시큐어코딩 솔루션 적용은 필수
CC·GS 인증 획득한 분석 도구
4대 CC인증 기관 기술력 인정
클라우드 서비스 보안인증 획득
공공 클라우드 진출 교두보 확보
시장과 성장 전망에 대해 말하고 있다.
[정보통신신문=김연균기자]
전 산업에서의 디지털전환이 가속화되면서 안전한 소프트웨어 보급의 중요성이 점차 커지고 있다. 사소한 보안 취약점이라도 치명적인 결과를 낳을 수 있기 때문이다.
특히 의료 기기나 안전장치 등에 보안 취약점이 존재한다면 사람의 생명까지 위협할 수 있으므로 문제점을 사전에 차단하는 방어막이 요구되고 있다.
이 같은 의미에서 시큐어코딩은 SW 개발과정에서 개발자 실수, 논리적 오류 등으로 인한 SW에 내재된 약점을 최소화해 보안 위협에 대응할 수 있는 필수 도구로 평가받고 있다.
최근 시큐어코딩 산업은 활력을 띄는 양상이다.
공공부문은 2020년 12월 소프트웨어산업진흥법이 개정되면서 모든 공공기관에서 SW 안전 확보를 위해 시큐어코딩 솔루션을 필수로 사용해야 하고, 지난해 과학기술정보통신부에서 ‘K-사이버방역’ 사업으로 2023년까지 6700억원 투자할 예정이어서 시큐어코딩 시장은 그 어느 때보다도 최적화된 성장 환경이 조성되고 있다.
여기에 더해 민간 분야도 시큐어코딩 중요성이 강조되며 시장이 점차 열리기 시작했다.
최근 만난 김진수 트리니티소프트 대표는 시큐어코딩 시장이 성장기 초입에 접어들었다고 평가했다.
김진수 대표는 “2000년대 초중반 포티파이, 앱스캔과 같은 외산 시큐어코딩 솔루션이 국내 시장에 들어오면서 인식의 변화가 시작됐다”며 “최근 공공부문에서의 시큐어코딩 적용 의무화와 SW 개발 보안에 대한 규제 강화, 코로나19로 인한 애플리케이션 사용 증가에 따른 보안 수요는 SW 개발단계에서 취약점을 찾아 제거하는 시큐어코딩 특히, 애플리케이션 보안 테스팅(AST) 시장 성장을 견인할 것으로 기대된다”고 밝혔다.
트리니티소프트는 시큐어코딩 의무화 시대에 맞게 우수한 국산 기술을 탑재한 ‘코드레이 엑스지(CODE-RAY XG)’를 앞세워 시장을 주도하고 있다.
시큐어코딩 솔루션 ‘코드레이’는 2010년 출시 이후 현재까지 V6.0 버전으로 업그레이드된 소스코드 정적분석(SA) 솔루션이다.
특히 코드레이는 시큐어코딩에 대한 국제공통평가기준(CC) 인증 보호프로파일이 존재하지 않던 2011년에 CC인증(소스코드 분석도구)을 획득하고, 2014년 CC인증 보호프로파일이 나온 이후 또다시 인증을 받았다. 2016년 GS(Good Software)인증을 획득 후 2020년 코드레이 엑스지 V6.0은 세 번째 CC인증 외에 한국정보통신기술협회(TTA)로부터 GS인증을 동시에 획득했다.
코드레이 엑스지는 SW 개발단계에서 소스코드 보안 약점을 진단해 사전에 잠재적 위험 요소를 제거하도록 도와주는 차세대 소스코드 보안 약점 분석 도구로 Java, Javascript, JSP, C/C++, HTML, Python 등 지원하는 언어에 대해 컴파일 환경 없이 소스코드만으로 분석이 가능한 정적분석 제품으로 이름을 알리고 있다.
또한 소프트웨어 개발 보안 가이드 49개 항목, 국가정보원 웹 8대 보안 취약점, 전자금융감독규정 8대 취약점, OWASP TOP 10, CWE/SANS TOP 25 등 국내외 다양한 컴플라이언스 기준에 맞춰 보안 약점 진단이 가능하다.
트리니티소프트는 기술력에 힘입어 CC인증 평가기관인 한국기계전기전자시험연구원(KTC)과 한국시스템보증(KOSYAS), 한국아이티평가원(KSEL), 한국정보보안기술원(KOIST) 등을 레퍼런스로 확보하고 있다.
특히 지난해 3월 정보시스템감리협회와 전략적 협력을 맺고 코드레이 엑스지 제공과 시큐어코딩 활성화를 도모하고 있다.
김진수 대표는 “현행 전자정부법상 공공기관에서 발주하는 국가정보화사업은 정보시스템감리법인에서 감리수행시 CC인증을 받은 진단 도구를 이용해 SW 보안 약점을 제거했는지 진단해야 한다”며 “안랩, 시큐아이, 소만사, 윈스, 지니언스 등 대한민국을 대표하는 16개의 정보보안 회사가 코드레이 엑스지를 도입해 운영 중이다”고 설명했다.
한편 공공부문 클라우드 시장 진출에도 청신호가 켜진 상태다.
정보보안제품은 CC인증 또는 보안기능 확인서를 획득해야 공공시장 진입이 가능하지만, 클라우드 환경에서는 클라우드 서비스 보안인증(CSAP) 획득이 필수다.
최근 트리니티소프트는 CC인증 보안 제품인 ‘코드레이 엑스지’를 클라우드 환경으로 서비스하기 위해 13개 분야 78개 통제항목 기준을 통과해 CSAP(SaaS 표준등급)를 획득했다. 시큐어코딩 솔루션 중 CSAP 인증을 획득한 제품은 '코드레이 클라우드'가 유일하다는 게 트리니티소프트 측 설명이다.
김진수 대표는 “최근 정부가 행정·공공기관 정보 시스템을 전면 클라우드로 전환하겠다고 선언하며, 2025년까지 1만여 개의 정보시스템을 클라우드로 전환한다고 밝힘에 따라 클라우드 공급업체의 역할과 비중이 커질 것으로 전망된다”며 “이번 CSAP 획득을 통해 향후 공공부문의 SaaS 시장을 선점해 나갈 발판을 확보했으며, 클라우드 비즈니스 환경에 대응할 첫걸음을 내딛었다”고 평가했다.
이어 “멀티클라우드 매니지먼트 기업인 디딤365와 전략적 제휴를 통해 공공부문 코드레이 클라우드 보급에 노력할 것”이라고 밝혔다.
