소스코드 취약점 분석 솔루션 포티파이가 안행부 47개 필수 보안 취약점을 모두 해결했다. 애플리케이션 및 IT인프라 보안 전문 기업 엔시큐어(대표 문성준)는 애플리케이션 소스코드 분석 솔루션 포티파이가 지난해 8월 안전행정부가 개정 고시한 시큐어코딩 가이드 내 소프트웨어 보안 취약점 47개를 모두 지원한다고 밝혔다.
 
최근 사이버 공격은 주로 소스코드 자체의 보안 취약점을 이용하는 제로데이 공격 또는 SQL 인젝션 등 애플리케이션 취약점을 악용한 것이다. 이러한 소스코드 자체의 보안 취약점은 방화벽 등의 일반적인 보안 장비로는 막을 수 없기 때문에 계발단계부터 취약점을 보완하여 공격을 원천적으로 차단해야 한다.
 
이 결과 안행부는 2012년 3월 27일 사이버공격의 주요 원인인 소프트웨어 보안 약점을 계발단계부터 제거하기 위해 전자정부 서비스 시스템 구축 시 '소프트웨어 개발 보안'을 의무화 하기로 했으며, 현재 시큐어코딩 가이드 필수 47개 보안 취약점을 명시하여 시스템 개발시 참고하도록 하고 있다.

 
포티파이는 시큐어코딩 분야 세계 1위 제품으로 기존에 지원되지 않았던 "Private 배열에 Public 데이터 할당", "종료되지 않는 반복문 또는 재귀 함수" 항목의 취약점을 추가 지원하면서 포티파이 4.0버전은 안행부 시큐어코딩 가이드 모두를 지원하게 되었다. 또한 공공기관의 모든 애플리케이션은 전자정부 프레임워크가 연관된 분석 기능이 반드시 지원되어야 하는데, 이러한 요구 사항을 포티파이가 이미 지원하고 있기 때문에 우수한 분석 결과를 제공할 수 있다.
 
포티파이는 개발 라이프사이클 상에서 보안 취약점을 조기에 발견해 침해 사고를 근본적으로 방어하며 21종의 다양한 언어, 특히 JAVA V5이상의 개발 스팩에 대한 분석과 HTML5, Annotation, 그리고 완벽한 모바일 분석(Android, iOS-Objective-C)을 지원한다. 동적 분석과 정적 분석을 결합한 하이브리드 분석 및 대규모 작업환경에 맞춰진 클라우드 분석 등 다양한 최신 분석도 가능하다.
 
특히 포티파이는 공통평가기준(CC)인증을 획득하기 위해 미국 시그나컴(Cygnacom)으로부터 시큐어코딩 CC인증 평가 컨설팅을 받고 있다. 이 평가 컨설팅이 끝나면 평가 계약 신청을 하여 공공시장을 타깃으로 소스코드 보안 사업 확장을 가속화할 예정이다.
 
이에 대해 엔시큐어 애플리케이션 보안그룹 손장군 이사는 "안행부 시큐어코딩 기준은 최초 43개 항목에서 47개 항목으로 최신 공격 및 위협에 따라 변화 하였으며, 앞으로도 지속적으로 변화할 것이다. 이에 포티파이는 안행부 및 금융 당국, PCI-DSS, CWE, OWASP Mobile 등 국내외 최신 기준을 신속히 지원하고자 하며, 또한 CC인증 획득을 시점으로 공공시장에 대한 공급 확대를 기대 하고 있다." 고 밝혔다.
 
한편 엔시큐어는 애플리케이션 시큐어코딩, 무결성 방어, 통합 권한 계정관리/감사, OTP 등의 보안 솔루션 및 서비스 제공하고 있고 국내 주요 금융사, 제조사 등 200여 고객을 확보하고 있다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com