정부, 공공기관 'SW 개발 보안' 요구 강화한다

행정·공공기관에서 개발하는 소프트웨어(SW)에 대해 개발 보안(시큐어코딩) 관련 법제가 강화된다.

SW 개발 보안은 SW 개발 초기 단계부터 보안 위협들을 최소화하는 접근 방식을 취하는 것을 뜻한다.

한국인터넷진흥원(KISA)에서 14일 발간한 'SW 개발 보안 가이드'에 따르면 SW 보안 취약점은 보안 요구사항이 정의되지 않거나, 논리적 오류를 갖는 설계를 수행했거나, 기술 취약점을 갖는 코딩 규칙을 적용했거나, SW 배치가 적절하지 않았거나, 발견된 취약점에 대해 적절한 관리 또는 패치를 하지 않은 경우 발견된다. 이를 방지하기 위해 SW 개발 단계별로 수행해야 하는 보안 활동을 실시하는 것이다.

지난 14일 국가정보원, 과학기술정보통신부, 행정안전부, 방송통신위원회, 금융위원회가 공동 발간한 '2019 국가정보보호백서'에서는 SW 개발 보안에 대한 법적 근거 마련이 향후 계획으로 언급됐다.

현재 SW 개발 보안 관련 법제로는 행정안전부 고시로 등록돼 있는 '행정기관 및 공공기관 정보시스템 구축·운영 지침'이 있다. 지침 내용을 전자정부법 상의 조항으로 반영해 법제 수준을 높이겠다는 구상이다.

적용 대상도 확대된다. SW 개발 보안 의무 적용 대상으로 1억원 이상의 신규 소프트웨어 개발 사업이 포함될 예정이다. 기존 지침에서는 사업비 기준 5억원 이상의 정보 시스템 구축 사업으로 SW 개발 보안 의무를 적용해왔다.

행안부 관계자는 "김병관 더불어민주당 의원이 발의한 전자정부법 전부개정안에 정보자원의 안전성 확보를 위해 대책을 수립하도록 하는 내용이 포함돼 있다"며 "해당 법안에 SW 개발 보안 관련 내용이 담길 수 있도록 할 예정"이라고 말했다.

법제를 준수하지 않았을 때 별도의 제재는 없다. 그러나 법제 수준이 강화되면 SW 개발 보안에 대한 인식이 확산되면서 산업 활성화를 기대해볼 수 있다는 의견이 나왔다.

행안부 관계자는 "현재 지침 상에 여러 내용이 실려 있어 SW 개발 보안 관련 내용을 알기 어려울 수 있어 법제 강화를 추진하는 것"이라며 "사업 발주 시 SW 개발 보안 내용이 반영되는 등의 긍정적 효과가 기대된다"고 전망했다.

보안 업계 관계자는 "실제로 시큐어코딩의 중요성에 대한 인식이 많이 높아져, 공공기관 뿐만 아니라 다양한 분야에서 도입이 되고 있다"며 "법제화까지 더해지게 된다면 관련 시장은 더욱 확대될 것으로 생각된다"고 예상했다.

관련기사

이 외에도 정부는 SW 개발 보안과 관련해 실제 개발 보안을 적절히 적용했는지 평가할 수 있는 이행 점검 체계를 구축할 계획이다.

추가로 SW 보안 약점 진단원 제도를 전자정부법에 명시, 국가전문자격으로 개선하고 활성화 방안을 마련할 예정이다.