바로가기 메뉴
본문 바로가기
주메뉴 바로가기
  • 2015-002
소프트웨어 안전성 확보 체계에 관한 연구 - 시험, 평가, 인증을 중심으로
  • 박태형산업정책연구실 책임연구원
  • 김태호 역대 연구원
  • 진회승SW기반정책·인재연구실 책임연구원
날짜2016.01.29
조회수11175
    • 1. 제 목
    • 소프트웨어 안전성 확보 체계에 관한 연구 – 시험, 평가, 인증을 중심으로
    • 2. 연구 목적 및 필요성
    • 본 연구는 SW의 안전성을 확보하는 프로세스의 관점에서 예방적 단계를 구성하고 있는 ‘시험 → 평가 → 인증’체계에 대하여 국내외의 현황을 검토하고, 국내의 SW안전 확보를 위한 개선 방안을 제안하는 데 그 목적을 두고 있다.
    • 3. 연구의 구성
    • 본 연구는 총 6장으로 구성되어 있다.
    • 제1장은 서론으로서, 본연구의 배경, 필요성, 연구의 목적 등을 기술하였다.
    • 제2장에서는 SW의 안전성을 확보하는 중요한 절차적 요소로서 시험, 평가 등에 대한 이론적 배경을 정리하였다. 시험, 평가, 인증이 무엇이며, 어떻게 유기적으로 연결되는지 등에 대한 개론적 수준에서 논의하고자 하였다.
    • 제3장에서는 미국을 비롯한 해외 주요국의 시험, 평가, 인증 체계의 현황을 검토하여, 국내 환경과의 비교분석의 근거를 마련하고 시사점을 도출하였다.
    • 제4장은 국내 현황분석으로서 , SW공학센터, TTA, KTL 등 국내 주요 시험, 평가, 인증 기관의 조직, 인력, 업무 현황 등을 중심으로 검토, 분석하였다.
    • 제5장에서는 제3장 및 제4장의 시사점 및 문제점을 중심으로 소프트웨어 안전을 확보하기 위한 시험, 평가, 인증 체계의 개선방안을 제시하였다.
    • 제6장에서는 본 연구를 수행함에 있어 논의된 연구의 한계점과 향후 연구방향을 기술하였다.
    • 4. 연구 내용 및 결과
    • 1) 해외 주요국의 소프트웨어 안전 확보 체계 현황 및 시사점
    • 소프트웨어 안전을 위한 표준은 주로 유럽 및 미국 정부에서 위임한 기관, 표준기관, 과 유럽과 미국에 기반을 둔 글로벌 업체에서 관여하여 만들고 있다. 이미 만들어진 표준도 변화하는 제품에 따라 변경되어야 하는 요구 사항, 특히 소프트웨어 분야에 추가되어야 하는 요구사항이 생겨나고 있으며, 여러 기관과 글로벌 업체가 이러한 요구사항을 표준에 반영하기 위한 작업을 하고 있다. 이러한 글로벌 업체는 각 도메인의 제품 및 소프트웨어의 테스트 및 인증도 수행하고 있으며, 그 성장속도가 빠르게 증가하고 있다. 소프트웨어 안전 제고 및 안전 산업 활성화를 위해서는 표준 제정기관 활동에 참여하여 표준 제정에 기여하고, 테스트 기관 및 인증기관으로서 기술력을 높이는 활동이 필요하리라 본다. 또한 기술력을 가지고 있는 글로벌 업체와 활발한 교류로 소프트웨어 안전관련 기술력 향상도 필요하리라 본다. 그리고 도메인별로 나누어진 표준 및 가이드를 비교/분석하여, 소프트웨어 안전 제고 및 안전성 확보 체계 마련에 기반으로 사용해야 할 것이다. 물론 이러한 활동은 정부기관 및 연구소에서도 수행해야 하겠지만, 테스트 및 인증 업체에 위임하여 국내 테스트 및 인증 산업 활성화에도 기여해야 하겠다.
