최근 보안 업계 ‘쪼개기 전략’이 두드러진다. 이들은 차세대 보안 사업 분야에 적극 뛰어들고자 사내 특정 사업 조직을 분사, 법인으로 독립한다. 기술 전문성과 조직 유연성이라는 두 마리 토끼를 한꺼번에 잡고 사업 도전에 친화적인 환경을 조성하기 위해서다. 실제 이같은 분사 전략이 여러 유의미한 성과를 내고 있어 업계 이목이 주목된다.개인정보보호·모빌리티 등 新 사업 성공 목표10일 보안 업계에 따르면 소프트웨어(SW) 기업 지란지교소프트는 4월 1일 개인정보보호 사업에 주력하던 개인정보보호센터 사업부를 ‘지란지교데이터’로 분사했다.
스패로우는 클라우드 기반 개발 보안(시큐어코딩) 서비스 ‘스패로우 온 클라우드'가 국내에서는 물론, 해외에서도 시장을 확대하고 있다고 12일 밝혔다.스패로우는 소스코드 상의 보안 약점 및 런타임 오류를 개발 단계에서부터 검출하는 정적 분석 솔루션(SAST)과 개발 완료 후 테스팅 단계에서 보안 취약점을 진단하는 동적 분석 솔루션(DAST), 웹 애플리케이션에 대한 공격을 실시간으로 탐지 및 차다하는 자가 방어 솔루션(RASP)으로 구성된 통합 시큐어 코딩 플랫폼이다.스패로우 온 클라우드는 인프라 서비스(IaaS)와 소프트웨어 서비스
[IT조선 노동균] 취약점 점검도구 및 소스코드 보안약점 분석도구 전문 업체 트리니티소프트(대표 김진수)는 자사의 시큐어코딩 솔루션 ‘코드레이 엑스지(CODE-RAY XG)’가 조달청 나라장터 종합쇼핑몰에서 지난해 12월 기준 시큐어코딩 부문 매출 1위를 달성했다고 24일 밝혔다.트리니티소프트는 지난해 소프트웨어 개발보안 적용 의무화가 감리 대상 전 범위로 확장됨에 따라 나라장터를 통한 공공시장 수주가 확대되면서 코드레이 엑스지가 호평을 받고 있다고 설명했다.코드레이 엑스지는 단순한 패턴 매칭 방식의 시큐어코딩이 아닌 파일 간의 연
[IT조선 노동균] 정부가 각종 소프트웨어의 보안 취약점을 개발자 스스로 진단하는 내용을 담을 지침서를 무료로 배포한다.행정자치부(장관 홍윤식)는 ‘공개 소프트웨어를 활용한 소프트웨어 개발 보안 진단 가이드’를 무료로 배포한다고 27일 밝혔다.소프트웨어 개발 보안이란 소스코드 등에 존재하는 잠재적 보안 약점을 제거하고, 보안을 고려한 기능을 설계·구현하는 소프트웨어 개발 과정으로, 흔히 ‘시큐어코딩’이라고도 불린다.이번에 행자부가 배포하는 가이드는 공개 소프트웨어를 이용해 개발자 스스로 보안 취약점을 손쉽게 진단할 수 있는 방법을
[IT조선 노동균] 파수닷컴(대표 조규곤)은 2015년 한 해 동안 전자정부 소프트웨어(SW) 보안약점 진단 및 모바일 앱 검증 지원 사업을 수행한다고 19일 밝혔다.사이버 공격에 안전한 전자정부 서비스 제공을 위해 파수닷컴은 중앙부처, 지자체 등에서 운용 중인 전자정부사이트에 대한 소스코드 보안약점, 웹 취약점 및 서버-클라이언트 취약점을 진단한다.이와 함께 안드로이드 및 iOS 기반의 모바일 전자정부 서비스 앱에 대해서도 기능 오동작, 기능 보안취약점, 소스코드를 진단해 보안성 검증을 지원하며, 진단 현황 관리 및 모바일 앱 검
