[취약점분석특집]트리티니소프트 `코드레이`

트리니티소프트(대표 김진수)는 시큐어코딩 솔루션 ‘코드레이’ 시리즈로 시장을 확대한다.

트리니티소프트는 시큐어코딩 인식이 부족했던 2010년부터 소스코드 취약점 분석 솔루션을 개발했다. 회사는 ‘코드레이 V2.0’과 ‘코드레이 XG V2.5’ 두 가지 라인업으로 고객 선택 폭을 넓혔다.

코드레이는 소스코드 보안약점 분석과 형상관리, 식별 및 인증, 감사기록, 전송데이터 보호 등을 한다. 일차적으로 웹서버 정보를 분석, 존재하는 취약점을 진단한 후 관련정보를 통계 처리한다. 시각화된 ‘소스코드 로직추적’ 기능이 특징이다. 취약한 소스코드를 밝혀내 형상을 관리하고 어떤 근거에서 취약한지 논리적으로 분석한다. 직관적 사용과 관리에 용이하다.

개발자는 개발 툴에서 취약점분석, 취약분석내용 이력관리, 소스코드 형상처리기능 등 보안 테스팅과 수정작업 주체로서 프로세스를 수행한다. 관리자가 개발 전체에서 이루어지는 취약점 분석 공정 내용을 편리하게 확인할 수 있다. 소스코드 무결성을 검사해 변조여부를 알아내고 복구할 수도 있다.

코드레이 V2.0은 자바와 C언어를 포함한 여러 개발언어 시큐어코딩 엔진을 지원한다. OWASP과 CWE/SANS, 행정자치부 등 다양한 점검 규칙을 내재화했다. 코드레이 V2.0은 2011년 CC인증을 받아 보안성을 검증했다.

코드레이 XG V2.5는 조금 더 간편화한 제품이다. 행정자치부 ‘소프트웨어 개발보안 가이드’에 맞춰 자바, C언어 ‘시큐어코딩’ 분야만을 전문화했다. 2014년 이 제품도 CC인증을 받았다.

트리니티소프트 시큐어 코딩 솔루션은 이미 대형 고객사에서 검증됐다. 산업은행은 애플리케이션 보안 취약점을 제거하는 용도로 코드레이를 선택했다. 우리투자증권과 HK저축은행 등 금융기관을 비롯해 제주국제자유도시개발센터, 한국형사정책연구원, 세외수입정보단 등 정부산하 기관에서 도입했다.

김진수 트리니티소프트 대표는 “비즈니스 대부분이 웹에서 이뤄지며 웹 애플리케이션 취약점을 이용하는 지능적 유형이 증가했다”며 “기관과 기업이 다양한 방식으로 보안프로세스를 구축하고 있으나 보다 정교한 개발과 이와 관련된 보안점검 프로세스가 필요하다”고 말했다.

김인순기자 insoon@etnews.com