[SW 중심시대의 보안②] 모든 SW 취약점 관리 필수

홈 > 뉴스 > 뉴스 > 보안

[SW 중심시대의 보안②] 모든 SW 취약점 관리 필수

시큐어코딩 뿐 아니라 운영중·오픈소스까지 보안 점검…소스코드 난독화로 역공학 분석 방어해야

관련기사

[SW 중심시대의 보안①] ‘시큐어 SDLC’로 보안 내재화

2018년 08월 03일 08:31:28

김선애 기자

iyamm@datanet.co.kr

소프트웨어 개발 보안은 정적분석(SAST)와 동적분석(DAST)로 구분되며, 최근에는 실행 중 애플리케이션 자가 보호(RASP)가 새롭게 주목을 받고 있다.

파수닷컴에서 분사한 스패로우는 소프트웨어 개발 보안 전문 기업으로, SAST, DAST, RASP와 이 도구들을 통합하고 연계하는 플랫폼 IAST를 지난해 출시하면서 시장 공략에 나서고 있다.

소프트웨어 개발 보안은 ‘시큐어코딩’으로 더 잘 알려져있으며, 전 세계적으로 포티파이가 이 시장의 독보적인 리더로 꼽혀왔다. 그러나 HPE에 이어 마이크로포커스 인수 후 역량을 잃어가고 있는 상황이다. 포티파이는 전통적인 개발 환경에 최적화돼 있지만, 여러 차례 모기업이 바뀌는 과정에서 최근 개발 환경 및 오픈소스 지원이 원활하지 않다는 평가를 받고 있다.

글로벌 선도 기업인 포티파이가 잠시 주춤하는 동안 이스라엘 기업인 체크막스가 총판을 한컴MDS로 변경하면서 국내 시장 공략에 강력한 드라이브를 걸었다. 체크막스는 SAST, DAST, 교육 프로그램을 제공하고 있으며, 오픈소스 취약점 분석 솔루션 기업 화이트소스의 엔진을 추가하면서 오픈소스 취약점 점검까지 지원한다.


▲SW 개발 보안 프로세스(자료: KISA)

오픈소스 취약점 점검 시장 ‘화끈’

오픈소스는 최근 소프트웨어 개발 환경에서 필수적이다. 직접 개발하는 솔루션은 물론이고 상용 소프트에어도 90% 가까이 오픈소스 모듈을 사용한다. 방대한 오픈소스 커뮤니티에서 새롭게 발표되는 취약점 정보를 파악하고 패치하는 것은 수작업으로 진행하기 어려우며, 자동화된 툴을 사용하는 것이 필수다.

화이트소스는 마이크로소프트가 투자한 기업으로 유명하며, 해시값을 비교해 빠르고 정확하게취약점을 점검한다. 국내 소프트웨어 보안 기업 쿤텍과 총판계약을 맺고 한국 시장에 진출했다.

쿤텍은 인터트러스트의 ‘화이트크립션’ 제품군도 국내에 공급한다. 이 제품은 IoT, 모바일 앱 보안에 최적화 돼 있으며, 국내에서도 은행 금융 앱, 인터넷 뱅킹 앱 등에서도 사용되고 있다. 애플리케이션 무결성 보장, 난독화 등의 기능을 제공한다.

오픈소스 보안 시장을 개척한 솔루션은 블랙덕소프트웨어의 ‘블랙덕 허브’이다. 블랙덕소프트웨어는 오픈소스 라이선스 관리 솔루션 시장의 절대 강자로, ‘블랙덕 허브’를 출시하면서 보안 시장에도 뛰어들었다. 지난해 시놉시스에 인수되면서 소프트웨어 보안 취약점 점검 솔루션 포트폴리오를 확장하게 됐다.

국내 총판 역할을 해 온 블랙덕소프트웨어코리아는 BDSK로 사명을 바꾸고 고격 접점을 더욱 넓혀나가면서 시장 주도권을 유지하겠다고 밝힌다.

시놉시스의 총판이었던 한국마이크로시스템도 ‘블랙덕 허브’ 제품군을 국내에 공급하게 됐다. 한국마이크로시스템은 임베디드 소프트웨어 분야에서 강점을 가져왔으며, 시놉시스 제품군과 블랙덕소프트웨어 제품군 등을 함께 제공해 IoT, 클라우드, 모바일 보안 시장 역량을 강화해나가겠다고 설명한다.

보안 스타트업인 인사이너리는 바이너리 형태로 공급되는 소프트웨어 취약점 점검에 특화된 기술을 선보인다. 인사이너리의 ‘클래리티’는 국내외 대형 제조사, 공공기관, 보안기업 등에 적용됐다. 유럽 컨설팅 전문기업 베어링포인트는 오픈소스 컨설팅과 매지니드 서비스에 클래리티를 적용, 유럽 고객들에게 오픈소스 취약점과 라이선스 관리를 제공하고 있다. 이 서비스는 유럽 주요 통신사가 사용하고 있다.

소스코드 난독화로 역공학 분석 방지

소프트웨어 개발 과정에서 취약점을 제거했다고 해서 모든 소프트웨어가 안전한 것은 아니다. 특히 마이크로서비스 개발 환경에서는 개별 소프트웨어 모듈에서 취약점이 없다 해도, 다른 여러 소프트웨어와 연결해 전체 서비스를 만들 때 예상치 못했던 취약저이나 장애가 발생할 수도 있다. 따라서 소프트웨어 개발 방법론은 ‘개발보안’에만 국한될 것이 아니라, 소프트웨어 개발 생명주기(SDLC) 전반에 걸쳐 보안활동을 추가하는 ‘시큐어 SDLC’가 필수적이다.

운영중인 소프트웨어를 보호하기 위해 RASP가 제안되고 있으며, 이보다 더 전통적인 방법으로 소스코드를 난독화 해 공격자가 역분석으로 소스코드 취약점을 찾아내지 못하도록 하는 방법도 있다.

이 시장에서는 악산이 대표적이며, 엔시큐어가 국내 총판을 맡아 금융, 게임사 등에서 많은 고객을 확보하고 있었다. 6월 악산은 두 번째 국내 총판으로 인섹시큐리트를 선택, 악산 전문가 양성 교육을 지원한다.

악산은 윈도우, 리눅스, 맥, iOS, 안드로이드 등 모든 운영체제를 지원하며, 난독화, 암호화, 인증, 위변조 방지 등의 기능을 제공한다. 사용자가 기기에 별도의 솔루션을 설치하거나 개발자가 소스코드 변경할 필요 없이 간편하게 애플리케이션을 보호한다.