[공학저널 김진성 기자] 최근 사이버보안 기술에 있어 일어날 수 있는 사고를 미연에 방지할 수 있는 시큐어코딩은 매우 중요한 요소로 손꼽히고 있다.
소스코드에 내재한 작은 취약점으로도 대규모 피해를 입는 사이버 침해사고 특성상 SW 개발 완료 전 보안성과 안전성을 점검하는 시큐어코딩의 필요성이 커지고 있는 것이다. 예를 들면 인터넷 홈페이지나 SW 개발 시 보안 취약점을 악용한 해킹 등의 공격으로부터 시스템을 안전하게 방어할 수 있도록 코딩하는 것이 여기에 해당된다.
지금까지 시큐어코딩은 SW개발의 일부분(개발과정의 소스코드 정적 분석)에 적용되는 것이 일반적이었다. 이러한 패턴은 최근 시큐어코딩이 사용되고 있는 개발‧운영환경, 그리고 다양한 서비스‧디바이스에 적용되면서 큰 변화를 맞이하고 있다.
다양한 시큐어코딩 기술이 개발됐지만 그 중에서도 ‘코드레이(CODE-RAY)’는 정확한 탐지 기술과 낮은 오탐율을 자랑하는 독보적인 시큐어코딩 솔루션이다.
코드레이는 소스코드 컴파일 과정을 가상으로 처리해 탐지속도와 정확도의 균형을 맞춘 기술이다. 이는 안전한 SW와 서비스의 개발을 위해 소스 코드 등에 존재할 수 있는 잠재적인 보안취약점을 제거하고, 보안을 고려한 기능을 설계‧구현한 것이다.
무엇보다 보안 시장에서 코드레이가 주목받는 이유는 개발‧보안 적용과정에서 발생되는 비용적 측면에서 COST를 최소화할 수 있다는 점에서 기인한다. 적용과정에서 발생할 수밖에 없는 오버헤드를 최소화할 수 있는 보다 정교한 기능을 제공하고 있기 때문이다.
코드레이는 ‘Smart Detection’의 정탐 위주 점검으로 개발과정의 오버헤드를 최소화함은 물론, 과탐·오탐으로 인한 시스템 과부하 방지와 점검탐지 리포팅 효율을 높였다.
또한 ‘Smart Development Guide’를 기반으로 탐지 결과에 대한 자세한 설명과 실제 소스코드에 기반한 개발 가이드라인을 제시해 소스코드를 자동으로 보완·수정할 수 있다는 점도 특징적이다.
이러한 코딩 적용시 개발자들의 코딩 습관에 따라 같은 결과가 반복돼 나타나는 것이 일반적인데, 이는 ‘Smart Pattern Guide’를 통해 하나의 패턴으로 정책화해 적용·관리가 가능하다.
때문에 시큐어코딩 코드레이는 개발생명주기 SDLC(Software Development Life Cycle)는 물론 DevOps의 CI/CD(Continuous Integration/Continuous Delivery, Deployment) 환경에서 필수적으로 요구되는 SW 개발품질과 운영상의 보안·안전성을 담보해주는 도구로서 끊임없는 관심을 받고 있다.
특히, 지속적으로 배포되고 있는 CWE/SANS, OWASP, 행자부, 전자금융감독규정 등에 대해 개발자/보안담당자의 고민을 덜어줄 수 있는 SW개발보안의 자동화도구로도 활용될 전망이다.
코드레이를 통해 시큐어코딩 분야의 강자로 자리매김한 ㈜트리니티소프트는 Digital Transformation의 핵심인 SW개발과정에서 애플리케이션의 운영까지의 전 단계에 걸쳐 라이프 사이클에 대한 보안을 책임지고 있는 기업이다.
트리니티소프트 김진수 대표이사(사진)는 “오픈소스 SW가 산업전반에 폭넓게 도입‧적용되면서 시큐어코딩이 커버해야 할 범위도 더불어 확대될 필요가 있다”며 “소스코드기반 정적분석(Static Analysis)은 물론, 테스트 및 운영단계의 동적분석(Dynamic Analysis), 품질/테스트도구로까지 발전되고 있고, 여기에 오픈소스SW에 대한 다양수준의 취약점(소스코드, 라이브러리, 라이선스등)을 한눈에 점검할 수 있어야 한다”고 설명했다.
이에 트리니티소프트에서도 ISMS(Integrated Secure-coding Management System)라는 통합개발보안 플랫폼으로 애플리케이션의 전체 라이프사이클을 하나의 통합된 VIEW의 형태로 관리할 수 있도록 연구개발의 방향을 설정하고 있다.
또한 트리니티소프트는 이러한 소스코드 보안약점 분석도구와 더불어 웹방화벽을 제공하는 웹 애플리케이션 보안 기술 개발 분야에서도 뛰어난 성과를 얻고 있다.
이러한 트리티티소프트의 또 다른 기술인 웹방화벽 ‘웹스레이(WEBS-RAY)’는 웹서비스 기반 앱 서버의 공격탐지‧차단, 개인정보보호, 위변조탐지‧복구를 책임지며, 알려진 취약점(OWASP TOP 10, 국정원 8대 취약점포함)에 효과적으로 대응하는 기술이다.
순수 국내기술로 시큐어코딩 솔루션 부문의 코드레이, 웹방화벽 부문의 웹스레이를 개발해 국내의 안전한 웹 애플리케이션 보안 구축에 일조해온 트리니티소프트는 웹 보안 원천기술에 해당되는 기술특허만 총 여섯 건에 달한다. 그리고 그 가능성과 안정성을 인정받아 지난 2017년 7월 정보보호 유공 국무총리 표창을 수상하기도 했다.
김 대표는 “다른 보안 기업과 협력해 통합된 보안서비스를 고객에 제공할 계획”이라며 “트리니티소프트는 지금까지 해왔듯이 꾸준히 기술개발과 품질향상을 위해 노력하겠다. 글로벌 시장에 진출해 국내의 우수한 보안 기술을 알리겠다”고 말했다.