공공기관은 앞으로 소프트웨어의 개발단계에서부터 보안에 초점을 맞춰 이후 발생할 수 있는 보안 취약점을 최소화해야 한다. 또 홈페이지와 연동되는 현 업무시스템과 데이터베이스(DB)시스템에 대해서도 이 같은 개발보안 지침을 적용할 계획이다.
행정안전부는 홈페이지 개발과 유지보수 시 소프트웨어(SW) 보안 취약점을 점검, 보안상 위험요인을 제거하도록 하는 `홈페이지SW(웹) 개발보안 가이드`를 제작, 배포한다고 22일 밝혔다.
방화벽, 침입방지시스템 등 정보보호시스템이 갖춰져 있어도 홈페이지 SW 자체가 보안에 취약하면 해킹에 쉽게 노출될 수 있다.
가이드에는 홈페이지SW 관련해 SQL인젝션, 클로스 사이트 스크립트, URL 파라미터 변조 등 24개 유형의 보안 취약점에 대한 보안개발 방안이 담겨있다. 24개 취약점별로 자가진단 방법과 웹서버 보안설정 등 보안관리 강화방안도 포함돼 있다.
행안부는 지난 6월 소프트웨어 개발 시 보안을 적용하는 개발보안 의무화 제도를 마련, 발표했다. 이 제도는 유예기간을 거쳐 오는 12월 27일부터 시행한다. 그러나 적용 대상이 신규로 개발하는 시스템만 해당되고 기존 시스템은 대상이 아니다. 행안부는 향후 내부 논의를 거쳐 기존 시스템에 대해 보안개발 적용을 의무화하는 방안을 결정할 계획이다.
장광수 행안부 정보화전략실장은 “새로운 전자정부서비스를 개발하는 것도 중요하지만 운영 중인 전자정부서비스에서 보안 취약점이 발생하지 않도록 하는 것도 중요하다”며 “이번 가이드가 홈페이지에 대한 보안 취약점을 근본적으로 개설할 수 있는 계기가 되길 바란다”고 말했다.
신혜권기자 hkshin@etnews.com
