2024-03-28 19:00 (목)
[인터뷰] 손장군 엔시큐어 이사 “앱 개발시 오픈소스 보안취약점 관리 중요”
상태바
[인터뷰] 손장군 엔시큐어 이사 “앱 개발시 오픈소스 보안취약점 관리 중요”
  • 길민권 기자
  • 승인 2016.12.21 15:58
이 기사를 공유합니다

엔시큐어, 모바일 애플리케이션 토탈 보안 서비스 포트폴리오 완성

엔시큐어(대표 문성준)는 애플리케이션 보안사업을 필두로 IT인프라보안 분야까지 올해 사업영역을 성공적으로 확장시켜 나가고 있다. 특히 모바일 보안 분야를 비롯해 ‘시큐어코딩 통합관리 솔루션’, ‘일체형 통합계정권한관리 시스템’, ‘정보보안 e-Learning 서비스’ 등의 분야에서 탄탄한 입지를 구축해 나가고 있어 내년 행보도 기대가 된다.

데일리시큐는 최근 손장군 엔시큐어 이사를 만나 올해 성과와 내년도 계획 등에 대해 들어보는 시간을 가졌다. 특히 올해 새롭게 선보인 블랙덕허브(Black Duck Hub)와 자이로이드(Zyroid SE)를 중심으로 대화를 이어갔다.

우선 애플리케이션 보안사업에 대해 손 이사는 “엔시큐어 기존 제품에는 악산(Arxan)과 포티파이(Fortify) 제품군이 시장을 주도해 왔다. 악산은 모바일 애플리케이션에 보안기능을 탑재해 중요 기능 우회 및 위변조에 대한 차단 및 방어 기술을 제공한다. 또 포티파이는 모바일 앱을 개발할 때 소스코드 상에 존재하는 보안 취약점들 정확히 찾아내어 취약점이 발생하는 근본적인 원인을 파악할 수 있도록 해준다”며 “여기에 올해 추가적으로 오픈소스 보안 취약점 관리 솔루션 블랙덕허브를 국내 런칭했다. 블랙덕은 오픈소스에 대한 가시성 제고 및 관리 확대, 보안 강화, 외부 감사 등 다양한 측면에서 오픈소스의 장점을 최대한 활용 하면서 오픈소스와 관련된 법적인 문제, 보안상의 문제, 운영상 문제를 효율적으로 해결할 수 있다”고 설명했다.

◇금융권 앱 60% 오픈소스로 개발…보안취약점 관리 방안 마련해야
오픈소스는 모바일 앱을 개발할 때 가장 많이 활용된다. 특히 금융권 앱의 경우 50~60%가 오픈소스를 기반으로 개발되고 있다. 반면 지금까지 국내에 오픈소스에 대한 취약점을 제대로 체크하고 앱을 개발할 수 있는 솔루션은 전무했다. 앱 개발시 사용된 오픈소스 자체의 보안취약점은 출시된 앱의 보안성을 해치는데 치명적일 수 있다. 이런 보안홀을 엔시큐어는 ‘블랙덕’이 해소해 줄 것이라고 강조한다.

손장군 이사는 “최근 오픈소스 취약점이 급증하고 있다. 한편 모바일 앱 상당수가 오픈소스로 개발되고 있다. 특히 오픈소스 취약점은 발표후 3~4년 뒤 공개되고 있기 때문에 그 전까지 보안상 무방비 상태가 된다. 오랜 기간 취약점이 방치되고 있는 경우가 많다. 해커들이 취약점을 공격한다면 상당한 피해가 발생할 수 있다”며 “블랙덕 허브는 사용중인 오픈소스를 자동으로 식별해 알려진 혹은 신규 보안취약점을 지속적으로 적용할 수 있도록 해준다. 즉 오픈소스 보안취약점 관리를 자동화 할 수 있다는 점에서 향후 금융권 도입이 활발해 질 전망”이라고 내다봤다.

◇자이로이드SE, 1주일 걸리던 보안점검 기간 20분 내로 단축
한편 모바일 환경에서의 해킹 기술은 진화하고 있지만 인적, 물적 자원의 부족으로 대응 능력의 한계와 다양한 보안 요구 사항 등은 점검 기준 및 절차의 표준화를 요구하고 있다. ‘자이로이드(Zyroid) SE’는 모바일 앱에 대한 기술적, 관리적 측면에서의 향상된 보안 점검 환경을 제공할 것으로 보인다.

손 이사는 자이로이드 SE에 대해 “출시후 앱이 난독화가 제대로 됐는지 루팅이 됐는지 그리고 산업군별 다양한 법적 컴플라이언스가 충족됐는지 등에 대해 가상 애뮬레이터가 아닌 실제 모바일 기기를 사용해 최대 20분내에 점검을 완료할 수 있다. 기존 프로세스로는 1주일 걸리는 점검시간을 놀랍게 단축시킬 수 있다”며 “11개 취약점을 분류해 42개 점검 항목 기준을 적용해 빠르게 점검할 수 있어 제품 출시 전에 유용한 점검 솔루션으로 활용될 것”이라고 설명했다.

또 하나 악산 ‘트랜스포밋(TransformIT)’은 디바이스를 공격해 암호를 깰 수 있는 공격을 차단할 수 있다. 암호가 깨지지 않게 원본키를 추출하지 못하도록 하는 솔루션이다.

이렇게 엔시큐어는 애플리케이션 개발부터 사용후까지 모든 영역을 커버할 수 있는 제품군을 보유하게 됐다.

손장군 이사는 “이제 모바일 앱 개발시 ‘시지탈(Cigital SecureAssist)’과 ‘포티파이(HPE Fortify)’ 제품군을 통해 시큐어코딩을 적용하고 오픈소스 보안취약점 점검을 위해 ‘블랙덕허브(Black Duck Hub)’를 활용하면 된다. 또 출시 전에는 ‘자이로이드(Zyroid) SE’로 신속히 보안점검을 실행하면 되고, 출시후 보안위협에 대응하기 위해 ‘악산(Arxan)’ 제품군을 활용할 수 있다”며 “이렇게 올해 엔시큐어는 모바일 애플리케이션 관련 전체 사이클을 커버할 수 있는 토탈 보안 서비스를 제공할 수 있는 포트폴리오를 완성했다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★