시큐어코딩 솔루션, 취약점 검출 ‘다다익선’은 옛말… 개발 편의성 높여야 산다

소프트웨어(SW) 개발 단계부터 취약점을 보완해 보안성과 품질을 높이는 시큐어코딩에 개발 편의성이 핵심 요소로 떠올랐다. 과거 취약점을 최대한 많이 검출해내는 것이 성능 지표로 여겨지던 경향과 사뭇 다르다.

6일 업계에 따르면 최근 시큐어코딩 솔루션에 취약점 탐지 기능과 함께 개발 편의성 향상 기능이 추가됐다. 지난 몇 년간 현장에 시큐어코딩 사용 경험이 쌓이면서 개발 담당자로부터 편의성 강화 요구가 늘었기 때문이다.

국내 시큐어코딩 시장은 정부가 지난 2012년 말부터 공공정보화사업에 시큐어코딩 적용을 의무화하면서 확산됐다. 초기 포티파이 등 외산 솔루션 업체가 시장 대부분을 점유했다. 공통평가기준(CC)인증 적용을 받으며 국내 업체가 시장 경쟁력을 높였다.

파수닷컴은 가장 먼저 CC인증을 획득하며 공공시장 중심으로 사업을 확장했다. 지난해 시큐어코딩 솔루션 사업은 전년 대비 약 170% 성장했다. 최근 중국 오타겟과 함께 중국 내 국방, 항공, 방산 관련 시장에도 진출했다.

사용자 편의성을 높이는 ‘액티브 서제스쳔’ ‘어드밴스트 이슈 필터링’ ‘인텔리전트 알람 클러스터링’ 세 가지 기능이 차별화 요소다.

액티브 서제스쳔은 검출한 이슈에 샘플이 아닌 실제 적용 가능한 수정 코드를 자동 제시한다. 수정에 걸리는 시간을 기존 대비 65% 이상 절감 가능하다. 어드밴스트 이슈 필터링은 동일 원인 이슈를 선별해 한번에 처리한다. 이슈 발생 경로와 소스코드 내 정보를 이용해 다양한 조건으로 검색한다.

인텔리전트 알람 클러스터링은 여러 검출 결과 알람을 비슷한 소스별로 묶어준다. 한 개 알람 검토한 결과를 유사한 나머지 알람에도 모두 적용한다.

장일수 파수닷컴 PA사업본부장은 “지난해 스패로우에 추가한 세 가지 사용자 편의 기능으로 고객 만족도가 올랐다”며 “세 기능을 제시하면 시큐어코딩을 경험한 대부분 고객이 공감한다”고 말했다. 트리니티소프트, 한컴시큐어(구 소프트포럼), 싸이버텍, 지티원 등도 업무 환경 최적화와 개발 편의성 향상을 외산 솔루션 대비 차별화 요소로 삼았다. 행정자치부가 명시한 47개 항목 만족과 CC인증 획득은 기본이다.

트리니티소프트 ‘코드-레이 엑스지’는 빌드과정이나 개발환경 구축 없이 소스코드만으로 보안약점을 분석한다. 별도 제공하는 그래픽유저인터페이스(GUI)로 사용자 정의 룰도 만든다. 가상컴파일 과정 활용으로 탐지 정확도를 높였다.

소프트포럼 ‘소포스코딩’은 보안약점을 중앙 집중식으로 관리한다. 다양한 언어로 이뤄진 소스코드를 통합 연계 분석해 사용 편의성과 효율성을 높였다. 개발자가 작성 중인 소스코드도 실시간으로 보안약점을 진단해 작업 속도를 높인다. 싸이버텍 ‘힐링시큐 스캔제이’는 SW 개발 전 과정에서 소스코드 잠재 오류와 보안약점을 자동 검출한다.

업계 관계자는 “시큐어코딩 필요성과 중요성에 대한 사회적 인식이 높아진다”며 “사물인터넷(IoT) 분야와 자동차 산업에서도 수요가 증가할 것”이라고 말했다.

박정은기자 jepark@etnews.com