[컴퓨터월드] 하루가 멀다 하고 발생하는 보안사고. 최근 발생하는 보안 사고들을 찾아보면 공통적으로 발견할 수 있는 표현들이 있다. 바로 ‘해당 소프트웨어(SW) 보안취약점을 이용한’이라는 표현이다.

하나의 SW가 만들어지기까지 많은 개발자들의 땀과 열정이 들어가지만, 그렇다고 그 결과물이 꼭 완벽할 수만은 없다. 개발자들도 미처 파악하지 못한 오류들과 취약점들이 발생하기 때문이다. 이들을 보완하기 위해 SW 개발사들은 끊임없이 패치를 내놓고 있지만, 이마저도 미봉책에 불과하다.

이런 문제를 극복하기 위해 ‘SW 개발보안’이라 불리는 ‘시큐어코딩(Secure Cording)’이 주목받고 있다. 시간이 흐를수록 SW의 보안취약점을 악용한 사이버 공격들이 증가하고 있는 지금, SW 개발단계에서부터 보안취약점을 사전 제거하자는 바람이 일고 있기 때문이다.

우리나라도 지난 2012년부터 전자정부 서비스 개발을 위해 시큐어코딩 의무화를 도입했으며, 그 범위도 점차 확대해가고 있다. 또한 최근 들어 주목받고 있는 모바일 및 사물인터넷(Internet of Things, IoT) SW 개발 시까지 시큐어코딩을 적용하게 함으로써 관련 시장 역시 크게 확대될 전망이다. 이에 관련 업계 역시 확대될 시큐어코딩 시장을 대비해 분주하게 움직이고 있다.

시큐어코딩 의무화 확대

‘SW 개발보안’이라 일컫는 시큐어코딩은 해킹 등 사이버 공격의 원인인 보안약점을 SW 개발단계에서 사전에 제거해 안전한 SW를 개발하는 SW개발 기법을 말한다. 최근 몇 년 간 SW 취약점을 이용한 사이버 공격이 감행되면서 전 세계적으로 이에 대한 수요가 높아지고 있다.

시장조사기관 가트너가 공개한 자료에 의하면 사이버 공격의 75%가 SW 보안 취약점을 이용하고 있는 것으로 나타났다. 지난 2011년 소니 사(社)는 SW 취약점(SQL 인젝션)으로 인해 7,700만 명의 개인정보가 유출되는 사고를 겪었다.

SW 개발보안의 중요성을 인식한 미국은 국토안보부(DHS)를 중심으로 시큐어코딩을 포함한 SW 개발 전 과정에 보안활동 연구를 활발하게 하고 있다. 그리하여 지난 2011년 11월 발표한 ‘안전한 사이버 미래를 위한 청사진(Blueprint for a Secure Cyber Future)’을 발표하며 SW 개발 전 과정에 보안을 강화하도록 권고하고 있다.

우리나라도 지난 2012년부터 전자정부 서비스를 비롯한 정보시스템 개발 시 시큐어코딩 적용을 의무화하는 ‘정보시스템 구축·운영 지침’을 마련하고 시행에 들어갔다. 이에 따라 2012년 12월부터 40억 원 이상 정보화사업에 시큐어코딩 적용이 의무화됐으며, 지난해 1월부터는 20억 원 이상 정보화사업으로까지 적용 범위가 확대됐다. 아울러 올해 1월부터는 공공기관 감리대상 전 사업에 시큐어코딩이 적용이 의무화됐다.

보안취약점 사전 제거, 비용 대비 효율성 좋아

시큐어코딩은 해킹 등 사이버 공격의 원인인 SW 보안약점을 개발 단계에서 사전 제거하고, SW 개발생명주기의 각 단계별로 수행하는 일련의 보안 활동을 통해 안전한 SW를 개발·운영하기 위한 목적으로 적용되는 체계다. 그러나 왜 SW 개발단계부터 이를 적용하는 것일까? SW 개발을 끝낸 이후 완제품으로 취약점 점검을 할 수는 없는 것인가? 가트너와 미국국립표준기술연구소(NIST) 및 IBM이 공개한 자료를 보면 그 해답을 찾을 수 있다.

이처럼 SW 보안취약점을 줄이기 위해서는 무엇보다 SW 개발 초기 단계부터 수정하는 것이 손쉬울 뿐만 아니라, 비용 효율성 측면에서도 좋기 때문에 시큐어코딩 기법을 적용하는 것이다.

