[애플리케이션 보안②] SDLC 맞춘 보안 도구 필수
상태바
[애플리케이션 보안②] SDLC 맞춘 보안 도구 필수
  • 김선애 기자
  • 승인 2017.10.30 15:31
  • 댓글 0
이 기사를 공유합니다

공공분야 시큐어코딩 침체·민간분야서 꾸준한 성장 이뤄 … 개발자 역량 상향평준화해 SW 품질 높여

공격의 대부분은 애플리케이션 취약점을 이용하며, 보호되지 않는 웹으로 진입해 들어간다. 애플리케이션은 개발 환경이 다양해 완벽한 보호가 어려우며, 개발 기간과 비용을 단축해야 한다는 이유 때문에 보안을 소홀히 한다. 웹은 공격자에게 상시 노출된 환경으로 지능형 공격 뿐 아니라 잘 알려진 공격에도 당하게 된다. 웹과 애플리케이션이 최악의 보안홀로 지목되지 않기 위해서는 애플리케이션 개발 단계부터 테스트, 운영 전 과정에서 취약점을 제거하고, 공격자로부터 웹 서비스를 보호해야 한다. 웹과 애플리케이션 보안을 충족시킬 수 있는 방법을 알아보고 시장을 분석한다.<편집자>

SW 개발보안 의무화, 출혈경쟁으로 성장 못해

애플리케이션 보안은 시큐어코딩부터 시작돼야 한다. 소프트웨어 개발 단계에서 오류나 보안 약점을 제거하는 시큐어코딩은 2012년 공공사업 의무화가 시작되면서 폭발적인 관심을 보였다. 그러나 너무 많은 경쟁사가 일시에 뛰어들면서 기술적 차별성을 드러내지 못하고 가격에만 매몰돼 시장을 성장시키지 못했다.

공공 정보화 시장의 고질적인 악습으로 인해 시큐어코딩 시장은 예상했던 것만큼 성장하지 못했으며, 경쟁사도 크게 줄었다. CC 인증 규격이 발표됐을 당시 10여 업체가 인증을 받았으나 현재 사업을 유지하고 있는 곳은 파수닷컴, 트리니티소프트, 지티원 등 소수만이 남았다. 외산 솔루션 HPE(현 마이크로포커스)와 IBM은 CC인증 의무화로 인해 공공시장 진입이 차단됐으나 기존의 금융·엔터프라이즈를 중심으로 꾸준히 사업을 진행하고 있다.

금융·엔터프라이즈서 시큐어코딩 수요 늘어

공공분야의 시큐어코딩 시장은 예상만큼 크게 성장하지 못했지만, 금융·엔터프라이즈 등 민간 영역에서는 꾸준한 성장을 이어가고 있다. 애플리케이션 취약점을 이용한 공격이 극성을 부리고 있으며, 정보보안 규제가 점차 자율규제로 바뀌고 있어 일반 기업들이 비즈니스 전반에서 보안을 강화하고자 하는 요구가 높아지고 있기 때문이다.

시큐어코딩은 소프트웨어 개발 초기에는 비용과 시간이 많이 든다. 시큐어코딩 라이선스를 구입해 적용해야 하고, 개발하는 과정에서 오류가 검출돼 수정해야 해 개발 완료까지 시간이 많이 걸린다. 개발조직과 보안조직의 의견차 때문에 갈등이 불거지는 것도 신경쓰이는 일이며, 숙련된 개발자들이 시큐어코딩의 검출결과에 불신과 불만을 토로하는 것도 현장에서 극복해야 할 난제 중 하나이다.

그러나 결과적으로 시큐어코딩을 적용하면 시간과 비용을 줄일 수 있다. 가트너는 배포 전에 소프트웨어 취약점을 50% 줄이면 침해사고 대응 비용이 75% 줄어든다고 분석했고, NIST는 배포 이후 오류를 수정할 때 3만달러의 비용이 소요되지만 개발 중 오류를 수정하는데 5000달러면 충분하다고 설명했다. IBM은 배포 후 오류를 수정할 때 설계 단계보다 100배의 비용이 든다고 밝혔다.

또한 시큐어코딩을 적용하면 개발자의 역량에 좌우되지 않고 일정한 품질의 소프트웨어를 개발할 수 있다는 장점도 있다. 초보 개발자와 숙련된 개발자가 개발한 부분에 차이가 많이 나게 되거나 외주인력에 의해 개발할 때 투입되는 인력이 자주 교체되는 환경이라면 시큐어코딩으로 개발의 일관성을 유지하는 것도 효과적이다.

