공공기관이 소프트웨어(SW)안전 확보를 위해 수행해야 하는 내용을 담은 ‘소프트웨어안전 확보를 위한 지침(고시)’이 17일부터 시행된다.
이번 고시는 각 중앙부처를 비롯해 공공기관이 SW로 인한 안전사고를 방지하기 위해 안전 책임자를 지정할 수 있게 했다. 하지만 안전 책임자 지정이 의무 사항이 아닌 권고여서 실효성이 의문시 된다.
16일 과기정통부에 따르면 이번 지침은 공공기관이 국민생활과 밀접한 소프트웨어를 개발하거나 운영하는 과정에서 안전 관리를 강화할 수 있도록 기준을 제시한 것이다. 소프트웨어산업 진흥법 전부개정안(’20.12.10. 시행) 국회 통과로 소프트웨어안전 고시 제정 법적 근거(제30조 제2항)가 마련됐고 이후 산학연의 폭넓은 의견수렴을 거쳐 제정했다.
'소프트웨어 안전'은 사이버 공격 등의 외부 침입 없이 소프트웨어 내부 오작동과 안전기능 미비 등으로 발생할 수 있는 사고를 막기 위한 것이다. 사람의 생명과 신체 또는 재산에 대한 피해에 충분히 대비된 상태를 말한다.
이번 지침은 소프트웨어안전 책임자 및 안전관리 대상 소프트웨어 지정과 소프트웨어 개발 및 운영 단계별 수행해야할 관리 기준을 담고 있다. 주요 내용은 다음과 같다. 과기부 담당자는 이들 조항에 대해 "의무 사항이 아니다"고 밝혔다.
▲안전 책임자 지정: 공공기관은 소프트웨어안전 업무를 총괄하는 책임자를 지정하고, 해당 책임자가 기관 내 안전관리 대상 소프트웨어 지정, 소프트웨어 개발 및 운영 과정에서 수행해야 할 안전관리 기준 이행 여부 등을 점검하게 했다.
▲안전관리 대상 소프트웨어: 공공기관이 개발 예정이거나 운영 중인 소프트웨어가 교통, 에너지, 재난 관리 등 국민 생명과 신체 또는 대규모 재산 피해와 관련되어 있을 경우 안전관리 대상 소프트웨어로 지정해 중점 관리하도록 하게 했다. 소프트웨어 오작동에 따른 국민 피해를 사전에 방지하기 위해서다.
▲추진단계별 관리 기준: 공공기관이 안전관리 대상으로 지정한 소프트웨어를 개발하거나 운영할 때 수행해야 할 관리기준도 마련했다. 즉, 공공기관은 안전관리 대상 소프트웨어 개발 단계부터 안전 사고 원인이 될 수 있는 요소들을 미리 파악해 소프트웨어 설계와 구현 시 최대한 반영해야 한다. 또, 운영 단계 안전확보를 위해 안전 점검, 소프트웨어 변경이나 장애 관리 기준 등을 포함한 운영관리 계획을 수립 및 이행해야 하며, 소프트웨어 자체 또는 하드웨어 등과 같은 운영 환경을 변경할 경우 변경이 안전에 미치는 영향을 분석한 뒤 책임자의 승인을 얻어 추진해야 한다.
관련기사
- 민간기업도 SW안전 진단 받는다...지침도 연내 마련2020.09.06
- NIPA, SW안전기술 역량강화 SW안전 가이드 보급 추진2020.07.09
- SW안전기술협회 사단법인 허가 받아2019.12.08
- 삼성 파운드리 웨이퍼 결함 논란…'사고'로 봐야할까2024.06.26
이 밖에도 소프트웨어 장애나 사고 발생 시 사고 재발 예방을 위해 기관 간 사례 공유와 소프트웨어안전 업무 추진을 위한 예산과 인력 확보 필요성 등을 명시했다.
과기정통부 송경희 소프트웨어정책관은 “소프트웨어 진흥법 및 시행령 시행과 더불어 이번 지침이 제정되면서 공공분야의 소프트웨어 안전 확보를 위한 제도적 기반이 마련됐다”며 "내년에는 민간기업을 대상으로 소프트웨어 안전 진단과 컨설팅을 실시하며 민간분야의 소프트웨어 안전 역량 강화를 위한 정책적 지원도 확대해 나갈 계획"이라고 밝혔다.