[IT조선 유진상] 소프트포럼(대표 이경봉)이 자사의 시큐어코딩 솔루션인 ‘소포스코딩(SOFOSCoding)’의 핵심기술에 대한 특허를 획득했다고 30일 밝혔다. 이번 특허 기술은 ‘소스코드 보안약점 탐지 장치 및 방법’이다. 소스코드를 기반으로 데이터 흐름을 추적해 소스코드에 존재하는 보안 약점을 탐지하는 방법과 원인중심의 보안약점을 추적해 탐지하고 관리할 수 있는 기술이다. 이 특허 기술을 적용한 ‘소포스코딩’은 별도의 컴파일러 없이 소스코드만으로 데이터 흐름을 추적할 수 있으며, 소스코드의 단순 변화에 영향을 받지 않고 보안약
소프트웨어는 사람과 기술, 문화, 자본이 어우러진 종합 예술이다. 특히 어떤 분야에서든 대표제품으로 자리잡은 소프트웨어는 치열한 시장 경쟁을 헤치고 더 많은 사용자의 선택을 받는, 그만의 매우 특별한 요소가 있기 마련이다. 소프트웨어와 관련 업체의 경쟁력 비밀을 알아본다.[IT조선 유진상] 디지털권한관리(Digital rights management, DRM)는 출판자 또는 저작권자가 그들이 배포한 디지털 자료나 하드웨어의 사용을 제어하고 이를 의도한 용도로만 사용하도록 제한하는 데 사용되는 모든 기술을 지칭한다.기존에
[IT조선 유진상] 소프트포럼(대표 이경봉)이 한국인터넷진흥원(KISA)과 자사의 시큐어코딩 솔루션인 '소포스코딩'에 대한 CC인증 평가계약을 체결했다고 21일 밝혔다. '소포스코딩'은 보호 대상 SW에 존재하는 보안 취약점을 최소화하기 위해 소스코드를 분석해 보안 약점을 식별하는 도구다. 자체 개발한 데이터 흐름 추적엔진(F-Tracking)을 통해 보안 약점 원인을 추적해 소스코드 취약점의 근본적인 문제를 가장 빠르고 정확하게 분석하는 시큐어코딩 제품이다. 이경봉 소프트포럼 대표는 "시큐어코딩이 법적 의무화 대상이 적용됨에 따라
[IT조선 유진상 기자] 파수닷컴(대표 조규곤)이 9일 소프트웨어 개발자를 대상으로 시큐어코딩 교육을 진행했다고 밝혔다. 7월 9일 오후 2시부터 6시까지 진행된 이번 교육은 시큐어코딩의 정의와 법적 근거, 보안 약점 이론과 대표적인 사례를 통한 안전행정부 시큐어코딩의 이해, SPARROW(스패로우)를 활용한 시큐어코딩 방안으로 구성되어 진행됐다. 이재용 파수닷컴 부장은 “파트너사, 개발자, 보안담당자 등 다양한 대상과 주제로 정기적인 시큐어코딩 교육을 진행해 나갈 예정”이라며, “SW 개발보안이 요구되는 전 산업 군의 보안 강화
[IT조선 유진상 기자] 한국주택금융공사와 중소기업진흥공단 등 공기업 및 산하기관의 시큐어코딩 진단도구 도입이 활발하다. 파수닷컴은 공기업 및 산하기관에서 자사의 시큐어코딩 진단도구 ‘스패로우(SPARROW)’를 도입하는 사례가 많아지고 있다고 10일 밝혔다. 시큐어코딩 진단도구가 이처럼 관심이 높아지는 이뉴는 올해 1월부터 20억원 이상의 공공정보화 사업에서 시큐어코딩이 의무화가 되었기 때문이다. 오는 2015년부터는 감리대상 전 사업에 대해 적용되면서 소프트웨어 보안 시장이 집중 조명 받고 있다. 파수닷컴은 한국주택금융공사와 중
