전자정부용 SW 보안 규격 만든다

　전자정부용 소프트웨어(SW)의 보안 규격이 마련된다.

　보안 규격을 충족하지 못한 SW는 공공기관에 납품 자체가 안돼 전자정부 대국민 서비스의 보안 수준이 대폭 향상될 전망이다.　

　21일 행정안전부에 따르면 지금까지 별도의 가이드라인 없이 개발돼온 전자정부용 각종 프로그램의 보안성 강화와 품질 향상을 위해 ‘시큐어 코딩(Secure Cording)’을 도입한다.

　시큐어 코딩이란 소프트웨어의 개발단계부터 소스코드의 보안 취약점을 고려해 프로그래밍하는 방법이다. 마이크로소프트 등 글로벌 SW회사들은 보안개발라이프사이클(Security Development Lifecycle)에 기반해 보안 취약점을 최소화한 SW를 개발하고 있으나 국내 도입은 미비한 상황이다.

　행안부는 시큐어 코딩 도입을 위해 전자정부법과 정보시스템의 효율적 도입 및 운영 등에 관한 법률 등에서 적용 근거를 검토하고 있다. 이에 따라 이르면 내년부터 의무화가 이뤄질 것으로 보인다.

　한근희 행정안전부 정보보호정책과 전문위원은 “국내는 안전한 SW 개발체계가 미흡해 각종 보안 사고의 원인이 되고 있다”며 “시큐어 코딩을 도입하면 전자정부 보안 사고 예방은 물론 개발 프로세스를 정립해 전자정부용 SW의 수출도 기대할 수 있다”고 설명했다.

　행안부는 2010년까지 40억원의 예산을 들여 시큐어 코딩을 할 수 있는 ‘소스코드 점검도구’ 개발에 착수했으며 이르면 올해 말 개발을 완료할 예정이다. 이 점검도구는 국제 표준과 산업 규격, 환경 등을 분석해 안전한 코딩 가이드 형태로 개발된다. 자바와 C언어 등 전자정부에 주로 사용되는 프로그래밍 언어의 취약성 통합 데이터베이스와 소스코드 진단 결과 관리시스템도 구축된다.

　행안부는 이를 활용해 기존에 사용하고 있는 전자정부용 프로그램 소스코드의 취약성을 진단하고 수정할 방침이다. 또 새로 도입되는 프로그램은 개발 단계부터 점검도구를 활용해 안전한 SW개발 체계를 정립할 예정이다.

　최진영 고려대 교수는 “미국 정부는 전자정부의 정보보호를 강화하기 위해 피즈마(FISMA)법을 제정하고 시큐어 코딩을 의무화하고 있다”며 “MS의 경우 시큐어 코딩 도입해 개발한 윈도비스타는 XP에 비해 보안 위협을 45%나 감소하는 등 SW 오류 수정에 드는 비용도 줄이는 효과가 있다”고 말했다.

　김인순기자 insoon@etnews.co.kr