보안 약점 발생 원인까지 추적
[컴퓨터월드] 최근 소프트웨어의 취약점을 악용한 사이버 공격의 위협이 증가하고, 소프트웨어가 핵심이 되는 사물인터넷(IoT) 등 신기술의 부상으로 소프트웨어 보안의 중요성이 더욱 강조되고 있다. 공공정보화 사업을 비롯해 정보보호관리체계(ISMS) 등에 시큐어코딩을 적용하도록 하면서 공공기관을 중심으로 금융, 일반 기업 등 전 산업분야로 시큐어코딩 진단도구 도입이 확산되고 있다.
파수닷컴은 업계 최다 보안약점 진단원 및 전문 개발 인력의 독보적인 기술력과 풍부한 노하우를 바탕으로 경쟁사에서 제공하지 않는 다양한 차별화된 기능을 제공하며 시큐어코딩 시장에서 탄탄한 입지를 확보해 나가고 있다.
파수닷컴의 ‘SPARROW(스패로우)’는 국내 최초 시맨틱 기반의 정적 분석 기술을 바탕으로 개발 단계부터 소스코드 상의 보안 약점을 검출해 제거하도록 지원하는 최적의 시큐어코딩 진단도구이다. 정적 분석 솔루션은 소스코드를 실제 실행하지 않고 분석하는 방법을 통틀어 일컬으며, 여기에는 가장 간단한 문법 체크부터 프로그램이 실행 중 가질 수 있는 값을 미리 예측하는 의미 분석 기술까지 모두 포함된다.
문법 체크 수준의 솔루션은 다수의 공개 소프트웨어를 포함해 예전부터 존재해왔지만, 프로그램의 복잡한 의미를 미리 예측할 수 있는 기술은 이제 상용화된 지 10년 남짓 지난 비교적 새로운 것이다.
고신뢰성 소프트웨어 개발을 한다면 한 번쯤 들어봤을 만한 제품인 ‘프리벤트(Prevent)’나 ‘코드 소나(Code Sonar)’와 같은 세계 유수의 의미 기반 정적 분석 솔루션들이 학계의 연구자들이 직접 산업계로 뛰어들어 세운 스타트업들에 의해 만들어졌다면, 파수닷컴의 스패로우는 서울대학교 소프트웨어 무결점 연구센터와 공동 연구를 통해 만들어졌다. 6년의 연구, 5년의 상용화 기간을 통해 기술력과 시장성을 검증 받아 출시됐고, 이후 학계와 지속적으로 연계 개발 프로세스를 보유하고 있다.
뛰어난 검출력 및 낮은 오탐률
정적 분석 솔루션을 비교하거나 선택할 때 가장 중요한 요소는 오탐률이다. 분석기의 성능을 비교하는 벤치마크에서 분석기가 알려주는 보안약점의 개수만으로는 분석기의 우수성을 판단할 수 없다.
실제 보안약점이 아닌데 보안약점이라고 진단하는 ‘오탐’, 실제 보안약점이 존재함에도 검출하지 못하는 ‘미탐’을 최소화하는 일이 중요하다. 이를 위해서는 프로그램의 겉모습이나 패턴으로 보안약점을 찍어보는 것이 아니라 실제 실행 의미를 이해하고 보안약점의 발생 원인까지 추적할 수 있어야 한다.
스패로우는 국내 유일 모든 형태의 시맨틱 분석이 가능한 높은 레벨의 시큐어코딩 분석 도구로써 보안 취약점 외에 소스코드 표준, 실행오류까지 모두 검출한다. 프로그램의 실행 의미를 분석하는 시맨틱(Semantic) 분석 엔진과 정해진 패턴을 바탕으로 빠르고 정확하게 구문을 분석하는 신택틱(Syntactic) 엔진을 복합 적용해 뛰어난 검출력과 낮은 오탐율을 가지고 있다.
또한 정적 분석 솔루션이 얼마나 자세한 설명을 제공하는지도 중요하다. 보안약점이 발생하기 위해 프로그램이 거쳐야 하는 경로, 보안약점의 원인이 시작되는 지점, 보안약점이 실제로 발생하는 지점을 자세히 보여줄수록 개발자가 실제 그 보안약점을 수정하는 시간을 획기적으로 단축시킬 수 있다. 보안약점이 발생하는 지점만을 보여주는 솔루션은 원인을 파악하고 수정하는데 들어가는 비용 때문에 실제 개발 프로세스에 통합하는데 어려움이 있다.
파수닷컴의 스패로우는 정확한 분석 및 낮은 오탐률, 상세한 보안약점 설명으로 현재 가장 빠르게 시큐어코딩 시장 점유율을 늘려가고 있다.
효율적인 개발과 관리 보장
소프트웨어 개발 과정 전반에서는 물론 개발이 완료된 프로그램의 운영 시에도 소스코드 수정이 발생할 수 있다. 스패로우는 프로젝트 품질 현황 파악을 할 수 있는 요약 리포트를 통해 검출된 결함의 소스코드 위치 파악 및 수정이 용이하다. 분석 결과 웹(Web)을 통해 언제 어디서나 리뷰 및 공유가 가능하며 효율적인 개발과 관리가 보장된다.
시큐어코딩은 일부 시스템에만 국한해 적용하는 것이 아니라 코드가 수정되면 운영/유지보수 단계에서도 반드시 적용돼야하기 때문에, 시큐어코딩 분석도구는 보안 인프라로 포지셔닝 되는 것이 필요하다.
사용자 편의성 및 빠른 수정 기능 강화
최근 스패로우는 여러 가지 현장 경험을 바탕으로 관련 업계에서 제공하지 않는 차별화된 기능들을 추가했다. 검출된 이슈의 수정가이드를 실제 코드를 이용해 자동으로 보여줌으로써 개발자가 쉽게 수정할 수 있도록 하는 ‘액티브 서제스쳔(Active Suggestion)’, 동일한 발생 경로나 원인의 이슈를 선별해 한 번에 처리할 수 있는 ‘어드밴스드 이슈 필터링(Advanced Issue Filtering)’, 소스코드 유형별로 묶어줌으로써 한 개의 알람을 검토하면 검토 결과를 나머지 알람에도 모두 적용해 빠르게 검토할 수 있는 ‘인텔리전트 알람 클러스터링(Intelligent Alarm Clustering) 기능’ 등을 제공함으로써 편의성과 분석 이후 빠르게 확인하고 수정할 수 있는 기능을 한층 강화했다.
국내 최초로 시큐어코딩 진단도구 CC인증을 획득한 스패로우는 세계적으로 공신력 있는 정보보안 어워드 ‘인포 시큐리티 글로벌 엑설런스 어워드’에서 취약성 평가 부문 금상을 수상하며 글로벌 시장에서의 경쟁력을 확보했다. 또한 지난해 스패로우는 공공판매 1위를 기록했으며, 올해 상반기에도 공공기관을 비롯한 다양한 산업분야의 수요층이 점점 확대되면서 전년 동기 대비 2배 이상의 수주 실적을 이뤄내는 등 시큐어코딩 시장에서 우위를 선점하고 있다.