2024-03-29 10:30 (금)
체크막스 “보안사고 75%, SW개발시 시큐어코딩 안돼서 발생”…한국 시장 본격 진출
상태바
체크막스 “보안사고 75%, SW개발시 시큐어코딩 안돼서 발생”…한국 시장 본격 진출
  • 길민권 기자
  • 승인 2021.12.13 18:19
이 기사를 공유합니다

한국어 지원 및 행안부 시큐어코딩 의무화 기준 준수…공공·기업 시장 적극 공략
체크막스 송대근 한국지사장
체크막스 송대근 한국지사장

아파치 로그4쉘 취약점이 지난 주말동안 국내외 모든 보안담당자를 긴장시킨 가운데, 13일 체크막스(송대근 한국지사장)가 기자간담회를 열고 국내 기업·공공기관을 대상으로 SW/애플리케이션 보안시장에 본격 진출을 밝혔다.

송대근 체크막스 한국지사장은 “보안사고의 75%는 소프트웨어 제품 취약점으로 인해 발생하고 있다. 개발 단계에서부터 소스코드 보안 적용이 안되고 있기 때문”이라며 “빠르게 제품을 출시하기 위해 기존 만들어진 코드를 사용하거나 검증되지 않은 코드를 사용하면서 보안문제가 발생하고 있다. 체크막스는 개발 단계부터 시큐어코딩이 적용될 수 있도록 원클릭으로 보안문제를 제거할 수 있는 플랫폼을 제공한다”고 전했다.

체크막스 애드리안 부사장은 "체크막스는 시큐어코딩 분야에서 글로벌 리더로 인정받고 있다. 특히 온프레미스, 클라우드, 하이브리드 등 고객 상황에 맞게 원클릭으로 애플리케이션 보안 플랫폼(ASP)을 제공한다”며 “SIEM과 연동을 통해 개발 단계부터 취약점을 파악해 보안 사고를 예방할 수 있도록 CISO에게 가시성을 제공하고 있다. 특히 한국은 중요한 시장이다. 한국어 지원이 가능하도록 준비했으며 한국 정부에서 요구하는 시큐어코딩 의무화 요건도 완벽하게 지원한다. 한국 시장 확대를 위해 본사 차원에서 적극 지원을 아끼지 않고 있다”고 밝혔다.

체크막스 애드리안 부사장
체크막스 애드리안 부사장

특히 그는 로그4쉘 취약점을 예로 들며 “이 취약점도 마인크래프트의 취약점이 아니다. 아파치 라이브러리 취약점이다. 이를 개발자들이 검증하지 않고 사용한 것이 문제”라고 지적하며 “해커들은 소프트웨어 공급망을 노리고 있다. 보다 쉽게 공격을 확대할 수 있기 때문이다. 모르는 사람이 주는 사탕을 먹지 말라는 말이 있다. 소스코드도 마찬가지다. 모든 소스코드는 개발 단계부터 철저한 검증을 통해 취약성을 제거해야 한다. 특히 오픈소스는 더욱 철저하게 스캐닝이 이루어져야 한다”고 강조했다.

체크막스는 전 세계 1400여 기업 및 포춘 100대 기업, 국내 금융 및 공공 기업들을 확보한 글로벌 애플리케이션 보안 테스팅 기업으로, 매년 50% 이상 성장하고 있으며 전세계 70여개 국에서 지사를 운영하고 있다. 체크막스의 에이에스플랫폼(ASP: Application Security Platform) 클라우드 서비스는 소스코드 정적분석, 오픈소스 취약점 점검, 라이선스 규정 의무 점검, IaC 템플릿 점검, API 보안 등을 한번에 원 스톱으로 이용할 수 있다.

특히 체크막스는 가트너 매직 쿼드런트 애플리케이션 보안 테스팅(AST)분야에서 4년 연속 리더로 선정될 정도로 기술력이 우수한 기업으로 알려져 있다.

체크막스는 국내 기업과 공공기관들도 세계적 추세에 따라 클라우드 환경으로 대거 전환하면서 소프트웨어 개발운영(DevOps)에 보안 허점이 발생함에 따라 이를 진단 및 해결하기 위해 최근 한국지사를 설립하고, 안랩IBM시스코 등에서 16년간 기업보안 전략 및 컨설팅 경력을 쌓은 송대근 한국지사장을 선임한 바 있다.

국내 비즈니스 활성화와 이번 간담회를 위해 방한한 애드리안 옹(Adrian Ong) 체크막스 EMEA 및 APJ 지역 채널 및 북아시아 영업 총괄 부사장은 13일 기자간담회를 통해 체크막스의 본격적인 한국진출을 알리며 "클라우드 기반의 현재 개발환경은 속도가 매우 빠르다. 아마존웹서비스(AWS)를 사용하는 기업들의 경우 11.6초마다 신규 서비스를 배포할 정도"라며 "이에 따라 소프트웨어 개발 과정에서 복잡성이 증가하고 있으며 그에 따른 취약점도 같이 늘어나고 있다"며 개발 환경의 보안 취약성이 높다는 점을 강조했다.

