법제도/정책

정부, SW 개발보안 대가산정 기준 만든다

최민지

[디지털데일리 최민지기자] 정부는 소프트웨어(SW) 개발보안 대가산정 기준을 마련하기 위한 연구작업에 착수한다.

기존에는 SW 개발보안에 대한 예산 편성 근거 및 인식 부족으로 이와 관련한 내용은 SW 개발 때 예산에 반영되지 않았다. 이에 SW 개발보안을 적용하지 않는 등의 문제가 존재한다는 지적이 제기됐고, 정부는 SW개발보안 대가산정 기준을 마련키로 했다.

최근 정부는 시큐어코딩을 강조하고 있다. 제품 개발 때부터 보안을 염두에 둔 제품을 개발해야 한다는 것.

SW 대가 산정의 경우, 정보화사업 추진 때 적정 사업 대가 기준이 만들어졌고 한국소프트웨어산업협회에서 주기적으로 해당 내용을 갱신하고 있다

보안 분야와 관련해서는 대가 산정 검토가 일반 정보화산업에 비해 활발하지 못했다. 특히, 개발보안은 정보화시스템이 만들어진 후 보안 취약점에 대해 조치하기 보다는 사전 개발 단계부터 취약점을 거를 수 있도록 설계하는 것이 해킹 등에 효과적이라는 조언이 나오고 있다.

이에 보안 전문가들이 적절한 대가를 받을 수 있는 기준을 만들어야 한다는 의견이 개진되고 있다. 또한, 소프트웨어 개발 보안은 의무화로 지정돼 있는 상황이다.

이세영 행정안전부 정보기반보호정책과장은 “어떤 방식으로 어떻게 SW 개발대가를 산정해야 발주하는 사업자와 보안업체 등이 모두에게 적절한 수준인지에 대한 연구 필요성을 느꼈다”며 “연구결과가 나오면 한국소프트웨어산업협회와 협의해 일반 대가를 산정할 때 어떻게 적용해 활용할 수 있을지에 대한 논의를 진행하고자 한다”고 말했다.

이 연구는 연말까지 진행할 예정이며, 이후 도출된 결론을 두고 의견수렴을 거치게 된다. 내년 초 한국소프트웨어산업협회와 SW 개발보안 대가 산정과 관련해 협의한 후 다음 대가 산정 갱신 때 반영할 계획이다.

이번 연구와 관련한 주요 내용은 ▲SW개 발보안 적용현황 및 국내외 사례 조사 ▲공공분야 개발보안 적용 현황 조사 ▲민간분야 시큐어코딩 적용 현황 조사 ▲국외 SW개발보안 관련 제도 운영 현황 조사 ▲SW 보안약점 진단 비용 산출 방법 제시 ▲SW 보안약점 진단사업 통계 분석을 통해 적정비용 및 근거 산출 ▲국내 CC인증 보안약점 진단도구 시장현황), 도입 비용, 사용 조건 등 현황 조사 및 국외 진단도구 조사 ▲구현단계 SW개발보안 적용에 대한 대가산정 방안 제시 등이 포함된다.

산업계·학계 등 전문가 회의를 통한 SW 개발보안 대가산정의 적정성 검토 및 제시된 의견에 대한 검토‧반영이 진행된다. 전문가 회의는 5회 이상, 회당 5인 이상으로 진행하고 전문가 자문단을 구성할 방침이다.

이 과장은 “보안업체, 감리업체, 보안전문가 등이 이 대가산정에 적용받게 되며, 합리적인 적정 기준이 마련되면 개선이 될 것으로 보인다”며 “가급적이면 조기에 이 기준이 반영될 수 있도록 요청할 예정”이라고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널