블럭을 쌓아 탑을 만든다면, 처음부터 신중하고 조심스럽게 쌓아가는 방법과 마구잡이로 쌓아나간 뒤 부실한 부분들을 고쳐잡는 방법 중 어느 쪽이 더 쉽고 안전할까. 후자는 고치는 과정이 쉽지도 않을 뿐더러, 탑 일부가 무너질 위험도 더 크게 감수해야 한다.
소프트웨어(SW) 개발 보안(시큐어코딩)은 이와 비슷한 관점에서 등장한 기술 분야다. SW 개발이 끝난 후에 취약점을 찾고 수정하기보다, SW 소스코드를 작성하는 과정에서부터 취약점이 발생하지 않도록 조치하는 것이다. 시큐어코딩을 활용해 SW를 만들 경우, SW 개발이 끝난 뒤 취약점을 살펴 조치하는 것에 비해 비용과 시간 측면에서 효율적이라는 분석이 제기되면서 기술 보급이 점차 확대되는 상황이다.
국내 시장은 아직 초기 단계다. 공공 시장은 시큐어코딩 활용이 의무화돼 있지만, 민간 시장은 이제 막 진흥 정책이 시작되려 하는 시점이다. 공공 외 새로운 수요층이 속속 생겨나면서 시큐어코딩 시장이 향후 몇 년간 성장 곡선을 그릴 것이란 전망이 나온다.
민간 시큐어코딩 시장에는 정보보안 분야도 포함된다. SW로서 시큐어코딩 활용이 필요할 뿐더러, 사이버공격을 최전선에서 방어해야 하는 만큼 취약점을 예방해야 할 필요성이 더욱 크다. 이런 특성을 지닌 정보보안 업계에서 고객사를 다수 확보한 시큐어코딩 솔루션이 등장해 눈길을 끈다.
시큐어코딩 전문 기업인 트리니티소프트는 최근 자사 솔루션 '코드레이 엑스지'를 최근 안랩, 소만사, 윈스, 지니언스, 시큐아이 등 정보보안 기업에 잇달아 공급했다.
이에 대해 김진수 트리니티소프트 대표는 시큐어코딩 솔루션의 성능을 검증받은 결과라고 강조했다. 정보보안 제품의 성능과 신뢰도를 검증하는 공통평가기준(CC)인증 평가 담당 기관들에 시큐어코딩 솔루션을 공급하면서, 평가를 준비하는 정보보안 기업들도 자사 시큐어코딩 솔루션을 활용하고 있다는 설명이다.
김진수 대표를 만나 트리니티소프트의 시큐어코딩 솔루션 개발 과정과 향후 목표에 대해 들어봤다.
-시큐어코딩 솔루션을 어떻게 개발하게 됐나.
"처음 회사를 설립한 2005년 당시 'e비즈니스'가 한창 뜨고 있었다. 기업들이 열심히 홈페이지를 만들던 시기였다. 살펴보니 보안이 엉망이었다. 홈페이지 주소 뒤에 'admin'만 붙이면 관리자 사이트에 접속할 수 있게 돼 있었다. 애플리케이션을 잘못 짰을 때 이런 일들이 발생한다. 애플리케이션 속 취약점을 제거하는 솔루션을 개발해야겠다고 생각했다.
그 때는 내부에서 못 만든다고 했다. 이런 솔루션 개발에 필요한 기술 난이도가 너무 높다는 것이었다. 당시에는 HP 포티파이 같은 글로벌 회사만 이런 기술을 제공했다. 그 대신 애플리케이션을 앞단에서 보호해주면 되겠다고 생각해서 방화벽(WAF)을 개발하고 사업을 해왔다.
그러다 5년 뒤 시큐어코딩 솔루션 개발을 시작해야겠다고 판단했는데, 시큐어코딩과 WAF 기술 간 접점을 찾기가 쉽지가 않았다. 두 제품을 동시에 개발하기엔 쉽지 않았다. 시큐어코딩으로 선택과 집중을 하기로 해서 작년 5월 WAF 사업부를 수산아이앤티에 매각했다."