[IT조선 유진상 기자] 트리니티소프트(대표 김진수)가 자사의 시큐어코딩 솔루션 ‘코드레이 XG V2.5(CODE-RAY XG V2.5)’가 국제공통평가기준(CC) 테스트를 통과해 한국인터넷진흥원(KISA)으로부터 인증을 획득했다고 20일 밝혔다. 이번 인증획득으로 트리니티소프트는 시큐어코딩 시장에서 2개의 CC인증을 보유한 유일한 업체가 됐다. 코드레이 XG V2.5는 취약점 점검도구 유형으로 CC인증을 받아 보안성을 검증받은 코드레이 XG V2.0과 동일한 엔진으로 구동되는 분석도구다. 각 개발단계(SDLC)에서 소스코드 보안약
소프트포럼(대표 이경봉)이 시큐어코딩 솔루션인 ‘소포스코딩’을 출시했다고 12일 밝혔다. ‘소포스코딩’은 안전행정부의 소프트웨어 개발 보안 가이드를 완벽히 지원하는 맞춤형 솔루션으로 효율적인 보안 취약점 분석이 가능한 제품이다. 소프트포럼 측은 ‘소포스코딩’은 원인중심의 데이터 추적, 정확한 원인 분석으로 취약점 중복 오탐 방지, 자체 기술로 만든 데이터 추적엔진(F-Tracking) 탑재, 별도의 컴파일러 없이 분석 가능, 보안 약점의 중앙집중식 관리를 통한 편의성 및 효율성 극대화 등으로 소스 취약점에 대한 근본적인 문제를 해결
트리니티소프트가 자사의 시큐어코딩 솔루션 ‘코드레이(CODE-RAY)’를 우리투자증권에서 추진중인 ‘시큐어코딩 점검 툴 구축사업’에 공급했다고 밝혔다. 우리투자증권이 추진하는 이번 사업은 우리투자증권이 개발, 운영 중인 응용프로그램 소스코드를 점검하고 진단해 보안을 강화하는 것이 목적이다. 김진수 트리니티소프트 대표는 “최근 발생한 금융보안사고로 인한 국내기업의 전반적인 보안의식이 향상 됐으며 올해 금융 및 공공기관의 소스코드 보안솔루션 도입은 계속될 것”이라고 전망했다. 유진상 기자 jinsang@chosunbiz.com상품지식
파수닷컴이 시큐어코딩 CC인증을 획득했다. 지난 11월 평가계약을 완료한 후 2달만이다. 이로써 파수닷컴은 공공 정보화 사업 발주 시 타사에 비해 좀 더 우위에 설 것으로 예상되고 있다. 파수닷컴은 21일 소스코드 정적 분석 도구인 ‘스패로우’로 이 부문 공통평가기준(Common Criteria, CC) 인증을 획득했다고 밝혔다. 스패로우는 실행의미 기반(시멘틱 기반)의 정적 분석 기술을 적용해 개발이 완료되기 전에 소스코드 상에 존재하는 오류나 보안 약점을 정확하고 빠르게 검출해 주는 소스코드 정적 분석 도구다. 안행부에서 지정한
파수닷컴(대표 조규곤)이 오는 29일 연례 고객 초청 행사인 ‘파수 솔루션데이 2013’를 개최한다. 올해로 7회째를 맞이하는 파수 솔루션데이에서는 ‘데이터 및 소프트웨어 보안 전략’이라는 주제 아래 변화하는 IT 환경에서 새롭게 부각되고 있는 다양한 이슈들을 해결하는 파수닷컴만의 차별화된 전략과 솔루션을 선보일 예정이다. 파수닷컴은 이번 솔루션데이를 통해 DB부터 엔드포인트, 파일에서 CCTV 영상에 이르기 까지 데이터 유통 전 과정에 걸쳐 개인정보 데이터를 안전하게 보호하기 위한 통합개인정보보호방안을 선보일 계획이다. 또한 전
