로그인 회원가입 고객센터
레포트자기소개서방송통신서식공모전취업정보
campusplus
세일즈코너배너
자료등록배너

행안부, 보안강화해 대응비용 75% 절감


카테고리 : 레포트 > 기타
파일이름 :100201015708_.jpg
문서분량 : 1 page 등록인 : etnews
문서뷰어 : 뷰어없음 등록/수정일 : 10.01.28 / 10.01.28
구매평가 : 다운로드수 : 0
판매가격 : 300

미리보기

같은분야 연관자료
행안부, 업종별 개인정보보호 가이드라인 마련... 1 pages 300
행안부 공공정보화 사업 `LG CNS` 잇따라 수주... 1 pages 300
행안부, 정업무용 SW 22개 선정... 1 pages 300
지경부·행안부·국토부·방통위, 디지털뉴딜 추경 1조2000억원 신청... 1 pages 300
행안부, 정보화사업 `92%` 상반기 발주... 1 pages 300
보고서설명
행안부, 보안강화해 대응비용 75% 절감
본문일부/목차
인터넷 민원서류가 위·변조되고, 병무청의 공직자 3만여명의 주민등록번호가 노출되는 등 전자정부서비스의 오류와 사이버 공격으로 인한 침해 사고가 끊이질 않고 있다. 이는 소프트웨어(SW)의 충분한 오류 검증과 취약점 분석 작업이 사전에 제대로 이뤄지지 않았기 때문이다. 해킹의 경우도 SW 오류나 결함 부분을 해커들이 찾아서 무자비하게 공격하는 것으로, 이러한 취약점을 최소화한다면 해킹 발생의 위험도 그만큼 낮아진다. 이에 행정안전부는 지난해 전자정부 서비스를 위해 개발되는 시스템을 대상으로 소스코드 취약점을 개발할 수 있는 자동진단 도구 개발에 나섰다. 이 도구로 SW의 개발 초기 단계부터 사전에 철저하게 취약성을 탐지해서 시스템 오류율을 줄이겠다는 각오다.
행안부 정보화전략실 정보보호정책과 한근희 전문위원은 “그동안 시스템을 개발하고 나면 마지막 통합 테스트 단계에서 기능 동작 여부만을 검검하는 데 그쳤다”며 “초기 설계하는 단계부터 세부 개발 단계별로 철저하게 취약점 분석을 할 수 있도록 소스코드분석 도구를 개발해 SW의 안정성을 높이고 품질을 높일 수 있도록 하는 것이 이번 사업의 가장 큰 목적”이라고 말했다.
행안부는 2008년도에 20억원의 예산을 확보해 지난해 이러한 내용을 골자로 하는 보안강화체계구축 사업을 추진했다. 핵심 내용은 SW 프로그램 취약성 통합 데이터베이스(DB) 구축과 취약성 자동분석진단 도구 개발이다. 시스템들의 보안 취약점을 자동으로 진단하기 위해서는 우선 프로그램 코딩시 발생할 수 있는 오류, 결함, 보안취약점 등의 다양한 취약성에 대한 데이터가 통합돼 있어야 한다. 이에 행안부는 전자정부에 주로 사용되는 프로그래밍 언어인 자바와 C를 대상으로 하는 소스코드 취약점의 패턴을 DB화 했다.
이와 함께 자바와 C 언어별로 각각 진단 도구를 별도로 개발했다. 국내에서는 아직 두 개발 언어에 대해 소스코드 분석 툴을 가지고 있거나 개발할 수 있는 업체가 없었기 때문에 언어별로 업체를 따로 선정해 개발했다.
지난해 말 자동분석진단 도구 개발을 완료한 행안부는 일부 개발 영역에 한해서 상용제품과의 비교 분석 작업을 추진했지만 오탐률(오류를 잘못 탐지하는 비율)이 상용 도구 보다 더 적게 나타난 것을 확인했다. 이어 현재 전자정부의 주요 서비스를 개발 중인 사업에도 개발한 도구를 시범 적용했다. 최근 500여 서비스를 추가 개발하고 있는 정부민원포털사이트인 G4C가 첫 적용 대상이었다. 소스 취약점 자동분석 도구를 새로 개발 중인 G4C에 적용한 결과 수십개에 이르는 많은 오류들이 사전에 발견돼 해결하는 성과를 얻었다.
한근희 전문위원은 “자동분석 도구는 취약점에 대해 상세한 정보를 제공하고 비슷한 사례에 대한 샘플까지 제공해 준다”며 “수천 라인의 코드 중에서 30번과 50번 라인에서 소스 오류가 있고 이것을 어떻게 수정해야 하는지에 대한 방안까지 제시해 준다”고 설명했다.