장일수 파수닷컴 상무는 “공공분야의 시큐어코딩은 국내 IT 산업의 고질적인 문제 때문에 시장 질서가 흐러졌지만, 금융·엔터프라이즈에서는 비즈니스에 반드시 필요하다고 판단하고 도입하기 때문에 가격이 아니라 제대로 된 제품을 구입하려고 한다. 이 때문에 민간 분야의 시큐어코딩 시장은 합리적인 가격과 영업 구조를 갖추고 있으며, 기술적인 완성도가 높은 제품이 꾸준한 성장을 이루고 있다”고 설명했다.

▲파수닷컴 ‘아이플랫폼’ 아키텍처

정적·동적·운영중 앱 분석…통합 포트폴리오 완성

소프트웨어 개발은 요구사항 도출→설계→구현(개발)→테스트→배포의 순으로 이뤄지며, 시큐어코딩은 개발단계에 적용되는 정적분석(SAST), 테스트 단계에서 적용되는 동적분석(DAST), 그리고 애플리케이션 운영 중 취약점을 찾아내는 RASP(Runtime Application Self Protection)로 구성된다.

SAST는 국내 시큐어코딩 솔루션 대부분이 제공하는 도구로, 소프트웨어 개발 도중 보안 취약점이나 소스코드 오류를 찾아낸다. 검출한 오류를 문맥에 맞게 수정하도록 제안하는 기능을 탑재해 개발 시간이 연장되는 것을 최소화한다. DAST는 IBM ‘앱스캔’, 마이크로포커스 ‘포티파이’ 제품군의 ‘웹인스펙트’ 등이 전통적인 시장 강자이며, RASP는 최근 주목받고 있는 애플리케이션 보안 방법이다.

국내 시큐어코딩 시장의 리더인 파수닷컴이 SAST, DAST, RASP와 함께 이를 모두 한 곳에서 연계할 수 있는 플랫폼(IAST)을 출시해 주목된다. 최근 전 세계적으로 RASP와 소프트웨어 개발 보안 플랫폼에 대한 관심이 높아지고 있는 가운데 파수닷컴이 새로운 제품을 통해 이를 완성해 간다고 주장해 주목받고 있다.

파수닷컴의 소프트웨어 품질관리 솔루션 ‘스패로우(Sparrow)’에 포함된 시큐어코딩 제품군은 다양한 개발언어와 웹 애플리케이션을 지원하며, 다수의 보안이슈를 통합관리 할 수 있다. IAST인 ‘아이플랫폼(iPlatform)’은 SAST, DAST, RASP 분석 결과를 취합해 위험 유형별로 구분, 대응할 수 있게 하며, 위협 지표를 제공해 애플리케이션 취약점 정도를 파악한다. 취약점간 연관정보를 제공하고, 애플리케이션 라이프사이클 전반의 보안 취약점을 통합 관리한다.

장일수 파수닷컴 상무는 “SAST, DAST, RASP는 동작하는 기법이나 적용되는 시점이 달라 통합관리가 어렵다. 그러나 파수닷컴은 소프트웨어 개발부터 테스트, 배포, 운영에 이르는 전 과정에서 보안 취약점을 찾아 없앨 수 있또록 개별 진단도구를 연계해 관리하는 IAST까지 개발해 모든 진단도구를 연계시켰다”며 “3개의 진단도구가 작동하면서 검출한 취약점 정보를 공유하면서 상호보완적으로 완성도를 높여가는 것이 스패로우의 장점”이라고 말했다.

시큐어코딩은 소프트웨어 품질관리와 유사한 프로세스를 거치기 때문에 두 기능을 함께 구현하고자 하는 시도도 이어지고 있다. 사용자 경험과 보안이 중요한 금융분야에서 이러한 요구가 높아지고 있으며, 품질관리 소프트웨어를 주로 사용하는 대형 제조사들도 시큐어코딩의 중요성을 인식하면서 품질과 보안을 만족시킬 수 있는 제품을 구입하고 있다.

파수닷컴의 스패로우는 소프트웨어 품질관리를 위해 개발된 제품으로, 시큐어코딩 의무화 논의가 시작될 무렵 SAST를 출시하고 시장의 문을 열었다. 그러면서 금융·엔터프라이즈 분야에서는 품질관리와 보안 취약점 점검 기능을 함께 적용해 소프트웨어 전반의 보안과 안정성을 향상시키도록 하고 있다. 이러한 이상을 구현하는 고객으로 농협중앙회, 하나금융그룹을 대표적으로 들 수 있다. 이들은 금융 애플리케이션의 사용자 경험을 향상시키고, 지능적인 공격에 피해를 입지 않도록 스패로우 제품군으로 품질과 보안을 한층 높였다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.