“사이버전쟁 시대, SW 개발보안 발전시켜야” 

[보안뉴스 김경애 기자] 최근 스파이칩 논란 등이 불거지면서 공급망 보안 위협이 가중되고 있는 가운데 소프트웨어(SW) 개발보안을 발전시켜야 한다는 의견이 제기됐다. 특히, 사이버전쟁 시대에 신무기체계로 SW가 중심이 되고 있고, 4차산업혁명 시대에 SW가 중심이 되고 있어 개발보안이 더욱 중요하기 때문이다.  

그렇다면 개발보안을 어떻게 발전시켜야 할까? 고려대학교 최진영 교수는 31일 양재동 엘타워에서 개최된 제8회 소프트웨어 개발보안 컨퍼런스에서 ‘4차산업혁명 시대의 개발보안 발전방향’으로 △코딩 표준의 필요성 △설계보안의 강화 △소프트웨어 보증제도 확립 △소프트웨어 공급망 보증제도 확립 △새로운 기업 성숙도 평가의 필요성을 제시했다.

먼저 코딩 표준의 경우 정보 시스템은 소프트웨어 보안성뿐만 아니라 소프트웨어 신뢰성 및 개인정보보호도 함께 만족시켜야 하므로, 정보 시스템의 주요 속성이라 할 수 있는 보안성, 신뢰성, 탄력성 및 개인정보보호도 개발단계에서 함께 구현돼야 한다는 게 최 교수의 설명이다. 

이와 관련 최진영 교수는 “개발자를 위한 자바(JAVA) 시큐어코딩 가이드를 발전시킨 공공기관용 자바 표준 가이드가 필요하다”며 “시큐어코딩, 코딩 표준을 사용했을 때 신뢰성 등 프로그램의 품질이 좋아진다. 파이썬(Python) 등 다양한 언어를 대상으로 한 시큐어코딩 가이드나 코딩 표준이 필요하다. 또한, IoT, SCADA, 국방 임베디드 무기체계 등 다양한 도메인에 대한 특화된 코딩 표준 역시 마련돼야 한다”고 강조했다. 

설계보안 강화 측면에서는 보안 SW를 이용해 설계보안을 필수로 하고, 보안약점을 반드시 제거해야 한다는 설명이다. 이를 위해선 설계단계에서 위협모델링, 위험분석, 설계보안을 효율적으로 사용하기 위한 체크리스트 배포 등 교육이 매우 중요하다.  

다음은 SW 보증제도 확립이다. SW 보증은 SW가 예상대로 동작하며 취약점이 없다고 인정해주는 등급이다. SW 보증제도 확립을 통해 믿을 수 있는 정보 시스템을 운영할 수 있고, 고급 SW 엔지니어를 육성할 수 있으며, 장기적으로 SW 기술을 선도함으로써 세계 시장에서 기술 우위를 선점할 수 있다는 설명이다. 

다음으로 SW 개발 기업의 SW 및 공급망 보증 관점에서 성숙도를 평가할 필요가 있다고 최 교수는 설명했다. 마지막으로 SW 개발보안 제도의 대상 확대를 제시한 최 교수는 “전자정부법 시행령 제71조에 명시된 ‘정보시스템 감리의 대상’, 대국민 서비스를 위한 행정업무나 민원업무 처리용으로 사용하는 경우, 중앙행정기관 등이 공동구축하거나 사용하는 경우 등으로 SW 개발보안 제도의 대상을 확대해야 한다”며 “SW 개발보안 제도는 전자정부법에 적용되는 정보시스템 뿐만 아니라 공공기관에서 사용하는 모든 정보시스템에서도 활용할 수 있도록 규제를 유도하고, 홍보를 강화해야 한다”고 강조했다. 또한, 교육기관에서는 시큐어코딩 교육을 통해 처음부터 시큐어 SW를 개발할 수 있도록 해야 한다”고 덧붙였다. 
[김경애 기자(boan3@boannews.com)] 

출처: https://www.boannews.com/media/view.asp?idx=74185&page=1&kind=2