개발자가 직접 소프트웨어 보안 진단한다

2016-01-27 김인순 보안 전문 기자

개발자가 스스로 소프트웨어(SW) 보안 취약점을 진단하는 지침서가 나왔다.

행정자치부(장관 홍윤식)는 ‘공개소프트웨어를 활용한 소프트웨어 개발보안 진단 가이드’를 발간·배포한다. SW소스코드 등에 존재하는 잠재적 보안약점을 제거하고 기능을 설계·구현한다.

최근 사이버해킹은 주로 SW취약점이 악용된다. SW개발과정에서 보안취약점 진단이 중요하다. 가이드는 무료인 공개SW를 이용해 개발자 스스로 보안약점을 손쉽게 진단하는 방법이다.

ⓒ게티이미지뱅크

행자부가 선정한 47개 보안약점을 진단하고 통합관리도구를 연계해 결과분석과 보고서 작성도 가능하다. 별도로 비용을 확보하기 어려운 소규모 사업이나, 제도 도입 전에 구축된 정보시스템도 유지보수 등에 활용이 기대된다.

행자부는 안전한 전자정부 SW개발을 위해 ‘소프트웨어 개발보안’ 제도를 2012년부터 운영 중이다. 방화벽 등 보안장비로 대응이 어려운 보안취약점을 초기에 확인해 개선하는 효과를 거뒀다. 제도를 적용하려면 상용 도구와 진단 전문가가 필요해 금액 기준 5억 원 이상 사업에만 의무 적용하는 등 한계가 있었다.

ⓒ게티이미지뱅크

행자부는 한국인터넷진흥원과 함께 가이드에 소개된 공개 SW를 활용한 진단 방법을 알리는 실습형 교육과정을 운영한다. 매년 열리는 ‘대학생 대상 소프트웨어 개발보안 경진대회’에서 활용하도록 심사 기준에 반영한다.

강성조 행자부 개인정보보호정책관은 “SW보안은 개발이 끝난 후 개선하는 것이 아니라, 기획 단계부터 보안을 고려해 안전하게 설계하고 구축해야 한다”며 “안전한 SW개발 문화를 조성하기 위해서 시큐어코딩 교육과 기반기술 연구 등을 추진할 것“이라고 밝혔다.

김인순 보안 전문기자 insoon@etnews.com