[ISEC 2023 미리보기] 스틸리언·스패로우·시큐레이어

9월 19일~20일, 서울 코엑스 서울 코엑스 3층 Hall C에서 개최하는 ISEC 2023 전시제품 프리뷰

스틸리언, 화이트 해커의 기술로 만든 앱 보안 솔루션 ‘앱수트’
사이버보안 전문기업 스틸리언(대표 박찬암)의 ‘앱수트(AppSuit) 프리미엄’은 모바일 앱을 각종 사이버 공격으로부터 안전하게 관리하는 보안 솔루션이다. 스틸리언의 자체 위변조 탐지 알고리즘을 개발해 앱 내 소스 코드가 1바이트라도 변조될 때는 앱 실행 자체가 차단되도록 한다. 이 기술을 기반으로 금융감독원 및 행정안전부 권고사항인 소스코드 난독화, 역분석 및 위변조 방지 기술 등을 모두 제공한다.

▲스틸리언의 앱 보안 솔루션 ‘앱수트’[자료=스틸리언]

스틸리언 내 화이트 해커들은 다수의 앱 분석 및 해킹 프로젝트 경험을 통해 연구한 보안 기술을 제품 개발 및 유지보수에 반영하고 있다. 이들은 구글 크롬, 윈도 커널 등 유명 글로벌 벤더사의 취약점 제보 이력을 보유하고, 코드게이트, 데프콘 등 국내외 주요 해킹대회에서 우승 및 입상한 경험을 보유한 보안 전문가들이다.

앱수트 프리미엄은 100% 자체 개발된 솔루션으로 신속한 기술 지원과 유지보수가 가능하다. 앱 개발 환경에 앱수트 프리미엄의 라이브러리를 추가하고 적용을 위한 설정만 완료하면 자동으로 보안 기능이 적용된 앱이 생성되는 구조도 특징이다.

앱수트 프리미엄은 올해 5월 GS 인증 1등급을 획득했으며, 국민은행, 신한은행 등 금융권을 시작으로 행정안전부, 서울특별시 등 공공기관과 함께 100여개 이상 고객사를 확보했다. 또한, 보안기술 특허 5건 취득 및 SW 품질대상 등 다양한 상을 수상했다. 2021년 과기정통부 ‘우수 정보보호 제품’에 선정되는 등 기술의 우수성을 꾸준히 인정받고 있다.

스패로우, SW 공급망보안 관리 가능한 ‘스패로우 엔터프라이즈’
스패로우(대표 장일수)는 소프트웨어 개발 전 과정에서 보안 취약점 진단이 가능한 제품과 서비스를 모두 제공하는 애플리케이션 보안 전문기업이다. 최근 공급업체를 통해 기업 내부 자산에 침투하는 공급망 공격이 증가하고 있다. 스패로우는 ISEC 2023에서 소프트웨어 자재명세서인 SBOM(Software Bill of Materials)을 활용해 공급망 보안 관리 체계를 마련할 수 있는 ‘스패로우 엔터프라이즈(Sparrow Enterprise)’를 소개한다.

▲스패로우의 SBOM을 활용해 공급망 보안 관리가 가능한 ‘스패로우 엔터프라이즈’[자료=스패로우]

스패로우 엔터프라이즈는 2023년 6월 출시된 솔루션으로 다양한 애플리케이션 보안 테스팅 도구들을 하나의 시스템에서 사용하고 취약점 점검 결과를 통합관리할 수 있는 플랫폼이다. 각 기업에서 설정한 보안 점검 체계에 맞게 개발-테스트-운영 단계에서 필수적인 취약점 진단을 자동화하고 제공되는 취약점 해결 방안을 활용, 조치해 소프트웨어의 안전을 확보할 수 있다.

