| 취약한 소스코드 방치하면...언젠간 뚫린다 | 2008.06.26 | ||
포티파이, 애플리케이션 통합보안 ‘Fortify 360’과 ‘BSA’ 출시 개발시 보안코딩 가장 중요...취약한 코드 찾아내 수정도 필요
특히 보안을 고려하지 않고 개발자에게 프로젝트를 의뢰하는 기업이 상당수라는 것이 가장 큰 문제다. 또한 보안을 권고하거나 보안에 신경쓰지 않는 개발자들도 많고 어떻게 하는 것이 시큐어한 코딩 작업이란 것을 모르는 개발자들도 많은 상황이다.
포티파이는 날로 증가하는 애플리케이션 위협에 대응하기 위해 ‘Fortify 360’ 및 BSA(Business Software Assurance)를 발표했다. Fortify 360은 SDLC 프로세스 전반에 걸쳐 코딩 단계부터 운영단계까지 각 단계에 필요한 요소들을 제공하는 세가지 모듈로 구성된다. 코딩단계에서는 Fortify SCA(Static Code Analysis)를 이용해 개발 초기부터 취약점을 제거할 수 있도록 한다. 테스팅 단계에서는 바이너리에 대한 보안 QA 모듈인 PTA(Program Trace Analyzer)을 이용해 취약 바이너리에 대한 보안 관점의 품질 보증일 제공한다. 운영단계에서는 애플리케이션에 대한 실시간 방어 및 모니터링 모듈인 RTA(Real-Time Analyzer)를 제공한다. RTA의 경우 기존 웹 방화벽 개념의 솔루션이지만 하드닝 기술을 이용해 웹 서버의 성능 저하 요소가 거의 없다는 것이 특징이다. 또 이 세가지 모듈들은 Fortify Manager를 통해 통합관리 된다. BSA(Business Software Assurance)는 포티파이 소프트웨어사의 비즈니스 방향성이 반영되어 있는 모델이다. 현재 기업의 비즈니스 프로세스에서 애플리케이션을 사용하지 않는 경우는 거의 없으며 BSA는 이러한 비즈니스 프로세스에서의 전반적인 위험관리, 솔루션 공급, 서비스 딜리버리, 컨설팅이 모두 포함된 비즈니스 모델이다. 포티파이 소프트웨어 국내 총판인 인터비젠테크놀로지(www.interbizen.com) 문성준 이사는 “BSA는 단순 툴 공급이 아닌 비즈니스 소프트웨어 공급사로 발전하기 위한 포티파이 소프트웨어사의 모든 기술 및 방법론이 포함된 모델”이라고 말했다. 문 이사는 “그 동안 보여준 포티파이 소프트웨어 기술이 한 단계 앞서나가는 모델로 발전한 것이 Fortify 360이며 현재 전세계적으로 개발 프로세스 전반에 대한 솔루션을 발표한 것은 Fortify 360이 최초”라고 밝히고 “Fortify BSA의 발표로 포티파이 소프트웨어사가 명실상부한 비즈니스 소프트웨어 벤더로 발전했다”고 덧붙였다. 현재 Fortify 360은 美 공군에서 사용 중이며 미국 공군의 모든 애플리케이션 개발 과정에 적용되고 있다. 또한 전세계 600여 개 글로벌 기업들에 도입돼 소스코드 개발과 테스팅, 운영단계까지 보호하고 있다. 국내에서는 금융권과 제조업, 통신업체 등이 가장 큰 시장을 차지하고 있으며 하반기부터는 공공시장도 본격 진입 예정에 있다. 국내에서는 30여 곳 이상의 레퍼런스를 확보하고 있다.
금융권은 현재 한창 진행중인 차세대 준비 은행들이 상당한 관심을 가지고 있으며 특히나 보안 코딩이 중요한 포털과 대형 인터넷 거래 사이트 등과도 비즈니스를 함께하고 있다고 한다. 또한 현재까지는 대기업 위주로 비즈니스 모델이 형성돼 있으며 중소기업은 보안 컨설팅과 함께 일회성 형식으로 제공한다는 전략을 세우고 있다. 계속되는 웹 취약점에 의해 발생되는 문제점들을 차단하기 위해 가장 시급한 문제는 기존 보안 코딩이 안된 사이트들의 일체 보안 점검과 취약한 소스코드 수정이 필요하고 향후 만들어질 사이트들에 대해서는 보안 코딩이 이루어질 수 있도록 제도적 뒷받침이 필요한 시점이다. [길민권 기자(reporter21@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|||
 |
