물리적 네트워크 보안 구축이 서서히 완료되면서 최근 들어 웹 애플리케이션 보안에 관심이 쏠리고 있다. 웹 방화벽이나 웹 스캐너가 그런 부류다. 하지만 이런 솔루션들은 클라이언트/서버(C/S) 환경이 아닌, 웹 기반의 애플리케이션만을 대상으로 한다. 그 중에서도 웹 스캐너는 개발이 완료된 웹 애플리케이션의 취약점을 점검한다.
이에 반해 개발 단계부터 보안을 고려해 취약점을 족집게처럼 집어내는 툴이 국내에 처음 소개됐다. 미국 포티파이 소프트웨어의 소스코드 취약점 분석 툴이 바로 그것. 특히 웹 기반은 물론, C/S 애플리케이션까지 진단해준다는 점에서 주목된다. 국내에 이 솔루션을 소개한 주인공이자, 포티파이의 총판인 인터비젠테크놀로지의 문성준 사장을 만나 애플리케이션 보안의 동향을 들어봤다.
인터비젠테크놀로지(www.interbizen.com 이하 인터비젠)의 전신은 지난 2003년 7월 설립된 피에스앤씨(PS&C : 프로페셔널 서비스 앤 컨설팅)다. 하지만 이 사명이 사업에 걸림돌이 되자, 문 사장은 올 1월 인터비젠으로 사명을 바꿨다. '인터액티브 비즈니스 이네이블링 테크놀로지'라는 뜻이며, 줄임말인 'IBET'을 '아이벹'이라고 부른단다. 'bet'은 우리말로 '단언하다' 내지는 '보증하다'라는 의미이니, 인터비젠의 솔루션과 컨설팅 서비스가 그만큼 '확실하다'는 뜻으로 풀이된다.
정식 직원은 아직 5명에 불과하지만, 지난해까지 주력 사업이던 보안 컨설팅 사업에서 10억 원의 매출을 올렸다. 그동안 대법원, 외환은행, 하나로텔레콤에 보안 아키텍처 설계라는 큰 그림을 그려주고, 대법원과 몇몇 기업에 애플리케이션 취약점 점검 컨설팅을 수행한 바 있다.
문 사장은 4년 전부터 보안이라는 화두에 변화의 조짐이 싹트기 시작했음을 눈치챘다. 보안의 무게중심이 네트워크와 시스템에서 차츰 웹 애플리케이션과 DB 쪽으로 옮겨가고 있다는 것이다. 관련된 제품들을 공급하고자 카바도(Kavado), 생텀(Sanctum), PSScanW3B 등 웹 애플리케이션 스캐너 솔루션들을 평가해 봤다. 문제는 이런 웹 스캐너는 적용 대상이 웹 애플리케이션에 국한돼 있다는 점이다.
웹 스캐너의 한계점을 극복하고자 지난해 자체 기술로 애플리케이션 소스코드 취약점 진단 도구를 개발하려고 했으나 상황이 여의치 않았다. 이에 포티파이(www.fortifysoftware.com), 온스랩(Ouncelabs), 시큐어 소프트웨어의 솔루션을 검토하기 시작했다.
이 가운데 정식 버전으로 출시된 제품은 포티파이와 온스랩스 두 개뿐. 이렇게 해서 지난해 10월 포티파이와 처음 접촉한 뒤 올해 5월 정식 계약을 맺은 문 사장은 '애플리케이션 소스코드 취약점 도구'라는 솔루션의 국내 교두보 역할을 자청하고 있다.
애플리케이션 보안의 취약점이 어느 정도 심각한가.
가트너에 따르면, 보안 취약점의 70% 이상이 네트워크나 시스템 계층이 아닌 애플리케이션 영역에서 발생한다. 또 미국의 국립표준기술연구소(NIST)는 조사 대상의 92%의 애플리케이션이 보안에 취약하다고 지적하고 있다.
이렇듯 대부분 보안 사고가 애플리케이션의 취약점을 악용한 것임에도 불구하고, 대다수 기업들은 네트워크 인프라의 보안 투자에만 열을 올리고 있을 뿐, 실제로 취약한 애플리케이션 보안에는 투자가 인색한 편이다.
그렇다면, 그동안 애플리케이션 소스코드의 취약점은 어떻게 진단했나.
아직까지 애플리케이션 소스코드(소스파일, 라인, 함수) 취약점 진단 방식으로 가장 널리 사용하는 것은 '매뉴얼' 방식이다. 보안 컨설턴트가 실제 눈으로 보면서 애플리케이션 소스코드의 취약점을 찾아내는 것이다.
문제는 컨설턴트 한 명이 하루에 볼 수 있는 소스코드는 기껏해야 20본 정도. 그것도 샘플링 방식으로 진행되므로, 애초부터 전수 검사 자체가 불가능하다. 그나마 이런 능력을 갖춘 컨설턴트는 국내에 줄잡아 30여 명에 불과한 게 현실이다. 인터넷 쇼핑몰의 대명사 이베이는 이런 업무만을 전담하는 컨설턴트를 운용하는데, 해마다 100만 달러씩을 쏟아붓고 있는 실정이다. 삼성전자 역시 사정은 마찬가지다.
현재 웹 애플리케이션 보안 솔루션으로 불충분한가.
