전문 화이트해커 서비스 통해 외부 공급받은 SW 구성요소 검증
[데이터넷] 2022년 최대 사이버 위협으로 소프트웨어 공급망 공격이 꼽힌다. 패치파일이나 외부에서 전달받은 소프트웨어에 취약한 코드를 숨기는 공급망 공격은 신뢰된 소프트웨어 공급망을 이용하기 때문에 빠르게 탐지하거나 대응하기가 매우 어렵다.
업계 최고 화이트해커·안정적 서비스 역량 제공
엑스스캔은 외부에서 공급받은 소프트웨어의 구성요소를 검증해 악용 가능성이 있는 코드가 삽입돼 있거나 이전 버전과 다르게 심각한 위협으로 이어질 수 있는 요소가 있으면 개발사에 해당 사항에 대한 소명을 요청하는 서비스다.
엑스스캔은 외부 개발 소프트웨어와 패치, 오픈소스 코드까지 검증 가능하다. 업계 최고 전문성을 인정받은 엔키의 화이트해커 조직과 소프트캠프의 검증받은 안정적인 서비스 능력을 기반으로 하고 있어 서비스 안정성과 신뢰성을 보장할 수있다.
배환국 대표는 “소프트웨어 개발사는 애플리케이션 보안테스팅(AST)을 통해 제품의 안정성을 검증했다고 주장하지만, 수요자 입장에서 이 제품을 완벽하게 신뢰할 수 있는 것은 아니다. 엑스스캔은 화이트해커가 소프트웨어의 보안성을 검증하는 수요자 관점의 소프트웨어 보안 서비스로, 안전성이 입증된 소프트웨어만 허용하는 제로 트러스트 기반 패치관리·외부 소프트웨어 관리가 가능하다”고 말했다.
공격자 관점 침투테스트 역량 제공
레드펜소프트의 사명은 공격자 관점(Red Team)의 침투테스트(Penetration Test)를 합성한 것으로, 공격자가 사용하는 것과 같은 방식의 취약점을 스캐닝하고, 발견한 취약점에 대해 개발사가 소명하도록 한다.
이러한 커뮤니케이션 과정을 통해 개발사는 개발 과정의 취약점을 개선하며, 레드펜소프트는 공급망 공격에 대한 위협 인텔리전스를 만들고 서비스 프로세스에 결합시켜 더 정확한 방어를 제공할 수 있다.
배환국 대표는“클라우드를 통해 제공되는 엑스스캔은 고객에 공급망 공격에 대한 전문 지식 없어도 쉽게 사용 가능하다. 모든 규모·산업군의 기업이 엑스스캔을 통해 공급망 공격 위험을 낮추기 바란다”고 말했다.