    • 2) 국내 소프트웨어 안전 확보 체계 현황 및 시사점
    • 국내 소프트웨어 안전 관련 업체들은 현재까지 주로 저부가가치 서비스인 제품 개발 최종단계에 이루어지는 품질 중심의 테스팅 및 컨설팅을 주로 하고 있어, 고부가 가치 서비스인 제품 개발 초기 단계부터 이루어지는 안전 분석, 설계 컨설팅 및 인증으로의 작업 전환이 필요하다. 『국내 소프트웨어 안전(Safety) 산업동향 조사』에 따르면 국내 업계에서 보는 해외 선진사와의 가증 큰 차이는 다양한 산업별로 보유하고 있는 레퍼런스라고 느끼고 있는 것으로 나타났다. 따라서 국내 업체가 각 산업군별로 안전 수행 작업을 하여 관련 레퍼런스를 쌓아 한 단계 발전할 수 있도록 하는 정책적 지원도 필요하겠다. 국내에서 이미 수행하고 있는 소프트웨어 품질 관련 인증들도 현 상황을 반영하여 수정 보완 작업이 필요하다. GS 인증, SP 인증 등은 소프트웨어 안전 특성 반영에는 미흡점이 있다. 기능 안전 관련 국제 표준 내용을 분석하여 품질 및 프로세스에 대한 내용에 소프트웨어 안전 기능 요소에 대한 반영이 필요하다.
    • 3) 소프트웨어 안전 확보 체계 개선 방향
    • (1) 소프트웨어 안전 개념의 확립
    • 현재 국내는 소프트웨어와 관련된 품질(Quality), 보안(Security), 안전(Safety) 간의 개념이 명확하지 못하다. 특히 소프트웨어 품질, 보안, 안전 사이의 개념 구분이 모호하여, 소프트웨어 안전에 대한 연구 범위 및 정책 방향 설정이 이루어지고 있지 않았다. 소프트웨어 안전에 대한 개념이 확립되지 못하는 경우, 국제 표준을 적용하는 데 어려움을 겪을 수밖에 없으며, 이로 인해 글로벌 진출에 있어, 국제적 안전 수준을 충족하지 못해 실패하는 상황이 발생하게 되는 문제가 있다.
    • (2) 정보공유를 통한 소프트웨어 안전성 제고 역량 강화
    • 국내의 경우, 소프트웨어 안전을 시험·평가·인증하는 기관이 상대적으로 분산되어 있어, 각 산업분야 별로 안전점검 기관 및 인허가 담당기관이 달라서 정보공유를 통한 협업이 원활하지 않은 상황이며, 안전 관련 기관 간 해외 수출 지원이나 인증 관련 업무 등에 어려움을 겪고 있다. 또한 담당 부처 및 전담기관의 분산으로 인해 소프트웨어 안전 관련 공통기술의 활용도가 낮아 중복투자 또는 예산 낭비가 발생할 가능성도 존재한다. 소프트웨어 안전 관련 신기술, 위험요인, 대응방안 등의 정보 공유를 위한 협의체를 구성하고 활성화 될 수 있도록 지원할 필요가 있다. 인허가를 관장하는 전담기관 간의 정보공유 체계를 강화하고, 공통기술, 사고사례, 문제해결 사례 등을 적극 공유해야 한다. 나아가 소프트웨어 안전사고 대응 모범사례집 발간을 통해 역량 강화와 인식을 제고하는 노력도 필요하다.
    • (3) 소프트웨어 안전성 확보를 위한 기술 역량 강화
    • 산업 분야별로 소프트웨어 안전 관련 기능안전성 국제 표준이 존재함에도 불구하고, 여전히 국내 적용에 대한 연구활동이 미흡하다. 특히, 산업별로 안전성 보장 및 사고 예방을 위한 위험요소 및 분석 등에 대한 연구활동이 저조하여 소프트웨어 개발 단계 중 설계 단계에서 안전성이 제대로 반영되지 못한다. 이러한 문제는 소프트웨어 안전사고의 예방이라는 측면에서 접근할 때, 예방 실패 가능성을 높이게 되고, 그 결과로 막대한 사회경제적 피해나 인명 피해를 초래하게 된다. 우선적으로 산업군별 공통 적용 가능한 표준 모델을 개발하고, 이를 기반으로 산업군별 특화 모델을 개발, 보급할 필요가 있다. 소프트웨어 안전성 관련 요구사항 도출 및 관리, 설계, 개발, 테스팅 등의 단계에서 시스템의 안전성을 분석하고, 이에 따른 안전 메커니즘에 대한 설계 및 구현을 위한 체계 및 도구를 개발·지원해야 한다. 한편, 민간의 역량을 강화 하기 위해 소프트웨어 안전 관련 국가 차원의 R&D 지원을 통해 해외 의존도가 높은 소프트웨어 안전 확보 기술을 국산화할 필요가 있다. 특히, 인증으로 이어지는 테스팅 및 정적 분석 도구 분야의 지원사업을 강화하고 국내 운용사례 확보를 통해 기술을 고도화해야 할 것이다.
