국내 많은 보안사고의 원인은 무엇일까. 많은 부분 소프트웨어나 웹 취약점이 원인을 제공하고 있다. 사이버 범죄자들은 최근 어도비나 MS의 공개된 취약점이나 제로데이 취약점을 이용해 공격을 시도하고 있다. 특히 보안코딩이 되지않은 국내 많은 웹 애플리케이션 취약점은 공격자들에게 손쉬운 먹이감이 되고 있다. 이를 위해서는 소스코드 취약점을 근본적으로 제거해야만 공격을 예방할 수 있다. 이에 대해 지난 7년간 계속해서 주장하고 관련 솔루션을 공급해 온 기업이 한국포티파이소프트웨어(대표 문성준 www.fortify.co.kr)다.
 
◇보안코딩으로 공격루트 차단하라=문성준 대표는 “상당수 보안사고는 소프트웨어나 웹 취약점이 그 루트를 제공한다. 이를 예방하기 위해서는 취약한 소스코드를 수정해야만 취약점을 근본적으로 제거할 수 있다”며 “이러한 취약점은 개발초기부터 보안을 고려하지 않고 개발을 하기 때문에 발생한다. 개발시점에 소스코드 보안 진단을 통해 보안코딩을 하는 것이 가장 효과적이고 운영중이라도 시급한 취약점을 하나하나 제거해 나가야 큰 사고를 예방할 수 있다”고 지적했다.
 
최근 문제가 되고 있는 개인정보 유출도 SW나 웹 취약점을 이용한 공격이 주를 이루고 있다. 문 대표는 “사이버 범죄자들이 타깃으로 한 기업에 소스코드 취약점이 존재한다면 손쉽게 공격이 가능하다. 공격자들은 대부분 시스템이나 네트워크 해킹 보다는 웹 애플리케이션 취약점을 통해 권한탈취와 정보유출을 시도하고 있기 때문에 취약점 제거는 공격 루트를 차단하는데 효과적 방어수단이다. 공공이나 기업에서 시급하게 점검해야할 부분”이라고 강조했다.
 
특히 개인정보보호법이 9월 30일부터 시행된다. 근본적인 공격 루트를 제공하고 있는 웹 애플리케이션 취약점을 제거하는 것은 사이버 공격을 예방하고 개인정보나 기업의 기밀정보를 보호하는데도 꼭 필요한 보안조치 사항이다.
 
현재 국방쪽이나 행정안전부 등에서는 개발 프로젝트 수행시에 반드시 소스코드 취약점을 제거할 것을 개발자들에게 요구하고 있다. 뿐만 아니라 대기업과 금융권 등은 이미 몇 년 전부터 보안코딩의 중요성을 인식하고 보안코딩 프로세스를 정립해 개발을 진행하고 있다.
 
◇성숙기에 접어든 소스코드 분석 시장=문 대표는 “소스코드 분석 시장은 올해도 계속 성장세다. 성숙기라도 볼 수 있다. 공공분야에서도 니즈가 증가하고 있고 대기업과 금융기관을 중심으로 해킹 루트를 제공하는 소스코드 취약점 제거에 대한 인식이 확산되면서 시장도 계속 확대되고 있다”고 시장상황을 전했다.
 
올해 벌써 대기업 위주로 20여 곳에 소프트웨어 취약점 탐지, 제거 솔루션을 공급하고 있다. 개인정보보호법 시행 이후에는 더욱 확대될 조짐이다.
 
또 소프트웨어를 만드는 글로벌 기업들 어도비, CA, 오라클 등도 포티파이 소프트웨어 취약점 제거 솔루션을 사용해 제작 초기부터 보안코딩을 하고 있고 국내 보안업체들도 보안제품 설계시 취약점 제거 솔루션을 사용해 제품의 안정성을 높이고 있다.
 
개발초기부터 완료까지 소스코드 분석이 필요하다면 실제 운영단계에서는 소스코드 분석만으로는 부족하다. 문 대표는 “소스코드 분석은 정적 분석이다. 운영단계에서는 웹 스캐너를 통해 다이나믹 분석이 필요하다”며 “소스코드 분석을 통해 모든 취약점을 찾아내고 이 결과물들이 실제 운영상에서 취약점으로 작용할지 점검해 제거하는 것이 웹 스캐너의 역할이다. 이 두 부분이 복합적으로 통합 적용돼야만 안전성을 확보할 수 있다. 이것이 바로 하이브리드 분석”이라고 말했다.
 
현재 이 두 부분을 결합한 하이브리드 분석을 통해 개발시나 운영상 취약점들, 예를 들어 SQL인젝션이나 XSS 취약점들을 찾아내고 이외 다양한 취약점들을 제거하는 기업들이 늘고 있다.
 
