[아이뉴스24 성지은기자] 지속되는 해킹으로 고객 개인정보가 유출되는 등 보안 사고가 끊이지 않고 있다.
실제 지난 3월 숙박 앱 서비스 '여기어때'가 웹 애플리케이션 취약점 공격의 일종인 SQL 인젝션(주입) 공격을 받아 고객 개인정보 99만 건이 유출됐다.
소프트웨어(SW) 취약점은 이처럼 해커의 출입구로 악용된다. 이에 SW 개발 초기 단계부터 보안 취약점을 막고 보안 수준을 강화하는 '시큐어코딩'이 강조된다.
시큐어코딩 진단도구 '스패로우(Sparrow)'로 국내 시장 점유율 1위를 차지하고 있는 파수닷컴은 올해 제품 출시 10주년을 맞아 제품 라인업을 확장했다. SW 개발·시험·운영 등 시큐어코딩의 전 단계를 원스톱으로 지원하며 SW 보안을 강화하겠다는 의지다.
장일수 파수닷컴 PA(Program Analysis) 사업본부장은 "서비스가 출시된 이후 보안 결함을 발견하고 수정하는 건 이미 늦다"며 SW 개발 단계에서 보안을 강화하는 노력, 즉 시큐어코딩의 중요성을 강조했다.
실제 미국립표준기술연구소(NIST)에 따르면, SW 서비스가 출시된 이후 보안 결함을 발견하고 수정할 경우 약 30배 이상의 비용이 든다.
서둘러 개발을 완료하고 서비스를 출시한 뒤 유지·보수하면 효율적이라고 생각할 수 있지만, 현실은 정반대인 것. 오히려 개발 초기 단계부터 안전한 SW를 위해 투자하는 게 전체 비용 절감 측면에서 효과적이다.
장일수 본부장은 "시장 내 기업들의 요구가 있어 시큐어코딩 진단도구 라인업을 확장했다"며 "각종 진단도구가 플랫폼을 통해 효율적으로 통합·관리되고 기업 등이 안전한 SW를 개발할 수 있도록 적극 지원할 것"이라고 강조했다.
◆파수닷컴, 시큐어코딩 진단도구 라인업 '확대'
기존 파수닷컴의 시큐어코딩 진단도구는 SW 개발 단계에서 소스코드 취약점을 점검하는 '정적분석 도구'로 구성됐다. 그러나 안전한 SW 개발을 위해 파수닷컴은 SW 시험·운영 단계에서도 시큐어코딩을 적용할 수 있도록 제품군을 확대했다.
개발된 코드가 실제 요구 사항에 맞게 동작하는지 확인하는 시험 단계에서 취약점을 점검할 수 있도록 '동적분석 도구'를 추가한 것. 또 운영 단계에서 실시간으로 보안 취약점을 탐지하고 방어하는 '자가 방어 솔루션'을 출시했으며, 이 모든 과정의 취약점을 통합 관리하는 '플랫폼'까지 내놨다.
이로써 파수닷컴은 ▲SW 개발 단계에서 잠재적 실행오류·보안약점 등을 검출하는 정적분석 도구 '스패로우 SAST(Static Application Security Testing)'뿐만 아니라 ▲SW 시험 단계에서 웹 애플리케이션 취약점을 분석하는 동적분석 도구 '스패로우 DAST(Dynamic Application Security Testing)'로 라인업을 확장했다.
또 ▲SW 운영 단계에서 웹 애플리케이션 공격을 실시간으로 탐지·방어하는 솔루션 '스패로우 RASP(Runtime Application Self Protection)' ▲SW 개발·시험·운영 시 발생한 보안 취약점을 통합 관리하는 플랫폼 '스패로우 i플랫폼(Interactive Platform)'까지 갖췄다.
버전 5로 업그레이드된 스패로우 SAST는 엔진 성능을 고도화해 검출 속도가 30% 빨라졌으며 정탐률은 30% 이상 높아졌다는 게 회사 측 설명이다. 또 스위프트, 파이썬 등 언어를 추가 지원했으며 사용자 친화적으로 사용자 환경(UI/UX)을 전면 개편했다.
장 본부장은 "스패로우 SAST는 한국인터넷진흥원(KISA)에서 보안약점 진단 시 활용하고 금융·공공·방산 등 다양한 분야에서 활용되고 있다"며 "정탐률에서 오탐율을 뺀 'OWASP BMT' 점수는 94.88에 달하는 등 높은 진단 수준을 자랑한다"고 말했다.
이어 "기술력을 인정받아 올해 가트너 매직 쿼드런트 보고서 '애플리케이션 보안 테스팅' 분야에 국내 기업 최초로 등재되기도 했다"고 덧붙였다.
새롭게 출시된 스패로우 DAST는 SW 테스트 단계에서 다양한 공격을 시도하고 이에 따라 발생하는 취약점을 식별해 알리며, 스패로우 RASP는 웹 애플리케이션 운영 중 외부 입력 데이터로 인한 공격을 실시간으로 감지해 자가 방어한다.
가령 SQL 인젝션 공격이 발생하면, 어떤 취약점을 통해 공격이 발생했는지 스스로 탐지하고 공격을 차단하는 식이다. 또 공격 경로와 관련한 정보까지 추적해 관리자에게 보고한다.
아울러 스패로우 i플랫폼은 이 같은 정적분석 도구, 동적분석 도구, 자가 방어 솔루션에서 나온 정보를 통합·관리하고 이를 활용해 취약점 검출 능력을 높인다. 다양한 취약점 점검도구와 연동할 수 있는 응용프로그래밍인터페이스(API)도 제공한다.
장 본부장은 "정적분석 도구 분야 기술력을 기반으로 시큐어코딩 경쟁력을 강화했다"며 "시큐어코딩 진단도구 뿐만 아니라 서비스까지 강화해 고객 만족도를 높일 것"이라고 말했다.
고객사를 대상으로 시큐어코딩 관련 정기교육을 실시하고 있지만, 이에 더해 SW 설계 분야 진단 서비스, 모의해킹 서비스까지 제공해 SW개발 보안을 보다 강화할 방침이다.
장 본부장은 "스패로우가 시장에서 선전하고 있어 지난달 기준 이미 전년도 매출 성과를 뛰어넘었다"며 "국내뿐만 아니라 일본, 중국 등으로 시장을 넓혀 아시아 시장을 중심으로 글로벌 시장에서 성과를 낼 것"이라고 포부를 밝혔다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기