코드원(대표 이관목)은 IBM에서 개최한 IBM Pulse 2014에서 Technical Excellence for Application Security Awards를 수상하였으며 2015년에 IBM Business Partners at InterConnect 2015에서 각 Award 부문중 Security에 선정되었다. Application 보안 솔루션의 개발적인 부분에서 특별이 인정을 받은 것이다.
 
2006년 설립된 회사로써 모의해킹, 보안 소프트웨어 개발 취약점 진단 및 제거 솔루션 분야 전문기업이다. 웹 애플리케이션 취약점 동적 점검도구 솔루션인 ‘IBM Security AppScan Standard’(이하 AppScan Standard)을 제공하고 있으며, 포털사이트, 은행 등에 외부 해킹시도가 급증하고 있어 철저한 보안 유지 및 외부 위협에 대응하기 적합한 솔루션이다.
 
코드원 ‘AppScan Standard’는 하이브리드 웹 애플리케이션 취약점 분석 및 식별과 수정/제거 가이드를 제공하며, 일관성 있는 보안 정책 적용 및 보안 개발 프로세스 구축과 하이브리드 웹 애플리케이션 취약점을 관리함으로써 대외 서비스의 높은 신뢰성을 확보할 수 있다.
 
미국에 본사를 두고 있으며 세계적으로 9개의 보안 연구센터가 있어 국내/국외에서 발견된 전 세계적인 취약점을 분석하여 업데이트를 제공한다.
 
Gartner(가트너)에서 동적 웹 애플리케이션 분석 테스팅에 대해 매직쿼더런트에서 IBM을 선도 기업으로 인지하였으며 국내의 복잡한 웹 애플리케이션 환경을 모두 지원하며(X 플랫폼 포함), GUI와 보고서 전체를 한글로 제공하여 확장성 및 편의성이 용이한 국내 웹 애플리케이션 취약점 점검 시 제일 많이 사용되는 안전성이 검증된 솔루션이다.
 
가장 눈여겨 봐야할 부분은 취약점 분석 시 실제 해커의 행위와 동일한 기술을 시뮬레이션 해 실제 위협요소를 알려주며 기업에서 실제 존재하는 위험 관리에 집중할 수 있도록 하며 수동테스트로 하여금 정/오탐을 구별할 수 있게 기능을 지원한다.
 
AppScan Standard 솔루션은 이미 국내 대형 고객사에 의해 검증되었으며, 각 대기업/금융 등 웹 하이브리드 애플리케이션 보안 취약점을 식별 및 파악하는 용도로 사용하고 있다.
 
또 다른 주력상품인 ‘AppScan Management System’(이하 AMS)는 웹 애플리케이션 취약점 별, 사이트 별 전체적 경향과 통계를 확인할 수 있으며, 중앙 집중화된 점검과 보고서 관리(OWASP, SNAS, CWE등 보고서 제공) 및 유연한 확장성을 가진 코드원에서 개발한 솔루션이다.
 
웹 애플리케이션 점검 후 발견된 취약점들에 대해 점검이력관리가 용이하며 통계 및 점검결과 보고서/메일발송을 지원한다.
 
원격지에서의 점검 관리와 웹 기반의 사용자 인터페이스를 제공함으로써 보안 담당자 외 개발자 및 비 보안 인력 또한 쉽게 접근 가능하다는 장점이 있다.
 
마지막으로 웹 보안 취약점에 대한 주기적인 점검이 필요한 사항인데 개발단계에서 안전하게 설계 및 구현이 되었다 하더라도 보안문제들이 여전히 존재할 수 있기 때문에 이들을 점검하고 진단하는 과정이 필요하다.
 
XSS 및 SQL인젝션의 경우 프로그램 소스 상에서 입력 값 검증이 적절히 이뤄졌는지 점검해보고 웹 취약점 점검 도구를 병행해 점검한다면 외부 해킹 공격으로부터 비교적 안전한 웹 서비스를 운영할 수 있다.

[글. 코드원의 김기환 상무 / itconsult@code1.co.kr]