그는 특히 “개발이 완료된 후 전수분석을 통해 취약점을 없애겠다는 것은 불가능하다. 개발 초기부터 보안코딩을 하는 것이 가장 효과적이고 확실하다”며 “만약 개발시 보안코딩을 하지 않고 현재 운영중인 소프트웨어라면 소스코드 분석툴을 이용해 가장 시급한 취약점부터 조치하고 이외 단계적 마스터플랜을 가지고 제거하는 방법도 있다. 하지만 운영중인 상태에서 취약점을 완전 제거하기란 힘들다”고 설명했다.
 
기업 ROI 측면에서도 개발초기부터 보안코딩을 하는 것이 더 이익이다. 만약 개발자들이 보안코딩을 적용하지 않고 원소스에 취약점이 있는 소스코드를 카피해서 사용하면 그 취약점은 기하급수적으로 늘어난다고 한다. 그래서 개발 완료된 후 운영중 취약점을 제거하는데는 비용 측면에서도 개발초기부터 보안코딩하는 것 보다 20배 이상 늘어난다는 것이 그의 설명이다.
 
◇변화하는 한국포티파이소프트웨어=지난해 8월 포티파이가 HP에 합병됐다. 포티파이 한국법인 대표였던 그에게는 아쉽고 당황스러웠을 것이다. 7년간 보안코딩의 중요성을 한국에 전하면서 공공이나 대기업의 인식변화에 큰 역할을 담당해 왔다. 하지만 이제 새로운 길을 모색할 시점에 직면했다.
 
포티파이가 HP에 인수된지 1년이 넘었다. 문 대표는 이제 한국포티파이 지사장이 아니라 독립된 기업의 대표로서 한국포티파이소프트웨어를 새롭게 탈바꿈 시키고 있다. 올해말 기업명도 바꿀 예정이며 사세 확장을 위해 장기 플랜도 마련한 상태다.  
 
문 대표는 “변화할 시점이다. 외국계 기업 지사 개념에서 벗어나 한국 보안기업으로 그 틀을 마련하고 있다”며 “앞으로도 소스코드 분석과 웹 취약점 분석 시장은 계속 주도해 나갈 것이다. 하지만 이것만 가지고는 부족하다. 이와 연관된 보안 포트폴리오를 만들어 진정한 보안소프트웨어 기업으로 도약중”이라고 밝혔다.
 
그는 “변화의 한 일환으로 현재 애플리케이션 보안과 연결점이 있는 CA의 계정관리, 계정통합, 로그관리, OTP 솔루션을 시장에 적극적으로 공급하고 있다”며 “기존 웹 애플리케이션 보안과 계정통제 분야를 연계한 우리 기업만의 보안 포트폴리오를 만들어 가고 있다”고 강조했다.
 
이러한 성공적 변화를 통해 한국포티파이소프트웨어는 올해 65억 이상의 매출을 달성할 전망이다.또 내년에는 100억을 넘어서는 보안소프트웨어 공급업체가 될 것으로 보인다.
 
문 대표와 웹 애플리케이션 보안은 어떻게 처음 연을 맺게 됐을까. 그는 CA와 세이프인터넷, STG시큐리티를 거치면서 보안코딩의 중요성을 인식하게 됐고 초기에는 수동으로 일일히 체크하면서 취약점을 찾아내는 매뉴얼 소스코드 리뷰 컨설팅을 주로 했다.
 
그는 문득 이 작업을 자동화하면 얼마나 편리할까란 생각을 하게됐고 2003년 미국 포티파이에서 마침 관련 솔루션이 출시됐다. 향후 이 분야의 시장성을 확신하고 지속적으로 포티파이 본사와 접촉한 결과, 2005년 한국에 처음 웹 애플리케이션 취약점 서비스들을 선보이게 된 것이다. 포티파이 본사는 한국에서의 성장을 계기로 일본과 대만, 유럽까지 월드와이드로 나갈 수 있는 발판을 마련한 샘이다.
 
문 대표는 “변화에 대해 꾸준히 준비해 왔기 때문에 포티파이와 HP 합병에도 큰 데미지는 없었다. 차라리 지금 직원도 늘어나고 사무실도 커지고 사업이 더욱 확대된 상태”라며 “보안소프트웨어 공급에서 벗어나 향후에는 솔루션 개발에 역량을 집중할 계획이다. 우리 소프트웨어의 우물안 개구리식 개발에서 탈피해 글로벌 시장에 내놓아도 손색없는 글로벌 솔루션을 만들어 보는 것이 꿈”이라고 말했다.
 
그는 “CEO의 덕목은 변화의 시기를 간파할 수 있는 통찰력과 어떻게 변화할것인지 모든 것을 열어놓고 생각할 수 있는 사고의 유연성”이라고 말한다. 한국포티파이소프트웨어의 새로운 변화가 기대된다. [데일리시큐=길민권 기자]