소프트웨어(SW)의 취약성을 근본적으로 제거할 수 있는 `시큐어코딩`이 오는 12월부터 일정 규모 이상의 공공정보화사업에 의무 적용된다. 오는 2015년에는 전체 정보화사업으로 시큐어코딩이 확대, 적용될 예정이다.
행정안전부는 사이버공격의 주요 원인인 SW 보안약점을 개발단계부터 제거하기 위해 `SW 개발보안(시큐어코딩)`을 의무화하는 `정보시스템 구축·운영지침` 개정안을 마련, 행정 예고한다고 16일 밝혔다.
우선 오는 12월부터 행정기관 등에서 추진하는 개발비 40억원 이상 정보화사업에 SW 개발보안 적용을 의무화한다. 단계적으로 의무 대상을 확대해 오는 2014년에는 20억원 이상까지, 2015년에는 감리대상 전 SW 개발보안을 적용한다. 다만 상용 SW는 SW 개발보안 적용대상에서 제외된다.
SW 개발사업자가 반드시 제거해야 할 보안약점은 △SQL 삽입 △크로스사이트스크립트 등 43개이다.
감리법인은 정보시스템 감리 시 검사항목에 보안약점 제거여부를 반드시 포함해야 하며 국정원이 인증한 보안약점 진단도구를 사용해야 한다.
장광수 행정안전부 정보화전략실장은 “사이버공격에 효과적으로 대응하기 위해서는 인프라 투자도 필요하지만 SW 개발단계부터 근본원인인 SW 보안약점을 제거하는 것이 매우 중요하다”며 “지난 4월말 선정된 고려대학교 SW개발보안연구센터를 통해 새로운 보안약점을 지속 발굴하는 등 지속적으로 개발보안을 강화해 나갈 예정”이라고 말했다.
행정안전부
장윤정기자 linda@etnews.com