"개발자에게 보안도 신경쓰라고 하면 스트레스 받아 일을 하지 못한다. 개발자는 애플리케이션을 개발하고 작동하게 만드는 역할이다. 그래서 시큐어코딩 도구가 있는 것이다. 보안을 잘 모르는 사람도 활용할 수 있게 만들지 않으면 쓰이지 않는다."
장일수 스패로우 대표는 시큐어코딩(소프트웨어(SW) 개발 보안)이 필요한 이유를 이같이 설명했다.
시큐어코딩은 애플리케이션 소스코드 작성 과정에서 생기는 보안 취약점을 분석해 제거하는 기술을 뜻한다. 조직 내 보안 담당자가 사용자인 타 보안 제품과 달리, 소스코드를 작성하는 개발자가 사용자가 된다. 상대적으로 보안에 대한 이해 수준이 미숙한 만큼, 보안 도구를 사용하는 데 있어서도 역량 차이가 생길 수 있다.
스패로우는 파수에서 지난 2018년 애플리케이션 보안 전문 기업으로 분사돼 시큐어코딩 도구를 제공하고 있다. 몇 년간 시장을 공략해온 입장에서 장일수 대표는 사용자인 개발자가 쉽게 쓸 수 있는 사용성이 시큐어코딩 도구의 필수 조건이라고 강조했다.
이에 따라, 도구의 성능 개선과 컨설턴트를 통한 서비스 지원에 꾸준히 투자하면서 성장해왔다고 설명했다.
공공 중심으로 성장해온 국내 시큐어코딩 시장은 올해 이후 민간 분야로 확대될 예정이다. 비교적 다루는 소스코드들이 비슷한 공공 시장과 달리, 민간 시장은 산업 분야와 개발하는 서비스에 따라 작성되는 소스코드의 종류와 형태가 다르다. 시큐어코딩 시장을 공략하는 회사 입장에서는 또 다른 국면을 맞게 되는 셈이다.
장 대표는 각 분야별 임베디드 SW에 전문성을 갖는 기업과의 협력 관계를 구축하면서 시장 변화에 대응해나가겠다고 밝혔다. 각 분야에서 쓰이는 소스코드에 대한 전문성을 확보하기 위한 전략이다.
다음은 장 대표와의 일문 일답이다.
-지난해 사업에서 거둔 성과는? 올해 목표는 뭔가.
"질적 부분이 달라진 한 해였다. 정적 분석 솔루션 '스패로우 사스트'가 주요 매출원이었는데 신제품 매출이 늘었다. 동적 분석 솔루션 '스패로우 다스트'다. SW가 개발이 끝난 이후, 소스코드는 바뀌지 않지만 실제 운영될 때에는 또다른 사이버공격을 받을 가능성이 생긴다. 이렇게 SW가 사용되는 과정에서 취약점을 테스트해주는 솔루션이다. 관련 사업이 정상 궤도에 오르는 중이다.
또 하나는 해외 사업에서 가시적 성과가 나고 있다. 해외에서도 회사의 업력과 시큐어코딩 기술력을 어느 정도 인정 받고 있다. 일본과 중국, 싱가폴과 말레이시아 등에 파트너사를 확보하면서, 아세안 10개국에 손 뻗칠 수 있는 인프라는 만들어놨다.
최근엔 사스트와 다스트에 대해 미국 SW 개발 컨설팅 전문 기업에서 도입하고 싶다는 문의가 와서 현재 개념검증(POC)까지 마친 상태다. 올 상반기 내 북미 파트너십을 만들 수 있을 것 같다.
해외는 기본적으로 구독형 모델로 사업을 하고 있어 매년 일정 수준의 매출이 나오는 구조다. 이런 상황에서 개별 계약의 규모도 커지고 있다. 올해는 구독형 모델 기반의 고정 매출원을 다지는 한 해가 될 것으로 본다."
-시큐어코딩은 개발과 보안이 융합된 기술 분야인 만큼, 훌륭한 솔루션을 제공하는 것 외에도 개발자의 적극적인 활용을 이끌어내야 할 것 같다.
"시큐어코딩 도구는 소스코드를 분석해 해당 SW가 출시되면 어떤 취약점이 있고, 어떤 공격이 발생할 수 있는지 알려준다. 근데 이렇게 분석한 내용이 어마어마하게 많이 나온다.
예전에 시장에 외산 제품만 있었을 때, 기업들이 비싼 돈을 들여 솔루션을 사도 잘 안 쓰는 이유였다. 길지 않은 소스코드를 넣었는데도 개선사항이 몇 천개씩 검출됐다. 근데 이렇게 나온 취약점 수천개가 다 맞지도 않았다. 오탐 문제가 있었다.
개발자로선 우선 시큐어코딩 도구가 취약점을 정확하게 찾아주고, 정탐으로 판별된 취약점에 대해선 어떻게 개선해야 할지 알려주는 식으로 작동해야 편하다. 개발자는 또 개발 역량과 보안에 대한 인지 수준이 천차만별이다.
스패로우의 경우 '액티브 서제스쳔' 기능을 통해 대체할 수 있는 소스코드를 제시해준다. 취약점을 잘 찾고, 정탐과 오탐을 잘 분류하고, 잘 고쳐준다는 강점들을 어필하면서 지난 2~3년간 시장점유율을 높여왔다.