    • (4) 소프트웨어 안전 전문인력의 육성 및 역량 강화
    • 소프트웨어 안전성을 확보하기 위해서는 개발에서부터 시험, 평가, 인증에 이르는 체계 속에서 지식과 기술을 활용할 수 있는 전문인력이 양성되어야 함에도 불구하고, 현재 국내의 경우에는 품질 및 프로세스 중심으로 소프트웨어 공학 교육이 이루어지고 있어, 소프트웨어 안전 전문인력을 양성하기에는 어려움이 있다. 나아가, 소프트웨어 안전 분야에 종사하는 인력의 전문성을 강화하기 위한 교육기관도 없는 실정이어서 체계적인 교육이 이루어지지 못하고, 현장에서 실무경험을 축적하는 수준에 머무르고 있다. 전문 인력 확보를 위해서는 소프트웨어 안전 관련 사회/산업적인 기반 성숙이 선행되어 소프트웨어 안전 산업에 대한 인식 제고, 소프트웨어 안전 서비스에 대한 대가의 현실화, 국내 TIC업체의 고부가가치 서비스로의 전환 등이 이루어지고, 이를 통해 수준 높은 전문인력이 유입 또는 육성되는 선순환 구조를 마련해야 한다. 대학 및 대학원 등 제도권 교육을 통해 신규인력을 양성하여 시장에 공급함과 동시에 재직자를 위한 소프트웨어 안전 전문 교육프로그램을 개설하여 전문역량을 강화시키는 것도 중요하다. 이와 연계하여 소프트웨어 안전분야에 국가자격제도를 도입하고, 신뢰성 있는 전문가로의 위상 강화도 고려해 볼 필요가 있다.
    • (5) 법제도 개선을 통한 소프트웨어 안전성 강화
    • 해외 선진국에서는 주요 산업 도메인별 소프트웨어 안전 표준이 준수 될 수 있도록, 직간접적으로 법/규정을 제정하고, 관리감독 기관에서 감독하고 있다. 법/제도에서 표준 준수 여부를 정부 기관이 관리/감독하거나, 허가 받은 업체가 인증을 수행함으로써, 표준이 준수될 수 있도록 제도화 하고 있다. 일관된 소프트웨어 안전 관련 개념을 확립하고 정책을 시행하기 위해 소프트웨어 안전법과 같은 기본법을 제정할 필요가 있다. 기본법 제정을 통해 산업군별 소프트웨어 안전성을 확보하는 계기를 마련해야 한다. 또한 산업별 특성을 고려하여, 소관 부처 및 전문기관과의 협력을 통해 기존의 관련 규정 및 지침에 소프트웨어 안전 내용을 반영하여야 한다.
    • (6) 국제 표준 준수 및 국제 활동 지원 강화
    • 소프트웨어 안전성 관련 국제표준이 존재하고, 각 산업분야 별로 세분화되고 있다. 모표준으로서 IEC 61508을 토대로 국내 실정에 맞는 공통 기준이 마련되어야 한다. 나아가 소관 부처 및 전문기관과의 협력을 통해 산업별 특화된 소프트웨어 안전 기준을 마련하고, 산업별 기존의 안전 관리 규정에 SW안전 기준을 현실적으로 반영할 필요가 있다. 또한 소프트웨어 안전 관련 국제표준에 대응하고, 국내 적용을 위해서 관련 국제 회의 및 기구 등에 적극 참여할 수 있도록 지원체계를 강화할 필요가 있다. 이는 글로벌 경쟁력 강화에도 큰 기여를 하는 문제이기도 하다. 따라서 현재, 국내의 국제표준화 활동 지원사 업이나 국가 표준기술력 향상 사업 등 국제 표준화 기반 강화와 전문가 양성 등을 목표로 하는 지원 사업을 보다 확대 지원할 필요가 있다.
