소프트웨어 개발단계부터 보안성을 높일 목적으로 추진되던 ‘시큐어코딩(Secure Cording) 법제화’가 연내에 실현되기 어려울 전망이다. 지난 연말부터 이를 추진해오던 행정안전부가 기반 취약을 이유로 법제화 시점을 내년으로 미뤘기 때문이다.
행정안전부는 ‘시큐어코딩’ 제도를 법제화하는 데 필요한 기반이 취약해 취약성 진단도구 등을 올해 말까지 전자정부 서비스에 적용하며 기반을 다진 후 내년께 법제화를 추진하겠다고 7일 밝혔다.
‘시큐어코딩’은 소프트웨어 개발단계부터 보안성 강화에 역점을 둔 보안 프로그래밍 방식으로, 증가 추세에 있는 보안사고를 막아줄 근본처방으로 주목돼왔다.
김회수 행정안전부 정보보호정책과장은 “연초부터 법제화에 관한 정책방안 회의를 여러 차례 거듭한 결과 우선 전자정부 서비스에 소스코드 보안 취약성 진단도구를 시범 적용해 사례를 개발한 후 연말께 민관으로 이관하고, 내년 초 법제화를 순차적으로 추진하는 쪽으로 가닥을 잡았다”고 말했다. 김 과장은 “시큐어코딩에 대한 기반 조성을 위해 연말까지 지속적으로 시큐어코딩 개발자 교육을 실시하고, 이를 통해 민간에 시큐어코딩을 이관할 기반을 갖춘 뒤 내년부터 의무화할 계획”이라고 덧붙였다.
행정안전부는 한국인터넷진흥원(KISA)과 함께 ‘소스코드 보안 취약성 진단도구’의 실제 적용 및 고도화 사업을 개시, 올해 11월까지 시큐어코딩 도구를 전자정부 서비스 등 실무에 적용하고 고도화할 계획이다.
강필용 KISA 공공소프트웨어보호팀장은 “전자정부에 적용할 진단도구는 지난 연말 행정안전부에서 공개한 진단도구 ‘룰체커’보다 한층 업그레이드된 것”이라며 “진단도구의 적용 못지않게 개발 단계에서 반드시 배제해야 할 취약성의 기준을 정하고, 개발자들이 이를 준수하고 있는지를 지속적으로 검수하는 것도 중요하다”며 “정부는 최소한 보안 요구사항에 대한 기준을 정립하고 플랫폼별로 준수해야 할 사항들을 지속적으로 개발해 알릴 예정”이라고 설명했다.
하지만 관련전문가들은 최근 잇따른 보안 사고에 대한 취약성 제거가 시급하다며 ‘시큐어코딩’ 제도의 실현을 서둘러야 한다고 주장했다. 특히 지난해 야심차게 2011년 법제화를 발표했던 행정안전부가 한발 물러선 자세를 견지하는 것은 기반 부족보다 부처 내부의 준비 미흡에 있다는 지적이다. 올 초 이뤄진 인사이동 등으로 전문인력이 대거 빠져나가 행정안전부 내에 이를 담당할 인력이 태부족이라는 설명이다.
최진영 고려대학교 교수는 “현대캐피탈이나 농협 등 보안 사고도 시스템을 개발 단계부터 제대로 만들지 못해 발생한 사고”라며 “최근 잇따른 보안사고로 보안취약성과 침해사고가 급증함에 따라 ‘시큐어코딩’ 제도의 도입이 그 어느 때보다 절실하다”고 강조했다. 최 교수는 “이미 2년 전부터 단계적으로 전자정부 시스템에 ‘시큐어코딩’을 적용해왔기 때문에 기반도 충분하다”며 “‘시큐어코딩’을 제도화하려는 정부의 의지를 보여줘야 할 때”라고 덧붙였다.
<용어설명> 시큐어코딩:소프트웨어 개발 시 취약성이 있을 수 있는 부분을 보완해 프로그램을 개발하는 것으로, 안전한 소프트웨어를 개발하기 위해 지켜야 할 코딩규칙과 소스코드 취약성 목록 등이 포함된다. 실제 미국은 지난 2002년 연방정보보안관리법(FISMA)을 제정해 시큐어코딩을 의무화했고, 마이크로소프트는 윈도비스타 개발 당시 시큐어코딩을 도입해 보안 취약성을 45%가량 줄였다.
장윤정기자 linda@etnews.com