시큐어코딩을 사용하는 과정에서, 분석 내용을 잘 이해하지 못하는 경우가 있을 수 있다. 보안 전문가인 컨설턴트들이 분석 내용을 해석하고 조치해준다. 국내에서는 저희가 해당 인력을 제일 많이 보유하고 있다."
-국내 시큐어코딩 보급 현황은 어떤가.
"공공 시장은 지난 2012년부터 전자정부 사업에 의무화해 시장이 서서히 커져왔다. 민간 분야에서의 시큐어코딩 시장은 이제 시작이다.
작년 SW산업진흥법이 통과되면서 과학기술정보통신부에서 시큐어코딩 진흥 사업을 추진할 수 있게 됐다. 자율주행차나 사물인터넷(IoT), 철도나 항공에 SW의 비중이 엄청 높아지고 있다.
여기서 오류가 나거나 해킹을 당하면 대형 사고가 발생할 수 있다. 때문에 정부가 국민 안전을 위해 시큐어코딩 관련 기준을 마련하고 준수하게 한다는 계획을 갖고 있다.
-공공 분야와 민간 분야에 적용되는 시큐어코딩의 차이점은?
"공공에 적용되는 시큐어코딩은 단순하다. 지방자치단체 운영 홈페이지나, 대국민 민원 사이트 또는 기관 내부 인프라웨어 등이 주를 이룬다. 자바로 개발돼 있고, 그에 맞춰서 시큐어코딩을 제공하는 식이다.
공공 분야를 주관하는 행안부 같은 경우 CC인증을 받은 도구여야 한다는 조건 및 49개 항목의 기준을 뒀다. 민간은 SW 개발 환경과 분야마다 다르다. 자동차, 철도, 항공, 헬스케어 등 각 분야마다 시큐어코딩 기준을 마련하는 것부터 쉽지가 않다. 항공에 적용되는 기준을 헬스케어에 그대로 도입할 수도 없다.
개발 환경과 쓰는 언어가 다 달라서 맞춤형 기준을 만들어야 한다. 언어나 개발 도구가 산업별로 특화가 돼 있으니까. 같은 개발 환경이 아니기 때문에 발생할 수 있는 취약점도 다르다. 글로벌 표준 'OWASP'이 변화하는 동향도 보면, 웹, 모바일, IoT 등 바뀌는 IT 환경에 따라 계속 주요 취약점이 바뀐다.
-시큐어코딩 도입을 준비하는 기업들은 어떤 고민을 하나.
"자동차, 하이테크 등 사업을 펼치는 대기업들은 (분야별 개발 환경의 차이 때문에)일단 시큐어코딩 적용이 가능한지 문의하는 경우가 많다. 금융이나 포털 등 서비스 위주 기업들은 SW 개발 지연 가능성에 민감하다.
데브섹옵스를 구현하기 위해, SW 개발 환경에 시큐어코딩을 어떻게 녹여야 할지에 대해 문의를 많이 한다. 오픈소스 문제도 생겨났다. 갖다 쓴 오픈소스가 업데이트되면 보안 취약점 문제도 바뀔 수 있다. 여기에 대해서는 오픈소스관리도구가 필요하다.
오픈소스를 도입하거나, 도입한 소스코드의 버전이 바뀌면 라이선스 문제 있을 수 있다고 알려주는 솔루션이다. 시큐어코딩도 종합적으로 활용하지 않으면 보안 구멍이 발생하게 된다."
-민간 시큐어코딩 시장이 움트는 상황인데, 어떤 준비를 하고 있나.
"각 산업 분야의 도메인 지식이란 건 하루 아침에 얻을 수 없다. 저희는 IoT 전문 회사도, 자동차 전문 회사도 아니다. 각 분야 소스코드가 왜 그렇게 쓰이는지, 어떻게 되는지에 대해서는 각 산업계 사람들이 잘 안다. 임베디드 SW를 잘 아는 기업들이 있다. 이런 기업에 투자하려 한다. 분야별로 도메인 지식 다 직접 확보하려 하는 건 미련한 짓이다.
시큐어코딩 제품군에 AI를 적용하는 것도 준비하고 있다. 머신러닝을 통해 대체할 소스코드를 제안하고, 사용자가 취약한 것으로 드러난 소스코드를 얼마나 변형해서 썼는지, 오픈소스와 작성한 소스코드의 유사도가 어느 정도인지 등을 파악하는 데 활용할 계획이다."
-분사 당시 3년 내 상장 계획이 있다고 밝혔다.
"올해는 계획이 없다. 올해 목표는 우선 전년 대비 40% 성장을 목표로 잡았다. 상장 자체가 목표는 아니니까, 기업 가치도 인정받고, 남들이 보기에도 더 성장 가능성이 있어보이도록 준비한 뒤 상장하는 쪽으로 방향을 바꿨다. 매출원 다각화 및 클라우드 지원 등이 이에 해당된다. 사업 기반을 누가 봐도 탄탄하게 만들어놓고 상장하는 것이 멀리 가는 방법이라 생각한다."