소스코드 보안 통한 애플리케이션단 보안 필수적으로 요구  

이븐스타, 확대되는 소스코드 보안시장에 능동적 대응  

[보안뉴스 김태형] 프로그램 개발단계에서 소스코드의 취약점을 점검하고 이를 수정하면 운영단계에서 발생할 수 있는 수정 및 침해사고 비용을 최소화할 수 있다.

기업이나 공공기관에서는 웹방화벽 등 기본적인 보안 시스템은 대부분 구축해 놓은 상황이라고 볼 수 있다. 그러나 웹방화벽 등은 성능 이슈로 인해 보안위협을 100% 차단할 수 없기에 소스코드 보안을 통한 애플리케이션 단에서의 보안이 필수적으로 요구되고 있다.  

소스코드 보안을 하면 애플리케이션 개발 시 보안관리 업무로 인해 발생하는 관리자의 병목현상을 최소화할 수 있고, 외주 개발 시 납품된 산출물의 보안은 물론 품질 완성도를 점검할 수 있는 기준점을 제공해 검수작업에 적용할 수 있다.

이와 관련 김준호 이븐스타 연구소장은 “이러한 보안 위협은 원천적으로 막지 않으면 해결방안이 없기 때문에 소스코드 보안의 중요성이 점차 커지고 있다”면서 “소스코드 부분부터 점검하면 프로그램 품질 이슈에 대한 체크가 가능하기 때문에 개발단에서 취약점을 잡아내는데 가장 효과적”이라고 설명했다.

이븐스타의 ‘빅룩와스(BigLook WASS)’는 소스코드 통합 보안관리 시스템으로 애플리케이션 소스의 개발·테스트·배포·운영·유지보수 등 소프트웨어개발주기(SDLC: System/Software Developement Life Cycle) 전 과정에 걸쳐 프로세스 기반으로 보안관리 서비스를 제공한다.

특히, 애플리케이션 소스의 보안을 강화하기 위해 개발자의 개발 작업 통제, 소스코드 취약점 분석, 웹 취약점 분석, 소스코드 무결성 감시 및 자동복구 기능을 동시에 제공하며, 모든 이력을 기록 관리해 현황정보를 쉽게 파악할 수 있다.

이 외에도 인가 사용자의 개발 편의성을 제공하면서 보안 통제를 강화하기 위해 전용 개발 인터페이스도 제공하며, 모든 종류의 편집기, CVS 솔루션 등과의 연동기능을 제공해 고객의 활용도를 극대화한 것이 특징이다.  

김 소장은 “빅룩와스는 동적분석과 정적분석 방식을 혼용한 하이브리드 방식을 지원해 소스코드 레벨부터 런타임 시까지 애플리케이션의 보안 취약점과 품질 문제까지 통합 분석한다”며, “특히, 다양한 통계자료 화면과 사용자 권한별 뷰어를 통해 쉽고 편하게 활용할 수 있도록 사용자인터페이스(UI)를 제공하고 있다”고 덧붙였다.

최근 정부의 시큐어 코딩 의무화 지침으로 인해 공공기관은 올해 40억 이상의 프로젝트에서는 시큐어 코딩을 적용하도록 했고, 내년엔 20억 이상 프로젝트로 확대 적용된다.

이와 관련 김 소장은 “예전보다는 소스코드 보안에 대한 인식자체가 많이 향상됐다. 금융, 제조 분야를 중심으로 민간시장 수요가 크게 증가하고 있고, 공공시장에서도 개인정보보호 관련 이슈로 인해 시장규모가 크게 확대될 것”이라고 전망했다.

이미 대기업이나 제조, 임베디드 분야에서는 지난 2004년부터 소스코드 보안 솔루션을 도입해 사용하고 있다. 특히, 금융권에서는 전사적인 취약점 개선을 위해 소스코드 보안 프로젝트가 많았다는 것.

이에 이븐스타는 공공시장은 물론 민간시장에서도 시장을 선도하기 위해 차세대 버전을 준비하고 있다. 다수의 금융권 고객 확보 및 해외시장 진출 경험을 기반으로 민간시장을 타깃으로 하는 솔루션을 오는 7월 중 출시할 예정이다. 

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>