통합 보안 개발 프로세스 솔루션 Fortify 360

3개의 모듈과 서버로 구성되는 개발 라이프사이클에 적합한 보안 솔루션

포티파이소프트웨어는 개발 전반에 걸친 ‘개발 보안 프로세스 확립 및 개발 보안 체계 구축’을 타깃으로 하여 그간 솔루션뿐 아닌 개발 프로세스 컨설팅 및 서비스 공급에 심혈을 기울여 왔으며 단순 ‘웹 보안 솔루션 공급’사가 아닌 ‘프로세스’ 공급사로서의 색깔을 확실히 하고 있다. 특히 Fortify 360은 개발 프로세스 전반에 걸친 토털 솔루션을 제공하는 세차세대 솔루션으로 코드 분석의 경우 그간 국내외 다수의 고객을 통해 기술의 우수성이 입증되어 현재 국내 40여 고객을 확보하고 있다.

포티파이 소프트웨어는 2003년에 창립한 애플리케이션 보안시장의 선두사이며 전 세계 수백여 곳의 고객을 확보하고 있고 국내에는 금융권 및 제조사, 공공기관 등 40여 고객을 확보 하고 있다. 또한 비즈니스 프로세스에서의 전반적인 위험관리, 솔루션 공급, 서비스 딜리버리, 컨설팅이 모두 포함한 비즈니스 모델인 SSA(Software Security Assurance)를 제공하고 있다.

포티파이 소프트웨어는 ‘Fortify 360’ 제품을 통해 세계 최초로 개발 라이프사이클의 전 분야에 걸쳐 적절한 솔루션을 한국지사인 한국포티파이소프트웨어를 통해 공급 하고 있다. Fortify 360은 SCA(Static Code Analysis), PTA(Program Trace Analysis) 및 RTA(Real-Time Analysis) 등 세 가지 모듈로 구성되며 360 Server를 통해 통합된 형태의 정보를 제공한다.

Fortify 360 주요 모듈별 특징

● Fortify SCA(Static Code Analysis)

Fortify SCA는 소스코드 정적 분석을 통하여 취약점을 분석하는 도구이며 애플리케이션 보안의 근본 문제인 소스코드 수준의 취약점을 분석하고 제거하도록 개선책을 제시 하는 솔루션이다. OWASP TOP 10, CWE를 포함하는 300여 보안 및 품질 관점의 점검 범주를 지원하며 특히 Java, Java/VB Script, JSP, .NET, C/C++, PL/SQL,T-SQL, Cold Fusion ASP, PHP, COBOL, XML 등의 애플리케이션 소스 및 관련 라이브러리들의 취약점 점검을 지원한다.

또한 개발 초기 단계부터 개발 프로세스와 연동되어 개발자에 의해 보안 취약점에 대한 조기 발견 및 조치가 가능하도록 함으로써 궁극적으로 보안이 확보된 애플리케이션 개발을 가능하도록 하며 ‘사용자 정의 룰’을 지원하여 각 기업에 맞는 애플리케이션 점검 정책에 대한 커스터마이징이 가능해 개발자가 개발단계부터 보안이 고려된 애플리케이션을 개발하고 보안 관리자는 일관된 애플리케이션 보안정책 적용 및 준수여부, 아웃소싱 개발에 대한 보안 감사기준을 마련할 수 있도록 한다.

● Fortify PTA(Program Trace Analysis)

Fortify PTA는 애플리케이션에 대한 동적 테스트 도구이며 QA 혹은 애플리케이션 테스트 관점에서 운영중 또는 운영전 애플리케이션에 대한 동적 테스트를 통해 애플리케이션의 취약점을 발견해 내는 도구이다. 기존의 웹 스캐닝 방식의 테스트와는 달리 애플리케이션 바이너리 수준에서의 모니터링을 통한 테스팅을 수행하므로 오탐이 거의 없는 것이 특징이다.

또한 Fortify SCA의 정적분석 결과와 연계하여 발견된 취약점의 스택 정보 및 소스코드 위치정보와 개선 방법을 제공함으로써 개발자들이 취약점을 조치하는데 효과적인 정보를 제공한다.

● Fortify RTA(Real-Time Analysis)

Fortify RTA는 전혀 새로운 방식의 애플리케이션에 대한 보안 모니터링 및 방어 도구로서 차기 애플리케이션 보안의 중요한 시장이 될 수 있는 분야이다. 이 제품은 애플리케이션 하드닝(Hardening) 방식을 사용하며 컴파일 단계에서 운영환경으로 애플리케이션 바이너리를 배포하기 전에 취약한 애플리케이션 바이너리를 보안이 고려된 바이너리로 자동 변환하여 운영 환경으로 이관하도록 하는 솔루션이다.

