웹 애플리케이션 기반의 업무가 늘어남에 따라 그와 관련된 해킹사고도 점차 증가하고 있다. 해커들은 웹 취약점 공격을 통해 공격 대상 컴퓨터의 제어 권한을 획득하거나 정보탈취를 목적으로 SQL인젝션, XSS 등 일반적으로 많이 알려진 공격유형을 변형한 새로운 공격유형들을 끊임없이 개발하고 있어 이에 대한 대비가 필요하다.
웹 취약점 공격으로 인한 피해를 예방하고자 행안부에서 공표한 `시큐어코딩`의 법제화 이후 공공기관, 대기업, 금융권뿐만 아니라 대량의 개인정보 및 연구실적을 보유하고 있는 대학에서도 시큐어코딩 솔루션의 도입이 증가 추세에 있다.
경북대학교는 지난 6월 전국 대학 최초로 트리니티소프트의 시큐어코딩 솔루션 `코드레이(Code-Ray)`를 도입했다. 경북대학교는 학사행정 개발 시 개발 프로세스에 보안을 도입해 개발자가 사전에 보안 문제점을 제거함으로써 보안 취약점의 수를 낮추고 침해사고를 사전에 예방하기 위한 목적으로 코드레이를 구축했다.
웹 소스코드 통합보안관리 솔루션인 코드레이 구축을 통해 경북대학교는 정기적으로 룰 업데이트를 수행, 신규 취약점을 실시간으로 탐지하고, 취약점이 존재하는 소스코드에 한해 웹 서버로 배포가 자동으로 제한되는 기능을 주로 사용하고 있다. 이후 웹 서버로 전송된 소스코드가 외부공격에 의해 변조되는 것을 방지해 잠재적으로 존재할 수 있는 보안위협으로부터 웹 애플리케이션을 보호하고 있다.
그 밖에 소스코드 자동백업기능, 형상관리, 등급별 사용자 권한관리 등 체계적으로 웹 소스코드를 관리할 수 있는 기능들을 함께 사용함으로써 개발비용 절감 및 공정시간 단축효과를 기대하고 있다.
트리니티소프트는 코드레이의 강점으로 정확한 취약점 탐지기능을 꼽았다. 이는 관리에서 취약한 소스코드 부분이 발견됐을 때 `소스코드 로직추적` 기능을 이용해 취약점이 발생한 부분뿐만 아니라 그와 연관된 부분까지 추적해 소스코드에 대한 흐름을 시각화한 것이다. 취약한 소스코드의 위치를 정확히 지적해 낼 수 있다.
코드레이의 또 다른 강점은 범용성이다. 기존 사용 중인 개발도구와 유연하게 연동될 수 있도록 커넥터를 제공한다. 기타 사용 버전관리시스템과의 연동이 가능하며, 소스코드가 존재하지 않는 환경의 경우 URL 정보만으로도 취약점 점검이 가능하다. 개발작업에 대한 버전관리 및 개발작업에 대한 소스코드 진단, 운영 웹 사이트에 대한 보안검증 등의 일련의 작업들을 1개의 업무프로세스로 적용해 사용자의 편리성도 도모했다.
유경열 트리니티소프트 부사장은 “최근 개발 업무 프로세스에 보안을 도입한 체계 수립이 이슈화되면서 개발단계에서부터 근본적인 원인을 제거하는 시큐어코딩이 주목받고 있다”며 “코드레이는 시큐어코딩솔루션 도입 시 능동적인 취약점 분석과 더불어 보안업무 관리에도 편리성을 제공한다”고 말했다.
장윤정기자 linda@etnews.com