2020-04-02 16:05 (목)
코드원, 웹 애플리케이션 취약점 점검도구 등 웹보안에 특화
상태바
코드원, 웹 애플리케이션 취약점 점검도구 등 웹보안에 특화
  • 길민권
  • 승인 2015.10.05 15:14
이 기사를 공유합니다

웹 취약점 점검 도구 병행해 점검 권고, 외부 해킹 공격으로부터 안전성 확보 가능
코드원(대표 이관목)은 IBM에서 개최한 IBM Pulse 2014에서 Technical Excellence for Application Security Awards를 수상하였으며 2015년에 IBM Business Partners at InterConnect 2015에서 각 Award 부문중 Security에 선정되었다. Application 보안 솔루션의 개발적인 부분에서 특별이 인정을 받은 것이다.
 
2006년 설립된 회사로써 모의해킹, 보안 소프트웨어 개발 취약점 진단 및 제거 솔루션 분야 전문기업이다. 웹 애플리케이션 취약점 동적 점검도구 솔루션인 ‘IBM Security AppScan Standard’(이하 AppScan Standard)을 제공하고 있으며, 포털사이트, 은행 등에 외부 해킹시도가 급증하고 있어 철저한 보안 유지 및 외부 위협에 대응하기 적합한 솔루션이다.
 
코드원 ‘AppScan Standard’는 하이브리드 웹 애플리케이션 취약점 분석 및 식별과 수정/제거 가이드를 제공하며, 일관성 있는 보안 정책 적용 및 보안 개발 프로세스 구축과 하이브리드 웹 애플리케이션 취약점을 관리함으로써 대외 서비스의 높은 신뢰성을 확보할 수 있다.
 
미국에 본사를 두고 있으며 세계적으로 9개의 보안 연구센터가 있어 국내/국외에서 발견된 전 세계적인 취약점을 분석하여 업데이트를 제공한다.
 
Gartner(가트너)에서 동적 웹 애플리케이션 분석 테스팅에 대해 매직쿼더런트에서 IBM을 선도 기업으로 인지하였으며 국내의 복잡한 웹 애플리케이션 환경을 모두 지원하며(X 플랫폼 포함), GUI와 보고서 전체를 한글로 제공하여 확장성 및 편의성이 용이한 국내 웹 애플리케이션 취약점 점검 시 제일 많이 사용되는 안전성이 검증된 솔루션이다.
 
가장 눈여겨 봐야할 부분은 취약점 분석 시 실제 해커의 행위와 동일한 기술을 시뮬레이션 해 실제 위협요소를 알려주며 기업에서 실제 존재하는 위험 관리에 집중할 수 있도록 하며 수동테스트로 하여금 정/오탐을 구별할 수 있게 기능을 지원한다.
 
AppScan Standard 솔루션은 이미 국내 대형 고객사에 의해 검증되었으며, 각 대기업/금융 등 웹 하이브리드 애플리케이션 보안 취약점을 식별 및 파악하는 용도로 사용하고 있다.
 
또 다른 주력상품인 ‘AppScan Management System’(이하 AMS)는 웹 애플리케이션 취약점 별, 사이트 별 전체적 경향과 통계를 확인할 수 있으며, 중앙 집중화된 점검과 보고서 관리(OWASP, SNAS, CWE등 보고서 제공) 및 유연한 확장성을 가진 코드원에서 개발한 솔루션이다.
 
웹 애플리케이션 점검 후 발견된 취약점들에 대해 점검이력관리가 용이하며 통계 및 점검결과 보고서/메일발송을 지원한다.
 
원격지에서의 점검 관리와 웹 기반의 사용자 인터페이스를 제공함으로써 보안 담당자 외 개발자 및 비 보안 인력 또한 쉽게 접근 가능하다는 장점이 있다.
 
마지막으로 웹 보안 취약점에 대한 주기적인 점검이 필요한 사항인데 개발단계에서 안전하게 설계 및 구현이 되었다 하더라도 보안문제들이 여전히 존재할 수 있기 때문에 이들을 점검하고 진단하는 과정이 필요하다.
 
XSS 및 SQL인젝션의 경우 프로그램 소스 상에서 입력 값 검증이 적절히 이뤄졌는지 점검해보고 웹 취약점 점검 도구를 병행해 점검한다면 외부 해킹 공격으로부터 비교적 안전한 웹 서비스를 운영할 수 있다.

[글. 코드원의 김기환 상무 / itconsult@code1.co.kr]