 개발한 후 보안 취약점이 나타나면 패치를 제공하는 데 급급했다. 마이크로소프트의 윈도를 비롯해 오라클·시만텍 등 대부분의 SW 개발사는 보안 취약점에 노출되면 긴급 패치를 배포하는 방법으로 대응해 왔다.

 하지만 패치 개발과 배포에 드는 시간과 비용이 늘어나면서 아예 제품이나 서비스 설계 초기부터 소스코드의 보안 위협 인자를 잡아내는 ‘제로 보안 버그’에 도전하는 시도가 이어지고 있다. 이에 따라 소프트웨어 개발 초기 단계부터 소스코드의 보안 취약점을 최소화하는 개발 방법론인 ‘SDL(Security Development Lifecycle)’이 부상하고 있다.

 

 ◇보안 개발 라이프사이클이 뜬다=마이크로소프트가 내년 내놓을 새로운 OS 윈도 비스타는 SDL에 기반해 개발되고 있다.

 SDL은 SW 제품 출시 전에 소스코드를 면밀히 검점해 보안 취약점이 생기지 않도록 하는 것을 목적으로 하는 일종의 개발 프로세스다. 개발자는 SW의 보안 취약성을 예방하기 위해 SDL에 따라 잠재적 보안 문제의 소스코드를 확인하는 과정을 거친다. 개발된 소스코드에 보안 취약성 발견되면 바로 안전한 소스 형태로 고친다.

 윈도 취약점 때문에 매달 수십개의 패치를 발표하고 있는 MS를 비롯해 오라클과 보안 기업인 시만텍 등 다국적 SW 개발 기업은 모두 소스코드 보안 취약점 최소화를 위해 SDL을 도입, 사용하고 있다.

 조원영 한국마이크로소프트 보안담당 이사는 “MS는 SDL에 불합격하면 제품 출시를 지연할 정도로 보안성을 강화한 제품 개발에 노력하고 있다”며 “SDL은 신제품 개발은 물론이고 기존 제품의 업그레이드에도 적용된다”고 설명했다.

 ◇국내 통신 및 금융권에서 시작=국내에서는 SW 개발사보다 다양한 웹 애플리케이션 서비스를 제공하는 통신사와 제1금융권을 중심으로 SDL 도입이 빨라지고 있다.

 국내 굴지의 통신사 두 곳은 포티파이의 소스코드 취약점 점검 솔루션을 도입해 새로 개발되는 웹 애플리케이션 서비스의 보안을 강화하고 있다. 은행 두 곳도 차세대 시스템 구축에 들어가면서 포티파이 솔루션을 도입해 SDL 방법론을 적용했다.

 김순철 한국후지쯔 보안서비스 팀장은 “국내는 SW 개발 기업들이 영세해 아직 SDL이 SW 제품 전반에 확산되고 있지는 않지만 수많은 웹 서비스에서 매출을 얻는 통신사와 금융사가 SDL의 중요성에 눈을 뜨기 시작했다”며 “국내 SW 개발 기업이 해외에 제품을 팔기 위해 앞으로 SDL 방법론 준수가 화두가 될 것”이라고 말했다.

 김인순기자@전자신문, insoon@etnews.co.kr