시큐어코딩 솔루션 '힐링시큐 스캔제이 V1.0.9'

[아이티투데이 성상훈 기자] 시큐어코딩은 소프트웨어 개발단계에서 보안취약점을 원천차단한다는 점에서 매우 중요하다. 국내에서 시큐어코딩이 관심을 받기 시작한것은 안전행정부가 지난 2012년 5월 시큐어코딩 의무화 법안을 발표하면서부터다.

개발비 40억원 이상 정보화사업은 시큐어코딩을 의무화했고 올해부터 20억원 이상 사업까지 포함됐다. 내년부터는 감리대상 전 사업에 적용될 전망이다.

소스코드의 보안약점을 분석하는데 있어서 가장 중요한 것은 오탐방지 기능이다. 시큐어코딩 실무를 담당하는 사용자들의 가장 큰 불만은 소스코드 보안약점 분석도구 결과 중에 오탐이 많이 발생하고 이에 대한 관리가 매우 어렵다고 알려져 있다.

이에 강력한 오탐방지 기능을 갖추고 등장한 싸이버텍의 '힐링시큐스캔제이(Healing Secu ScanJ V1.0.9)'가 업계에서 주목을 받고 있다.

싸이버텍의 힐링시큐스캔제이는 오탐율이 낮은 실행파일 해석방식의 정적 분석 기법과 소스코드 보안약점 분석관리 라이프 싸이클을 통해 관리자와 개발자를 연결해준다. 이를 통해 한번 발견된 오탐지가 다시 오탐지로 검출되는 것을 막아준다

싸이버텍 보안기술연구소 연구원들이 SW 개발 회의를 진행하고 있다

싸이버텍은 국방분야 전문 IT기업으로 출발해 지난 20년간 국내 국방 관련 IT 프로젝트를 다수 진행해왔다. 보안에 대한 이슈는 지속적으로 부각됐기 때문에 위기감과 사명감을 갖고 연구소를 설립해 시큐어코딩 솔루션까지 출시하게 됐다.

시큐어코딩은 싸이버텍에 있어서 생소한 분야였지만 향후 더욱 발전해야할 중요한 보안 분야라고 판단되어 과감히 투자를 결정했다고 한다. 지난 2012년부터 본격적으로 개발해 착수해 올해 CC인증을 받은 시큐어코딩 솔루션 '힐링시큐스캔제이'를 출시하기에 이르렀다.

싸이버텍은 현재 시기를 하드웨어 보안에서 소프트웨어 보안으로 옮겨가는 단계로 보고 있다. 내부적으로는 시큐어코딩이 2000년대 중반 이후부터 많은 움직임이 있었고 이제부터 확산 단계에 접어든 것으로 보고 있다.

미국을 비롯한 많은 선진 국가에서는 2002년부터 CC인증 제도를 정착하고 국제 연구 모임을 활발히 진행하고 있다. 우리나라 정부에서도 의지를 갖고 시큐어코딩 의무화를 도입한 만큼 소프트웨어 보안의 선두그룹으로 자리매김할 것이라는게 싸이버텍의 판단이다.

◇싸이버텍 보안기술연구소 박창준 실장과 일문일답

시큐어코딩 솔루션 힐링시큐스캔제이의 강점과 개발스토리에 대해 설명하고 있는 싸이버텍보안기술연구소 박창준 개발실장

소스코드 보안약점 분석도구의 적용분야와 향후 전망은 어떤가?
현재는 공공기관 중심으로 수요가 있을 예정이지만, 점차적으로는 금융, 의료, 제조 분야의 SW, 중요 시스템으로 포괄적으로 적용될 것으로 본다. 앞으로 5년 내에 건강관리, 금융결제 등과 같이 보안이 뚫렸을 때 막대한 피해를 줄 수 있는 기능들이 사물인터넷의 일종인 웨어러블 디바이스를 통해 가능해 지면서 기기들의 보안성도 더욱 강화될 것이다.

특히 건강관리 기능을 제공하는 웨어러블 디바이스의 경우 사람의 생명과 관련된 정보를 처리하게 된다. 당연히 더욱 강력한 보안성이 요구될 수 밖에 없다. 개발단계부터 시큐어코딩의 적용을 위한 시장이 자연스럽게 형성될 것으로 기대하고 있다.

힐링시큐스캔제이가 대규모 기관에 강점이 있다고 들었다. 특별한 이유가 있나?
힐링시큐스캔제이는 지난해 하반기 대전 정부통합전산센터에서 실시한 시큐어코딩 SW 벤치마킹테스트를 통하여 우수한 성적을 받았다. 제품 개발과정에서도 대전 정부통합 전산센터 및 광주 정부통합 전산센터 등의 대용량 시큐어코딩에 대한 이슈, 요구사항 등을 적극 조사 반영하여 구축했기 때문이다. 여러개의 사이트를 관리하는 대형시스템에 특화된 것도 힐링시큐스캔제이의 강점 중 하나다.

현재 매출과 사업현황은?
국방부 산하 프로젝트를 수행하면서 매년 70억대 이상 매출을 올리고 있다. 시큐어코딩 쪽 매출은 아직까지는 없지만 현재 진행중인 곳은 있다. 공공쪽은 개발사업 외에도 유지보수를 비롯한 운영사업에도 시큐어코딩이 적용될 전망이다.

당연히 시장 수요는 몇배 커질 것이다. HP 등 외산 제품도 시큐어코딩 인증을 받기위해 준비중인것으로 알고 있다. 우리는 국내 IT인프라에 맞는 최적화된 형태로 가야 경쟁력이 있을 것으로 본다. 계속 준비중에 있다.

올해 구체적인 목표가 있다면?
지금까지 개발에 치중했다면 올해는 시큐어코딩이 정착화될 수 있도록 마케팅 등 영업적인 활동에 주력할 계획이다. 컨퍼런스 참가를 비롯해 문화전반에 걸친 영역도 준비하고 있다. 내년부터 본격적으로 민간분야 영업도 확대해 나갈 예정이기 때문에 올해는 정부 수요에 발맞춰 나가면서 기반을 다지는데 주력할 예정이다. 개인적인 바람으로는 올해 전체 매출 100억원대에 진입하는 것이 목표다.(웃음)

CC인증획득이 쉽지 않다고 들었다. 앞으로의 각오도 남다를 것 같다. 어떤가?
시큐어코딩으로 CC인증을 받았다고 해서 개발이 끝이 아니라, 앞으로도 지속적으로 R&D에 치중하여 시큐어코딩 분야 발전에 기여할 계획이다. 다양한 분야의 시스템 구축 현업에서 꼭 필요하고 부족한 SW보안에 대해서는 꾸준한 지원과 안전한 SW구축을 위한 가이드를 마련해야할 사명감이 있다고 생각한다. 아무쪼록 국내 소프트웨어 보안의 발전에 보탬이 되고 싶다.

 

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지