[특집-끝나지 않은 전쟁]개발 프로세스 보안, 애플리케이션 보안 취약점 최소화

포티파이소프트웨어 Fortify360, 보안 개발 라이프사이클 솔루션

포티파이소프트웨어는 ‘Fortify360’ 제품을 통해 세계 최초로 보안 개발 라이프사이클 솔루션을 공급하고 있다.

Fortify360은 개발시에 정적 소스코드 분석기를 통한 취약점 검출을 수행하는 SCA(Static Code Analyzer)와 품질테스트시에 동적으로 보안 취약점을 검출하는 PTA(Program Trace Analyzer) 및 운영시 방어기능을 제공하는 RTA (Real-Time Analyzer)의 세 가지 모듈로 구성되며 360 Server를 통해 협업 능력을 포함하는 통합된 형태의 관리와 정보를 제공한다.

개발시 소스코드 분석

Fortify SCA(Static Code Analyzer)는 소스코드 정적 분석을 통해 취약점을 분석하는 도구이며 애플리케이션 보안의 근본 문제인 소스코드 수준의 취약점을 분석하고 제거하도록 개선책을 제시하는 솔루션이다.

OWASP TOP 10, CWE를 포함하는 430여 보안 및 품질 관점의 점검 범주를 지원하며 특히 Java, Java/VB Script, JSP, .NET, C/C++, PL/SQL,T-SQL, Cold Fusion, PyThon, ASP, PHP, COBOL, XML 등의 애플리케이션 소스 및 관련 라이브러리들의 취약점 점검을 지원한다. 또한 개발 초기 단계부터 개발 프로세스와 연동되어 개발자에 의해 보안 취약점에 대한 조기 발견 및 조치가 가능하도록 함으로써 궁극적으로 보안이 확보된 애플리케이션 개발을 가능하도록 한다.

테스트시 보안 취약점 검출

Fortify PTA(Program Trace Analyzer)는 애플리케이션에 대한 동적 테스트 도구이며 애플리케이션 테스트 관점에서 운영중 또는 운영 이관전 애플리케이션에 대한 동적 테스트를 통해 애플리케이션의 취약점을 발견해 내는 도구이다. 기존의 웹 스캐닝 방식의 테스트와는 달리 애플리케이션 바이너리 수준에서의 모니터링을 통한 테스트를 수행하므로 바이트코드 실행 정보와 소스정보를 포함하여 결과를 제공하며 오탐이 거의 없는 것이 특징이다.

운영시 공격방어 및 모니터링

Fortify RTA(Real-Time Analyzer)는 애플리케이션 하드닝(Hardening) 방식을 사용하며 빌드 단계에서 운영환경으로 애플리케이션 바이너리를 배포하기 전에 취약한 애플리케이션 바이너리를 보안이 고려된 바이너리로 자동 변환하여 운영 환경으로 이관하도록 하는 솔루션이다. 웹 애플리케이션의 내부에서부터 외부까지의 프로그램 로직을 감시하여 성능저하 요소가 거의 없는 것이 특징이며 해외에서는 네트웍 트래픽이 많은 금융권, E-Commerce, 공공 분야에 적용되어 운영되고 있다.

개발 프로세스 관리

Fortify360 Server는 SCA, PTA, RTA의 분석 현황 정보 및 각종 리포트를 통합하여 제공하는 서버 모듈로 기업의 보안/QA 관리자, 개발자들이 온라인 시스템을 통해 분석 결과를 모니터링 할 수 있도록 하며 기업 내부 개발 보안정책을 관리 및 배포하고 개발팀과 보안팀이 온라인상에서 협업을 통해 효과적으로 분석결과를 검토, 조치할 수 있도록 한다. 또한 SSA 거버너스 모듈을 통해 기업이 PCI, FISMA, HIPAA, SOX , NERC 등 컴플라이언스에 준하는 개발 보안 프로세스를 확립할 수 있도록 시스템을 제공한다.

<글 : 정보보호21c 편집부>

[월간 정보보호21c 통권 제120호(info@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다