"SW 개발 초기단계부터 보안 위협요소 제거해야"

개발 완료후 수정하려면 비용 최대 30배 더 들어

#. 지난해 숙박 온.오프라인 연계(O2O) 서비스 '여기어때'에서 99만여건의 고객 개인정보가 유출됐다. 사고원인은 웹사이트 취약점 공격기법인 'SQL 인젝션' 공격에 의해 데이터베이스(DB)가 뚫린 것으로 확인됐다.

소프트웨어(SW) 개발보안에 대한 중요성이 부각되고 있다.

29일 관련업계에 따르면 국내 개발사들이 서비스 출시 기일을 맞추려고 보안을 놓치는 경우가 많은 것으로 나타났다. 특히 SW 개발보안 관련 교육을 통한 인식개선이 시급한 상황이다.

하나의 소프트웨어를 개발할 때 설계, 코딩, 통합, 베타 테스트, 제품출시 등 생성에서부터 소멸까지의 과정을 단계별로 나눈 것을 'SW 개발 생명주기(SDLC)'라고 하는데 이 SDLC 전반에 걸쳐 SW 개발보안이 이뤄져야 하는 것이 핵심이다.

개발자는 정상적인 의도에 초점을 맞춰 접근하고 공격자는 정상적인 의도 외에 허용되는 모든 동작에 관심을 가지기 때문에 보안 요구사항과 오용사례를 SW를 개발하는 초기단계부터 고려해 보안위협들을 최소화해야 한다는 설명이다.

미국표준기술연구소(NIST)의 통계자료에 따르면 이미 개발이 완료된 SW의 보안 취약점을 수정하는 것은 개발 과정에서 수정하는 것보다 최고 30배나 더 많은 비용이 소요될 수 있는 것으로 분석됐다.

이에 정부 차원에서 SW 개발보안을 장려하기 위해 노력 중이다. 행정안전부와 한국인터넷진흥원(KISA)은 'SW 개발보안 가이드'를 마련했다. SW 개발보안 교육도 개최 중이며 SW 보안약점 진단원 자격 제도를 도입하기 위해 검토 중이다. 소프트웨어 개발보안 인식 제고를 위해 올해 말 경진대회, 콘퍼런스도 개최 예정이다.
또 영세기업 대상으로 SW 개발보안을 지원 중이다.

조은래 KISA 전자정부보호팀 책임은 "여기어때의 개인정보 유출사고는 설계나 구현 단계에서 코드 몇 줄로도 해결될 수 있는 간단한 부분이었고 빗썸의 경우 사전대입공격에 대해 계속해서 강조했음에도 단순한 공격에도 뚫렸다. 자동화된 도구가 들어갈 수 없도록 SW를 구축했다면 발생하지 않았을 사고"라며 "SW 개발보안은 비용이 많이 들기 때문에 이를 포기하는 경우가 많은데 꼭 필요한 것으로 인식이 바뀌어야 한다"고 말했다.

true@fnnews.com 김아름 기자