“사물인터넷(IoT), 소프트웨어 정의 네트워크(SDN)와 같은 새로운 IT 트렌드에서는 소프트웨어가 산업의 중심을 이루고 있으며, 그에 따라 소프트웨어 보안위협도 증가하게 된다. 따라서 소프트웨어를 개발할 때 부터 보안 취약점을 해결할 수 있는 소프트웨어 개발보안이 반드시 필요하다.”
라지브 신나(Rajiv Sinha) 씨지탈 아시아-태평양 담당 부사장은 이렇게 말하며 “한국 역시 소프트웨어 보안에 많은 관심과 투자를 진행하고 있다. 특히 한국의 글로벌 기업들은 자사가 개발한 제품이 사이버 공격을 받거나 내부의 중요한 정보가 외부로 유출되는 것을 막기 위해 소프트웨어 개발 보안을 중요하게 생각하고 있다. 한국 고객의 이러한 요구를 만족시키기 위해 한국 시장 개척에 속도를 내겠다”고 밝혔다.
SW 개발보안 교육·컨설팅 방법론으로 한국시장 드라이브
씨지탈은 미국의 소프트웨어 보안 전문 컨설팅 기업으로, 상용 정적 분석 도구인 ITS4 개발했으며, 이 기술은 1999년 포티파이 소프트웨어의 상용화에 대한 기준으로 사용되고 있다.
씨지탈은 지난해 엔시큐어(대표 문성준)와 파트너 계약을 체결하고 국내에 온라인 교육 프로그램 ‘씨지탈 CBT’를 출시했으며, 올해 소프트웨어 보안 컨설팅 서비스인 ‘애플리케이션 보안성숙도 진단 방법론(BISMM)’으로 사업영역을 확장하고 있다.
라지브 신나 부사장은 “한국은 매우 높은 수준의 IT 인프라와 서비스를 갖고 있으며, 새로운 기술을 도입하고 활용하는데 적극적이다. 특히 IT 산업이 고도화되면서 소프트웨어를 기반으로 한 다양한 서비스가 발달하고 있는데, 그 취약점을 노리는 공격을 방어해야 한다는 인식이 매우 높다”며 “한국 고객의 니즈를 충족시키기 위해 엔시큐어와 함께 소프트웨어 개발 보안 기술과 서비스를 제공해 나갈 것”이라고 말했다.
BSIMM, 전사적 보안전략 측정 도구
씨지탈의 BSIMM은 전사적 보안 전략을 측정할 수 있는 도구로, 소프트웨어 보안 계획의 다년간의 연구 결과로 다양한 기업들의 전략을 비교 또는 대조할 수 있도록 한다. 각 기업의 소프트웨어 보안을 향상시켜 줄 솔루션을 소개하고 보안 계획을 수립할 수 있도록 도와주며, 특히 다른 회사와 비교하여 어떤 활동을 주기적으로 실행하는지, 하지 않는지 즉시 확인이 가능하다.
BSIMM은 보안 환경 변화를 위한 우선순위를 정하고, 빠른 향상을 위해 어떤 솔루션을 어떻게 어디에 적용해야 하는지를 나타내며 평가 결과를 통해 소프트웨어 보안 전략을 수립하고 향상될 수 있도록 도움을 준다.
씨지탈 CBT는 소프트웨어 보안 교육 이러닝 서비스로, 소프트웨어 개발자와 IT 보안팀을 위한 자기 조절 학습 소프트웨어 보안 트레이닝의 모든 과정을 제공한다. 정보보호 교육이 필요한 개발자에게 차별화된 프로그램으로 효율적인 이러닝 교육서비스를 제공GO 실질적인 교육효과를 창출하는 것을 목표로 한다.
특히 이 분야에서 씨지탈은 소프트웨어 보안분야의 8가지 특허를 가지고 있으며 200명 이상의 소프트웨어 보안 컨설턴트, 보안전문가, 연구원이 참여하고 있다.
한국·일본 아시아 시장 진출 박차
씨지탈은 미국과 유럽에서 활발한 사업을 펼치고 있으며, 최근 아시아 시장 개척에 박차를 가하고 있다. 그 중 우리나라와 일본 시장의 성장률이 높을 것으로 기대하고 있으며, 한국에서는 대기업을 중심으로 영업을 전개할 방침이다.
한국 파트너로 선정된 엔시큐어는 시큐어코딩 솔루션 ‘HP 포티파이’와 난독화 솔루션 ‘악산’을 공급하고 있는 소프트웨어 보안 전문기업으로, 씨지탈의 보안 컨설팅 방법론과 교육 프로그램을 국내 고객에게 전달해 시너지를 높인다는 계획을 밝혔다.
문성준 엔시큐어 대표이사는 “씨지털과의 파트너십 확대로 엔시큐어의 포트폴리오는 더욱 완벽해졌다”며 “시큐어코딩 솔루션 포티파이와 난독화 솔루션 악산, 그리고 소프트웨어 개발 보안 컨설팅 및 교육을 확대하면서 소프트웨어 보안 전문기업으로 도약할 수 있게 됐다”고 말했다.
특히 씨지탈의 교육 프로그램은 시큐어코딩과 관련된 현업의 문제를 해결할 수 있는 기회가 된다고 엔시큐어는 강조한다. 소프트웨어를 설계하는 단계에서부터 보안 취약점을 제거하는 시큐어코딩은 소프트웨어 개발 기간과 비용을 단축시키고 보안위협을 상당부분 제거할 수 있어 반드시 필요한 솔루션으로 평가받는다.
그러나 소프트웨어 개발 인력들이 시큐어코딩에 익숙하지 않고 인식도 낮은 편이어서 시큐어코딩 적용을 꺼리는 분위기가 팽배하다. 실제로 개발조직에서 개발한 소프트웨어에서 보안 취약점이 발견됐을 때, 개발팀은 이를 즉시 해결하지 않고 일단 개발을 완료한 후 나중에 패치하는 방법으로 해결하고자 한다.
이 때문에 패치가 배포되기 전까지 진행되는 제로데이 공격이 성행하게 되며, 결과적으로 개발 기간과 비용이 높아지게 된다.
개발팀·보안팀 정보 공유로 안전한 애플리케이션 구현
시큐어코딩 교육을 통해 개발인력들이 시큐어코딩의 필요성과 툴의 활용도에 대한 이해를 높이고 보다 안전하게 소프트웨어를 개발하게 된다면 보안수준을 전반적으로 강화할 수 있으며, 지능형 공격으로부터 안전하게 시스템과 정보를 보호할 수 있다.
문 대표는 “개발자와 보안 담당자가 갖고 있는 각각 다른 지식을 공유하면서 보안이 강화된 소프트웨어를 개발해야 하는데, 현실에서는 해당 지식이 공유되지 않고 별도로 적용되면서 조직간 갈등이 빚어지거나 보안 취약성이 늘어나고 있는 상황”이라며 “교육을 통해 시큐어코딩에 대한 이해를 높일 수 있게 될 것”이라고 말했다.
그는 “전 세계는 애플리케이션 보안에 초점을 맞추고 있지만 지금까지는 애플리케이션 취약점 스캐너, 몇 가지 평가항목만을 만족하는 시큐어코딩 솔루션 등 포인트 솔루션에 의존하고 있다”며 “엔시큐어는 시큐어코딩·난독화·컨설팅·교육에 이르는 전반적인 애플리케이션 보안 전략을 제공해 고객들이 더욱 안전하게 비즈니스를 영위할 수 있도록 돕겠다”고 말했다.