실제로, 올해 소프트웨어 공급망 공격은 전년 대비 650% 가량 증가했으며 지난달의 경우 3,000만건 이상의 다운로드가 포함된 3개의 NPM 패키지가 손상되기도 했다.

지난 9월에는 악의적인 깃허브 커밋으로 촉발된 암호화폐 강도 사건으로 300만 달러에 달하는 피해가 발생했으며 7월에는 한 랜섬웨어 그룹이 소프트웨어 업체 카세야(Kaseya)에서 수십 개의 MSP(Managed Security Provider)가 사용하는 원격 모니터링 및 관리 소프트웨어 플랫폼에 제로 데이 취약성을 발견하고 랜섬웨어 공격을 한 뒤 7000만달러란 거금을 요구하기도 했다.

이 같은 문제를 해결하기 위해 체크막스는 ▲다양한 제품에 사용되는 소프트웨어 개발에 자동화된 보안 취약점 점검 절차를 적용할 수 있는 에이에스플랫폼(ASP: Application Security Platform) ▲소프트웨어 개발 시 개발자의 시큐어 코딩 역량을 강화할 수 있는 코드배싱(Codebashing) 서비스 ▲ CI/CD, 파이프라인(Pipeline) 연동을 통해 보안 취약점 점검 과정을 자동화하여 제품 출시 일정에 영향 없이 소스 코드 취약점 관리 및 오픈소스 취약점 관리 서비스 등을 국내 기업 및 공공기관들에 적극 지원할 방침이라고 애드리안 부사장은 설명했다.

특히 체크막스는 다양한 제품에 사용되는 소스코드에 대한 보안성 검토, 보안취약점 사전 예방을 위한 시큐어 코딩 방안, 오픈소스 사용 시 라이선스를 위반하지 않도록 관리, 행정안전부의 ‘정보시스템 구축운영 지침’ 개정안 등을 만족시키는 유일한 글로벌 제품이라는 점을 강조했다.

이 가운데 체크막스에서는 2021년 업데이트된 행정안전부 정보시스템 구축ㆍ운영 지침 개정안 내 시큐어코딩 의무화 기준 ‘KISA 시큐어코딩 가이드’을 점검하기 위한 표준 점검목록을 제공해준다.

체크막스 제품의 구축형도 유연한 형태로 고객의 환경에 맞게 구축이 가능하다. 클라우드, 온프레미스 등 모두 지원이 가능하며 코드 제작 후 클라우드 플랫폼 안에서 오픈소스 또는 만들어진 코드 등의 취약점을 원스톱으로 스캔할 수 있으며 하나의 리포트로 결과를 확인할 수 있다는 장점이 있다.

아울러 체크막스 솔루션은 ▲소스코드분석 자동화 ▲개발자 중심 인터페이스 ▲분석용 쿼리 커스터마이징 ▲통합 연동 지원 ▲가시성 확보 ▲SDLC 연동 ▲개발 효율성 향상 ▲통합 플랫폼 등 다양한 기능을 제공해준다.

이를 통해 체크막스 고객들은 애플리케이션 보안 취약점 제거, 오픈소스 애플리케이션 보안 취약점 및 라이선스 규정 위반 예방, 전문가 서비스 및 시큐어 코딩 역량 강화 등의 효과를 기대할 수 있다.

체크막스 송대근 한국지사장은 "과거와 달리 지금은 필요한 코드를 오픈소스로 사용해 개발하는 방식인 레고블록모듈 방식을 채택하고 있기 때문에 외부 소프트웨어 공급망을 통한 보안 위협에 노출될 수밖에 없다"며 "체크막스는 소프트웨어 개발 속도가 빨라진 만큼 보안 이슈에 대한 대처도 신속하게 제공해줄 수 있다"고 강조했다.

이날 기자간담회에서 체크막스의 애드리안 부사장은 "체크막스는 한국 사이버보안 당국과 협력하여 현재 그리고 미래의 한국 소프트웨어 개발 활동 및 공급망에 대한 위협을 파악하고 개선방안 제안을 위해 체크막스 솔루션의 통합을 강화하고자 한다”며, "특히 2021년 행정안전부 시큐어코딩 가이드 지원을 포함해 개발자 대상의 시큐어 코딩 역량을 알리기 위한 코드배싱 토너먼트(Codebashing Tournament)를 12월 22일 온라인으로 진행할 예정"이라고 소개했다.

체크막스는 내년부터 정기적으로 이벤트 개최를 통해 개발자의 시큐어 코딩 역량을 강화할 수 있는 활동을 준비하고 있으며 자사의 제품들에 대해 한국어를 지원하고, 한국에 특화된 보안 규정을 반영할 예정이다.

한편, 체크막스는 본격적인 한국 사업에 나서기 위해 최근 에스엔에이와 국내 총판 체결을 한 바 있다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★