시큐어코딩 구매 '정부냐 시행사냐'…갑론을박

시큐어코딩 의무화가 2달 앞으로 다가왔다. 소프트웨어(SW) 개발단계에서부터 보안취약점을 고려해 사이버 공격에 대응한다는 목적이 실효성을 가지려면 솔루션 구매 주체가 누군지, 어떤 식으로 시큐어코딩의 분석 품질을 높일지 등에 대해 보다 구체적인 논의가 필요할 전망이다.

12일 솔루션개발회사와 감리법인 등 업계 관계자들은 제도의 실효성을 위해 구매 주체부터 분명이 해야한다는 입장을 밝혔다.

행정안전부가 마련한 시큐어코딩 제도는 SQL삽입, 크로스사이트스크립트 등 공공기관의 정보화 사업 과정에서 발생할 수 있는 43개의 SW보안약점에 대한 문제가 없도록 보안성을 유지해야 한다는 내용이 핵심이다.

기준만 만족한다면 굳이 시큐어코딩 전용 솔루션을 도입할 필요는 없다. 그러나 40억원 이상 공공기관 사업의 경우 규모면에서 솔루션을 사용하지 않고서는 개발과정에서 발생할 수 있는 보안취약점을 해결하기 어려운 것이 현실이다.

이에 따라 국내 시큐어코딩 개발회사인 파수닷컴, 지티원, 트리니티소프트, 이븐스타 등이 시장진출을 기대하고 있다. 그러나 시큐어코딩 의무화가 2달 남은 시점에서 아직까지 누가 구매 주체가 될지에 대해 명확한 기준이 마련되지 않아 IT서비스 기업, 감리법인 등이 혼선을 빚고 있는 실정이다.

업계에 따르면, 공공기관의 경우 40억원 이상 규모의 정보화 사업을 발주할 경우 개발을 맡고 있는 IT서비스 회사가 시큐어코딩 솔루션 구매비용을 지불해야 한다는 입장이다. 감리법인들도 압박을 느끼고 있다. 정보시스템 감리시 검사 항목에 보안약점 제거 여부를 반드시 포함해야 하기 때문이다. 솔루션을 감리법인이 도입해야 한다는 주장이 나오고 있는 것도 이 때문이다.

그러나 IT업계는 공공기관이 별도 발주를 통해 시큐어코딩 솔루션 도입 비용을 부담해야한다는 입장이다. 정부가 개발 단계에서부터 보안취약점을 원천적으로 차단하는 사업을 벌이는 만큼, 기관에서 관련 비용을 부담하는 것이 전체 보안성 향상을 위한 현실적인 방안이라는 설명이다. IT서비스 회사나 감리법인이 솔루션을 이용하더라도 위험관리 차원에서 비용은 고객인 공공기관이 지불해야 한다는 것이다.

안혜연 파수닷컴 부사장은 시큐어코딩 의무화가 실효성 있는 정책이 되려면 잘 적용하고 있는지를 확인하는 것과 적정한 가격을 누가 지불하는가가 중요하다고 밝혔다. 행안부가 제시한 43가지 보안취약점에 문제가 없는지 정확히 분석할 수 있는 제대로 된 툴을 개발하는 것이 우선이고, 이를 잘 적용하기 위해서는 제 값을 받을 수 있어야 한다는 설명이다.

안 부사장은 IT서비스 회사들이 공공 부문 프로젝트를 수행한다고 할지라도 입찰 경쟁이 치열한 상황에서 시큐어코딩 관련 예산은 최소한으로 반영할 가능성이 높다고 말했다. IT서비스 회사들이 비용부담을 느끼기에 이 부문은 형식적인 내용만 갖출 수 있다는 우려다.

파수닷컴과 함께 지난 2009년 행안부 전자정부 프로젝트 사업에서 시큐어코딩 부문 솔루션 개발을 공동 작업 해온 지티원의 백운봉 이사도 이에 동의 했다.

그렇다고 감리법인에 시큐어코딩 사용 비용을 부담토록 하는 것도 문제다. 현실적으로 감리법인이 한달 간 1인 당 인건비로 수백만원대 감리비용을 받는다는 점을 고려하면 수천만원에서 수억원대의 시큐어코딩 솔루션을 직접 구매한다는 일은 말이 안된다는 주장이다. 결국 형식적으로만 관리될 가능성이 크다는 지적이다.

백 이사는 시큐어코딩을 위해 반드시 솔루션을 도입해야하는 것은 아니지만 사용할 경우에는 공공기관쪽에서 비용을 부담하는 것이 전체 산업활성화 차원에서도 맞다고 본다고 밝혔다.