행안부측은 이번에 개발한 자동분석 도구를 통해 침해사고에 따른 대응비용의 75%를 절감하는 효과가 있을 것으로 기대하고 있다.
행안부는 취약성 DB와 분석진단 도구 개발화 함께 이번 사업을 추진하면서 병행한 작업이 두 가지가 더 있다. 바로 시큐어코딩(Secure Cording) 가이드라인 개발과 시스템 보안 강화를 위한 교육 작업이다. 지금까지 전자정부용 프로그램들은 별도의 보안 가이드라인 없이 개발돼 왔다. 행안부는 프로그램의 초기 개발 단계부터 보안 취약점을 고려해 코딩할 수 있도록 시큐어코딩 가이드라인을 만들었다.
한근희 박사는 “마이크로소프트는 내부에서 자체개발한 보안개발생명주기(Security Development Lifecycle) 절차에 기반해 제품의 보안 취약점을 최소화하고 있는데, 적용하지 않은 제품보다 68%의 취약점이 감소하는 효과를 얻었다”며 “미 정부에서도 연방정보보안관리법(FISMA)을 통해 시큐어코딩을 법적으로 의무화하고 있지만 국내에서는 아직 이런 개념 조차 없는 실정”이라고 설명했다.
행안부는 시큐어코딩 가이드라인을 통해 정부정보화 사업에 참여하는 개발업체들과 사업 추진 정부 담당자들이 SW취약성 점검을 보다 효율적으로 할 수 있도록 할 방침이다. 또한 행안부는 SW 취약성 사전 점검 의무화를 위해 전자정부법 시행령을 개정하는 것도 준비 중이다.
보안 강화를 위한 교육도 행안부는 최근까지 7차례이상 진행했다. 대상은 국내 주요 SI 업체의 개발자들이었다. 행안부는 교육 과정을 통해 SI 업체들이 프로그램 개발 작업시 소스코드 취약성 분석을 위한 상용 도구를 활용해 취약성을 취소화할 수 있는 방안을 소개했다. 향후 행안부측은 정부에서 추진되는 모든 시스템 구축 사업에서는 이러한 내용을 계약서에 명시하는 등 취약성 사전 분석 작업을 확산시킬 계획이다. 정부의 정보화 사업 담당자는 이번에 행안부에서 개발한 자동분석진단 툴을 적용해 실제로 개발된 시스템들에 어떤 취약성이 있는지를 다시한번 검수하고, 개발 업체들이 단계별로 상용 분석 도구를 통해 취약성 분석한 결과를 제대로 해결했는지를 재검사하는 데 활용할 예정이다.
올해 행안부는 관련 교육 과정을 보다 더 세분화해 시큐어코딩 전문가를 양성하기 위한 과정으로 만들 계획이다. 그리고 대형 SI 업체 외에 이 회사들의 하청업체 개발자들도 교육에 참여할 수 있는 방안을 마련 중이다. .
한근희 전문위원은 “지난해 안전한 SW 개발체계를 마련하기 위한 첫발을 내딛은 것”이라며 “지난해에 이어 올해에는 개발 언어를 더 늘리는 작업과 함께 취약성 자동분석 도구의 오탐률을 줄이고 사용자 편의성을 강화하는 등의 사업을 추진할 계획”이라고 설명했다.
연관검색어
행안부

구매평가

구매평가 기록이 없습니다
보상규정 및 환불정책
· 해피레포트는 다운로드 받은 파일에 문제가 있을 경우(손상된 파일/설명과 다른자료/중복자료 등) 1주일이내 환불요청 시
환불(재충전) 해드립니다.  (단, 단순 변심 및 실수로 인한 환불은 되지 않습니다.)
· 파일이 열리지 않거나 브라우저 오류로 인해 다운이 되지 않으면 고객센터로 문의바랍니다.
· 다운로드 받은 파일은 참고자료로 이용하셔야 하며,자료의 활용에 대한 모든 책임은 다운로드 받은 회원님에게 있습니다.

저작권안내

보고서 내용중의 의견 및 입장은 당사와 무관하며, 그 내용의 진위여부도 당사는 보증하지 않습니다.
보고서의 저작권 및 모든 법적 책임은 등록인에게 있으며, 무단전재 및 재배포를 금합니다.
저작권 문제 발생시 원저작권자의 입장에서 해결해드리고 있습니다. 저작권침해신고 바로가기

 

⼮üڷٷΰ ⸻ڷٷΰ thinkuniv ķ۽÷