인포섹(대표 신수정)이 소프트웨어 취약점에 대한 사전 점검, 관리가 가능한 '시큐어코딩 이노베이션 관리시스템(SIMS)'을 16일 출시했다. SIMS는 소스코드 관리 프레임워크를 바탕으로 고객사에 맞는 점검 엔진을 적용, 최적의 소프트웨어 개발 관리체계 구현을 통한 소스코드 취약점 예방을 목표로 하는 시스템이다. 시큐어코딩의 핵심인 개발 전 과정을 통해 소스코드 취약점 진단 결과의 품질을 보장하기 위해 기존 취약점 진단 툴의 기능에 관리 프로세스를 도입했다. ▲점검대상 소스 전체에 대한 협업관리 ▲점검이력 및 취약점에 대한 추이관리
파수닷컴(대표 조규곤)은 자사의 실행의미 기반 소스코드 분석 도구 ‘스패로우(SPARROW)’가 ‘CWE’ 인증을 획득했다고 26일 밝혔다. CWE(Common Weakness Enumeration)는 소프트웨어 보안 및 품질 강화를 위해 개발 시 참고할 수 있도록 전 세계 소프트웨어 취약점을 표준화한 목록이다. 미국 국토안전부와 미국 국립표준기술연구소(NIST) 산하 비영리 기관인 미트리(MITRE)에서 후원하고 있다. 파수닷컴 스패로우는 프로그램의 실행 흐름을 이해함으로써 프로그램을 실행하지 않고도 소프트웨어 개발 초기 단계부터
지난해 12월 공공정보화사업 소프트웨어 개발에 의무화된 시큐어코딩이 공공기관을 중심으로 확대될 전망이다. 최근 안전행정부는 134개 행정기관 홈페이지에 소프트웨어 개발보안 시범사업을 시행한다고 밝혔다. 시큐어코딩은 해킹 등 사이버 공격의 원인이 되는 보안 약점을 소스코드 개발 단계에서 사전에 제거함으로써 안전한 소프트웨어를 개발하는 개발보안의 한 방법을 말한다. 이러한 취약점은 소프트웨어 구동 시 외견상 파악되지 않지만 악의적인 목적을 가진 해커에게는 좋은 먹잇감이 되기 일쑤다. 추후 보안 취약점이 발견되고 개선 사항을 반영한 패치
파수닷컴(대표 조규곤)이 사단법인 정보시스템감리협회(회장 이우용)와 업무 협약을 맺고 시큐어코딩 활성화에 나선다. 시큐어코딩은 소프트웨어 보안 약점을 개발 단계에서부터 제거하도록 하는 기술을 말한다. 지난해 12월부터 국가 정보화사업으로 본격 시행되면서 개발을 맡게 될 사업자는 물론 감리를 담당하는 감리법인에게 진단 도구의 도입과 사용이 필수 항목이 되고 있다. 파수닷컴은 이번 협약을 통해 감리협회 회원사를 대상으로 시큐어코딩 진단도구 및 분석서비스를 제공할 예정이다. 동시에 전문적인 기술 지원으로 협회를 통해 감리업계 내 시큐어코
파수닷컴(대표 조규곤)이 자사의 실행의미 기반 소스코드 분석 도구 ‘스패로우(SPARROW)’로 농협중앙회의 ‘소스코드 인스펙션 도구 도입’ 사업을 수주했다고 밝혔다. 회사측에 따르면 농협중앙회는 소프트웨어 품질관리 테스트 체계를 보완하고 소스코드 분석 및 결함조치 노하우를 축적하기 위해 까다로운 평가를 통해 파수닷컴의 스패로우를 최종 선정한 것으로 알려졌다. 스패로우는 프로그램 실행 흐름을 이해함으로써 프로그램을 실행하지 않고도 소프트웨어 개발 초기 단계부터 전 과정에 적용해 소스코드의 잠재적 오류를 자동으로 검출해 주는 솔루션이