[SW개발보안, 디지털뉴딜 시작]<중>"코딩만 하면 끝?"…SW개발보안, 서비스 개발 원칙돼야

게티이미지뱅크
게티이미지뱅크

#2008년 회원 1863만명을 보유한 A사가 해킹 공격을 받았다. 해커는 공격 코드가 포함된 전자우편을 대량 발송하는 사이트간요청위조(CSRF) 수법을 활용해 해킹에 성공, A사 전체 회원의 개인정보를 탈취했다.

#2013년 B사 유무선 공유기에서 관리자 인증을 우회하는 취약점이 발견됐다. 공격자가 이를 활용하면 관리자 암호가 설정되더라도 쿠키값을 변조, 관리자 페이지에 접속할 수 있는 것으로 나타났다. B사는 뒤늦게 보안 조치를 위한 긴급 권고를 내려야 했다.

행정안전부와 한국인터넷진흥원(KISA)이 배포한 '소프트웨어(SW) 개발보안 가이드'에 따르면 정보기술(IT) 제품과 서비스 개발 단계에서 SW개발보안을 적용하지 않아 침해사고를 유발한 사례가 많다. A사와 B사 역시 제품 구현 단계에서 입력 데이터 검증과 표현을 수행하지 못해 보안 약점을 남긴 사례다.

SW개발보안은 침해사고를 미연에 막고 추후 대응비용을 줄일 수 있는 근본 대책으로 꼽힌다. 스타트업과 중소기업 등 규모가 작은 업체는 출시에만 집중하다 침해사고를 초래하기도 한다. 이용자 개인정보 대량 유출로 인해 사업 위기를 맞은 스타트업 사례도 나왔다.

SW개발보안은 SW 개발·변경시 보안취약점을 최소화하기 위한 활동을 말한다. 요구사항 분석, 설계, 개발, 테스트, 유지보수 등 SW 개발 생명주기 내 단계별 보안 활동을 수행해 안전한 SW를 개발하는 것이 목표다. 보안약점은 보안취약점 근본 원인으로 이를 제거하면 해킹 등 실제 보안사고에 악용될 수 있는 보안취약점을 예방하는 효과가 있다.

SW개발보안을 수행하지 못해 피해를 본 사례가 있는 만큼 이를 수행해 이득을 본 사례도 있다. 추후 발생 가능한 보안사고를 예방하고 이용자 보호, 사후 대응 비용 절감 등 이점을 얻기 때문이다.

SW개발보안 전문업체 스패로우는 고객사 S은행에 SW개발보안 도구를 공급하고 호응을 얻었다. S은행은 스패로우 '사스트 v5.6' 제품을 활용해 보안 구멍을 최소화하는 효과를 거뒀다. 다수 개발자가 개발 단계에서 수시 점검으로 보안취약점을 점검하고, 스케줄링 기능을 통한 전수 검사 프로세스를 적용했다.

신규 프로젝트는 수시 점검 프로세스를 통해 개발자가 정보보호부 역할 없이 소스코드 보안 점검 프로세스를 실시간으로 준수, SW개발보안을 강화했다. 이관제어 프로세스로는 형상관리 시스템에서 이관 적합성을 판단, 부적합한 소스코드 파일에 대하여 수정을 강제화하는 방식을 채택했다.

장일수 스패로우 대표는 “레거시 시스템의 경우 일괄 점검 프로세스를 적용해 소스코드 보안 취약점을 점검하고 SW 개발 과정에서 보안 구멍을 최소화했다”면서 “S은행 정보보호부에서 내부 프로세스에 보안 구멍을 최소화하는 도구에 대해 만족한다는 평가를 받았다”고 말했다.

KISA는 올해 민간을 대상으로 SW개발보안 사업을 최초 시행하고 있다. KISA 관계자는 “SW개발보안 미적용시 사고 이후 원인 수정을 위한 비용이 더 크다”면서 “침해사고를 대폭 줄일 수 있는 만큼 IT 제품과 서비스 개발시 SW개발보안을 원칙으로 삼아야 한다”고 권고했다.

오다인기자 ohdain@etnews.com