| 글·오현식 기자·hyun@datanet.co.kr| | 사진·김구룡 기자·photoi@naver.com|
보안사고 70%가 애플리케이션 단에서 발생, 소스코드 보안 ‘필수’
“해커와의 전쟁에서 이기기 위해서는 개발 단계부터 보안위협을 제거해야 한다.”
로저 손턴 포티파이 CTO의 일성이다. 손턴 CTO는 “보안 위협이 급격히 증가하고, 지능화되더라도 해커는 승리할 수 없다”고 확신했다. 위협을 방어하는 쪽이 시스템에 침투하는 쪽보다 강력한 무기를 하나 더 갖고 있다는 점이 손턴 CTO가 해커와의 전쟁에서 승리를 확신하는 이유다.
강력한 무기란 바로 애플리케이션의 원천인 소스코드에 대한 정보. 손턴 CTO는 보안사고의 70%가 애플리케이션 단에서 발생하고 있다는 가트너 조사 결과를 인용하면서 “애플리케이션 개발 단계에서부터 취약점을 사전 차단함으로써 보안 사고의 대부분을 방지할 수 있다”고 주장했다. 특히 취약점 발견으로부터 24시간 이내에 악성 소프트웨어가 등장하는 제로데이 공격이 일반화되고 있는 현 시점에서, 개발단계부터 보안위협 요소를 사전 제거하는 소스코드 보안이 필수적이라는 것이다.
포티파이의 소스코드분석기(Source Code Analysis)는 C++, 자바, 닷넷 등 10여개 개발 프로그램의 소스코드 취약점 분석 기능을 제공해 개발된 애플리케이션의 보안 취약점을 사전 점검하도록 하며, 보안 취약점 발견시 수정 방법까지 제시함으로써 보안 전문가가 아닌 애플리케이션 개발자도 쉽게 보안 취약점을 찾아 고칠 수 있게 한다. 이로써 해커가 이용할 수 있는 보안 취약점이 크게 줄어들게 되는 것. 손턴 CTO는 “소스코드 보안만으로도 100여개 이상의 취약점 제거가 가능하다”고 덧붙였다.
SDL 기반 애플리케이션 개발
포티파이는 최근 한국후지쯔와 총판 계약을 체결, 본격적인 국내 시장 공략에 착수했다. 이미 6개 기업에 공급이 예정될 정도로 높은 관심을 받고 있으며, KT의 경우에는 이미 8월말부터 포티파이의 소스코드 보안 솔루션을 사용하고 있다.
손턴 CTO는 “마이크로소프트, 오라클 등 굴지의 소프트웨어 기업이 포티파이의 솔루션을 이용해 애플리케이션의 취약점 분석을 진행하고 있다”며 “소스코드 보안으로 보안개발주기(SDL : Software Development Lifecycle)가 적용된 애플리케이션 개발이 구현할 수 있다”고 주장했다.
포티파이는 최근 웹 애플리케이션 취약점 분석 솔루션 기업인 워치파이어(www.watchfire.com)와 전략적 파트너십을 체결했다. 이번 제휴에 따라 양사의 최신 솔루션이 점진적으로 통합될 예정. 양사 솔루션의 통합이 이뤄지면, 더욱 손쉽게 보안 취약점을 규명, 분석, 보완할 수 있는 단일 SDL 솔루션이 탄생할 것으로 기대되고 있다.
이와 관련, 손턴 CTO는 “2010년 경에는 소프트웨어 개발사들이 소프트웨어 개발 주기에 의해 애플리케이션과 보안을 통합, 공개 소프트웨어나 웹 애플리케이션에서의 취약점이 80% 이상 줄어들 것”이라는 견해를 밝혔다.
