SW 보안취약점 진단 노하우”를 알려드립니다.
- SW 개발보안 진단도구 기술이전 및 시범검증 설명회 개최 -

행정안전부는 올해 말부터 의무화되는 SW 개발보안 제도가 효과적으로 정착되고 국내 SW 개발보안 진단 기술 수준을 높이기 위해,

’09년부터 정부에서 개발·적용해 온 SW 개발보안(시큐어 코딩) 진단 기술을 민간 기업에 무료로 이전한다.

※ 소프트웨어 개발보안(시큐어 코딩, Secure Coding) : 해킹 등 사이버공격의 원인인 보안약점을 소프트웨어 개발단계에서 사전에 제거하여 안전한 소프트웨어를 개발하는 소프트웨어 개발 기법

※ 소프트웨어 보안약점(Weakness) : 소프트웨어의 결함, 오류 등으로 인해 사이버공격을 유발할 가능성이 있는 잠재적인 보안취약점

이와 함께, 국내에서 사용 중인 SW 개발보안 진단도구가 SW 보안약점 기준(정보시스템 구축· 운영지침 별표3)에 명시된 43개 보안약점을 정확하게 진단하는지 확인하는 시범검증을 추진한다.

이를 위해, 행정안전부는 SW 개발보안에 관심이 높은 국내 개발업체·대학 등이 적극적으로 기술이전을 받을 수 있도록 “SW 개발보안 진단도구 기술이전 및 시범검증 설명회”를 8월 29일(수)에 한국인터넷진흥원에서 개최했다.

이번에 민간에 이전하는 기술은 Java 등 전자정부서비스에서 주로 사용하는 개발언어의 SW 보안약점을 진단하는 진단규칙(Rule)과 진단도구의 정확성을 확인할 수 있는 검증용 소스코드 등이다.

또한, 시범검증은 SW 개발보안 진단도구가 43개 보안약점을 모두 찾아내는지 확인하고 진단 결과가 정확한지 검증하는 것으로, 진단도구 개발업체의 신청을 받아 진행할 예정이다.

SW 개발보안 진단도구 기술이전 및 시범검증에 대한 신청 방법 등 자세한 사항은 한국인터넷진흥원 홈페이지(www.kisa.or.kr) 또는 공공소프트웨어보호팀으로 문의하면 된다.

장광수 행정안전부 정보화전략실장은 “그 동안 정부에서 개발한 SW 개발보안 진단도구를 민간에 기술 이전하고 상용 진단도구에 대한 시범검증을 통해 국내 SW 개발보안 기술 수준이 향상될 것”으로 기대된다면서 “’12년 12월로 예정된 SW 개발보안 제도 의무화를 앞두고 SW 개발보안 제도에 대한 관련기관·업계의
관심과 준비에 기여할 것으로 생각한다”고 밝혔다.

첨부 : 보도자료 전문
출처 : 행정안전부 (2012.08.30)