소프트캠프(대표 배환국)가 공급망 보안을 올해 사업 화두로 삼았다.
소프트캠프는 지난해 국내 공공기관과 금융사 등에 공급망 보안을 위한 솔루션을 공급했다. 정보유출방지 관련 기술력을 닦아온 이 회사는 외부 개발 소프트웨어(SW)에 대한 패치 보안관리 관련 특허를 보유했다. 외부 반입 파일을 검사하기 위한 키오스크도 지난해 개발했다.
공급망 공격은 사용자에게 전달되는 SW나 하드웨어를 변조하는 형태다. SW 개발사 네트워크에 침투해 소스코드를 수정하거나, 배포 서버에 접근해 파일을 변경하는 식이다. 2017년 발생한 낫페트야(NotPetya) 랜섬웨어와 어베스트 C클리너(Ccleaner) 프로그램 해킹 등이 대표사례다. 지난해 한 국내 SW전문업체도 코드서명 인증서가 탈취돼 곤혹을 치렀다.
공격자는 상대적으로 보안 수준이 낮은 외부 SW개발사를 침투 경로로 쓴다. 공장플랜트, 발전설비, 전력공급설비 등 산업제어시스템 역시 SW업데이트할 때 공급망 보안이 요구된다.
소프트캠프는 프로그램 보안관리 서비스 '엑스스캔(EX-Scan)'과 외부 유입파일 검증시스템 '게이트엑스캐너(GateXcanner)'로 관련 시장을 공략한다.
'엑스스캔'은 기업·기관 내 배포·설치·패치되는 모든 프로그램의 기능과 변경사항, 의심행위를 검출하고 관리한다. 지난해 도입한 한 은행에서는 인터넷뱅킹 보안SW이자 외부 개발SW에 대한 보안 점검·관리 솔루션으로 활용한다.
'게이트엑스캐너'는 USB나 CD 등 외부 저장매체로 파일을 반입할 때 바이러스, 펌웨어, 숨은 악성코드 등을 검증, 안전한 파일만 내부로 반입시키는 키오스크 시스템이다. 지난해 A발전회사가 도입해 발전설비 설치·패치 프로그램 파일에 대한 보안 검사·관리에 적용했다.
배환국 소프트캠프 대표는 “그동안 쌓아온 내부정보 유출방지 솔루션 노하우를 바탕으로 외부 유입 정보에 대한 위협 제거·관리 솔루션 사업을 준비햇다”면서 “4차 산업혁명과 같은 급격한 IT발전으로 한 회사에서 각 요소기술 전부를 개발할 수 없고 외부 협업이 필수적이다. 외부 협력사에 대한 보안 관리가 필요해 공급망 보안 시장이 성장할 전망”이라고 말했다.
팽동현기자 paing@etnews.com