트리니티소프트가 개발단계에서부터 소스코드 허점과 오류를 검사해주는 소스코드 감리용 솔루션 ‘코드-레이’로 시큐어코딩 시장에서 신흥 강자로 떠올랐다. 시큐어코딩은 지난해까지는 20억원 이상, 올해부터는 모든 공공사업에 의무적으로 적용해야 하는 보안 솔루션이다.
트리니티소프트(대표 김진수)는 한국정보관리단·한국IT컨설팅·CAS 등 정부에서 지정한 3대 정보화 사업 소스코드 감리업체가 철저한 품질성능평가시험(BMT)을 거쳐 자사 ‘코드-레이’를 시큐어코딩 사업용 솔루션으로 선정해 사용하기 시작했다고 11일 밝혔다.
회사 측은 이름만 대면 알만한 국가정보기관 3곳과 교보증권·SK증권 등 다수 금융기관에도 잇따라 납품하는 등 최근 들어 ‘코드-레이’를 찾는 기관이 크게 늘었다고 덧붙였다.
이 회사가 개발한 ‘코드-레이’는 자바나 C언어로 코딩할 때 코딩 취약점을 판독해 주는 툴이다. 대부분의 보안사고는 개발단계에서부터 취약한 경우가 많은데 이를 소스코딩 단계에서 찾아 알려준다.
SW 분석 및 설계에서부터 개발구현, 테스트, 운영 등 각 단계에서 발생할 수 있는 보안약점을 관리하기 위해 단계별로 소스코드 통합보안관리 기능을 제공한다. 행정자치부가 47개 보안약점과 국정원 홈페이지에 명시한 8대 취약점 및 전자금융감독규정에서 정의한 가이드라인을 기초로 보안약점을 분석·관리한다. OWASP 톱10과 CWE/SANS 톱25 등 해외 점검기준도 대응하는 등 다양한 점검기준을 만족시켜준다.
자바와 안드로이드 자바 및 자바 스크립트, Jsp, Asp, Net, C 등 다양한 언어에 모두 대응할 수 있다. 소스코드 버전은 SVN방식 버전관리 시스템으로 관리한다. 별도로 제공하는 그래픽유저인터페이스(GUI)로 사용자 정의 룰도 만들 수 있다.
메인 대쉬보드로 소스코드 버전정보와 보안약점 이력정보 등 통합정보를 보기 쉽게 제공하고, 프로젝트의 보안약점과 관련된 연관소스 연결정보도 직권적으로 표시해준다. 빌드과정이나 개발환경을 구축하지 않고 소스코드만으로 보안약점을 분석할 수 있고, 가상컴파일 과정을 활용하기 때문에 탐지 정확도가 높은 것도 장점이다.
2011년에 국정원 CC인증을 획득했다. ‘웹방화벽에서의 화이트-URL 수집방법 및 화이트-URL 수집기능이 구비된 웹방화벽‘기술로 특허도 획득했다.
김진수 사장은 “시큐어코딩 시장은 HP와 IBM 등 외국기업이 강세를 보이고 있는 가운데 국내 기업으로는 파수닷컴에 이어 트리니티소프트가 CC인증을 받은 몇 안 되는 기업으로 참여하고 있다”며 “해외 전시회 참여를 늘리고 파트너사를 물색해 미국과 일본 등 해외 시장에도 진출할 계획”이라고 말했다.
김순기기자 soonkkim@etnews.com