> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[애플리케이션 보안] SW 생명주기 전체 보호해야
데브시크옵스 요구 만족하는 보안 전략 필수…오픈소스 취약점 관리 기술 부상
     관련기사
  [네트워크 보안 시장 동향①] 새로운 기회 탐색하는 NGFW
  [네트워크 보안 시장 동향②] 토종 기업 “가자, 해외로”
  [네트워크 보안 시장 동향③] 디도스 방어, 성장 가능성 높아
  [보안관제 시장 전망] AI 장착한 보안관제
  [취약점 탐지·침투테스트] 공격 이용되는 취약점 제거해야
  [클라우드·IoT 보안 평가와 전망] 클라우드·IoT, 보안 내재화된 접근 필수
  [데이터 보안 평가와 전망] 데이터 생명주기 전 단계 보호
  [엔드포인트 보안 평가와 전망] 선제방어·사후대응 병행
2018년 01월 12일 10:47:25 김선애 기자 iyamm@datanet.co.kr

‘디지털 트랜스포메이션’이 성장의 필수 조건이 되면서 현재는 물론 미래까지 포괄할 수 있는 차세대 기술 선택이 중요한 요소가 됐다. 이에 따라 소프트웨어 정의, 클라우드, 가상화, IoT의 실제 성공사례가 입증되고 있으며, IT 인프라의 체질 개선도 본격화 되고 있다. 본지는 디지털 트랜스포메이션을 가속화하고 4차 산업혁명 시대를 앞당기고 있는 ICT 기술을 평가하고 전망해본다.<편집자>

애플리케이션은 비즈니스의 디지털 전환을 위해 필수적인 요소다. 모든 비즈니스는 웹을 통해 연결되고 애플리케이션으로 구동된다. 클라우드·IoT 환경에서는 서비스가 수시로 생성되고 회수되며 변경되는 클라우드·IoT에서는 서비스를 빠르게 개발·테스트하고 배포하고 사용 기간이 지나면 방치된 채 공격에 악용되지 않도록 쉽게 제거할 수 있어야 한다.

이에 맞춰 소프트웨어 개발조직과 운영조직, 그리고 보안을 함께 생각하는 데브시크옵스(DevSecOps)가 유행하고 있으며, 소규모 다수의 조직이 서비스 개발부터 운영, 보안까지 책임지는 방법론이 부상하고 있다.

마이크로서비스에서는 작은 단위의 애플리케이션을 조립해 전체 서비스를 만들기 때문에 애플리케이션과 서비스를 연결하는 API가 중요하다. SI 형태의 대규모 서비스를 개발하던 때에는 개별 환경에 따라 맞는 API를 개발했지만, 변경이 잦은 마이크로서비스에서는 자동화된 API 생성과 배포, 보안관리를 지원하는 API 솔루션이 필요하다.

CA테크놀로지스가 이 시장을 가장 적극적으로 열어가고 있으며, 다수의 금융기관에 모바일 뱅킹 사업에 솔루션을 적용했다.

   

▲복잡한 애플리케이션 공급 체인으로 보안에 필요한 노력이 증가하고 있다.(자료: 마이크로포커스)

SDLC 맞춘 시큐어코딩 전략 필수

데브시크옵스의 출발은 소프트웨어를 안전하게 개발하는 것이다. 소프트웨어 개발 라이프사이클(SDLC)에 맞춘 보안 정책을 적용해야 하며, 시큐어코딩이 필수 솔루션으로 제안된다. 개발 중인 소프트웨어에 보안을 적용하는 정적분석도구(SAST)와 개발 완료 후 테스트 과정에서 보안을 점검하는 동적분석도구(DAST)가 많이 사용되는데, 최근 발표되는 솔루션에는 인공지능 기술을 적용해 탐지된 취약점을 수정하기 위한 최적의 제안을 제공하기도 한다.

이 분야의 대표주자는 마이크로포커스의 ‘포티파이’로, SAST와 DAST에 이어 운영 중인 애플리케이션의 자가보호 기능을 제공하는 RASP로 이뤄지는 제품군으로 소프트웨어를 보호한다. 포티파이 제품군은 자동화된 취약점 탐색과 수정, 제안을 제공하며, 금융·엔터프라이즈에서 높은 시장 점유율을 갖는다.

토종 솔루션으로 가장 높은 점유율을 가진 파수닷컴 ‘스패로우’는 소프트웨어 보안 분석 도구를 통합한 ‘인터렉티브허브’를 출시하면서 국내외 시장 확대에 나섰다. 이 제품은 SAST, DAST, RASP, 통합관리 플랫폼으로 이뤄져 있으며, 각 개별 기술로는 검출하지 못하는 보안 취약점을 검출하고 통합 관리할 수 있게 했다.

한편 파수닷컴은 스패로우 사업부를 분사해 소프트웨어 보안과 품질관리 전문 솔루션 기업으로 성장시킨다는 계획을 갖고 있다.

오픈소스 취약점도 전사 관리

대부분의 소프트웨어 개발에는 오픈소스 소프트웨어가 사용되고 있지만, 상용 소프트웨어 취약점을 점검하는 솔루션으로는 오픈소스 취약점을 정확하게 찾아 내지 못한다. 오픈소스 라이선스 관리 솔루션 전문기업 블랙덕소프트웨어는 엔시큐어와 총판계약을 체결하고 오픈소스의 취약점을 관리하는 ‘블랙덕 허브’의 국내 영업을 강화한다.

블랙덕허브는 기업/기관에서 사용하는 시스템을 전수조사해 오픈소스 사용현황을 가시화하고, 취약점이 있는 버전을 찾아내 대처할 수 있도록 지원한다.

소스코드 없이 바이너리 파일만 있는 오픈소스는 인사이너리의 ‘클래리티’가 책임진다. 클래리티는 네덜란드 오픈소스 전문가 아마인 헤멜이 개발한 오픈소스 프레임워크인 바이너리 어낼리시스 툴(BAT)을 기반으로 하고 있으며, 국내 최고의 보안 전문가가 투입돼 개발됐다. IoT 기기에서 사용하는 오픈소스 보안 이슈 찾는데에도 탁월해 IoT 보안을 위해서도 제안된다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  애플리케이션 보안, SDLC, 소프트웨어 생명주기, 데브시크옵스, 보안
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr