한국금융정보산업협동조합(이사장 허창용)은 인스피언·빅스피어·에이몬소프트와 협력해 SAP ERP 솔루션을 도입·운영하고 있는 금융 및 공공기관을 대상으로 SAP 소스코드 취약점 분석(SAP Code Vulnerability Analysis, SAP CVA) 솔루션을 활용한 보안 강화의 선도적인 조치 필요성을 안내하면서 적극적인 활동을 펼치고 있다고 밝혔다.

SAP CVA는 SAP 전사적자원관리(SAP ERP) 솔루션 프로그래밍 언어인 ABAP 전용 소스코드 보안취약점 분석 도구로, 올해 9월 보안기능확인서를 발급받음으로써 국가 또는 공공기관이 보안기능이 탑재된 IT 제품 및 저장자료 완전삭제 제품을 도입할 경우 요구되는 보안적합성 검증제도를 충족하는 제품으로 인정받았다.

빅데이터와 인공지능(AI) 등의 신기술이 급속도로 도입되는 최근 IT 트렌드에 따라 사용되는 프로그래밍 언어의 다양성이 크게 증대했으며, 이런 프로그래밍 언어에 대한 소스코드 보안취약점 분석의 필요성도 따라서 커지고 있는 것이 현실이다.

이런 기술적 발전에도 불구하고 소스코드 보안 약점 분석도구가 IT시스템 구성요소를 점검할 수 없음에도 도입 증빙 목적으로 단순 비치하는 경우가 파악되고 있어 보안 약화 우려가 발생하는 상황 등을 고려해 한국금융정보산업협동조합은 SAP ERP 솔루션을 도입해 운영 중인 공공기관에 안내 공문을 보내는 것을 시작으로, 앞으로 전문 조합원사와 공동으로 SAP CVA에 대한 소개 및 진단서비스 등을 제공함으로써 보안취약성 제거에 적극적인 노력을 펼칠 계획이다.

보안적합성 검증은 공공기관에서 보안 관련 장비나 소프트웨어를 도입하기 위해 반드시 필요한 절차다. 국가정보통신망의 보안 수준 제고를 위해 국가·공공기관이 도입하는 정보보호시스템, 네트워크 장비 등 보안기능이 탑재된 IT 제품 및 저장자료 완전삭제 제품의 안전성을 검증하는 제도다. 기존 C 언어와 JAVA 언어만 성능평가 대상으로 한정됐던 조건이 2020년부터 완화돼 보안적합성 검증의 대상이 되는 개발 언어가 확대됐다. 정보통신망의 보안대책 수립/시행을 의무화하고 있는 전자정부법 제56조를 준수하려면 공공기관이 운영하고 있는 프로그램 언어별로 취약성을 진단/분석할 수 있는 소스코드 보안 약점 분석도구를 준비해야 한다는 국가정보원의 의견에 따라 공공기관에서는 향후 프로그램 언어별로 보안적합성 검증을 획득한 소스코드 보안 약점 분석도구의 도입이 꼭 필요한 상황이다.

국내 주요 공기업은 2000년대 초반부터 SAP ERP 솔루션을 도입해 운영하고 있다. SAP ERP 솔루션에 대해서는 SAP가 본사 차원에서 보안취약성 관련 모든 테스트와 검증을 완료한 후 출시하고 있다. 다만 SAP ERP 솔루션에서 제공하지 않는 고객사별 특화된 기능을 구현하기 위해 ABAP라는 프로그래밍 언어로 추가 기능을 개발해 사용하고 있지만, 인증된 분석도구가 없어 추가 개발된 프로그램에 대한 소스코드 보안 약점 분석이 완벽하게 이뤄지고 있지 않은 제약이 있었다.

한국금융정보산업협동조합 허창용 이사장은 “이번 활동이 공공기관의 보안수준 향상에 기여할 수 있을 것으로 기대하고 있으며, 조합이 역할을 할 수 있음을 매우 기쁘게 생각한다”며 “앞으로 꾸준히 프로그래밍 언어별로 보안적합성 검증을 획득함으로써 공공 및 금융기관이 신뢰할 수 있는 소스코드 보안취약성 분석도구를 포함한 보안제품을 도입할 수 있도록 최선의 노력을 다할 것”이라고 말했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★