[디지털데일리 이민형기자] ‘소스코드 취약점 점검도구(시큐어코딩)’ 공통평가기준(CC) 인증에 대한 국가용 정보보호제품 보안요구사항이 빠르면 이달 중 발표된다. 한국인터넷진흥원(KISA)과 인증기관들은 보안요구사항이 발표 되는대로 CC인증 평가를 실시할 계획이다.
국가보안연구소(국보연)는 12일 한국인터넷진흥원 118청사에서 ‘소스코드 취약점 점검도구 보안요구사항 설명회’를 개최하고 시큐어코딩 보안요구사항을 공개했다.
이날 발표된 보안요구사항은 지난해 행정안전부에서 전자정부서비스 개발시 적용해야할 보안기준 43개 항목과 큰 차이가 없었다. 다만 행안부의 ‘SW개발 보안기준 43개 항목’과 ‘시큐어코딩 CC인증 보안요구사항’은 엄연히 다른 것이라고 국보연측은 여러차례 강조했다.
국보연 관계자는 “행안부의 43개 항목은 전자정부서비스 개발시 적용해야할 일종의 가이드라인이고, 이번에 발표되는 시큐어코딩 보안요구사항은 CC인증을 위한 것으로 기준 자체는 비슷할 수 있어도 동일하게 봐서는 안된다”고 말했다.
하지만 행안부 43개 기준 안에 주요 항목이 들어가 있어 시큐어코딩 보안요구사항도 크게 다르지 않을 것으로 예상된다.
강필용 KISA 공공정보보호단 평가검증팀장은 “국정원 CC인증 평가는 특정 솔루션이 국가기관에 납품하기 위한 보안기능 만족도를 보는 것이기 때문에 행안부의 가이드라인보다는 광범위한 기준이 적용된다”며 “즉, 행안부의 43개 항목을 전부 커버하지 못하더라도 제품이 우수하면 CC인증을 획득할 수 있다”고 말했다.
실제 이번 시큐어코딩 보안요구사항 설정을 위한 시범사업에 참가한 7개 업체 중 행안부의 43개 항목을 모두 만족한 업체는 없었지만, 시범사업 등을 통해 점차 성능이 향상될 것이라고 강 팀장은 설명했다.
이날 소개된 시큐어코딩 보안요구사항은 ▲소스코드 분석 및 취약점 식별 ▲감사기록 ▲식별 및 인증 ▲점검도구와 업데이트 서버간 안전한 연동 등이다.
탐지해야할 소스코드 취약점으로는 입력데이터 검증, 보안기능, 시간 및 상태, 에러처리, 코드오류, 캡슐화, API 오용 등으로 행안부의 가이드라인과 유사하다.
이외에도 시큐어코딩 솔루션은 점검에 대한 감사데이터를 생성해야 하고, 인가된 사용자에 대한 식별과 인증 기능도 제공해야 CC인증을 획득할 수 있다.
아울러 업데이트 서버를 이용해 운영하는 경우도 업데이트 서버의 무결성을 보장할 수 있도록 파일생성 주체에 대한 전자서명 검증을 수행해야 한다.
국보연은 이날 시큐어코딩 CC인증을 준비하는 업체들과 질의응답 시간을 갖었다. 주요 질문은 CC인증 기준(보안요구사항)과 국제 CC인증의 효용, CC인증 평가기간 등이었다.
국보연 관계자는 “보안요구사항은 이달 중 나올 예정이다. 보안요구사항에 따라 새로운 CC인증이 나올 경우, 기존에 관련된 인증을 받았던 솔루션도 새로 인증을 받아야 한다”며 “국제CC인증을 받은 제품의 경우 국정원의 보안적합성검증을 통과하면 별도의 CC인증을 획득하지 않아도 납품이 가능하다”고 설명했다.
CC인증 평가기간과 관련 강 팀장은 “이달 중 보안요구사항이 발표되면 KISA와 인증기관에서 인증을 위한 준비를 마친 뒤 바로 평가에 들어간다. CC인증을 받기 위해서는 지금부터 준비에 나서야 한다”며 “CC인증 평가 적체 부분도 대부분 해소됐다. 빠르면 3개월안에 평가를 마무리 할 수 있을 것”이라고 말했다.
한편 이날 설명회에는 시범사업에 참여한 7개 업체(한국IBM, 한국HP, SK C&C, 파수닷컴, 트리니티소프트, 지티원, 이븐스타) 등이 참석했다. 시범사업에 대한 각 솔루션별 성능 결과는 비공개로 발표됐다.