    • 5. 정책적 활용 내용
    • 본 연구의 결과물은 SW중심사회에서의 소프트웨어 안전성 확보를 위한 정책 수립에 있어 기초자료로 활용할 수 있다. 먼저, 산업 분야별 소프트웨어 안전 확보 관련 시험, 평가, 인증체계에 대한 이해에 큰 도움이 될 것으로 판단한다. 또한 해외 주요국의 소프트웨어 안전성 확보 현황을 참고하여 소프트웨어 안전성을 확보하는 국내 시험, 평가, 인증 기관의 효율적이고 유기적인 체계 개선 정책 수립에 활용할 수 있다.
    • 6. 기대효과
    • 본 연구를 통해 소프트웨어 안전성 확보의 중요성을 인식하고, 시험, 평가, 인증체계의 개선을 통해, 단기적으로는 대상 소프트웨어 또는 시스템의 안전성을 제고함과 동시에 중기적으로는 국가 전반의 안전성을 확보할 수 있을 것으로 기대한다. 또한 장기적으로는 고부가가치 산업으로서의 소프트웨어 안전 분야에서 기업의 경쟁력을 강화하여 글로벌 시장에서 제도적·기술적 선도적인 국가로서의 위상을 확보할 것으로 기대한다.
    • 제1장 서 론
    • 제1절 연구의 배경 및 필요성
    • 1. 연구의 배경
    • 2. 연구의 목적
    • 3. 연구의 구성
    • 4. 연구 방법
    • 제2장 SW안전 확보를 위한 시험·평가 체계
    • 제1절 소프트웨어 시험(Testing)·평가 개요
    • 1. 소프트웨어 테스팅
    • 2. 소프트웨어 품질 평가
    • 제2절 소프트웨어 시험·평가 기준으로서의 국제 표준
    • 1. 소프트웨어 품질 관련 국제 표준
    • 2. 소프트웨어 안전 확보를 위한 국제 표준
    • 제3절 SW안전성 확보 기술
    • 1. 소프트웨어 테스팅 기술
    • 2. 소프트웨어 안전성 분석 기술
    • 제3장 해외 주요국의 SW안전성 확보 체계
    • 제1절 표준
    • 1. 자동차 부문
    • 2. 항공 부문
    • 3. 철도 부문
    • 제2절 시험 및 평가
    • 1. 개요
    • 2. 자동차 부분
    • 3. 항공 부문
    • 4. 철도 부분
    • 제3절 인증 조직 및 프로세스
    • 1. 글로벌 인증기관
    • 2. 자동차 부분
    • 3. 항공부문
    • 4. 철도 부문
    • 제4장 국내 SW안전 확보 체계 현황
    • 제1절 개요
    • 제2절 국내 안전 관련 기관
    • 1. 한국산업기술시험원 (KTL)
    • 2. 소프트웨어공학센터 (SW 공학센터)
    • 3. 한국정보통신기술협회 (TTA)
    • 4. 한국철도기술연구원 (KRRI)
    • 5. 교통안전공단 – 자동차안전연구원
    • 6. 자동차부품연구원 (KATECH)
    • 7. 한국항공우주연구원 (KARI)
    • 8. 한국원자력연구원 (KAERI)
    • 9. 한국원자력안전기술원 (KINS)
    • 10. 국방기술품질원 (DTAQ)
    • 제3절 분야별 시험·평가·인증 현황
    • 1. 일반 분야
    • 2. 철도
    • 3. 원자력
    • 4. 의료
    • 5. 자동차
    • 제4절 소결
    • 제5장 문제점 분석 및 개선방안
    • 제1절 소프트웨어 안전성 확보 체계 상의 문제점 및 시사점
    • 1. 안전 개념 확립의 문제
    • 2. 관리·감독의 분산과 정보공유의 문제
    • 3. 소프트웨어 안전 확보 기술 역량의 문제
    • 4. 소프트웨어 안전 전문인력 확보의 문제
    • 제2절 소프트웨어 안전성 확보를 위한 체계 개선 방향
    • 1. 국제 표준 준수 및 국제 활동 지원 강화
    • 2. 소프트웨어 안전성 강화를 위한 법제도의 개선
    • 3. 소프트웨어 안전성 제고를 위한 기술 기반의 강화
    • 4. 소프트웨어 안전 전문인력의 양성
    • 5. 소프트웨어 안전 인식제고를 위한 정보공유 활동의 강화
    • 제6장 결 론