과기정통부, 중소기업 SW 보안약점 찾기 지원

판교 SW개발보안허브 개소

공급망공격 위협 대응 일환

SW개발보안허브 시설 내부 모습. (왼쪽 위부터 시계방향으로) 로비, 보안약점 진단실, 방송 스튜디오, 진단검증실. [사진=과기정통부 제공]

최근 제42차 비상경제 중대본에서 발표한 랜섬웨어 대응 강화방안의 일환으로, 정보보안 체계가 잘 갖춰진 기업·기관조차 위협하는 '공급망공격'의 피해를 막고 중소기업 전반의 소프트웨어(SW) 보안수준을 향상시키기 위한 정부 지원사업이 가동된다.

과학기술정보통신부는 경기 판교제2테크노밸리 정보보호클러스터 4층에 중소기업의 SW개발보안 적용을 지원하는 'SW개발보안허브'를 구축했다고 8일 밝혔다.

SW개발보안은 사이버공격에 악용되고 있는 SW공급망 보안의 근간이다. SW공급망이란, 기업이나 기관이 외부에서 개발된 SW 제품이나 서비스를 활용해 자체 정보시스템을 운영하거나 또다른 IT 제품·서비스를 개발하는 것으로 연결된 관계를 뜻한다.

널리 사용되는 SW의 보안 취약점을 악용해 그걸 쓰는 기업·기관을 공격하는 수법을 공급망공격이라고 일컫는다. 이런 위협을 사전에 예방하기 위해서는 SW를 이용하는 쪽에서 최신 패치와 업데이트를 적용해야 하고, SW를 개발하는 쪽에서는 제품을 만드는 과정에 보안취약점을 최소화하기 위한 일련의 보안 활동을 내재화해야 한다.

SW제품의 보안취약점을 최소화하기 위한 일련의 보안 활동을 '시큐어코딩'이라고 한다. 시큐어코딩은 SW개발 결과물의 보안성을 높이고 제품 개발 이후 발견된 취약점을 제거하기 위한 유지보수 비용을 절감할 수 있다.

작년 12월 SW진흥법 시행으로 중소기업의 SW개발보안을 지원할 수 있는 근거가 마련돼, 과기정통부가 올해부터 SW개발보안 관련 복합 서비스를 제공하는 시설로 SW개발보안허브를 운영한다. 이 시설은 중소기업에 SW 소스코드의 보안약점 진단, 교육, 체험 서비스를 제공한다. 비용과 전문성이 부족해 SW개발보안 적용에 어려움을 겪는 중소기업을 지원한다.

SW개발보안허브의 '보안약점 진단실'은 보안약점 진단도구가 갖춰져 있고 진단 전문가가 상주하는 곳이다. 진단 신청 기업이 방문해 소스코드 보안약점 진단서비스를 이용할 수 있는 공간이다. '진단 검증실'은 비대면으로 기술지원을 하고, '방송 스튜디오'는 온라인 교육과 설명회 등 행사를 진행하기 위한 장소다.

홍진배 과기정통부 정보보호네트워크정책관은 "보안 역량이 취약한 중소기업 보안성을 강화해 최근 급증하고 진화하는 랜섬웨어 등 사이버 공격으로부터 국민‧기업들이 안심할 수 있는 K-사이버 방역체계를 구축하겠다"고 말했다.
 

[과학기술정보통신부 현판. 아주경제 DB]