스패로우 엔터프라이즈에서 사용 가능한 제품은 △SBOM을 생성하고 오픈소스 취약점 점검 후 안전한 버전을 알려주는 ‘Sparrow SCA’ △소스코드에 잠재하는 보안 취약점을 점검하는 ‘Sparrow SAST’ △코드 메트릭, MISRA 등 코드 품질을 점검하는 ‘Sparrow SAQT’ △운영 중에 발생할 수 있는 다양한 웹 취약점을 진단하는 ‘Sparrow DAST’ 등으로 구성된다. 이 제품들은 개발팀, 운영팀, 보안팀 모두 단일 플랫폼에서 합의된 보안 룰셋을 적용할 수 있어 데브섹옵스 구현이 가능하다.

시큐레이어, 국내 보안관제 환경에 확장된 SOAR 기능 제공 ‘eyeCloudXOAR’
시큐레이어(대표 전주호)가 SOAR 기술 특허를 잇달아 확보하며 국내 보안관제 경쟁력 제고에 나선다. 출원한 특허 2건은 여타 SOAR 솔루션에는 없는 플레이북 검증 기능을 인공지능(AI) 기술로 구현하고, 보안 장비 간 위협 이벤트를 효율적으로 연계하는 핵심 기술을 포함했다.

▲시큐레이어의 국내 보안관제 환경에 확장된 SOAR 기능 제공하는 ‘eyeCloudXOAR’[자료=시큐레이어]

시큐레이어 ‘eyeCloudXOAR’는 관련 특허 7개를 보유한 제품으로, 국가정보자원관리원, 한국인터넷진흥원(KISA), 다수의 정부 중앙부처 등 국내 주요 기관에 SOAR 솔루션을 구축했다. 최근 국내 국가정보자원관리원 클라우드 사업에서는 모든 테스트에서 만점을 받았으며, 성능 테스트에서는 국내 최초로 399만 EPS(Event Per Second)의 벽을 넘어섰다.

시큐레이어의 ‘eyeCloud Framework’는 △빅데이터의 수집 및 저장을 담당하는 ‘eyeCloud Platform’ △빅데이터 플랫폼 기반의 응용 SW인 ‘eyeCloud App’ △SIEM Rule Set, SOAR Playbook, AI Model 등과 같이 응용 SW가 사용하는 콘텐츠 ‘eyeCloud Model’ 등 43개 레이어로 구성됐다. ‘eyeCloud XOAR’는 응용 SW 단의 앱 중 SIEM과 SOAR를 통합한 eXtended SOAR 개념의 제품이다.

‘eyeCloud XOAR’는 뛰어난 확정성을 바탕으로 자유로운 수직 및 수평 확장이 가능하다. 수직 확장의 경우 자사 AI 제품군인 eyeCloud AI 등과 통합해 분석 및 운영 업무에서 인력을 대체할 수 있으며, 수평 확장의 경우 정보보호 및 운영과 물리보안의 데이터와 업무까지 통합해 기존에 할 수 없었던 분석과 대응을 해낼 수 있다.

한편, 대한민국을 넘어 아시아 최대 보안 콘퍼런스로 자리 잡은 ‘제17회 국제 시큐리티 콘퍼런스(ISEC 2023)’가 오는 9월 19일과 20일 양일간 서울 코엑스에서 개최된다. 특히, 올해로 17회째를 맞이한 ISEC 2023은 지난해와 마찬가지로 코엑스 전시장(Hall C)과 콘퍼런스룸(남, 3F)으로 확장 개최되면서, 20여개국 200개 기관과 기업이 참여하고, 경연 역시 16개 트랙 90개 세션 등 더 풍성해졌다.

아울러 행사 기간 중 보안책임자와 보안담당자를 대상으로 선발한 강연평가단들의 현장 투표와 설문조사, 영상평가 등을 통해 선발한 명강연자들을 시상하는 ‘ISEC 2023 베스트 스피커 어워즈’도 개최 예정에 있는 등 콘텐츠 질적 향상 및 강연수준 제고에 끊임없이 나서고 있다. 이와 관련된 세부사항은 ISEC 홈페이지를 참조하거나 ISEC 조직위원회에 문의하면 된다.
[김영명 기자(boan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)