소프트웨어개발보안, 법적인 가이드라인을 넘어 개발의 기본이 되어야

안혜연 파수닷컴 부사장

안혜연 파수닷컴 부사장

일반기업, 기관, 항공·금융업체, 학교 등 산업 전반에 걸쳐 정보기술(IT)시스템에 대한 의존도가 높아짐에 따라 소프트웨어 품질 결함으로 발생할 수 있는 각종 사고 위험으로 인해 소프트웨어 품질 향상이 점점 더 중요해지고 있다.

소프트웨어 자체의 품질이 떨어지거나 개발 단계에서 놓친 버그 등을 통해 실제 시스템 운영 시 상상할 수 없는 문제들을 야기할 수 있기 때문이다.

이 중에서도 사이버 공격의 주요 대상이 되는 소프트웨어 보안 취약으로 발생하는 보안 사고 문제는 점점 더 일반화되고 있다는 점에서 그 심각성을 더하고 있다.

다행히 이러한 보안 품질 문제를 해결하기 위한 관련 법제의 정비가 활발히 이루어지고 있으며, 최근 개정·고시된 ‘정보시스템 구축·운영 지침’에 따라 감리대상 정보화 사업에 대해 단계적으로 소프트웨어 개발 보안 적용을 의무화하는 ‘소프트웨어개발보안(이하 시큐어코딩) 적용 의무화’ 법안이 지난달 27일부터 시행되었다.

시큐어코딩 적용 의무화는 소프트웨어 개발 보안 가이드를 기반으로 개발 단계에서 제거되어야 할 43개의 보안 약점을 사전에 제거하도록 하여 사이버 공격 등을 통해 발생할 수 있는 보안 사고를 방지하도록 하는 법안이다.

이 법안은 6개월간의 계도기간을 거쳐 12월부터는 40억원 이상 정보화 사업에 본격적으로 적용되며, 2015년부터는 모든 공공 정보화 사업에 적용될 예정이다.

법안의 본격적인 시행에 앞서 일부 공공기관에서는 자발적인 조기 도입 의지를 밝히고 있으니 참으로 반가운 일이다.

이러한 조기도입 및 시큐어코딩 적용 의무화의 안정된 정착을 위해서는 시스템의 발주자나 구축을 담당하는 기관, 감리기관, 보안 약점을 점검하는 툴을 제공하는 벤더 등 모두가 안전한 소프트웨어를 만들고자 하는 의지를 가져야 한다고 생각한다.

이렇게 되기 위해 생각해 봐야 할 이슈가 있는데, 바로 업계가 부담해야 하는 비용의 문제이다.

관련 법을 만족시키기 위해 시스템을 발주하는 고객 혹은 수행업체는 개발 단계에서 보안 취약점을 제거하여 높은 품질의 무결점 소프트웨어를 개발 할 수 있는 툴을 보유해야 하며, 감리법인은 효과적인 보안 약점 진단을 위해 고품질의 진단도구를 사용하여야 한다.

추가적인 소프트웨어 진단도구 구매나 진단업무를 위한 새로운 비용에 대해 보정해 주는 방법 없이 구축 업체나 감리업체만의 부담이 될 경우, 비용부담으로 인해 소극적인 투자가 진행될 수 있고 자칫 형식적인 프로세스로만 남아 실질적인 소프트웨어의 안정성을 보장하지 못하게 되지는 않을까 우려가 된다.

시행 초기 단계에서 이러한 리스크를 줄이기 위해서는 정부기관의 적극적인 투자와 지원이 필요할 것으로 보인다.

비용에 대한 부담 없이 고품질의 툴과 진단도구를 사용할 수 있다면 소프트웨어의 안정성을 높일 수 있을 뿐만 아니라 보안 룰에 대한 연구와 기술도 한층 발달하고, 진단도구 자체와 진단기술도 지속적으로 향상되어, 또 하나의 경쟁력 있는 소프트웨어 제품으로 세계 시장에서 우위를 차지할 수 있게 될 것이다.

이렇게 공공 기반 시스템의 안정성을 위해서 시행된 법 제도로 인해, 공공 인프라 시스템들의 안전한 운영뿐만 아니라 세계 시장에서 경쟁력 있는 소프트웨어 진단 툴 기술을 가지고 되고, 장기적으로는 대한민국 소프트웨어 산업 발전에도 기여할 수 있게 되기를 기대해본다.