웹 애플리케이션의 내부에서부터 외부까지의 프로그램 로직을 감시함으로써 누가, 얼마나 자주 공격시도를 하고 있고 어떠한 기술을 사용했는지, 그리고 Fortify SCA의 정적 분석 결과와 연계하여 발견된 취약점의 스택 정보 및 소스코드 위치정보를 다양한 방법을 통해 파악 할 수 있다. 또한 보안팀과 운영팀은 SQL injection, Cross-site scripting(XSS), Invalid URL probing, HTTP response splitting을 비롯한 다양한 공격에 대한 방어 및 모니터링 체계를 구축하게 되며 코드레벨의 분석결과 연동을 통해 정확하고 심도 있는 대응 방안을 갖추게 된다.

기존의 네트워크 트래픽 제어 방식의 웹 방화벽이 애플리케이션의 성능저하, 혹은 룰 세팅의 한계가 있는 것에 비해 이 제품은 애플리케이션의 성능저하 요소가 거의 없는 것이 특징이며 미국에서는 네트웍 트래픽이 많은 금융권, e-commerce, 공공 분야에 적용되어 운영되고 있다.

● Fortify 360 Server

Fortify 360 Server는 SCA, PTA, RTA의 분석 현황 정보 및 각종 리포트를 통합하여 제공하는 서버 모듈로 기업의 보안/QA 관리자, 개발자들이 온라인 시스템을 통해 분석 결과를 모니터링 할 수 있도록 하며 기업 내부 개발 보안정책(포티파이 점검 룰셋)을 온라인 관리 및 배포 하고 개발자들이 온라인상에서 협업을 통해 분석결과를 검토, 조치 할 수 있도록 한다. 또한 SSA 거버너스 모듈을 통해 기업이 컴플라이언스에 준하는 개발 보안 프로세스를 확립 할 수 있도록 시스템적으로 지원한다.

포티파이만의 차별점

Fortify 360은 개발 프로세스 전반에 걸친 토털 솔루션을 제공하는 세계적인 차세대 솔루션이다. 특히 코드 분석의 경우 그간 국내외 다수의 고객을 통해 기술의 우수성이 입증되었고 웹 공격 방어 및 모니터링 도구는 애플리케이션 하드닝 기술을 이용하여 기존 웹 방화벽의 고질적 문제인 웹 서버의 성능 저하 요소가 없다는 점과 애플리케이션 공격에 대한 별도의 룰 세팅이 최소화 된다는 점에서 향후 웹 보안 시장의 새로운 기술로 대두될 것으로 보인다.

또한 이 세 가지 솔루션들은 하나의 통합된 관리 도구에 의해 운영되며 관리 도구를 통해 기업의 애플리케이션 보안 트랜드를 파악하고 나아가 ESM과 같은 통합보안관리 시스템과 연동이 가능하다. 아울러 비즈니스 소프트웨어로서 솔루션 공급뿐 아닌 애플리케이션 보안 서비스, 컨설팅, 프로세스 구축 방법론을 포함하는 SSA(Software Security Assurance)를 통해 기업 비즈니스 프로세스의 대부분을 차지하는 애플리케이션 자산에 가해지는 보안 위협에 대한 효율적인 대응방안을 제공한다.

포티파이소프트웨어 소개

포티파이소프트웨어는 2003년에 창립한 애플리케이션 보안시장의 선두 기업이며 그간 전 세계 수백여 곳의 고객을 확보하고 있고 ‘Fortify 360’을 출시하여 세계 최초로 개발 라이프사이클의 전 분야에 걸쳐 적용할 수 있는 유일의 솔루션을 공급하고 있다. 포티파이소프트웨어는 개발 전반에 걸친 ‘개발 보안 프로세스 확립 및 개발 보안 체계 구축’을 타깃으로 하여 그간 솔루션뿐 아닌 개발 프로세스 컨설팅 및 서비스 공급에 심혈을 기울여 왔으며 그 결과로서 단순 ‘웹 보안 솔루션 공급’사가 아닌 ‘프로세스’ 공급사로서의 색깔을 확실히 했다. 특히 다수의 구축 경험을 바탕으로 업종별 고객에 맞는 애플리케이션 보안 구축 방법론을 가지고 고객의 필요사항을 리드하는 애플리케이션 보안 업계의 선두 주자임을 자부하고 있다. 지난 2005년에 한국 시장에 진출하여 금융, 통신, 제조, 공공분야에 걸쳐 40여 고객을 확보 하고 있다. 자세한 사항은 한국포티파이소프트웨어 홈페이지 www.fortify.co.kr와 전화 02-2191-5010로 문의하면 된다.

<글 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>