Home > 전체기사
포티파이, 안전행정부 47개 필수 보안 취약점 모두 해결
  |  입력 : 2014-06-13 19:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기존 안전행정부 시큐어코딩 가이드 43개서 47개로 변경 및 확대

포티파이는 시큐어코딩 가이드 기준에 대한 모든 취약점 지원


[보안뉴스 정규문] 애플리케이션 및 IT인프라 보안 전문 기업 엔시큐어(대표 문성준)는 대표적인 애플리케이션 소스코드 분석 솔루션 포티파이가 지난해 8월 안전행정부가 개정 고시한 시큐어코딩 가이드 내 소프트웨어 보안 취약점 47개를 모두 지원한다고 밝혔다.


최근 사이버 공격은 주로 소스코드 자체의 보안 취약점을 이용하는 제로데이 공격 또는 SQL 인젝션 등 애플리케이션 취약점을 악용한 것이다. 이러한 소스코드 자체의 보안 취약점은 방화벽 등의 일반적인 보안 장비로는 막을 수 없기 때문에 계발단계부터 취약점을 보완하여 공격을 원천적으로 차단해야 한다.


이 결과 안전행부는 2012년 3월 27일 사이버공격의 주요 원인인 소프트웨어 보안 약점을 계발단계부터 제거하기 위해 전자정부 서비스 시스템 구축 시 '소프트웨어 개발 보안'을 의무화 하기로 했으며, 현재 시큐어코딩 가이드 필수 47개 보안 취약점을 명시하여 시스템 개발시 참고하도록 하고 있다.


포티파이는 시큐어 코딩 세계 1위 제품으로 기존에 지원되지 않았던 ‘Private 배열에 Public 데이터 할당’, ‘종료되지 않는 반복문 또는 재귀 함수’ 항목의 취약점을 추가 지원하면서 포티파이 4.0버전은 안행부 시큐어코딩 가이드 모두를 지원하게 되었다. 또한 공공기관의 모든 애플리케이션은 전자정부 프레임워크가 연관된 분석 기능이 반드시 지원되어야 하는데, 이러한 요구 사항을 포티파이가 이미 지원하고 있기 때문에 우수한 분석 결과를 제공할 수 있다.


포티파이는 개발 라이프사이클 상에서 보안 취약점을 조기에 발견해 침해 사고를 근본적으로 방어하며 21종의 다양한 언어, 특히 JAVA V5이상의 개발 스팩에 대한 분석과 HTML5, Annotation, 그리고 완벽한 모바일 분석(Android, iOS-Objective-C)을 지원한다. 동적 분석과 정적 분석을 결합한 하이브리드 분석 및 대규모 작업환경에 맞춰진 클라우드 분석 등 다양한 최신 분석도 가능하다.


특히 포티파이는 공통평가기준(CC)인증을 획득하기 위해 미국 시그나컴(Cygnacom)으로부터 시큐어코딩 CC인증 평가 컨설팅을 받고 있다. 이 평가 컨설팅이 끝나면 평가 계약 신청을 하여 공공시장을 타깃으로 소스코드 보안 사업 확장을 가속화할 예정이다.


이에 대해 엔시큐어 애플리케이션 보안그룹 손장군 이사는 “안전행정부 시큐어코딩 기준은 최초 43개 항목에서 47개 항목으로 최신 공격 및 위협에 따라 변화 하였으며, 앞으로도 지속적으로 변화할 것이다. 이에 포티파이는 안행부 및 금융 당국, PCI-DSS, CWE, OWASP Mobile 등 국내외 최신 기준을 신속히 지원하고자 하며, 또한 CC인증 획득을 시점으로 공공시장에 대한 공급 확대를 기대 하고 있다”고 밝혔다.


한편 엔시큐어는 애플리케이션 시큐어코딩, 무결성 방어, 통합 권한 계정관리/감사, OTP 등의 보안 솔루션 및 서비스 제공하고 있고 국내 주요 금융사, 제조사 등 200여 고객을 확보하고 있다.

[정규문 기자(kmj@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)