파수닷컴 김종하 선임은 본지에 기고한 칼럼을 통해 “시큐어코딩의 중요 포인트는 ‘개발단계’에서 이를 적용한다는 것이다. 옛 속담에 이런 말이 있다. ‘호미로 막을 것을 가래로 막는다.’ 이 말은 호미로 막을 수 있는 것을 차일피일 미루다가 결국 가래로 막지 않으면 안 되는 지경에 이르는 것을 말한다. SW 개발에서도 이 속담이 적용된다”라며 시큐어코딩의 중요성에 대해 강조했다.

모바일, IoT SW 분야까지 시큐어코딩 확산

불과 몇 년 전까지만 해도 아침 출근 시간에 지하철을 타면 무가지 신문을 보는 사람들이 대부분이었다. 그러나 이제는 어른아이 할 것 없이 스마트폰 또는 태블릿PC를 사용하는 모습을 보게 된다. 이른바 모바일 시대다.

뿐만 아니라 모든 사물이 인터넷에 연결되는 사물인터넷(IoT) 시대도 빠르게 다가오고 있다. 가트너는 2020년에 이르러 커넥티드 카(Connected Car)와 같은 IoT 기기가 250억 개에 달할 것이라는 전망을 내놓기도 했다.

이처럼 모바일과 IoT로 대변되는 시대가 다가오면서 이에 대한 보안 이슈 역시 높아지고 있다. 이에 정부는 그 동안 전자정부의 SW를 보호해 온 시큐어코딩을 모바일과 IoT 분야까지 폭넓게 적용할 수 있는 방안을 마련하고, 관련기관에 보안기술을 지원해 나간다는 방침이다.

우선 정부는 공공기관의 모바일 앱 서비스가 급증함에 따라 모바일 앱 소스코드에 대한 보안성 검증을 의무화했다. 정부기관 및 공공기관이 준수해야 할 ‘모바일 전자정부서비스 관리지침’을 개정하고, 모바일 전자정부 운영에 활용되는 SW에 대해 개발단계부터 ‘시큐어코딩’을 의무적으로 적용토록 한 것이다.

이에 행정기관들은 모바일 서비스를 개시하기 전에 암호화 등 보안기능 적용여부와 보안약점 점검 및 조치여부를 반드시 확인해야 한다.

정부는 이를 통해 시간과 비용이 다소 늘더라도 SW 개발단계부터 보안코드를 활용해 안전성을 높인다는 계획이다. 이럴 경우 보안수준이 현재보다 90% 이상 높아지고 새로 발견되는 보안취약점에도 대응하기 수월해질 것으로 전망된다.

또한, 정부는 IoT 등 새로운 사이버 안보 환경에 대응하기 위해 ‘전자정부 SW·IoT 보안센터’를 개소하고, 관련기관에 보안기술을 지원하기로 했다.

해킹공격 예방 능력 탁월

그렇다면 과연 시큐어코딩을 적용했을 경우 효과를 볼 수 있는 것일까? 행정자치부는 시큐어코딩을 적용한 SW의 경우 해킹공격에 탁월한 예방 능력이 있다고 밝혔다. 시큐어코딩 방식을 적용하고 있는 전자정부 SW의 보안 효과성을 분석한 결과, 해킹 가능성이 94% 이상 제거됐으며 소스코드의 체계적인 관리로 ‘스파게티 코드(소스코드 코딩 시 일련의 규칙이 없이 작성되어 내부내용을 확인하기 힘든 상태)’를 예방하는 효과도 있다는 것.

행정자치부는 이러한 보안 예방적 효과 때문에 전자정부 이외의 민간 분야에도 시큐어코딩이 빠르게 확산되고 있으며, 이미 국방, 금융, 대기업 등 많은 기관들이 시큐어코딩 관련 자체 프로세스를 개발·적용하고 있다고 설명했다.

시큐어코딩의 중요성을 뒷받침해주는 또 하나의 사례는 마이크로소프트(MS)의 개발생명주기(MS-SDL)이다. MS는 자체적으로 개발한 개발생명주기를 제품 개발 전 과정에 적용토록 함으로써 보안취약점의 원인을 제거하도록 했다. 이는 개발과정에서 MS-SDL을 적용한 운영체제 및 DB서버의 보안취약점이 각각 45%, 91% 감소하는 등 제품 출시 이후 보안패치 횟수 감소와 보안패치 비용 절감 효과를 가져왔다.

