최근 큰 폭으로 증가한 해킹사고는 기업에게 손실을 주고 신뢰를 추락시켰다. 이런 해킹 시도의 75%는 애플리케이션 취약점을 통해 이뤄진다. 웹 해킹을 막기 위해 기업들은 보다 안전하고 복합적인 시스템 보안 방안을 마련하는 중이며, 정부서도 시큐어코딩에 대한 법적인 대책을 마련해 기업이나 기관이 체계적으로 보안 시스템을 도입할 것을 요청하고 있다.
시큐어코딩을 위해선 시스템의 개발부터 완료 및 운영까지 소스코드 통합 보안관리를 수행하는 솔루션을 도입하면 유익하다. 이런 요구를 충족하는 솔루션이 이븐스타의 『BigLook WASS(빅룩와스)』다.

특징(Features)
빅룩와스는 소프트웨어를 개발할 때, 효율적인 통합소스 점검 관리가 필요한 애플리케이션을 위한 제품이다. 적용하면, 정확한 소스코드를 확보하고 완성된 애플리케이션 개발로 운영단에서 발생할 수 있는 시간적, 재정적 추가 비용을 줄이고, 개발한 제품의 신뢰성을 높일 수 있다.

◆ 소스코드 취약점 분석=애플리케이션 보안 사고를 방지하려면 우선 소스코드가 가진 취약성을 꼼꼼히 점검한 후 제거해야 한다. 빅룩와스는 취약점의 근본적인 문제 및 보안성을 향상시킬 수 있는 다양한 방법론을 제공하는 점이 눈에 띈다.또한 내장된 컴플라이언스 기능을 이용해, 쉽게 조직의 표준 지원 여부를 파악할 수 있고, 적용 가이드도 제공된다.
개발자와 관리자에게 유용한 기능이 특히 많은데, 코드가 가지고 있는 여러 가지 취약점을 쉽게 파악하고 취약점의 중요도에 따라 적용 순위를 결정할 수 있다. 이처럼 다양한 컴플라이언스를 지원하는 빅룩와스는 최근에 발표된 행안부 43개 취약점까지 지원한다.

◆ 소스코드 관리=빅룩와스는 접근 인가 자에 대한 권한은 3단계로 부여하고 있다. 권한에 따른 접근과 작업이 가능하며 작업에 따라 프로그램 버전을 관리할 수 있다. 반면 권한이 없는 비인가자는 접근을 통제하고 모든 작업에 대해서 이력을 남기기 때문에 보안성을 강화한 점은 좋아 보인다.
이외에도 다양한 기능이 있는데, 개발자 보안 통제, 개발 작업 이력관리, 전체 도메인에 대한 일괄 보안관리, 폴더/파일 이름 통제, 도메인별 보안 위험도 현황 등의 기능도 적용하면 유익하다.

◆ 웹 취약점 점검=개인정보 유출을 막기 위한 점검을 포함해 웹 취약점 점검 기능은, 시장의 트렌드와 고객의 요구를 잘 반영한 것으로 보인다. 솔루션은, 개발 및 운영 단계의 웹 애플리케이션에 대한 정보 분석 및 모의 해킹 테스트를 통해 존재하는 보안 취약성을 진단하고 그에 따른 상세한 해결책을 제시하고 있다. 또한 구조분석(Crawl)을 통해 수집된 URL과 각종 첨부 파일을 대상으로 개인정보노출 검사 및 엑셀, 워드, 파워포인트, 아크로뱃 파일 점검도 가능하다.

◆ 시스템 연동=운영 적용환경에 맞게 제품을 속히 설치할 수 있어야, 쓰는 사람 입장에선 좋은 솔루션이라 할 수 있다. 빅룩와스는 검증된 상용리포트 툴을 탑재해, 원하는 형태의 리포트를 쉽게 뽑을 수 있다. 감사나 관리자의 업무에서 리포트가 중요한 점을 배려했다.
악성코드 점검과 제거에 대응해달다는 사용자의 요구를 수용해, 빅룩와스는 잉카인터넷의 타키온 시스템을 탑재했다. 타키온은 30만개의 악성코드에 대응할 수 있다.

◆ 업그레이드=금융권과 일반기업에 대한 요구를 만족시키기 위해 ‘빅룩와스 엔터프라이즈’를 7월에 릴리즈했다. 신제품은 엔터프라이즈의 요구 사항인 시스템 연동과 워크플로우를 강화했고 다양한 전산환경에서 잘 돌아갈 수 있게 설계했다. 또한 형상관리를 비롯한 필요한 시스템과의 연동할 수 있게 했다.
하반기에 클라이언트 버전과 추가로 언어를 지원할 계획이다. 또한 취약점 분석의 생명인 오탐과 과탐을 줄이고 정확도를 높이기 위해 엔진 고도화 작업을 진행중이며, 시장을 선도하기 위한 기술의 개발에 힘쓰고 있다.

결론(Conclusion)
빅룩와스 최근 제품들은 이전 버전들 보다 기술적으로 업그레이드됐다. 소스코드 취약점 분석, 웹 취약점 점검, 개발자 권한관리, 파일 이력 및 버전관리, 무결성 감시 및 자동복구와 악성코드 탐지 기능 등이 좋아졌다. 다른 솔루션과 시스템을 연동하고 엔터프라이즈 버전을 내놓는 등 고객의 요구를 수용한 기능 개발에 관심을 둔 점이 눈에 띈다. 언어지원 폭을 더 확대하고, 오탐을 줄이려는 노력도 좋아 보인다.