[디지털데일리 이민형기자] 지난해부터 준비해 온 시큐어코딩(SW개발보안) 솔루션에 대한 CC인증 기준이 마련됐다. 국가정보원(국가보안기술연구소)은 오는 12일 보안업계를 대상으로 설명회를 열어 의견을 수렴한 뒤 본격적으로 CC인증 평가를 진행할 계획이다.
8일 보안업계에 따르면 시큐어코딩 솔루션에 대한 CC인증 기준이 마련됐다. 보안업계는 시큐어코딩 CC인증 기준이 나옴으로써 국내 공공기관을 비롯해 금융권 등에서도 신규 수요가 생길 것으로 기대하고 있다.
지난해 3월 행정안전부는 사이버공격 주요 원인으로 꼽히는 소프트웨어 보안 취약점을 전자정부서비스 개발단계에서부터 제거하기 위해 지난해 12월부터 시큐어코딩 적용을 의무화해야한다고 밝혔다.
시큐어코딩이란 소프트웨어의 개발과정에서 개발자의 지식부족이나 실수, 또는 각 프로그래밍 언어의 고유한 약점 등 다양한 원인으로 발생할 수 있는 취약점을 최소화하기 위해, 설계 단계부터 보안을 고려해 개발하는 것을 의미한다.
그러나 문제가 발생했다. 지난해 12월부터 ‘시큐어코딩 의무화’가 시행됐지만 시큐어코딩 솔루션에 대한 CC인증 기준이 나오지 않았기 때문이다. 게다가 ‘CC인증 획득’여부의 유예기간 1년으로 인해 도입을 망설이는 기관들도 많아 사실상 ‘무용지물’이라는 지적도 나왔다.
업계 관계자는 “시큐어코딩 의무화 시작 전에 나왔어야 할 CC인증 기준이 이제야 나온 것은 아쉽지만 다행으로 생각한다”며 “시큐어코딩 시장은 올해 본격적으로 열릴 것으로 기대된다”고 전했다.
CC인증 기준 최종안은 아직 나오지 않았으나 초안과 크게 다르지 않을 것으로 예상된다. 행안부와 한국인터넷진흥원은 지난해 시큐어코딩 솔루션의 인증기준 초안을 만들어 국정원에 이관했다.
초안은 행안부의 ‘소프트웨어 개발사업자가 반드시 제거해야할 보안약점’에 근거한다. 내용을 살펴보면 ▲SQL 삽입 등 입력데이터 검증 및 표현과 관련된 항목 14개 ▲부적절한 인가와 취약한 알고리즘 사용 등 보안기능과 관련된 항목 16개 ▲시간 및 상태, 에러 처리, 코드 오류 등 7개 항목으로 모두 43개 항목이다.
입력데이터 검증 및 표현 부분은 프로그램 입력 값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 발생할 수 있는 보안약점으로, 현재 가장 많은 피해를 주고 있는 대표적인 약점들이다.
보안기능에는 인증, 접근제어, 기밀성, 암호화, 권한관리 등을 적절하지 않게 구현시 발생할 수 있는 보안약점들을 뜻한다.
이달 중 CC인증 기준이 설정되면 기존에 테스트를 진행했던 한국IBM, 한국HP, SK C&C, 파수닷컴, 트리니티소프트, 지티원, 이븐스타 등 7개 업체를 비롯해 많은 업체들이 CC인증 획득을 위해 가열차게 움직일 전망이다.
강필용 한국인터넷진흥원 공공정보보호단 평가검증팀장은 “이달 중 CC인증 규격이 나오게 될 것이다. 이후 4~6개월 정도의 시간이 지나면 CC인증 솔루션이 등장할 것으로 예상된다”고 전했다.