농협정보시스템은 농협그룹의 정보화 사업을 지원하고 경제, 유통, 금융 등의 축적된 IT전문기술을 바탕으로 농업ㆍ농촌 정보화를 위한 국책사업에 앞장서는 IT전문 회사이다. 농협은 지난해 1월 농협의 차세대 뱅킹시스템인 신용신시스템과 11월 농협 독자 카드 시스템을 성공적으로 완성했다. 이와 더불어 소스코드 보안을 도입해 차세대 시스템과 함께 운영하면서 개발 단계에서부터 보안 취약점을 점검하고 발견된 취약점은 보완 조치를 통해 애플리케이션의 완성도를 높여 보다 안정적인 서비스를 제공하고 있다.

최근 농협은 차세대시스템 구축을 완료하고 이와 함께 소스코드 보안을 도입해 운영하고 있다. 한창희 농협정보시스템 카드사업본부 본부장은 “농협은 지난해 1월 차세대시스템을 적용시켜 업무를 해왔고 그해 11월부터 카드사업부문에서도 이를 적용하고 있다”며 “그 이전부터 농협은 지속적인 취약점 분석을 통해 취약점을 최소화하고 안정적인 서비스를 제공하기 위해 노력해 왔다”고 밝혔다. 카드사업 부문에서의 소스코드보안 도입은 지난해 11월 차세대 시스템 도입시부터 본격 도입해 운영하고 있다. 그동안 농협 카드는 개인정보보호를 위해서 타 금융기관과 마찬가지로 감사시스템에 의한 감사, 개인정보의 암호화, DB보안을 비롯해 모의해킹 테스트 등을 통해 주기적으로 보안 취약점을 점검해 왔다.

보안 취약점을 걸러내는 소스코드 분석

농협카드는 소스코드 분석을 통해 개발단계에서부터 보안을 고려하면 실제 시스템 적용에서는 보안 취약점 없이 서비스 제공이 가능할 것으로 판단하고 지난 2008년 7월부터 500억원 규모의 커다란 프로젝트를 추진했다. 이 프로젝트에는 소스코드 보안과 카드 메인시스템, 그리고 대행승인시스템, 스마트카드관리시스템, 부정사용 조기경보시스템 구축 등이 모두 포함된 것이었다.

한 본부장은 “소스코드 보안에서 포티파이소프트웨어의 솔루션을 선택하게 된 기준은 검색기능이 강력해 개발단계에서 보안 취약성과 개발 오류 등을 잘 탐지해 모듈에 대한 오류를 점검할 수 있는 점”이라고 강조했다. 이와 같이 포티파이 솔루션은 분석 성능면에서 뛰어난 결과를 제공하고 보안 관점의 솔루션이지만 보안 취약점 외에도 품질관점에서 문제를 일으킬 수 있는 중요한 사항들을 효과적으로 분석하여 시스템 장애의 가능성을 대폭 줄여준다는 점을 들 수 있다고 덧붙였다.

또한 당시 이 프로젝트를 진행하면서 기존 시스템의 완성도를 높여야하는 문제, 즉 새로운 농협카드를 만들기 위해 비씨카드와 시스템을 통합하는 문제로 어려움이 좀 있었는데 다행히 성공적으로 마무리가 됐다는 점에서 만족스러운 결과를 얻었다고 한 본부장은 말했다. 이 프로젝트 가운데 특히 소스코드 보안 구축 이후 가장 큰 효과는 무엇보다 ‘믿음’이었다는 한 본부장은 “그동안은 보안에 대한 취약점을 항상 안고 있다고 생각해서 많은 우려를 하며 업무를 진행했었는데 소스코드 보안을 운영하면서부터는 애플리케이션의 보안 취약점 대부분을 걸러낼 수 있어 안정적인 시스템 운영이 가능하다는 점에서 큰 효과를 얻었다”고 말했다.

그는 또 이전에도 수시로 보안 취약점을 점검하고 모의 해킹 등을 진행해왔지만 최근의 보안 위협 요소들은 더욱 다양해졌고 그 변화의 주기도 점점 빨라져 신속한 대응을 해야 하는 등 어려운 점이 있었다”면서 “이러한 소스코드 보안을 통해서 개발단계에서부터 보안을 고려해 적용하다보니 좀더 빠르고 적극적인 대처를 할 수 있게 됐다”고 강조했다.

특히 농협카드의 경우 대상 소스코드가 C코드였기 때문에 보안과 품질을 명확히 나누는 것이 불가능한 측면이 있지만 C코드에서는 보안 측면보다도 품질 측면의 취약점이 더 빈번히 발생하고 중요한 문제로 부각되기 때문에 이러한 문제점에 대해 보안담당자, 개발자, 컨설턴트가 서로 협력해서 Core Dump의 발생을 평균보다 90% 이상 줄일 수 있었다.

또한 농협카드는 웹 환경보다는 클라이언트서버 환경에서 소스코드 보안이 많은 비중을 차지하고 있고 개발단계부터 소스코드 보안을 적용하는 것이 무엇보다 중요하다는 것을 깨달았다. 하지만 개발자의 입장에서 이러한 소스코드 보안은 귀찮은 업무이기 때문에 이 귀찮은 업무를 최소화하고 코드 품질과 도출된 취약점에 대해서는 철저하게 소스코드 개발단계에서부터 오류를 수정겫맙逑溝돈?했던 점이 보안 취약점을 줄이는데 주효했다.

