연초부터 대규모 금융사고와 하트블리드 등 굵직한 보안이슈가 발생해 보안에 대한 관심이 높아졌다. 금융권 등 기관·기업 보안담당자는 의식제고와 물리적장치 보완 등 전사 보안강화에 대한 노력을 기울이고 있다.
웹 서비스가 대부분이기에 잠재적으로 존재할 수 있는 웹 취약점을 점검해 안전성을 높이는 방법이 크게 대두됐다. 정확히 분석된 취약점을 바탕으로 신속한 대응이 이뤄지면 외부공격으로부터 위험률을 사전에 대폭 줄일 수 있다.
웹 애플리케이션 보안 전문업체인 트리니티소프트(대표 김진수)는 자사 시큐어코딩 솔루션 ‘코드레이(CODE-RAY)’ 시리즈를 공급한다. 웹 취약점 점검·분석 서비스를 공공·금융·일반기업 등에 제공한다. 시큐어코딩 솔루션이란 소프트웨어의 개발단계(SDLC)에서부터 버전관리와 개발코드 취약점을 분석하고 수정할 수 있도록 도움을 주는 보안장치이다.
시큐어코딩이라는 개념 인식이 부족했던 2010년부터 소스코드 취약점분석 유형의 솔루션을 연구하고 개발을 거듭해 왔다. 축적된 트리니티소프트의 기술과 노하우는 코드레이 V2.0과 코드레이 XG V2.5 등 두 가지 제품라인업으로 구축돼 관련 시장에서 활용된다.
코드레이는 소스코드 보안약점 분석기능, 형상관리, 식별 및 인증, 감사기록, 전송데이터 보호 등 기능을 제공한다. 소프트웨어에 존재하는 취약점을 최소화시키는 솔루션이다. 제품라인업의 면면을 살펴보면 지난달 말 CC인증을 취득한 코드레이 XG V2.5는 이미 취약점 점검도구 유형으로 2011년 CC인증을 받아 보안성을 검증받은 코드레이 V2.0과 동일한 엔진으로 구동되는 분석 도구이다.
기존 V2.0버전은 자바, C를 포함한 여러 개발언어에 대한 시큐어코딩 엔진을 지원한다. 다양한 점검 규칙(OWASP, CWE/SANS, 안전행정부)의 대응안을 내재하고 있어 소스코드 보안성을 극대화시킬 수 있다. V2.5버전은 이에 비해 다소 축소된 개념으로 안전행정부의 ‘소프트웨어 개발보안 가이드’에 맞춰 자바, C 언어의 ‘시큐어코딩’ 분야만을 전문화시킨 버전이다.
트리니티소프트 시큐어코딩 솔루션은 산업은행 적용됐다. 산업은행은 애플리케이션 보안 취약점을 제거하기 위해 관련 제품 대상으로 벤치마크테스트(BMT)를 진향, 트리니티소프트 시큐어코딩 솔루션을 선정했다. 이외 우리투자증권과 HK저축은행 등 금융기관과 제주국제자유도시개발센터, 한국형사정책연구원, 세외수입정보사업단 등 정부 산하기관 등 다수 기관과 기업에서 코드레이를 도입해 사용하고 있다. 이외 다수 기업도 보안인프라 구축을 목적으로 하반기 도입을 적극 검토 중인 것으로 알려졌다.
김진수 트리니티소프트 대표는 “코드레이 XG V2.5는 취약한 소스코드를 밝혀내 형상에 대한 관리와 함께 어떤 근거에서 취약한지를 논리적으로 분석해 내는 것이 강점”이라며 “향후 ‘소스코드 통합관리 체계’ 구축을 지원하는 코드레이 V2.0과 연동으로 더욱 확장된 개념의 기능과 보안성을 제공할 것’이라 말했다.
이어 김 대표는 “업계 최초의 CC인증 다수획득 업체인 만큼 솔루션 개발과 함께 다각도의 보안컨설팅 서비스까지 심혈을 기울여 고객사 보안성을 꼼꼼히 책임질 것”이라며 앞으로 각오를 밝혔다.
신혜권기자 hkshin@etnews.com