.gif)
행정안전부, 전자정부법 및 시행령 개정 통해 정책 및 제도 체계화
[보안뉴스 원병철 기자] 2009년 정보보호 중기 종합계획 국무회의 보고에서 ‘소프트웨어 개발보안 제도 수립 계획’을 포함한 이후 공식적으로 소프트웨어 개발보안(이하 SW 개발보안)에 대한 논의가 시작됐다. 특히 2012년 12월 행정 및 공공기관에서 정보시스템을 구축하고 운영할 때 반드시 개발보안을 적용하도록 하는 ‘정보시스템 구축 운영 지침’이 개정되면서부터 40억 이상 사업(2013년), 20억 이상(2014년), 5억 이상(2015년)으로 점차 의무화 대상이 넓어졌다. 하지만 여러 이유로 SW 개발보안 제도가 활성화되지 못하면서 현재 행정안전부와 한국인터넷진흥원은 활성화 방안 마련에 총력을 다하고 있다. 30일 개최된 ‘제9회 소프트웨어 개발보안 컨퍼런스’역시 이러한 노력의 일환이다.
▲제9회 소프트웨어 개발보안 컨퍼런스 전경[사진=보안뉴스]
SW 개발보안이란 SW 개발과정에서 개발자의 실수나 논리적 오류 등으로 인해 발생될 수 있는 보안약점들을 최소화해 안전한 SW를 개발하기 위한 일련의 보안 활동이다. 특히 SW 개발보안은 △개발보안 교육 △보안 요구사항 정의 △위협 모델링 △암호화 기준 수립 △보안약점 진단 △모의해킹 등 개발 단계별 보안 활동을 지칭한다. 양승권 KISA 선임연구원은 흔히 ‘보안약점(Weakness)’과 ‘보안취약점(Vulnerability)’을 혼용하는 경우가 많은데, 보안약점은 보안취약점의 근본 원인이 되는 SW 허점이나 결점, 오류 등을 말하며, 보안취약점은 해킹 등 실제 보안사고에 활용되는 보안약점을 말한다고 설명했다.
양승권 선임연구원은 “SW 개발보안을 적용하면 소프트웨어에 내재된 보안위협을 제거할 수 있는 것은 물론, 확연한 개발비용이 감소된다”면서 KISA의 진단사업 연구보고서를 언급했다. “실제로 KISA에서 모의해킹과 보안약점 진단 및 조치, 모의해킹 검출 내역 재확인 등 3단계 작업을 해보니 94% 이상의 보안위협이 제거된 것을 확인할 수 있었습니다. 또한 IBM 연구보고서에 따르면 설계 단계에서 SW 개발보안을 적용할 경우 24%의 투자 수익률을 올려 15%의 구현단계와 12% 테스팅 단계보다 높은 결과를 기대할 수 있었습니다.”
행정안전부는 특히 전자정부서비스를 대상으로 ‘보안약점 사전 진단·제거’를 지원해서 지금까지 총 498개 웹사이트와 1,160개의 모바일 앱의 보안약점을 진단하고 제거했다. 평균 보안약점 탐지 수 1,500여건(웹사이트)과 50건(모바일 앱)에 조치율 92%의 성과를 거뒀다고 양승권 선임연구원은 설명했다.
SW개발보안, 19년 보안약점 기준 개정, 20년 제도 체계화, 21년 제도 활성화 등 구체적 계획
행정안전부는 SW개발보안 정책을 강화하기 위해 최근 법개정 등 활발하게 움직이고 있다. 우선 법적 근거를 격상하고 제도 기반을 강화하기 위해 ‘전자정부법 개정안’을 통해 SW개발보안 의무화를 명시하는 한편, 준수 대상과 범위, 미준수시 법적 책임 등을 강화하고자 한다. 아울러 SW개발보안 역할에 따른 전문기관 지정 기준을 마련하고, 소규모 사업(1억 미만)을 대상으로 ‘SW 보안약점 진단 테스트베드’를 운영할 수 있는 기반을 마련한다는 계획이다.
또한, SW개발보안 활동의 체계화를 위해서 개발 단계별 수행주체의 개발보안 활동 기준을 정의하고, 개발보안 활동에 대한 산출물 공통 양식을 개발할 계획이다. 또한 개발보안 가이드와 보안약점 진단 가이드 등 가이드 개정을 통해 준수 의무를 부여할 계획이다.
무엇보다 행정기관 등의 개발보안 점검역량 강화를 위해 개발보안 체크리스트를 개발 및 보급해 기관 담당자가 적용 여부를 검토하고, 행정안전부가 정보시스템에 대해 개발보안 현황조사 실시 등 관리·감독을 수행할 수 있도록 했다.
진단원 자격제도도 개선된다. 기존 SW 보안약점 진단원 자격제도를 전자정부법 시행령에 명시해 국가전문자격으로 운영하고, KISA 위탁운영 등에 대한 내용을 명시하기로 했다. 또한 기존 감리법인 등이 보안약점 진단·제거 등 개발보안 활동을 할 때 SW 보안약점 진단원을 의무적으로 배치하고, 진단원의 자격 취득 요건과 절차를 개선해 자격 취득기회를 확대하기로 했다.
