"침해 사고 원천적으로 차단하려면 프로그램 개발시부터 취약점 없애야"
네트워크 보안을 강화하고, 패치 및 각종 보안 장비를 설치해도 침해 사고는 계속되고 있다. "열 사람이 한 도둑 막기 어렵다"는 것을 실감나게 하는 대목이다. 이와 관련해 프로그램 개발 때부터 침해 당할 수 있는 취약점을 찾아서 안전한 프로그램으로 코딩해주는 소스코드 분석 솔루션 업체 포티피아를 설립한 로저 토른톤 CTO가 한국후지쯔와 총판 계약을 맺고 국내 시장 공략을 위해 방한했다. 로저 CTO는 "프로그램 코딩 단계에서부터 포티파이 제품으로 테스트 하면 취약점을 찾을 수 있다"고 밝힌다. 포티파이는 최근 KT에 제품을 공급하는 성과를 올리기도 했다. 로저 CTO를 만나 소스코드 분석 솔루션에 대해 알아보고, 향후 마케팅 정책을 들어본다. 박종환 기자 telepark@rfidjournalkorea.com
소스코드 분석 솔루션이 왜 중요한가?
기업들이 보안에 투자를 많이 한다. 대부분의 기업들은 악의적인 사람들로부터 내부 정보를 보호하고, 정부의 규제나 정책에 따르기 위해, 그리고 자사의 브랜드 이미지를 훼손당하지 않기 위해 투자한다. 많은 기업들이 정보보호를 위해 네트워크 보안에 치중해 온 것이 사실이다. 그러나 컴퓨터 범죄는 투자가 증가한 만큼 비례해서 증가해 왔다.
그 이유는 네트워크상에서의 침해사고 보다는 애플리케이션 쪽에서 사고가 많이 나고 있기때문이다. 마이크로소프트의 경우 15% 정도가 OS에서 침해사고가 일어나고 실제 많은 부문은 애플리케이션에서 일어난다. 애플리케이션의 취약점이 있기 때문이다.
다양한 애플리케이션이 방화벽 안에 있음에도 불구하고 침해사고가 나는 이유는. 외부의 서버와 연결하기 위해 특정 포트를 열어 놓게 되는데, 그런 홀을 통해서 침범하기 때문이다. 월마트는 이를 막기 위해 홀을 막아버렸는데, 아웃소싱 업체가 이메일을 확인하기 위해 컴퓨터를 연결하는 순간, 그 통로를 통해서 침해를 당한 적도 있다.
해커들은 소프트웨어 취약점을 어떻게든 찾는다. 다양한 공격 방법이 커뮤니티 상에서 계속해서 떠돌아 다니고 있고, 지금도 개발되고 있다. 특정 애플리케이션에 접근할 수 만 있으면 119개의 공격 방법이 있다.
이를 막기 위해서는 안전한 애플리케이션을 개발해야 한다. 소스코드를 철저히 분석해서 취약점을 없애는 방법이 최선이다.
포티파이가 가지고 있는 원천기술, 즉 애플리케이션 소스코드를 분석해서 원천적으로 보안이 보장된 애플리케이션을 개발할 수 있도록 하는 핵심기술은 무엇이고, 어떻게 구현되는가?
포티파이 솔루션은 보안 코딩 룰을 기반으로 원시 코드의 취약점을 분석한다. 보안 코딩 룰은 입력값을 애플리케이션 내부에서 진행되는 흐름(Flow)이나 제어(Control)에 따라 그 사용을 추적하고, 최종적으로 취약점이 발생하는 함수까지 어떠한 필터링(Sanitize)도 이루어지지 않는 경우 취약점으로 분류한다.
경쟁 제품은 없는가? 경쟁제품이 있다면 어떻게 다른가?
기존 블랙 박스 테스트를 수행하는 웹 애플리케이션 취약점 분석 도구(통칭 : 웹 스캐너)가 시장에 나와 있다. 대표적인 업체가 워치파이어인데, 포티파이와는 점검 형태가 완전히 다른 제품이다. 포티파이가 코드 감사에 해당하는 점검 도구라면, 웹 스캐너는 모의 해킹에 해당하는 점검 도구로 그 용도가 완전히 다르다.
두 가지 점검 기법은 서로 장단점을 가지고 있으며 상호보완적인 성격을 가진다. 다음의 <표>를 보면 자세히 알 수 있을 것이다. 또 기존의 소스 코드 스캐너는 QA 관점에서 점검을 수행하는 도구로써, 보안 취약점에 대한 레포팅을 하지 않거나, 기능이 극히 제한적이다. 이외에도 기존 솔루션들은 특정 개발 코드에 한정되어 다양한 언어를 지원하지 못하는 단점이 있다.
최근 KT에 솔루션을 공급한 것으로 알고 있다. 어떻게 구현되나?
미국에서는 주요 프로그램 개발사들이 이미 채용하여 운영 중에 있다. 대표적인 회사로 오라클, 시만텍 등이 있다.
한국에서는 최근 KT에 공급했는데, 구체적인 것은 밝히기 곤란하다. KT는 작년 9월 와치파이어 AppScan을 도입하여 운영하고 있었는데, 이번에 추가로 포티파이 도입을 통해 화이트 박스 테스트 툴과 블랙 박스 테스트 툴 모두를 운영하는 회사가 되었다.
KT에서 운영되는 모든 애플리케이션은 이 두 도구를 사용하여, 그 취약점을 크로스 체크하게 될 것이다.
포티파이라는 회사의 일반 현황을 얘기해 달라.
포티파이 소프트웨어는 2003년에 설립되었다. 현재 직원은 100명 정도이며, 이중 개발자가 50명 이다. 2005년 매출이 50억원이었으나, 올해는 200억원 달성이 무난할 것으로 보인다. 주요고객은 MS, 오라클, 시만텍 그리고 10위권 안의 은행 중 8개가 사용하고 있다.
향후 국내에서 영업 방식은? 이번에 계약한 한국후지쯔 외에 기존 인터비전과의 관계는 어떻게 설정할 것인가? 그리고 국내 지사는 설립하지 않는가?
현재 영업방식은 협력사를 통한 채널 영업이다. 인터비젼과 한국후지쯔는 상호간 마케팅을 협조할 것이지만, 영업은 개별적으로 진행한다. 한국에 지사는 내년쯤 설립할 예정이다. 정확한 시기는 아직 밝히기 곤란하다.
향후 국내에서 중점 공략할 업계는? 그리고 시장 전망은?
초기 중점 공략 대상은 제1금융권과 통신사업자이다. 더 나아가서는 SW 개발사와 SI 프로젝트이다. SI 개발시 포티파이 솔루션으로 보안 점검하도록 안착이 된다면 시장은 엄청 커질 것으로 생각한다. 금융 등 일반고객 대상 시장은 약 50~100억원 정도 예상하고 있다.