행안부, SW개발단계부터 ‘시큐어코딩’ 의무화

정보시스템 구축·운영 지침 개정안 행정예고

<시큐어코딩=사이버공격 약점 제거>

행정안전부는 16일 사이버공격의 주요 원인인 소프트웨어 보안 약점을 개발단계부터 제거하기 위해, ‘소프트웨어 개발보안(시큐어코딩)’을 의무화하는 ‘정보시스템 구축·운영 지침’ 개정안을 마련, 행정예고 한다고 밝혔다.

이번 개정안은 행정기관 및 공공기관이 정보화 사업을 추진함에 있어 소프트웨어 개발보안을 적용·점검하기 위한 기준과 절차 등을 규정한 것이다.

우선 12월부터 행정기관 등에서 추진하는 개발비 40억원 이상 정보화 사업에 소프트웨어 개발보안 적용을 의무화하고, 단계적으로 의무 대상을 확대, 오는 2015년에는 감리대상 전 정보화 사업에 소프트웨어 개발보안이 적용된다.

다만, 상용소프트웨어는 소프트웨어 개발보안 적용대상에서 제외된다. 소프트웨어 개발사업자가 반드시 제거해야 할 보안 약점은 SQL 삽입, 크로스사이트스크립트 등 43개이다.

감리법인은 정보시스템을 감리할 때 검사항목에 보안 약점 제거 여부를 반드시 포함해야 한다.

또한, 감리법인은 개발보안분야 감리 때 전문성 제고를 위해 행정안전부장관이 자격을 부여한 개발보안 진단원을 우선적으로 배치할 수 있다. 진단원이 되기 위해서는 소프트웨어 개발경력 6년 이상 또는 소프트웨어 보안 약점 진단경력 3년 이상인 자로서 진단원 양성교육 40시간을 이수해야 한다.

강해인기자 hikang@kyeonggi.com