[김국배기자] 40억원 이상의 공공정보화 사업에 시큐어코딩이 의무화되면서 국내 보안업체들의 움직임도 빨라지고 있다.
정부의 의무화 조치로 성숙기에 접어든 시큐어코딩 시장이 정부기관과 관공서, 지방정부 등으로 규모가 확대될 것으로 점쳐지고 있기 때문이다. 이 시장은 초기 외산이 주도해 오다 최근들어 중소 업체들의 진입이 활발해지는 상황이다.
시큐어코딩 제도는 SQL삽입, 크로스사이트스크립트 등 공공기관의 정보화 사업 과정에서 발생할 수 있는 43개의 소프트웨어(SW) 보안 약점에 대해 문제가 없도록 해야 한다는 것이 골자.
행정안전부는 지난해 12월부터 공공기관에서 추진하는 40억원 이상 정보화사업에 시큐어코딩을 의무화시켰고, 2015년까지 점차 범위를 확대해 전 사업에 의무 적용할 계획이다. 2014년 1월 20억원 이상 사업, 2015년 1월 감리대상 전 사업에 적용된다.
◆국산 업체 본격 영업 강화 움직임
시장 선점을 위해 경쟁적으로 나서고 있는 기업은 파수닷컴(대표 조규곤), 트리니티소프트(대표 김진수), 이븐스타(대표 이상곤), 지티원(대표 이수용) 등이다.
파수닷컴은 최근 전문가들을 추가 충원하며 신규영업팀을 꾸렸다.이 회사는 실행의미 기반(시멘틱 기반) 분석 엔진을 적용한 시큐어 코딩 솔루션 '스패로우 SCE'로 해킹으로부터의 소스코드 보호 뿐 아니라 SW 품질 향상에도 무게를 두고 있다.
트리니티소프트는 공공기관을 대상으로 적극 영업을 진행 중이다. 특히 기술력에 자신감을 보이며 저가 경쟁이 아닌 벤치마킹테스트(BMT) 등 기술 경쟁을 외치고 있다. 또 시큐어코딩 감리를 해야함에 따라 감리업체들과도 협력해 나가는 상황이다.
이븐스타도 올해 신제품 '빅룩와스 엔터프라이즈' 발표를 앞두고 각 지역의 협력사에 기술교육과 인력을 지원하며 파트너십을 굳건히 하고 있으며 지티원도 '시큐리티 프리즘'을 앞세워 공공시장에서 성공 기회를 엿보고 있다.
또한 기존 금융기관과 공공기관 외에도 웹서비스를 하는 기업 고객들이 보안 취약점에 대한 중요성을 인지하는 상황이라 기업 고객으로까지 '시큐어코딩 바람'이 불기를 기대하고 있다.
트리니티소프트 관계자는 "시큐어코딩의 중요성을 공공기관의 담당자들이 인지하기 시작했다"며 "상당수의 공공기관들이 올해 의무화 대상 사업을 떠나 도입을 많이 할 것으로 보인다"고 설명했다.
한편, 국내 주요 시큐어코딩 전문 기업들은 한국인터넷진흥원(KISA)이 진행하는 '소프트웨어 보안약점 진단도구 시범 검증'에 참여하고 있다. 이는 일종의 각 업체들의 '툴(Tool)'이 보안 약점을 모두 찾아내는지 검증하고 평가하는 단계로, 현재 1차 평가를 마무리하고 2차 평가를 진행 중인 것으로 알려졌다.
◆시큐어코딩이란?
시큐어코딩은 코딩 단계부터 보안 취약성을 고려해 SW를 개발하는 방법이다. 개발 단계부터 보안을 고려해 개발함으로써 프로그래밍 언어의 허점이나 소스코드 오류에 대응하는 것이다. 이미 개발된 시스템도 취약점을 분석해 처리해준다.
개발자의 논리적 오류나 실수로 SW 개발과정에서 일어날 수 있는 취약점을 줄이고 해킹 등의 보안 위협에도 대처할 수 있는 높은 품질의 SW를 개발하기 위한 과정이라 할 수 있다.
지난 2009년 행안부와 한국인터넷진흥원(KISA) 주도로 시범사업이 시작됐으며 이를 기반으로 지난해 시큐어코딩 가이드라인이 나와 의무적용 법제화가 진행됐다. 은행권에서는 이미 2006년부터 본격적으로 도입하기 시작했고 최근에는 제2금융권으로도 확산 중이다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기