[보안뉴스 김경애] 한국HP(대표 함기호, www.hp.co.kr)는 27일 여의도 콘래드 호텔에서 기자 간담회를 통해 애플리케이션 보안 솔루션인 HP 웹인스펙트(WebInspect) 10.1을 발표했다.

HP 웹인스펙트 10.1은 테스트 프로세스를 사전 약정해 실제 공격 상황과 같은 시뮬레이션을 구현해 기업과 조직들이 안전한 웹 애플리케이션과 웹 서비스를 개발할 수 있도록 지원하는 솔루션이다. 

한국HP에 따르면 자동화와 공격 시뮬레이션 기능을 지원하는 웹애플리케이션 취약점 진단 솔루션으로 웹 애플리케이션 및 웹 서비스를 동적으로 테스트하여 보안 취약점을 신속하고 정확하게 식별한다고 밝혔다.

HP 웹인스펙트 10.1을 사용할 경우 보안 운영팀은 테스트 결과를 효율적으로 관리하고 개발 프로세스 초기에 활용 가능한 보안 정보 및 개선 방안을 해당 개발부서에 전달할 수 있다는 것이다. 또한 HP 웹인스펙트 10.1은 보안팀이 공격에 대비하여 키 입력 포인트를 보호하는 모범 사례를 연관 부서와 공유할 수 있도록 지원하여 안전한 애플리케이션의 개발을 효과적으로 향상시킨다고 덧붙였다.

2000년부터 2012년 사이 가장 많이 신고된 보안 취약점 관련 6건중 4건이 웹을 통한 취약점일 정도로 웹 애플리케이션은 사이버공격을 유발하는 보안 취약점의 주된 근원지가 되고있다.

이에 한국 HP는 철저한 애플리케이션 보안 테스트는 공격 발생 전 큰 예방 효과를 가져오는 것이 사실이지만 많은 기업들이 이와 같이 안전한 테스트 프로세스를 실행할 자원이나 도구 및 시간이 부족한 실정이라고 지적했다. 적절한 테스트를 통해 대비책을 마련해놓지 않을 경우 이러한 웹 애플리케이션의 취약점은 공격자에게 쉽게 노출된다는 것이다.

HP 엔터프라이즈 시큐리티 프로덕트 사업부(ESP)의 월드와이드 세일즈 및 필드 오퍼레이션 총괄의 릭 핸슨(Rick Hanson) 부사장은 “안전한 웹 애플리케이션을 효과적으로 구축하기 위해 기업들은 개발 시작 시점부터 주요 리스크를 고려하고 테스트해야 한다”며, “HP 웹인스펙트 10.1은 초기에 취약점을 식별하기 위한 공격 시뮬레이션을 취하여 실제 침해사고가 일어나기 훨씬 전에 이를 방지하여 선제적 보안 대응활동을 더욱 강화한다”고 말했다.

HP 웹인스펙트 10.1은 복잡한 웹애플리케이션 및 자바 스크립트를 분석하는 새로운 가이드 스캔(Guided Scan) 기능을 포함하고 있다. 가이드 스캔은 현재 특허 출원 중인 적응형 컴포넌트 인식 기법(Adaptive Component Recognition Technique)에 기반을 둔 독자적인 양방향 테스트 프로세스로, 초보자 및 보안 테스트 전문가 모두 사용자 정의 환경의 특정 시나리오에 맞게 테스트를 조정할 수 있도록 도와준다. 이에 따라 사용자는 프록시 구성 오류 감지 또는 네트워크 인증과 같은 복잡한 시나리오를 보다 손쉽게 처리할 수 있다는 것이다.

또한, 사용자의 애플리케이션 상호 작용을 기록하고 테스트 중인 애플리케이션과 연계된 사업 프로세스를 추적하는 워크플로우(workflow)를 향상시켜  더욱 직관적이고 빈틈없는 최신의 버전을 유지한다고 덧붙였다.

업계의 대표적인 웹 애플리케이션 방화벽들은 물론, HP 티핑포인트(TippingPoint)의 침입방지시스템(IPS)과 통합하여, 기업의 내부 개발 산출물이나  써드 파티가 제공하는 애플리케이션을 통해 발생할 수 있는 보안 취약점에 대비하도록 설계되었다고 HP 측은 밝혔다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>