4차 산업혁명의 기반이 되는 차세대 IT 인프라 도입이 증가함에 따라 다양한 IT 시스템의 보안 취약점을 노리는 위협 역시 기하급수적으로 증가하고 있다.

주요 보안 기업은 2018년 보안 전망 보고서를 통해 새로운 취약점은 물론 알려진 취약점을 이용해 패치가 이뤄지지 않은 취약한 IT 시스템을 노리는 공격 시도가 지속적으로 발생할 것으로 내다봤다. 다양한 IT 시스템의 보안 취약점을 진단·조치해 기업 허점을 보완하는 '보안 취약점 진단'의 중요성이 점차 높아질 것이란 전망에 힘이 실린다.

◆ IT 자산 관리에서 취약점 관리까지…하나의 솔루션으로 해결

국내외 보안 기업은 취약점을 노린 보안 위협에 유연히 맞서기 위한 솔루션을 제공한다. 이글루시큐리티는 IT 자산 관리와 취약점 관리를 하나의 솔루션으로 해결할 수 있는 보안 진단 자동화 솔루션 '스마트가드'를 선보였다.

이글루시큐리티 스마트가드 시스템 구성도. / 이글루시큐리티 제공
이글루시큐리티 스마트가드 시스템 구성도. / 이글루시큐리티 제공
많은 기업이 IT 자산관리와 보안 취약점 진단·조치의 중요성은 인지하고 있으면서도 자산관리 시스템이 보안과 연관된 소프트웨어 정보는 제공하지 않는 까닭에 신속한 보안 패치 진행에 어려움을 겪어왔다. 자산 관리와 취약점 진단이 별도로 진행돼 자산 변동 시 즉각적인 대응이 이뤄지지 않는 점도 걸림돌이다.

스마트가드는 이러한 어려움 해소에 초점을 맞춰 IT 자산관리와 취약점 진단·조치 기능을 통합적으로 지원한다.

스마트가드는 기존 IT 자산관리 시스템과는 달리 IT 인프라에서 구동되는 소프트웨어를 즉각적으로 식별해 하드웨어에 설치된 소프트웨어가 변동되는 경우에도 즉각적인 대응이 가능하다. 시스템 담당자가 IP와 ID, 패스워드만 입력하면 자동으로 에이전트를 설치하고 진단을 실시해 각종 시스템 정보를 자동으로 수집한다. 또 포트 스캐닝 기능을 통해 미처 등록되지 못한 자산도 빠르게 파악한다.

보안 관리자가 실시간으로 업데이트되는 IT 자산 정보를 확인해 취약점 점검용 스크립트를 업데이트하면 스마트가드는 이를 실행해 취약점 진단 결과를 업로드한다. 보안 관리자는 이를 통해 기업 IT 자산의 보안 취약점 현황을 파악하고 해당 취약점을 조치할 것을 알리는 메시지를 각 시스템 담당자에게 보낼 수 있다. 시스템 담당자가 이 취약점을 조치한 후에는 조치 내용이 즉각 업데이트돼 공유된다.

보안 관리자는 일일이 수 많은 IT 자산을 진단할 필요 없이 ▲보유한 IT 자산에 적용되는 취약점은 무엇인지 ▲보안성이 취약한 IT 자산은 없는지 ▲취약점이 잘 패치됐는지를 빠르게 확인할 수 있다. IT 자산 현황 파악과 보안 취약점 진단·조치를 위해 짧게는 수 주에서 길게는 수 개월에 달하는 시간이 필요했던 것과 달리 스마트가드는 수많은 보안 취약점을 빠르게 조치해 기업의 보안성을 한층 높일 수 있다.

◆ 대세는 모바일…모바일 앱 취약점 진단 솔루션도 각광

모바일 기기 사용이 빠르게 확산되면서 모바일 앱 취약점 진단·점검 솔루션의 필요성도 대두되고 있다. 누구나 쉽게 개발해 올리고 내려받을 받을 수 있는 모바일 앱 특성상 보안 취약점 점검에 소홀하기 쉽다. 특히 개발 완료 후 반드시 취약점 점검을 하도록 의무화돼 있는 금융 앱 역시 서비스 제공 과정에서는 그 취약점 관리가 어려운 게 사실이다. 모바일 앱 취약점을 노리는 공격 시도에 맞서 안드로이드와 iOS를 지원하는 모바일 취약점 점검 솔루션이 주목 받는 이유다.

자이로이드 기능 개요. / 엔시큐어 제공
자이로이드 기능 개요. / 엔시큐어 제공
엔시큐어는 안드로이드와 아이폰 앱의 취약점 진단·탐지를 위한 '브이파인더(V-Finder)'를 출시했다. 보안 전문가가 아니더라도 클릭 몇 번으로 서비스 앱의 주요 취약점을 분석할 수 있는 것이 강점이다.

라온시큐리티는 모바일 앱 취약점 점검 솔루션 '자이로이드(Zyroid)'의 iOS 버전을 출시했다. 자이로이드는 기술적·관리적 측면에서 보안 점검을 수행하는 모바일 취약점 진단도구로 난독화된 앱 분석 및 실시간 데이터 분석을 지원한다.

◆개발 단계부터 취약점을 최소화하는 시큐어코딩 솔루션

개발 단계에서 보안 취약점을 미리 찾아내 보완함으로써 취약점을 노린 보안 사고 발생 가능성을 낮추는 시큐어코딩 솔루션에 대한 관심도 뜨겁다. 시큐어코딩이 의무화된 5억원 규모 이상의 공공기관은 물론 취약점을 악용한 보안 위협이 증대되고 있는 사물인터넷(IoT) 기기와 서비스, 웹 관련 민간기업을 중심으로 시큐어코딩에 대한 수요가 높아지는 추세다.

파수닷컴 스패로우 패키지 이미지. / 파수닷컴 제공
파수닷컴 스패로우 패키지 이미지. / 파수닷컴 제공
파수닷컴은 가트너 매직 쿼드런트 애플리케이션 보안 테스팅(AST) 부문에 국내 기업 최초로 등재된 시큐어코딩 진단도구 '스패로우'를 내세운다. 스패로우는 다양한 정적 분석 이론을 적용해 소프트웨어 개발 완료 전 소스코드 상에 존재하는 보안 취약점과 소스코드 표준·실행오류를 검출한다.

오픈소스 관련 보안 취약점 분석에 초점을 맞춘 엔시큐어는 블랙덕소프트웨어코리아와 파트너십 계약을 맺고 오픈소스 보안 취약점 분석 솔루션 '블랙덕 허브'와 시큐어코딩 솔루션 '포티아이'를 연동해 제공하고 있다.