부산상공회의소

□ 행정안전부는 사이버공격의 주요 원인인 소프트웨어 보안약점을 개발단계부터 제거하기 위해, ‘소프트웨어 개발보안(시큐어코딩)’을 의무화하는 「정보시스템 구축·운영 지침」개정안을 마련하여 행정예고 한다고 밝혔다.
□ 금번 개정안은 행정기관 및 공공기관이 정보화사업을 추진함에 있어 소프트웨어 개발보안을 적용·점검하기 위한 기준과 절차 등을 규정한 것으로 주요 내용은 다음과 같다.
○ 우선, 금년 12월부터(본 지침 고시후 6개월 경과한 날부터) 행정기관 등에서 추진하는 개발비 40억원 이상 정보화사업에 소프트웨어 개발보안 적용을 의무화하고,
- 단계적으로 의무 대상을 확대하여 ‘15년에는 감리대상 전 정보화사업에 소프트웨어 개발보안을 적용한다.
- 다만, 상용소프트웨어는 소프트웨어 개발보안 적용대상에서 제외된다.
○ 소프트웨어 개발사업자가 반드시 제거해야 할 보안약점은 SQL 삽입, 크로스사이트스크립트 등 43개이다.
□ 감리법인은 정보시스템 감리시 검사항목에 보안약점 제거여부를 반드시 포함하여야 한다.
○ 감리법인은 효과적인 보안약점 진단을 위해 진단도구를 사용할 경우 국정원장이 인증한 보안약점 진단도구를 사용하여야 한다.(‘14.1월부터 적용)
○ 또한 감리법인은 개발보안분야 감리시 전문성 제고를 위해 행정안전부장관이 자격을 부여한 개발보안 진단원을 우선적으로 배치할 수 있다.
○ 진단원이 되기 위해서는 소프트웨어 개발경력 6년이상 또는 소프트웨어 보안약점 진단경력 3년이상인 자로서 진단원 양성교육 40시간을 이수하여야 한다.
□ 장광수 행정안전부 정보화전략실장은 “사이버공격에 효과적으로 대응하기 위해서는 인프라 투자도 필요하지만 소프트웨어 개발단계부터 근본원인(소프트웨어 보안약점)을 제거하는 것이 매우 중요하다”고 강조하면서,
○“지난 4월말 선정된 소프트웨어 개발보안 연구센터(고려대)를 통해 새로운 보안약점을 지속 발굴하는 등 지속적으로 개발보안을 강화해 나갈 예정”이라고 밝혔다.