‘오픈소스 보안, ‘노룩패스’ 하면 안 되는 이유’ 주제로 ISEC 2017에서 강연

[보안뉴스 정영희 기자] 엔시큐어(대표 문성준, www.ensecure.co.kr)는 오는 9월 5~6일 개최되는 ‘ISEC 2017’에 참가해 애플리케이션에 대한 보안 라이프 사이클 전반에 거친 특화된 보안 솔루션에 대해 소개할 예정이다.

애플리케이션의 보안 라이프 사이클은 애플리케이션 개발부터 테스트, 배포, 운영에 거쳐 각 단계에서 발생할 수 있는 각종 보안 위협에 대응하는 방법은 물론 개발 보안 프로세스 상의 보안전략 마련 방안, 보안 취약점에 대한 가시성 확보, 적절한 솔루션의 적용방안 등을 모두 포함하고 있다.


개발 단계에서의 HPE 포티파이(Fortify)는 시큐어코딩 세계 1위 제품으로 소스코드 상의 보안 취약점을 조기에 발견해 침해사고를 근본적으로 차단한다. 모든 취약점의 중앙집중식 관리를 통해 취약점의 통계 및 트렌드, 수정 진행 과정과 진도 등을 한눈에 확인함으로써 편의성 및 효율성을 확보할 수 있다. 특히, 엔시큐어가 국내 200여 고객들의 요구사항을 반영하여 자체 구현한 엔젠에스씨엠(eNgenSCM) 관리 서버를 통해 국내 고객들이 좀 더 쉽게 사용할 수 있도록 개선했다.

이와 더불어 최근 기업들의 오픈소스 사용 비중이 증가함에 따라 오픈소스 보안 관리 자동화 솔루션인 블랙덕 허브(Black Duck Hub)가 오픈소스 취약점 관리에 있어서 독보적인 입지를 구축하고 있다. 해당 솔루션은 애플리케이션 상의 모든 오픈소스를 자동으로 식별해 식별된 보안 취약점 데이터베이스를 실시간으로 맵핑 및 모니터링한다. 특히, 매일 새롭게 업데이트되는 오픈소스 보안 취약점을 탐지함으로써 보안이슈가 발생하기 전에 그에 따른 리스크 대처방안을 마련할 수 있다.

테스트 단계에서 자이로이드(Zyroid)는 애플리케이션의 보안 취약점을 해커의 관점에서 자동으로 점검하는 솔루션으로, 기존 컨설턴트가 수행할 경우 최소 3일에서 5일 정도 소요되는 취약점 점검 시간을 단 15분으로 단축하는 것과 동시에 전문 컨설턴트가 도출하는 수준의 점검 보고서를 제공한다. 또한, 약 42가지의 취약점 항목을 점검해 개인정보보호법, 정보통신법, 전자금융거래법 등 다양한 컴플라이언스를 충족시켜 보안성 및 업무 생산성을 동시에 확보할 수 있다.

마지막으로 운영 단계에서 가드잇(GuardIT)과 인슈어잇(EnsureIT)은 배포 및 운영되고 있는 애플리케이션에 대한 외부 위협을 차단하는 솔루션으로 난독화, 암호화, 인증, 안티디버깅, 등 다양한 보안 기능을 통해 애플리케이션 무결성 공격에 대한 방어체계를 마련한다. ‘방어>탐지>대응’의 순서로 보호된 애플리케이션은 내장된 자가방어체계를 통해 불법 조작에 대해 효과적으로 대응하고 해킹 및 멀웨어 등 위협에 대해 내성을 확보할 수 있다.

엔시큐어는 오는 9월 5~6일까지 코엑스 그랜드볼룸에서 정부·공공기관 및 기업의 정보보호최고책임자(CISO), 정보보호담당자, 개인정보보호최고책임자(CPO), 개인정보처리자 등을 대상으로 개최되는 제11회 국제 사이버 시큐리티 컨퍼런스 ISEC 2017(http://www.isecconference.org/2017/)에 참가해 지난해 엔시큐어와 파트너십 계약을 맺은 블랙덕소프트웨어코리아 김병선 상무가 ‘오픈소스 보안, ‘노룩패스’ 하면 안 되는 이유’라는 주제로 5일 13시 C트랙에서 강연을 진행하고, 관련 제품을 소개할 예정이다.
[정영희 기자(boan6@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>