‘시큐어코딩 체크막스’ 행안부 지침 준수…한글 지원까지

편집 : 2023.9.22 금 10:53

뉴스	‘시큐어코딩 체크막스’ 행안부 지침 준수…한글 지원까지송대근 지사장 “개발팀도 보안 이슈에 대한 일정 책임” 강조 김동기 기자 \| kdk@bikorea.net

승인 2021.12.14 06:28:23

개발자들의 소프트웨어 개발 단계에서 취약점을 분석, 애플리케이션에 보안을 강화하는 전문기업 체크막스 코리아(지사장 송대근)는, 한국내 행정안전부 및 KISA ‘시큐어 코딩 규정’을 준수하는 유일한 전문 기업이라고 밝혔다.

13일 서울 코엑스 인터네콘티넨탈 호텔에서 기자간담회를 열고, 본격적인 국내 영업을 강화할 방침이라고 전했다.


▲ (출처 : 체크막스 코리아 제공)

◆전통적인 개발 환경 ‘급변’…개발팀도 보안에 대한 일정부분 책임 = 송대근(사진) 지사장은 최근 개발 환경이 급격히 달라지는 점이 보안 이슈를 늘리고 있다고 전했다.

송 지사장은 “클라우드 시대, 깃랩이나 깃허브를 활용해 외부 오픈소스를 내부 패키지 솔루션과 연계하게 되는 경우가 늘어나고 있다. 이 과정에서 리스크 있는 부문이 포함돼 있을 수 있다. 이를 간과하게 될 경우 보안문제가 발생한다”고 최근 시장 분위기를 전했다.

지난 9월, 악의적인 깃허브 커밋으로 촉발된 암호화폐 강도 사건으로 300만 달러(한화 약 35억 4600만원)에 달하는 피해가 발생한 바 있다.


▲ (출처 : 체크막스 코리아 제공)

그 보다 앞서 7월에는 한 랜섬웨어 그룹이 소프트웨어 업체 카세야(Kaseya)에서 수십 개의 MSP(Managed Security Provider)가 사용하는 원격 모니터링 및 관리 소프트웨어 플랫폼에 제로 데이 취약성을 발견하고 랜섬웨어 공격을 한 뒤 7000만 달러(한화 약 827억 4000만원)를 요구받기도 했다.

올해 소프트웨어 공급망 공격은 전년 대비 650% 가량 증가했으며, 지난 11월의 경우 3000만건 이상의 다운로드가 포함된 3개의 NPM 패키지가 손상되기도 했다.

◆체크막스 ‘ASP(Application Security Platform)’ = 체크막스는 클라우드 기반의 비즈니스를 하고 있는 국내 기업·공공기관들을 대상으로 보안 이슈 진단 및 취약점 식별, 이를 통한 시스템 보안 강화 등의 사업에 본격 나선다.


▲ (출처 : 체크막스 코리아 제공)

보안기업 체크막스의 강점은, ▲행안부 지침 준수 ▲한글 지원이다.

애드리안 옹(Adrian Ong) 체크막스 EMEA/APJ 지역 채널 및 북아시아 영업 총괄 부사장은, “체크막스는 여타 경쟁사와 달리, 행안부 지침 및 한글을 지원하는 유일한 기업”이라고 강조했다.

체크막스 에이에스플랫폼(ASP: Application Security Platform) 클라우드 서비스는 소스코드 정적분석, 오픈소스 취약점 점검, 라이선스 규정 의무 점검, IaC 템플릿 점검, API 보안 등을 한번에 원 스톱으로 이용할 수 있다.


▲ (출처 : 체크막스 코리아 제공)

이 제품은 체크막스에서는 2021년 업데이트된 행정안전부 ‘정보시스템 구축Ÿ운영 지침’ 개정안 내 시큐어코딩 의무화 기준 ‘KISA 시큐어코딩 가이드’을 점검하기 위한 표준 점검목록을 제공해준다.

체크막스 ‘에이에스플랫폼’ ▲소프트웨어 개발 시 개발자의 시큐어 코딩 역량을 강화할 수 있는 코드배싱(Codebashing) 서비스 ▲CI/CD, 파이프라인(Pipeline) 연동을 통해 보안 취약점 점검 과정을 자동화해 제품 출시 일정에 영향 없이 소스 코드 취약점 관리 및 오픈소스 취약점 관리 서비스 등을 국내 기업 및 공공기관들에 적극 지원할 방침이라고 옹 부사장은 설명했다.

아울러 체크막스의 솔루션은 ▲소스코드분석 자동화 ▲개발자 중심 인터페이스 ▲분석용 쿼리 커스터마이징 ▲통합 연동 지원 ▲가시성 확보 ▲SDLC 연동 ▲개발 효율성 향상 ▲통합 플랫폼 등 다양한 기능을 제공해준다.

체크막스 제품의 구축형도 유연한 형태로 기업의 환경에 맞게 구축이 가능하다.

클라우드, 온프레미스 등 모두 지원이 가능하며 코드 제작 후 클라우드 플랫폼 안에서 오픈소스 또는 만들어진 코드 등의 취약점을 원스톱으로 스캔할 수 있으며, 하나의 리포트로 결과를 확인할 수 있다는 장점이 있다.

체크막스는 내년부터 정기적으로 이벤트 개최를 통해 개발자의 시큐어 코딩 역량을 강화할 수 있는 활동을 준비하고 있으며 자사의 제품들에 대해 한국어를 지원하고, 한국에 특화된 보안 규정을 반영할 예정이다.

한편, 체크막스는 본격적인 한국 사업에 나서기 위해 최근 에스엔에이(SNA Inc.)와 국내 총판 체결을 한 바 있다.

<김동기 기자>kdk@bikorea.net