국내 감리대상 사업의 시큐어코딩 적용 범위가 늘어남으로써 이에 따른 시큐어코딩 솔루션 업체의 경쟁이 본격화
해외 시큐어코딩 표준이 모바일 영역으로 확장되는 가운데, KISA는 2013년도 가이드라인 갱신 이후, 2015년도 개발보안 가이드라인 개정을 준비 중에 있음
시장 및 기업 동향
공통평가기준(CC인증) 획득 시큐어코딩(SW 개발보안) 솔루션 업체의 증가
IT보안인증사무국에 따르면, 현재 시큐어코딩 솔루션 인증 업체는 총 6개사이며 이는 2013년도 이전 3개사에서 2배로 확장됨
시큐어코딩 솔루션에 대한 시장경쟁 과열
공공기관 감리대상 사업의 시큐어코딩 적용 범위가 2013년 40억 이상 사업에서 2015년 5억 이상 사업으로 점진적인 확대가 진행되는 추세임
이러한 환경에 발맞추어 국내 취약점분석도구 업계는 중소 SI 업체의 저가 정적분석 도구 수요를 충족시키기 위해 가격경쟁이 본격화
시큐어 코딩 표준 동향
ISO/IEC TS 17961
2013년도 11월 등록된 C언어 시큐어코딩 표준으로, 이후 다양한 언어에 대한 표준화 노력이 진행되고 있으나 표준 개정 움직임은 없음
MITRE-Common Weakness Enumeration(CWE)1)
가장 최신 업데이트는 2014년 7월에 제공된 CWE List 2.8 버전임
2012년도 안전행정부에서 발행한 시큐어코딩 가이드는 2011년도 MITRE의 상위 25건의 소프트웨어 에러 타입을 참고함
이와 관련한 MITRE 보고서는 2013년도에 갱신되었으나 국내 가이드라인에 미반영
CERT-Coding Standards2)
2015년도 4월 안드로이드 OS 내 애플리케이션 개발에 대한 시큐어코딩 가이드라인이 개정(V45) 되었으며, 26가지의 고유 코딩 규칙(Rule)을 제공
현재 개발자의 가이드라인 준수 교육을 위한 온라인 강의를 제공 및 홍보 중
3년 주기로 ISO 표준 등록을 하는 추세이기 때문에 2016년도에 현재 제공하는 신규 가이드라인이 표준화 될 것으로 전망
시사점
국산 취약점분석도구 가격 폭락
시큐어코딩 솔루션 업체 간 출혈경쟁으로 인해 기존 4000~1억 수준의 취약점분석도구 가격은 현재 500만 원 이하로 폭락한 상황이며, 이로 인해 기존 선두 그룹에 있는 솔루션 업체의 시장독식이 우려됨
책임 회피를 위한 취약점분석도구 성능의 딜레마
미탐지(False Positive)의 위험성을 줄이기 위해 오탐지(False Negative)의 허용범위를 확대하여 가이드라인 준수율을 높이는 방법을 통해 표면적인 위험성 검출 성능을 높이는 전략을 취함
이러한 전략은 단기적으로 CC인증 획득 자격요건을 충족하는 업체가 많아지는 효과가 있으나, 장기적으로는 개발자가 잘못된 오류 검출결과의 증가량을 감수해야 하는 상황이 심화될 것으로 전망
1) MITRE에서 제공하는 소프트웨어의 일반적인 위험요소에 대한 사전으로서 각종 소스코드를 통해 잠재적으로 발생 가능한 취약점을 제공함. 기본적으로 CVE(Common Vulnerabilities and Exposures)를 근거로 작성되고 있음
2) 시큐어코딩 표준안을 연구하는 기관으로서, MITRE와 협력관계에 있으며 각 언어별 코딩 가이드라인을 WiKi 형식으로 제공함
MITRE에서 제공하는 소프트웨어의 일반적인 위험요소에 대한 사전으로서 각종 소스코드를 통해 잠재적으로 발생 가능한 취약점을 제공함. 기본적으로 CVE(Common Vulnerabilities and Exposures)를 근거로 작성되고 있음
시큐어코딩 표준안을 연구하는 기관으로서, MITRE와 협력관계에 있으며 각 언어별 코딩 가이드라인을 WiKi 형식으로 제공함