양승권 선임연구원은 “올해 12월까지 보안약점 기준 개정안을 마련하고 국외사례 비교와 전문가 자문을 수행해 개발보안 이행점검 체계를 마련할 것”이라면서, “아울러 2020년까지 제도를 체계화하고, 2021년까지 제도를 활성화하겠다”고 설명했다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 2009년 정보보호 중기 종합계획 국무회의 보고에서 ‘소프트웨어 개발보안 제도 수립 계획’을 포함한 이후 공식적으로 소프트웨어 개발보안(이하 SW 개발보안)에 대한 논의가 시작됐다. 특히 2012년 12월 행정 및 공공기관에서 정보시스템을 구축하고 운영할 때 반드시 개발보안을 적용하도록 하는 ‘정보시스템 구축 운영 지침’이 개정되면서부터 40억 이상 사업(2013년), 20억 이상(2014년), 5억 이상(2015년)으로 점차 의무화 대상이 넓어졌다. 하지만 여러 이유로 SW 개발보안 제도가 활성화되지 못하면서 현재 행정안전부와 한국인터넷진흥원은 활성화 방안 마련에 총력을 다하고 있다. 30일 개최된 ‘제9회 소프트웨어 개발보안 컨퍼런스’역시 이러한 노력의 일환이다.
▲제9회 소프트웨어 개발보안 컨퍼런스 전경[사진=보안뉴스]
SW 개발보안이란 SW 개발과정에서 개발자의 실수나 논리적 오류 등으로 인해 발생될 수 있는 보안약점들을 최소화해 안전한 SW를 개발하기 위한 일련의 보안 활동이다. 특히 SW 개발보안은 △개발보안 교육 △보안 요구사항 정의 △위협 모델링 △암호화 기준 수립 △보안약점 진단 △모의해킹 등 개발 단계별 보안 활동을 지칭한다. 양승권 KISA 선임연구원은 흔히 ‘보안약점(Weakness)’과 ‘보안취약점(Vulnerability)’을 혼용하는 경우가 많은데, 보안약점은 보안취약점의 근본 원인이 되는 SW 허점이나 결점, 오류 등을 말하며, 보안취약점은 해킹 등 실제 보안사고에 활용되는 보안약점을 말한다고 설명했다.
양승권 선임연구원은 “SW 개발보안을 적용하면 소프트웨어에 내재된 보안위협을 제거할 수 있는 것은 물론, 확연한 개발비용이 감소된다”면서 KISA의 진단사업 연구보고서를 언급했다. “실제로 KISA에서 모의해킹과 보안약점 진단 및 조치, 모의해킹 검출 내역 재확인 등 3단계 작업을 해보니 94% 이상의 보안위협이 제거된 것을 확인할 수 있었습니다. 또한 IBM 연구보고서에 따르면 설계 단계에서 SW 개발보안을 적용할 경우 24%의 투자 수익률을 올려 15%의 구현단계와 12% 테스팅 단계보다 높은 결과를 기대할 수 있었습니다.”
행정안전부는 특히 전자정부서비스를 대상으로 ‘보안약점 사전 진단·제거’를 지원해서 지금까지 총 498개 웹사이트와 1,160개의 모바일 앱의 보안약점을 진단하고 제거했다. 평균 보안약점 탐지 수 1,500여건(웹사이트)과 50건(모바일 앱)에 조치율 92%의 성과를 거뒀다고 양승권 선임연구원은 설명했다.
SW개발보안, 19년 보안약점 기준 개정, 20년 제도 체계화, 21년 제도 활성화 등 구체적 계획
행정안전부는 SW개발보안 정책을 강화하기 위해 최근 법개정 등 활발하게 움직이고 있다. 우선 법적 근거를 격상하고 제도 기반을 강화하기 위해 ‘전자정부법 개정안’을 통해 SW개발보안 의무화를 명시하는 한편, 준수 대상과 범위, 미준수시 법적 책임 등을 강화하고자 한다. 아울러 SW개발보안 역할에 따른 전문기관 지정 기준을 마련하고, 소규모 사업(1억 미만)을 대상으로 ‘SW 보안약점 진단 테스트베드’를 운영할 수 있는 기반을 마련한다는 계획이다.
또한, SW개발보안 활동의 체계화를 위해서 개발 단계별 수행주체의 개발보안 활동 기준을 정의하고, 개발보안 활동에 대한 산출물 공통 양식을 개발할 계획이다. 또한 개발보안 가이드와 보안약점 진단 가이드 등 가이드 개정을 통해 준수 의무를 부여할 계획이다.
무엇보다 행정기관 등의 개발보안 점검역량 강화를 위해 개발보안 체크리스트를 개발 및 보급해 기관 담당자가 적용 여부를 검토하고, 행정안전부가 정보시스템에 대해 개발보안 현황조사 실시 등 관리·감독을 수행할 수 있도록 했다.
진단원 자격제도도 개선된다. 기존 SW 보안약점 진단원 자격제도를 전자정부법 시행령에 명시해 국가전문자격으로 운영하고, KISA 위탁운영 등에 대한 내용을 명시하기로 했다. 또한 기존 감리법인 등이 보안약점 진단·제거 등 개발보안 활동을 할 때 SW 보안약점 진단원을 의무적으로 배치하고, 진단원의 자격 취득 요건과 절차를 개선해 자격 취득기회를 확대하기로 했다.
양승권 선임연구원은 “올해 12월까지 보안약점 기준 개정안을 마련하고 국외사례 비교와 전문가 자문을 수행해 개발보안 이행점검 체계를 마련할 것”이라면서, “아울러 2020년까지 제도를 체계화하고, 2021년까지 제도를 활성화하겠다”고 설명했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
