2024-02-23 13:15 (금)
포티파이 엔터프라이즈, 정보보호제품 성능 평가 인증 획득...공공기관 도입 니즈 커질 전망
상태바
포티파이 엔터프라이즈, 정보보호제품 성능 평가 인증 획득...공공기관 도입 니즈 커질 전망
  • 길민권 기자
  • 승인 2023.02.06 09:00
이 기사를 공유합니다

장기창 대표 “신규 취약점 대응 위해서는 글로벌 제품 필수적...조직의 실질적 보안 수준 높여야”
장기창 하로스 대표(사진)가 소스코드 취약점 분석 글로벌 대표 솔루션 포티파이 엔터프라이즈의 강점에 대해 설명하고 있다.
장기창 하로스 대표(사진)가 소스코드 취약점 분석 글로벌 대표 솔루션 포티파이 엔터프라이즈의 강점에 대해 설명하고 있다.

소스코드 취약점 분석 글로벌 대표 솔루션 포티파이 엔터프라이즈(Fortify Enterprise)가 한국정보보안기술원(KOIST)에서 진행하는 정보보호제품 성능평가에 인증을 받았다고 최근 밝혔다. 이번 인증은 정적 분석 도구로는 처음으로 성능 평가 인증을 받았다는 부분과 공공기관에서 포티파이 엔터프라이즈 제품을 적극 도입할 수 있는 발판을 마련한 것에 큰 의미가 있다. 

정보보호제품 성능평가는 공공기관에 도입 시 정보보호제품이 운영환경에서 정상 및 유해 트래픽에 적절히 대응하는지 기준 및 절차에 따라 성능 평가를 실시해 결과를 제공하는 제도다. 

최근 사이버 공격은 주로 소스코드 자체의 보안 취약점을 악용하는 제로데이 공격 또는 SQL 인젝션 등 애플리케이션 취약점을 악용하는 공격이 주를 이루고 있기 때문에 계발 단계에서부터 애플리케이션에 대한 취약점을 원천적으로 차단하는 것이 무엇보다 중요하다. 

이런 이유로, 2012년 3월 27일부터 전자정부 서비스 시스템 구축 시 사이버 공격의 주요 원인인 소프트웨어 보안 취약점을 계발 단계부터 제거하기 위해 '소프트웨어 개발 보안'(시큐어코딩)을 의무화하고, 시큐어코딩 가이드 필수 49개 보안취약점을 명시해 시스템 개발 시 보안 적용을 하도록 요구하고 있다. 

포티파이는 시큐어코딩 분야 정적 분석 도구로는 글로벌 1위 제품이다. ‘포티파이 엔터프라이즈’는 포티파이 엔진을 기반으로 제작된 제품으로, 국내 공공기관 도입 시 요구하는 모든 보안 요구사항을 충족하고 있으며 더 나아가 최신 사이버 공격에 실질적으로 대응할 수 있도록 최신 취약점과 계속 바뀌는 개발도구에도 신속하게 대응할 수 있는 제품이다. 

포티파이 엔터프라이즈 제품을 개발해 이번에 성능 평가 인증을 받은 장기창 하로스 대표는 “이번 포티파이 엔터프라이즈는 공공시장 고객들의 피드백을 모두 반영했으며 포티파이 엔진의 방대한 룰과 새로 나온 취약점에 신속하게 대응할 수 있는 제품이다. 보안 취약점은 한국의 개별 기업이 대응하기에는 한계가 있으며, 특히 개발자들은 오픈소스를 사용한다. 오픈소스는 해외에서 개발되기 때문에 거기에서 나오는 신규 취약점에 대응하기 위해서는 글로벌 제품이 필수적이다”라고 강조했다. 

포티파이 엔터프라이즈
포티파이 엔터프라이즈 주요 기능

◇포티파이 엔터프라이즈 특장점

포티파이 엔터프라이즈는 공공기관 도입 시 요구하는 49가지 규정을 충족하고 있으며 그 외에도 CWA, CVE, OWASP 등 글로벌 취약점 레퍼런스를 지원하고 수천 개의 기존 취약점과 신규 취약점에 빠르게 대응할 수 있다는 강점이 있다. 

에이전트를 설치해 신속하게 개발 소스코드를 분석할 수 있고 다양한 형상관리 도구들도 진단할 수 있다. 기존 포티파이 제품은 개발자 각자가 진단해야 했지만 엔터프라이즈 제품은 에이전트를 설치해 개발 시 즉각적인 분석이 가능하다는 점이 특징이다. 

특히 방대한 룰에서 타사 분석 도구와 차이가 크다. 포티파이는 글로벌 지사와 대규모 R&D센터에서 글로벌 분석 전문가들이 포진해 있다. 이를 통해 최신 보안 취약점을 찾고 CWA, CVE, OWASP 등과 정보 공유를 통해 최신 위협에 신속하게 대응할 수 있는 제품이다. 

장기창 대표는 “정적 분석 도구 도입 시 형식적인 도입이 되어서는 안 된다. 단순히 보안 요구 사항 49가지만 지킨다고 해서 실질적 보안이 되는 것이 아니다. 최신 글로벌 정보를 효과적으로 활용해 조직의 실질적 보안 수준을 높이는 것이 중요하다.”며 “특히 고객들의 니즈를 충족시켜 주고 빠르게 피드백 해 주는 것이 중요하다. 포티파이 엔터프라이즈는 이런 면에서 신속한 대응이 가능하다. 실질적인 문제점을 해결할 수 있도록 하로스에서 고객 지원에 최선을 다하겠다.”고 밝혔다. 

포티파이 엔터프라이즈 기대효과
포티파이 엔터프라이즈 기대효과

◇포티파이 엔터프라이즈의 공공시장 리딩 전략

하로스 측은, 올해 1/4분기에 포티파이 엔터프라이즈 조달등록을 완료할 계획이다. 특히 글로벌 제품만이 가지고 있는 방대한 취약점 정보와 하로스의 신속한 고객 대응 능력에 대해 적극 홍보해 나갈 것으로 전했다.  

또 새로운 취약점에 대한 대응, 새로 나온 개발도구, 새로운 개발 언어들에 대해 포티파이 엔터프라이즈가 근본적인 해결책을 제시해 줄 수 있다는 것을 알리고 공공시장을 리딩해 나갈 것이라고 강조했다. 

장기창 대표는 “현재 포티파이는 금융시장에 70%를 점유하고 있다. 이번 인증을 통해 공공시장 도입이 활발하게 이루어질 전망이다. 공공기관 보안담당자들도 소스코드 보안에 중요성을 알고 있고 글로벌 제품이 필요하다는 인식이 강하다.”며 “49개 항목 이외에도 계속해서 나오고 있는 신규 취약점을 대응하지 못한다면 실질적 보안은 이룰 수 없다. 포티파이 엔터프라이즈를 활용해 국내 공공기관 보안 수준을 업그레이드시킬 수 있도록 지원하겠다. 도입기관 사용자 교육도 적극 지원할 계획이다. 포티파이 엔터프라이즈 정적 분석 도구를 통해 공공기관 모든 애플리케이션의 보안 수준이 극대화될 수 있도록 적극 지원하겠다.”고 밝혔다. 

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★