포티파이「소스코드 보안은 개발 단계부터 시작」

소스코드 보안에 대한 국내 기업들의 관심도가 급격히 증가하고 있다. 이미 개발한 애플리케이션을 대상으로 하던 취약성 점검을 이제 제품 최초 구성 단계부터 시행, 보안 문제를 사전 차단하려는 움직임이 이는 것.이 같은 개념이 태동한 미국에서는'포티파이 소프트웨어', '온스랩', '시큐어 소프트웨어' 등이 관련 업계 강자로 군림해 왔다. 그러나 올해 초 포티파이가 시큐어를 인수하면서 온스랩과 양대 구도를 이루고 있는 상황.특히 포티파이는 2003년 사업을 시작해 글로벌 시장에서 매년 300% 이상의 매출 성장률을 기록하고 있으며, 해외시장으로의 첫 발걸음이 바로 우리나라였다.2005년부터 포티파이 솔루션을 국내에 공급하기 시작한 인터비젠테크놀로지(이하 인터비젠)는 포티파이가 아직 로컬사업에만 매진하던 시점에 접촉을 시도, 총판 계약을 획득했으며, SKT, 하나은행, 국민은행, 삼성전자, KT-NET 등의 굵직한 수주를 계속해왔다.포티파이는 이같은 한국시장 결과를 발판삼아 아시아와 유럽으로 적극 진출했으며, 현재 10여 개국에 총판을 두고 있다.인터비젠의 오세관 대표를 만나 포티파이의 솔루션 특성과 사업계획을 들어봤다.국내 시장에서 포티파이에 대한 수요가 꾸준히 늘고 있다. 원인이 무엇인가?가트너에 따르면 보안 취약점의 70% 이상이 네트워크가 아닌 애플리케이션에서 발생하고 있다. 그러나 기업들의 보안 투자는 그동안 네트워크 인프라에만 집중되어 왔고, 한계를 여실히 드러냈다. 방대한 애플리케이션에 대한 공격을 네트워크 보안 장치로 얼마나 막을 수 있겠는가? 포티파이는 애플리케이션의 개발 단계에서 근본적인 보안 취약점을 제거하며, 웹은 물론 클라이언트/서버 환경까지 다룰 수 있다. 이같은 점이 국내 기업들에게 신선하게 다가온 듯하다.대표 솔루션을 소개한다면. '포티파이 SCA'가 주력이다. 이는 개발자, 보안관리자, QA 관점에서 소스코드에 대한 취약점을 발견하고, 조치한다. 이는 보안강화는 물론 시간절약 효과도 크다. 기존처럼 제품을 만들어 놓고 매뉴얼에 따라 전수 검사를 실시하면, 개발기간 만큼의 시간이 걸린다. 최근 발표한 신규 버전(포티파이 SCA 4.5)은 다양한 보안 룰팩을 추가했으며, 애플리케이션에 대한 워크 플로우까지 표현한다.아울러 애플리케이션 방화벽 '포티파이 디펜더'도 인기 상품이다. 기존 방화벽과의 차이점은 게이트웨이가 아닌 실행 모듈에 대한 하드닝 방식을 채택한 점이며, 운영중인 애플리케이션을 스캐닝하고 취약 모듈 바이너리를 변경한다.시스템 부하가 거의 없다는 것이 장점이지만, 소프트웨어로 구현하다 보니 적용 환경이 제한되는 단점도 있다. 기술 가치에 비해 관련 사업을 수행하는 경쟁사가 적은 듯하다.이 분야 경쟁자는 한국에는 아직 진출하지 않은 온스랩 밖에 없다고 본다. 왜냐하면 그만큼 개발하기가 힘든 기술이기 때문이다. 애플리케이션의 초기 개발 단계부터 엔드유저에게까지 모든 과정을 파악해야 한다.영업도 단순하지가 않다. 일반적인 보안 제품 공급은 고객사의 운영/보안부서와 협의하나, 포티파이는 개발단계부터 참여하는 특성상 상대 프로그래머들과도 머리를 맞대야 한다. 인터비젠은 과거 보안 컨설팅 사업을 수행한 경험이 있어 영업에 유리하게 작용했다.한국 내 실적 현황을 듣고 싶다.보통 새로운 IT 솔루션이 출시되면 첫 고객사를 잡는데 9개월 이상이 걸린다. 그러나 인터비젠은 포티파이를 공급하기 시작한지 6개월만에 첫 고객사(SKT)를 확보했다. 이후 하나은행, 국민은행, 제일은행, 삼성전자, KT-NET 등을 수주했으며, 지난해 매출액 13억원을 올렸다. 올해는 제조와 공공분야로 고객을 넓혀갈 계획이며, 300%의 매출 신장을 목표로 하고 있다. @