• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

대기업·금융권, 소스코드 보안솔루션 도입 활기 2007.08.22

소스코드 자체를 강하게...웹 공격 상당부분 차단


“원 소스코드에 문제가 있다면 애플리케이션의 문제는 기하급수적으로 늘어난다. 만약 소스코드가 시큐어하다면 많은 문제를 사전에 차단할 수 있다. 그리고 소스코드를 문제 발생 이후에 수정하려면 많은 비용이 발생하기 때문에 기업입장에서도 상당한 마이너스 요인으로 작용한다.”


<문성준 인터비젠테크놀로지 이사(위), 리치 로드 포티파이 아태지역 마케팅담당자(아래 우), 리차드 트로바토 포티파이 본사 마케팅본부장(아래 좌)> ⓒ보안뉴스

문성준 인터비젠테크놀로지(www.interbizen.com) 이사는 소스코드 개발시 시큐어한 원칙을 정한 후 그 툴을 적용해 개발하는 것이 무엇보다 중요하다고 말하고 있다. 그렇지 않으면 웹 취약점으로 인한 각종 해킹 공격과 개인정보 유출로 인해 기업 이미지 손상 뿐만 아니라 실질적인 경제적 피해까지도 발생할 수 있기 때문이다.


기업들이 웹 애플리케이션 보안에 신경을 쓰고 있는 이유도 여기에 있다. 특히 대기업이나 금융권은 웹 취약점으로 인해 발생할 수 있는 피해가 엄청나기 때문에 최근 웹 애플리케이션 보안에 상당한 신경을 쓰고 있다.


최근 소스코드 보안 솔루션을 도입·구축한 기업도 대부분 대기업과 금융권이다. 삼성전자, KB국민은행, 외환은행, 하나은행, 제일은행, SK텔레콤, KT넷, KT 등이 소스코드 보안 솔루션을 도입해 운영하고 있다. 


또한 자본시장통합법에 대비해 차세대 시스템 구축에 한창 열을 올리고 있는 은행과 증권, 보험사 등도 웹 애플리케이션 보안을 위해 소스코드 보안 솔루션 도입을 검토중에 있다.


한국을 방문중인 리치 로드 포티파이(www.fortifysoftware.com) 아태지역 마케팅담자는 “기존 방법으로는 웹에 대한 공격들을 효과적으로 막을 수 없다”며 “만리장성처럼 모든 부분을 막는 것은 비효율적일 뿐만 아니라 다 막을 수도 없다는 것을 관리자들은 알고 있다. 중요한 것은 적재적소에 강력한 보안시스템이 작용하도록 하는 것이 더욱 효과적”이라고 말했다.


즉 소스코드 자체를 강력한 시큐어 코드로 만드는 것이 가장 확실한 웹 공격 차단방법이라는 것이다.


그는 또 “웹 방화벽 자체도 소프트웨어다. 이 또한 보안측면에서 완벽할 수 없다”며 “포티파이에서 추구하는 궁극적 목적은 소프트웨어 자체를 강하게 만들고 기존에 취약한 소프트웨어들에 대해서는 보안측면에서 강하게 변환될 수 있도록 지원하는 것”이라고 말했다.


소스코드 보안 솔루션은 개발전문 SI업체 뿐만 아니라 엔드유저 기업에서도 구입을 하고 있다. 이유는 기업에서 해당 솔루션을 구입해 향후 발생되는 모든 개발 프로젝트에 소스코드 보안에 대한 기준을 정하고 이를 SI업체에서 준수하도록 요구하고 있기 때문이다.


문성준 이사는 “기업에서도 웹 애플리케이션 보안을 위해 발주시부터 보안적 관점에서 개발을 의뢰하려고 하는 분위기가 형성되고 있다”며 “소스코드 분석 솔루션 뿐만 아니라 포티파이에서 제공하는 웹 애플리케이션 테스팅 솔루션인 트레이서와 디펜더 제품도 향후 큰 반향을 불러올 것”이라고 전망했다.


포티파이 한국총판 인터비젠테크놀로지 관계자는 “웹 애플리케이션 보안에 대한 국내 니즈가 급증하면서 지난해에 비해 올해 3배 정도 매출 성장을 하고 있다”며 “2~3년 내에는 더욱 크게 성장할 것”이라고 전망했다.


특히 올해 국내에서 선보일 포티파이 트레이서와 디펜더는 기존 웹 방화벽의 문제점을 개선할 수 있는 대안으로 기업에서 관심이 높다. 현재 웹 방화벽은 대기업이나 금융기관에서 거의 도입을 하지 않은 상태이기 때문에 포티파이의 소스코드 보안솔루션과 트레이서, 디펜더가 하나의 웹 보안 시스템을 구축해 한국 시장을 공략한다면 웹 방화벽 시장에 큰 변수로 작용할 것으로 보인다. 


소스코드 보안 솔루션은 개발프로세스 단계에서 개발코드 작업시 가이드라인을 툴로 만들어 자동으로 취약점을 찾아내고 자동으로 수정할 수 있도록 해주며 그 결과를 관리자가 모니터링 할 수 있도록 해주고 있다.


디펜더는 현재 미국 국방부와 금융권, 유럽지역의 은행권에서 도입해 실제 사용중인 솔루션이다. 이 솔루션은 자동으로 취약점을 찾아내서 시큐어한 코드로 변환시켜주고 관리자는 이를 모니터링만 하면 된다.


포티파이 관계자는 “올해 미국에서 개최된 블랙햇 시연에서 7만건의 해킹 공격을 디펜더로 막았다”며 “차단 뿐만 아니라 스스로 취약점을 찾아내 이를 변환하는 작업까지 하고 있다”고 설명했다.


한편 포티파이 또다른 관계자는 “업그레이드 되는 해킹 공격에 대비하기 위해 보안관계자와 대학 등과 협력해 시큐리티리서치 그룹을 운영하고 있다”며 또한 “전세계 225개 레퍼런스에서 발생하는 문제점들을 분석하고 이를 디펜더에 적용해 진화하는 해킹 공격에 대비하고 있다”고 말했다.


그동안 보안에 전혀 신경을 쓰지 않고 개발된 국내 대부분 개발 프로젝트들로 인해 향후 웹 애플리케이션 보안 솔루션들의 수요가 점차 증가할 것으로 업계 관계자들은 내다보고 있다. 

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>