애플리케이션 보안 취약점 제거에 효과적

소프트웨어 개발주기 보안은 최근 이슈가 되고 있는 해킹의 대부분이 애플리케이션 취약점을 이용한 공격이며 모든 기업의 업무들은 애플리케이션 기반으로 이루어지기 때문에 현재 애플리케이션 보안은 무엇보다 중요한 이슈가 되고 있다.

포티파이의 개발 보안 솔루션인 ‘Fortify 360’은 애플리케이션 코딩에서 테스트, 운영까지 개발 전 단계에 대해 제공되는 보안 모듈들로 3개의 분석기가 있다. 우선 Fortify SCA(애플리케이션 보안의 근본 문제인 소스코드의 취약점 제거 솔루션)가 있는데 이는 애플리케이션 상의 가능한 모든 실행 경로를 분석함으로써 소스 코드의 보안 취약 가능성을 식별한다. 그리고  짧은 시간 내에 검토해 주며 보다 적은 노력으로 문제를 해결할 수 있다는 것이 특징.

또 Fortify PTA(애플리케이션 취약점 탐지 및 조치 보안 테스트)는 QA테스트 단계에 보안 테스트를 통합하는 자동화된 솔루션으로 QA테스트가 기능 테스트를 수행할 때 보안 취약점을 발견하기 위해 공격 경로 추적을 수행하며 사용이 용이하다는 장점을 갖고 있다. 그리고 Fortify RTA(코드 배포시 애플리케이션 실시간 모니터링 및 방어)는 웹 애플리케이션 내부에서 작동하여 정확히 어떻게 공격을 당하는지에 관해 가장 정확하고 자세한 정보를 제공하며 공격으로부터 적극적으로 방어할 수 있다.

마지막으로 Fortify On Demand는 서드파티 혹은 기업 내에서 개발되는 애플리케이션에 대해 중앙 집중식 방법에 의해 보안성을 측정하여 문제가 있을 경우 수정하도록 하고 보안 취약점이 없음을 보증하는 서비스다. 이는 애플리케이션 소스 혹은 바이너리를 시스템에 업로드 후 동적/정적 분석(소스 없는 바이너리로 수행 가능)이 가능하다. 이러한 포티파이 360은 애플리케이션 취약점을 근본적로 제거할 수 있다는 것이 장점이다. 주요 고객은 은행권이 대부분이며 특히 농협카드와 같이 금융 차세대 시스템을 구축할 때 많이 도입했고 일반 기업에서도 애플리케이션 보안성 강화 차원에서 소스코드 보안의 도입을 확대하고 있다.

보안과 품질면에서 좋은 결과 얻어

손장군 포티파이소프트웨어 코리아 부장은 “이번 농협카드에 포티파이 소스코드 보안 구축과정에서 별다른 어려움은 없었다”면서 “그러나 개발 담당자들과의 상호간 이해가 가장 중요하고 어려운 일이었다. 즉 개발자들이 작성한 소스코드의 문제점을 이야기한다는 것은 민감한 문제이기 때문에 항상 어려운 일이다”고 강조했다.

그러나 이러한 문제를 해결할 수 있었던 것은 개발자들이 소스코드를 잘못 만들었다는 관점에서 보는 것이 아니라 보안과 품질의 측면에서 좀 더 나은 결과를 만들기 위해 서로 노력하는 일이란 것을 공감할 수 있는 과정이 있었기 때문이다. 그리고 컨설턴트도 오랜 개발 경력을 통해 개발자의 입장을 충분히 이해하면서 어려움을 해결해 나갔던 점이 큰 성과로 이어지게 했다.

손 부장은 또 포티파이의 제품만으로 애플리케이션 영역의 모든 문제점을 해결 할 수는 없지만 개발시 애플리케이션 보안에 대해 상시 점검 및 조치가 가능한 체계를 구축한다는 측면에서 지금까지 해결하기 어려웠던 애플리케이션 영역에서의 보안 문제를 개발단계에서 근본적으로 해결할 수 있게 됐다는 점은 내세울만한 특징이라고 말했다.

이에 한창희 본부장은 “개발단계의 보안 시스템의 구축은 보안 개발의 시작이라고 보고 이를 운영하고 보안 점검 결과를 기반으로 애플리케이션을 통제할 보안 요원도 필요하다. 또 개발자들도 지금까지 보안팀에서 내려온 분석결과만 조치하는 수동적인 개발 관습에서 능동적으로 문제를 찾고 해결하려는 개발단계의 보안 문화의 확산이 필요한 시점”이라고 말했다.

한편 포티파이는 지금까지 애플리케이션 보안 영역에서 정적 분석분야에 알려져 왔지만 HP사와의 글로벌 협력을 통해서 정적 분석과 동적분석을 통합한 하이브리드 분석기술을 출시할 예정이다. 이 하이브리드 분석 기술을 통해 지금까지의 고민이었던 정적분석 결과의 현실화(실제로 해킹 되는가?)와 동적분석(웹스캐너)의 문제점이었던 분석 커버리지를 대폭 개선하고 소스 수준까지 연계한 분석 결과를 제공한다는 계획을 갖고 있다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제121호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>