지능형 지속가능위협(Advanced Persistent Threat, APT)이란 취약점 공격이 일상화됐다. APT는 특히 애플리케이션 보안약점을 파고든다. 전체 공격의 75%를 애플리케이션 취약점을 이용한 공격이라고 할 정도다.
기존 보안시스템은 우회공격을 차단하는데 한계를 갖고 있다. 때문에 개발단계부터 애플리케이션 소스코드의 보안취약점을 제거하는 게 해법이다.
이같은 보안방법을 ‘시큐어코딩(Secure coding개발보안)’이라 한다. 애플리케이션 소스코드 작성 과정에서 생기는 보안취약점을 분석도구로 찾아내 제거하는 것이다.
만약 애플리케이션의 보안 취약점을 개발완료 후 발견할 경우 추가수정비용은 30배 증가한다. 만약 운영 중 취약점을 찾아내 수정할 경우 설계단계에 발견했을 때보다 100배 많은 추가수정비용이 발생한다.
시큐어코딩은 사물인터넷(IoT, Internet of Things)의 등장과 함께 더욱 중요해졌다. IoT에서 세상에 존재하는 모든 디바이스는 지능을 갖게 된다. 이는 곧 IoT 디바이스가 각기 애플리케이션을 갖는다는 것을 의미한다. 나아가 IoT 디바이스의 애플리케이션이 보안취약점을 가졌다면, APT 공격지점이 디바이스의 개수만큼 존재하는 게 된다.
APT 공격의 증가, IoT로 인한 잠재위협의 급증으로 시큐어코딩 시장은 전보다 더 커졌다. 이런 가운데 파수닷컴의 시큐어코딩 솔루션 ‘스패로우(Sparrow)’이 국내외서 주목받고 있다.
파수닷컴의 스패로우는 실행의미 분석(시맨틱) 엔진을 바탕으로 소스코드 구문 분석으로 찾기 어려운 프로그램 실행 시의 보안 취약점도 검출한다. 행정자치부에서 공고한 47개 보안약점, OWASP, CWE, CERT, MISRA, BSSC 등 다양한 산업 보안 및 품질 표준 위배사항을 검출한다. 경쟁사 정적분석도구 대비 2배 이상의 속도를 내며, 대용량 소스코드도 빠르고 정확하게 분석한다.
파수닷컴은 스패로우의 인텔리전스 기능을 강점으로 내세운다. 검출된 보안취약점에 대해 수정 가이드까지 제시하는 ‘액티브 서제스천(Active Suggestion)’, 다양한 조건으로 취약점을 검색하고, 동일한 원인의 문제를 선별해 한번해 처리하게 해주는 ‘어드밴스드 이슈 필터링(Advanced lssue Filtering)’, 검출 결과 여러 개의 알람을 소스 구조가 비슷한 것들로 묶어주고, 한 개의 알람 검토로 그 결과를 나머지 알람에 적용하는 ‘인텔리전트 알람 클러스터링(Intelligent Alarm Clustering)’ 등이다.
웹 기반 통합관리 시스템을 통해 진행 중인 모든 프로젝트를 서버에서 통합 관리할 수 있다. 기업과 기관이 기존에 사용하던 개발 환경에 유연하게 스패로우를 구축할 수 있다. C/C++, 자바(JAVA), JSP, PHP, ASP, C#, HTML, 안드로이드 등 다양한 언어에 대한 소스코드 분석을 지원한다.
스패로우는 보안약점관리도구(SCE)와 품질관리도구(QCE) 두 종류로 판매된다.
파수닷컴의 스패로우는 국내 공공사업에서 큰 성공을 거뒀다. 금융권도 많은 공급사례를 보유했다. 최근 IoT 관련해 가전, 자동차 등의 제조업체에도 스패로우가 공급됐다.
파수닷컴은 한국 시장에서 성공을 바탕으로 글로벌 진출을 모색하고 있다. 글로벌 IoT 시장에서 스패로우의 경쟁력이 높다는 판단이다.
글로벌 진출의 일환으로 지난 18일부터 20일까지 중국 심천에서 열린 IoT 관련 전시회에 참여했다. 대부분의 참여기업이 IoT 사업에 대한 내용이었고, 파수닷컴의 스패로우는 IoT 애플리케이션 보안이란 주제를 걸어 주목을 끌었다.
관련기사
- 파수닷컴, 정보보호서비스 시장 공략 나선다2016.08.24
- 파수닷컴, 보안 컨설팅 서비스 시장 진출2016.08.24
- 파수닷컴, 인텔리전스SW 업체로 진화2016.08.24
- 파수닷컴, 글로벌 겨냥 데이터 중심 보안 전략 공개2016.08.24
파수닷컴은 3일간 500여명이 전시장을 찾았고 그중 100여명이 행사 현장에서 제품 설명 외의 시연을 눈여겨 보거나 행사 이후 체험판 사용을 문의하는 등 스패로우에 적극적인 관심이 이어졌다고 밝혔다.
파수닷컴 관계자는 "상담 고객 중 합작 법인 설립이나 파트너십을 맺고 싶다는 의견이 많았다"며 "행사 이후 협의를 진행할 계획이고, 연내 지역별 추가 파트너 발굴과 계약에 집중해 내년 이후엔 지사나 별도 법인설립도 고려할 예정"이라고 말했다.