시큐어코딩 시장 확대…업계, 시장 선점 위해 총력

정부가 지난 2012년 시큐어코딩 의무화를 시행한 이후 해당 시장은 점차 확대되는 추세다. 비록 국내에 도입된 지 얼마 되지 않아 시장 형성 단계로 볼 수 있지만, 점차적으로 수요층이 늘어나고 있는 만큼 이를 선점하기 위한 업계의 경쟁 또한 치열해지고 있다.

지난해 시큐어코딩 시장에서 가장 두각을 드러낸 곳은 파수닷컴이다. 파수닷컴은 지난해 자사 시큐어코딩 진단도구 ‘스패로우(Sparrow)’의 공통평가기준(Common Criteria, CC) 인증을 획득했으며, 뒤이어 정부 조달 제품 등록까지 마침으로써 본격적인 공공시장 공략에 나섰다.

이후 파수닷컴은 한국주택금융공사, 중소기업진흥공단 등 공기업 및 산하기관에 ‘스패로우’를 잇달아 공급하는데 성공하면서 공공시장 점유율을 늘려나갔으며, 이를 바탕으로 금융, 국방, 제조, 일반기업 등 다양한 분야로 스패로우 공급을 지속적으로 확대했다.

또한, 파수닷컴은 시큐어코딩 시장 확대를 위해 SW 개발자를 대상으로 시큐어코딩 교육도 진행했다. 시큐어코딩 의무화 이후 정부·공공기관뿐만 아니라 전 산업군에서 시큐어코딩에 대한 수요가 빠르게 확대되고 있지만, 시큐어코딩 방법을 습득할 수 있는 전문기관이 부족한 상황으로 교육의 기회가 많지 않다. 이에 파수닷컴은 성공적인 시큐어코딩 실현을 위해 SW 개발 보안의 필요성과 효과를 소개하고, 시큐어코딩 가이드를 준수하기 위한 소스코드 보안약점 진단도구 활용 실습을 제공하는 교육을 개설했다고 설명했다.

트리니티소프트도 지난해 시큐어코딩 솔루션 ‘코드레이(Code-Ray)’에 대한 CC인증을 추가로 획득하면서 시장 공략을 위한 불을 붙였다. 우리투자증권에 시큐어코딩 솔루션을 공급하며 금융권 레퍼런스를 확보했으며, 뒤이어 공공기관 등에도 제품을 공급하는데 성공했다.

지난 1월에는 타임게이트와 제품 총판 계약을 체결하고, 올해부터 더욱 확대되는 시큐어코딩 시장을 공략하기 위한 준비를 갖췄다.

지난해 사무실 확장 이전을 한 이븐스타는 회사 설립 때부터 시큐어코딩이라는 한 우물만 파왔던 노하우를 토대로 올해 시큐어코딩 시장 점유율을 늘리겠다는 각오다. 지난해 시큐어코딩 솔루션 ‘빅룩(BigLook)’에 대한 GS인증과 CC인증을 차례로 획득하면서 잠시 숨을 고르는 시기를 보낸 이븐스타는 올해 만반의 준비를 갖춰 다시 한 번 시큐어코딩 시장에 불을 붙이겠다는 각오다. 이븐스타 관계자는 “올해 적극적인 영업을 통해 초기 시큐어코딩 업체의 ‘왕의 귀환’을 보여줄 것”이라고 밝혔다.

지티원은 지난해 자사 시큐어코딩 솔루션 ‘시큐리티프리즘(SecurityPrism)’에 대한 CC인증 획득을 완료했으며, 정보시스템 감리 및 컨설팅 전문 기업 케이씨에이와 업무 협약을 체결하면서 시큐어코딩 시장 공략을 위한 준비를 마쳤다.

또한 지티원은 지난해 말 중국 중경농업은행에 시큐어코딩 솔루션을 수출하면서 해외시장 판로를 개척하는 성과를 거뒀다. 무엇보다 해외 유수 시큐어코딩 솔루션과 BMT를 거쳐 최종 선정됐다는 의미가 크다. 지티원은 이 같은 실적을 바탕으로 올해 확대될 시큐어코딩 시장 경쟁에서 유리한 고지를 가져갈 수 있게 됐다.

소프트포럼은 지난해 자사 시큐어코딩 솔루션 ‘소포스코딩’에 대한 CC인증을 획득하고, 핵심기술에 대한 특허를 등록하는 등 시큐어코딩 시장 경쟁을 위한 준비를 갖췄으며, 싸이버텍 역시 시큐어코딩 솔루션 ‘힐링시큐 스캔제이(HealingSecu ScanJ)’의 CC인증을 획득하면서 국방 분야에 한정됐던 사업영역을 공공 및 금융 등으로 확장한다는 계획이다.