웹 방화벽은 애플리케이션 서비스의 성능 저하 문제와 정형화되지 않은 애플리케이션 공격에 대한 보안 룰의 정의 문제가 대두되고 있다.
아울러 웹 스캐너는 개발이 완료된 웹 애플리케이션만을 대상으로 취약점 점검이 가능하다. 웹 애플리케이션은 기업들이 사용하는 전체 애플리케이션 중 아직은 일부에 불과하다. 또한 개발 단계부터 취약점을 진단할 때와 비교해 10배 이상의 비용이 더 든다. 결국 애플리케이션 개발 전후 소스코드 진단과 수정의 비용 차이가 10배 가량 난다는 얘기다.
뿐만 아니라, 웹 스캐너는 애플리케이션에 어떤 취약점이 있다는 사실만을 알려줄 뿐, 어느 소스코드의 어느 부분이 보안에 취약하므로 어떻게 소스코드를 변경하라는 메시지를 제시하지는 않는다. 따라서 취약점을 발견하더라도 실제 개선하는 작업이 녹록치 않다.
포티파이 솔루션은 어떤 점에서 기존 솔루션과 차별되는가.
웹은 물론이고 C/S 기반 애플리케이션까지 '전수' 검사가 가능하다. 뿐만 아니라 취약점이 발견된 소스코드의 부분을 정확히 짚어줄 뿐만 아니라, 어떻게 수정하라고 권고까지 해주므로 수정도 쉽고 시간도 훨씬 줄어든다.
대기업에서 매뉴얼 방식으로 애플리케이션 보안 취약점을 전수 검사하면 개발한 기간 만큼의 시간이 걸린다. 하지만 포티파이는 100만 라인 스캐닝에 20분밖에 안 걸린다.
또 하나 비주얼 스튜디오 같은 개발도구와 연동된다. 따라서 개발자들은 애플리케이션을 개발하면서 취약점 분석을 동시에 수행할 수 있는 이점이 있다. 포티파이 솔루션은 개발도구에 플러그 인 형태로 들어간다.
포티파이 솔루션이 궁극적으로 지향하는 바는 무엇인가.
애플리케이션 개발 프로세스(SDLC) 단계부터 보안을 고려해 코드를 짤 수 있도록 도와주자는 게 포티파이 솔루션이 내건 기치다. 개발이 끝난 뒤 진단, 수정하려면 엄청난 비용이 든다. 포티파이 솔루션의 등장으로 이젠 보안을 고려한 소프트웨어 개발 프로세스 정립이 가능해졌다는 데 의미가 있다.
사실 그동안 SDLC에는 '보안'이라는 개념이 아예 없었다. 개발자들도 보안에 대한 인식 자체가 없었고, 더구나 보안 기준도 마련돼 있지 않았다. 실제로 상당수 애플리케이션 개발자들은 보안에 대해 신경을 쓰지 않고 코딩 작업만을 수행한 탓에 많은 웹 애플리케이션이 취약점에 노출됐고, 이것이 악의적인 해커들의 공격 대상이 된 것이다.
하지만 네트워크 보안 장비와 달리, 애플리케이션 보안 솔루션 특성상 반드시 개발자의 참여가 요구된다. 취약한 소스코드를 어떻게 변경하라는 수정 가이드라인을 제시해줄 뿐, 실제로 수정 작업은 개발자가 직접 수행해야 하기 때문이다.
채널 정책을 듣고 싶다.
인터비젠이 총판 역할과 함께 직접 영업도 한다. 현재 사이트의 3분의 1를 직접 맡고 있다. 전문 파트너는 4군데로, 생텀 채널이기도한 아이레드를 비롯해 넷컨티넘의 리셀러인 키위즈, 금융권 특화 파트너인 넷솔시스템, 네트워크 스캐너 분야의 선두 주자인 나일소프트가 그들이다.
보안 컨설팅 업체인 에이쓰리, 인포섹, STG시큐리티와는 컨설팅 파트너로 관계를 맺고 있다. 아울러 SI는 파트너 개념으로 손잡고 있다. LGCNS, 삼성SDS, SK C&C 모두 포티파이 제품의 평가를 끝마친 상태다. 삼성SDS와 LG CNS는 포티파이 제품을 표준화 툴로 생각하고 자사 내부용으로 도입한다는 방침이다.
현재 영업 진척 상황과 매출 목표는.
대법원과 BC카드 등 세 곳에 애플리케이션 취약점 진단 보안 컨설팅을 끝냈다. 현재 60여 곳에 제안해놓은 상태이며, 대기업과 금융권을 중심으로 10여 곳을 올해 내로 수주할 수 있을 것 같다. 삼성과 LG그룹은 이미 내년도에 포티파이 솔루션 도입을 적극 고려하고 있으며, 예산 작업을 진행중이다.
금융, 제조, 통신이 주요 공략처다. 공공기관에서는 이 제품을 운용할 인력이 없는 게 현실이라서 행자부 같은 중앙부처를 제외하고는 납품하기 힘든 실정이다.
대개 솔루션들이 국내에 진출해서 첫 고객을 만들기까지 최소 9개월에서 최고 1년 이상이 걸린다. 그에 반해 포티파이 제품은 영업하기 시작한 지 불과 5개월 만에 첫 결과물이 곧 나올 정도다. 그만큼 시장에서 이 솔루션에 대한 요구가 많다는 얘기다. 내년에는 20여 곳 이상의 고객을 확보한다는 목표다.