-작년 성과 및 올해 목표는?
"작년엔 신제품인 '코드레이 엑스지 V6.0'의 연구개발에 집중했다. 영업활동 없이 제품 개발에만 모든 리소스를 투입했다. 작년 11월 중순에 CC인증을 획득했다. 굿소프트웨어(GS)인증과 전자정부 프레임워크 호환성 인증도 받았다. 공공 비즈니스를 펼칠 수 있는 교두보를 확보했다.
연초에는 대신정보통신과 총판 계약을 맺고, 제품을 조달 등록했다. 공공 비즈니스를 올 상반기부터 본격적으로 시작할 예정이다. 올해는 영업에 집중할 계획이다. 조달 1위가 올해 목표다."
-정보보안 업계에서 고객사를 많이 확보한 이유는?
"한국기계전기전자시험연구원(KTC), 한국시스템보증(KOSYAS), 한국아이티평가원(KSEL), 한국정보보안기술원(KOIST) 4개의 CC인증 평가기관이 코드레이 엑스지를 쓰고 있다.
정보보안 제품은 CC인증을 받아야 공공에 납품될 수 있다. CC인증을 받으려면 취약점 검사를 받아야 하는데, 평가기관에서 사용하는 시큐어코딩 솔루션 종류를 알면 인증을 받기도 쉬워진다. 보안업계에서 구입 문의가 이어져서 알고 보니 그런 이유였다. 저희 시큐어코딩 솔루션을 사용하면서 보안 제품을 개발하면, CC인증에 소요되는 시간도 줄일 수 있는 것이다. CC인증을 받아야 하는 보안업체들이 상당히 많고, 그런 곳들이 잠재적인 고객사인 셈이다."
-그럼 CC인증 평가기관에 제품을 공급한 비결은 뭔가.
"KTC의 경우 시큐어코딩 제품에 대해 CC인증을 진행하는데, CC인증 평가를 맡은 담당자가 저희 솔루션을 구매했다. 취약점 점검 기준과 정탐 능력 등 성능 측면에서 인정을 받았다고 볼 수 있다.
정보시스템감리사들이 저희 제품을 선호하고, 입소문이 나면서 다른 평가기관에서도 저희 걸 구매하고자 연락이 왔다. 최근 정보시스템감리협회에도 코드레이 엑스지를 제공하기로 해서, 협회 산하 68개 감리법인이 저희 솔루션을 토대로 공공 정보화 시스템 감리를 하게 된다."
관련기사
- 트리니티소프트, 시큐어코딩 제품 조달등록2021.03.15
- 트리니티소프트, 정보시스템감리협회에 시큐어코딩 도구 제공2021.03.09
- 국내 SW, 잘 알려진 보안 취약점도 대응 못해2021.02.19
- OECD "소스코드는 곧 취약점…쉬쉬해선 안돼"2021.03.17
-국내 시큐어코딩 시장 규모는 대략 어느 정도인가.
"유지보수까지 포함하면, 어림잡아 150억원에서 200억원 정도의 시장이 형성됐다고 본다. 더 성장할 시장이다. 시장이 성장, 성숙 단계를 거쳐 앞으로 3~5년 정도는 점점 커지리라 본다.
과거엔 필요에 따라 시큐어코딩을 썼다면, 지금은 컴플라이언스 이슈가 생겼다. 정부에서도 시큐어코딩 사용을 권장하고 개발 단계에서부터 쓰게 하는 분위기다. 시큐어코딩이 반드시 써야 하는 핵심 보안 도구로 자리매김하고 있다는 것이다. 예전엔 견적을 요청하는 곳들이 공사, 공단, 금융 이런 곳들이었다면 지금은 SW 개발 회사들이 견적 의뢰를 한다. 과거 저희가 WAF를 팔던 고객층 외 새로운 고객사가 생기고 있다."
