| [전자정부솔루션페어 2016 프리뷰] 코어스넷 | 2016.03.02 |
어플리케이션 보안 솔루션 ‘Contrast Enterprise’... 기술 서비스 제공에 주력
[보안뉴스 김태형] 코어스넷(대표 김종혁, www.coresnet.co.kr)은 지난 2013년 설립된 이래 IT 인프라보안 분야를 시작으로 어플리케이션 보안분야에서 차별화된 서비스를 제공해온 어플리케이션 보안 전문기업이다. 소스코드 취약점 진단, 웹 모의해킹 등 어플리케이션 보안 분야의 수준 높은 기술력을 바탕으로 고객사 홈페이지 등 웹어플리케이션 보안을 강화하는 기술 서비스를 제공하는데 중점을 두고 있다.  또한, 내부위협 탐지 및 사용자 행위 모니터링 솔루션인 ‘Ekran System(에크란시스템)’도 함께 전시할 예정이다. 에크란 시스템은 화면 녹화, 키로깅 기능을 이용해 직관적으로 사용자 별 행위 모니터링을 제공하며 내부 사용자 및 외부 유지보수 인력에 대한 작업 이력 관리, 신뢰성을 보장한다. 특히, 이번 전시회 기간 동안 부스 방문고객을 대상으로 레퍼런스 활용 동의 시 1년간 사용이 가능한 데모 라이센스를 제공할 예정이어서 많은 관심을 받을 것으로 기대된다. 어플리케이션을 실행하면서 동시에 보안관련 정보를 수집하는 ‘IAST(Interactive Application Security Testing)’ 기반 어플리케이션 보안관리(ASM) 솔루션인 ‘Contrast’는 실시간으로 웹어플리케이션의 소스코드, 외부라이브러리, 프레임워크 등에 존재하는 취약점을 탐지하고 개발자들이 보안전문가의 도움 없이 수정 보완할 수 있도록 지원한다. 또한, 웹사이트 보안 취약점 현황을 한눈에 확인할 있도록 대쉬보드를 통해 관리대상 어플리케이션의 취약점 현황, 발생시점, 전체 보안지수 등의 정보를 제공한다.  이러한 보안 솔루션들은 JAR(Java Archive) 형태로 제공되어 별도의 설치과정이 필요 없고, 기존 개발 프로세스 변경 없이 코딩, 테스트, 운영 등 전체 소프트웨어 개발단계 어디에서나 사용이 가능하다. 또한 JRE(자바런타임, Java Runtime Environment) 내부에서 실행되기 때문에 시스템 성능에 영향을 미치지 않으면서 빠르고 정확하게 취약점 분석을 수행한다. 아울러 별도의 소스수집이나 침투테스팅 과정 없이 개발자나 QA가 프로그램을 실행하는 과정에서 자동으로 정보를 수집하며, 수집된 정보는 개발자 스스로 취약점 보완조치가 가능하도록 HTTP 트래픽과 내부 함수호출 정보를 동시에 제공한다. 코어스넷 김종혁 대표는 “시큐어코딩을 검토하는 고객들에게 일관성 있게 듣는 말은 툴을 사더라도 어떻게 사용해야 할지 모르겠다는 것이다. 보안팀에서는 개발언어에 대한 이해가 부족하고 개발팀에게 보안은 기존 업무의 효율성을 저해하는 요소로 비춰지기 쉽다”면서 “어플리케이션 보안은 프로세스 특성상 빠르고 정확하며 무엇보다 쉽게 사용할 수 있는 도구의 지원이 필수적이다. 물론 지속적인 관리와 교육 역시 중요한 요소이다. 코어스넷은 차세대 취약점진단 기법과 전문인력을 바탕으로 효율적인 어플리케이션 보안 관리기법을 제시하고 개발팀이 주도적으로 보안이슈에 대응할 수 있도록 노력할 것”이라고 강조했다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
