국산 벤더들 중에서 기술력 최고 수준이라 자부해
"시큐어코딩 시장에서 '의미기반 정적분석'과 '품질'로 승부하겠습니다."
안혜연 파수닷컴 부사장은 "시큐어코딩 시장에서 20년 이상 기술을 개발해온 외국기업인 포티파이가 엔진 부문에서 앞서고 있지만 파수닷컴이 보유한 의미기반 정적분석과 품질도 경쟁력을 지닌만큼 포티파이와 경쟁하겠다"고 당차게 말했다.
안 부사장은 또 "UI나 우리나라 공공기관, 금융기관에 최적화된 시스템, 가격경쟁력 부분도 충분히 승산이 있다"고 강조했다.
의미기반 정석분석이란 프로그램의 실행 흐름과 각 프로그램 구문의 의미를 이해하여 실행 중 프로그램 상태를 예측하는 것으로 고난도의 기술을 요구한다. 일반 정적 분석 도구보다 고차원의 기술이다.
안 부사장은 "의미기반 정적분석은 20년 이상 넘는 구력이 가진 회사들만이 할 수 있고 학술적인 연구도 필요한데 우리는 서울대학교 무결점 연구센터와 같이 의미기반 정적분석을 연구했다"며 "이 기술력은 국산 벤더들 중에서는 최고 수준이며 어느 글로벌 기업에도 밀리지 않는다"고 자신했다.
그는 또 "시큐어코딩의 궁극적인 목적은 보안 허점을 찾아 해킹을 할 수 있는 길을 원천적으로 없애 버리는 것이지만 결국에는 품질 쪽으로 이슈가 넘어갈 것"이라고 내다봤다.
그러면서 "우리는 시큐어코딩을 준비하기 이전부터 품질 부문을 준비해왔고 충분히 해볼만 하다"고 강조했다.
안 부사장은 현재 우리나라 시큐어코딩 시장은 도입 단계 수준이라고 지적했다. 그래서 여러 가지 다양한 영업적인 시도를 하고 있다고 했다.
그는 "다양한 레퍼런스를 가져가기 위해 노력하겠지만 파수닷컴은 품질과 보안 두 마리 토끼를 잡을 것"이라며 "이렇게 시장을 성장, 발전시켜나가다보면 우리나라 시큐어코딩 시장도 어느 정도 형성될 것"이라고 내다봤다.
안 부사장은 최근 추세는 시큐어코딩이 개발 플랫폼에 녹아 들어가는 것이라고 했다.
"최근 개발 프로그램은 예전같이 작지 않다. 코드 규모가 워낙 크기 때문에 개발 전 과정에 시큐어코딩이 녹아 들어가서 개발자가 개발하고 테스트 할 때마다 쉽게 시큐어코딩을 실행할 수 있어야 한다."
한편 시큐어코딩은 코딩 단계부터 보안 취약성을 제거해 보안성을 강화하기 위한 방법이자 툴을 뜻한다. 행정안전부가 마련한 시큐어코딩은 SQL삽입, 크로스사이트스크립트 등 공공기관의 정보화 사업 과정에서 발생할 수 있는 43개의 SW보안약점에 대한 문제가 없도록 보안성을 유지해야 한다는 내용이 핵심이다.
최승호 기자
midas@itdaily.kr