내년부터 공공부문에 사용되는 소프트웨어(SW)에 대한 보안정책이 대폭 강화된다.
SW개발 단계에서부터 보안 취약점에 대해 검토하는 'SW개발보안(시큐어코딩)' 이행 여부에 대한 집중 점검이 이뤄지고, 기존 행정기관 홈페이지에 대해서도 보안 취약점에 대한 적용여부를 확인할 수 있게 된다.
행정기관용 모바일 애플리케이션(앱)을 공공 앱스토어에 올릴 때도 소스코드에 대한 보안성 점검이 의무화된다. SW개발보안 이행여부 관련 전문성을 높이기 위한 자격제도도 신설된다.
27일 안전행정부 및 보안업계에 따르면 내년부터 공공부문에서 20억원 이상 정보화 사업에 사용되는 개발SW는 보안성 검증을 의무적으로 받아야 한다. 전자정부사업과 관련해서는 65%가 적용대상이다. 2015년에는 SW개발보안 의무화가 5억원 이상 정보화 사업으로까지 확대돼 사실상 대부분 행정기관이 이행해야 한다.공공기관이 도입하고 있는 모바일앱에 대해서도 소스코드에 대한 보안성 검증이 의무화된다. 안행부에 따르면 행정기관, 공공기관을 포함 현재 530여개 모바일 앱 서비스가 제공 중이다.
검증을 받기 위해 앱 개발자들은 안행부, 한국인터넷진흥원(KISA)에 모바일 앱 검증을 신청해야 한다. 그 뒤 KISA 모바일 앱 소스코드 검증센터에서 직접 취약성 여부에 대한 검증이 이뤄진 다음 지난해 신설된 안행부 모바일 지원센터에 해당 앱이 등록된다. 안행부는 이밖에 공공기관에서 공통으로 사용할 수 있는 앱 위변조 방지, 인증서 전달, 암호화 기능 등을 포함한 모바일 보안 모듈을 제공한다는 계획이다.
안행부는 노동부와 협력해 SW개발보안 관련 자격증도 신설할 계획이다. 현재 SW보안 진단원은 현재 160명에 불과한 것으로 추산된다.
재작년 5월 개설된 SW개발보안센터에 대해 안행부는 내년부터 5년간 10억원을 투자해 기술고도화를 위한 프로젝트를 발주해 고려대, 성신여대, 한국항공대, 중앙대, 한국산업기술대 보안 분야 교수 10여명이 참여하는 컨소시엄이 사업을 진행한다.
관련기사
- 안행부, 시큐어코딩 전문가 200명 양성2013.11.27
- 안행부, 소상공인 창업자 보안서버 무상지원2013.11.27
- 시큐어코딩 구매 '정부냐 시행사냐'…갑론을박2013.11.27
- 시큐어코딩 의무화, 수혜 기업 어디?2013.11.27
이 중 세부주제로 개발 보안 생태계를 만들기 위해 'SW보안평가사(가칭)'라는 자격제도가 신설된다. 해당 분야에 참여하고 있는 이경호 고려대 정보보호대학원 교수는 향후 국가 공인 자격증으로 키우는 것을 목표로 전문인력을 양성할 계획이라고 말했다.
해당 자격은 SW개발 분야에서 6년 이상 근무한 사람으로 제한을 두고, 동적분석, 정적분석은 물론 보안취약점표준(CVE)에 대해서도 다룰 줄 아는 보안분석전문가를 양성한다는 계획이다.
