포티파이는 최근 한국후지쯔와 총판 계약을 체결하고 본격적인 한국시장 공략에 착수한 상태입니다. 지난주(8월 25일) KT에 솔루션 공급을 이뤄내 화제를 모으기도 했습니다. 한국후지쯔에 따르면, 통신사와 금융권 등을 포함해 6곳에 공급이 예정돼 있는 등 높은 호응을 받고 있죠.
손턴 CTO는 “기업들은 네트워크단에서 보안을 구현하는데에만 신경을 쓰고 있지만, 실제 보안사고의 70% 이상이 애플리케이션단에서 일어나고 있다”며 “애플리케이션 보안 강화를 위해서는 취약점 발생 우려가 있는 소스코드를 미리 검색해 수정하는 것이 필요하다”고 역설했죠. 손턴 CTO는 또한 “개발자는 개발된 제품이 보안에 아무런 문제가 없다고 생각하지만, 실제로 사용된 소스코드의 취약점으로 수많은 문제를 발생시키고 있다”고 지적하고 “오라클과 마이크로소프트웨어 등의 글로벌 개발사에도 포티파이의 소스코드분석기가 공급돼 자체 개발 제품의 취약점을 점검하고 있다”고 덧붙였습니다.
포티파이는 최근 웹 애플리케이션 취약점 분석 솔루션 기업인 워치파이어와 전략적 파트너쉽을 체결했죠. 양사의 솔루션을 점진적으로 통합해 나간다는 것이 이번 제휴의 골자인데요. 포티파이와 워치파이어의 전략적 제휴에 따라 보안개발주기(SDLC : Software Development Lifecycle)가 적용돼 더욱 손쉽게 보안 취약점을 규명, 분석, 보완할 수 있는 단일 솔루션이 탄생할 전망입니다. 이와 관련해 가트너는 2010년에는 소프트웨어 개발사들이 소프트웨어 개발 주기에 의해 보안을 통합함에 따라, 공개 소프트웨어나 웹 어플리케이션 상의 치명적 취약점이 80% 이상 줄어들 것으로 전망했죠.
다음은 손턴 CTO와의 일문일답.
DataNet : 소스코드 보안이란 무엇인지.
손턴 CTO : 소스코드에서 취약점이 발생할 우려가 있는 부분을 검색하고, 이의 수정을 도와 보다 완벽한 보안이 가능하도록 하는 툴이다. 포티파이의 소스코드 분석 솔루션은 개발단계에서 보안 취약점이 어떤 코드에 존재하는지를 검색, 추적함으로써 개발자들이 더욱 빠르고 효율적으로 소프트웨어를 보호할 수 있도록 지원한다.
DataNet : 소스코드 보안이 필요한 이유는.
손턴 CTO : 가트너의 보고에 따르면 대부분의 기업들은 네트웍 보안에 투자하면 보안취약점을 제거할 수 있다고 보고 있다. 하지만 70% 이상의 보안사고가 애플리케이션 레벨에서 발생하고 있다. 소스코드 개발 단계부터 보안취약점을 사전에 차단하는 것이 필요하다.
DataNet : 보안은 날로 지능화되고 있다. 소스코드 보안이 지능화된 보안위협을 제거할 수 있는지.
손턴 CTO : 프로그래머와 해커는 끊임없이 경쟁하고 있다. 하지만, 결국은 프로그래머가 승리할 수 있을 것이다. 왜냐면, 프로그래머는 자신이 만든 소스코드를 이미 알고 있기 때문이다. 포티파이의 소스코드 분석기를 통해 사전에 취약점을 점검한다면, 현재 발생하는 보안사고의 상당부문을 줄일 수 있을 것이다. 방화벽 내부의 애플리케이션 자체가 강화된 보안성을 갖고 있게 되는 것이다. 이로써 해커는 침투할 곳을 잃게 될 것이다.
![[dataNet]](/image/newsroom/default-user.png)