아주경제 권석림 기자 = ​소프트웨어 취약점을 통한 사이버 공격이 급증하면서 SW개발단계에서 보안 약점을 제거하도록 하는 시큐어코딩이 주목 받고 있다. 올해부터 시작된 전자정부 시큐어코딩 의무화가 모바일과 사물인터넷(IoT)분야로 급격히 커지고 있다. 민간분야도 시큐어코딩을 위한 준비에 돌입하면서 업계의 관심도 높아지고 있다 .

20일 학계 및 업계 전문가에 따르면 시큐어코딩 시장 확산으로 시큐어코딩 진단도구를 제공하는 기업들이 확대되고 있다. 제대로된 시큐어코딩을 위해선 높은 검출력과 낮은 오탐률을 가진 좋은 도구를 선별해 사용하는 것이 중요하다. 보안뿐만 아니라 SW 안정성까지 책임지는 품질도구를 시큐어코딩 진단도구와 함께 사용해야 한다는 것으로 풀이된다.

시큐어코딩 시장에서 가장 발빠르게 움직이고 있는 업체는 높은 기술력과 풍부한 현장 경험을 바탕으로 한 파수닷컴이다.

파수닷컴이 제공하는 정적 분석 진단도구 스패로우(SPARROW)는 높은 검출력과 낮은 오탐율을 기반으로 시큐어코딩과 품질을 모두 만족시킨다.

스패로우는 정적 분석 이론을 적용해 SW 개발 완료 전에 프로그램 소스코드 상에 존재하는 보안약점 외에 소스코드 표준, 실행오류까지 빠짐없이 검출한다. 업계 처음 소스코드 보안약점 진단도구 국제공통평가기준(CC)인증도 획득했다. 또 GS인증, ISO26262 인증을 통해 품질과 기술력을 검증 받았다.

개발자가 쉽게 사용할 수 있도록 지원하는 다양한 기능도 시장에서 찾아볼 수 없는 차별화된 포인트다.

실제로 코드를 이용해 수정 가이드를 제시하는 ‘액티브 서제스쳔(Active Suggestion)’, 동일한 발생 경로나 원인의 이슈를 선별해 한 번에 처리할 수 있는 ‘어드밴스드 이슈 필터링(Advanced Issue Filtering)’, 소스코드 유형별로 자동으로 묶어주어 빠르게 검토할 수 있는 ‘인텔리전트 알람클러스터링(Intelligent Alarm Clustering)’기능을 통해 개발자는 검출된 분석 결과를 빠른 시간 내에 소스코드를 손쉽게 수정할 수 있다.

파수닷컴은 지난 9월 미래창조과학부에서 지원하는 2015년 ‘글로벌 창조 소프트웨어(GCS)사업’ 신규과제 수행사로 선정됐다. 이 과제를 통해 파수닷컴은 정적 분석, 동적 테스팅, 실시간 자가방어 기술들을 상호작용하도록 함으로써 개별 기술로는 검출하지 못하는 보안 취약점을 검출하거나 정확한 취약점 정보를 제공 및 관리할 수 있다.

파수닷컴은 최근 중국 현지 업체와 파트너십 체결, 내년 초 세계 최대 IT 보안 전시회 ‘RSA 2016’에서 스패로우를 본격적으로 소개, 해외 진출을 강화할 계획이다.