애플리케이션에 대한 보안이 큰 이슈가 되고 있는 가운데, 소스 수준에서 취약점을 잡아 내 운영단계의 위함성을 줄이려는 노력이 돋보인다. 운영단계의 취약점 분석도 중요하다. 시장에선 이를 지원하는 툴이 각광 받고 있는데, 여기선 이런 툴 중 하나인 ‘HP Fortify Software Security Center’에 대해 알아본다.

이 솔루션은 개발 시에 정적 소스코드 분석기를 통한 취약점 검출을 수행하는 SCA(Static Code Analyzer)와 테스트 시에 동적으로 보안 취약점을 검출하는 SecurityScope와 HP WebInspect 및 운영시 방어기능을 제공하는 RTA(Real-Time Analyzer) 등 4개 모듈로 구성됐다. Software Security Center Server를 통해 협업 능력을 포함하는 통합된 형태의 관리와 정보를 제공해, 애플리케이션 개발부터 운영까지의 모든 단계의 보안을 제공하고 있다.

개발 시 소스코드 분석 (Fortify SCA(Static Code Analyzer)
Fortify SCA(Static Code Analyzer)는 소스코드 정적 분석을 통하여 취약점을 분석하는 도구. 애플리케이션 보안의 근본 문제인 소스코드 수준의 취약점을 분석하고 제거하게 개선책을 제시한다. OWASP TOP 10, CWE, 행안부 보안개발기준을 포함하는 490여 보안 및 품질 관점의 점검 범주를 지원하며, 업계 최다의 20종 언어(JavaScritp/AJAX, PL/SQL, MS T-SQL, Adobe® ColdFusion®, Classic ASP, COBOL, HTML(HTML5), VB for Applications, VB Script, PHP, XML, ASP.NET, C/C++, Objective C, C#, Java, JSP, VB.NET, Python, ABAP, Flex)의 애플리케이션 소스 및 관련 라이브러리들의 취약점 점검을 지원한다.
특히 최근 사용이 늘고 있는 모바일 개발 환경인 Android와 iOS에 대한 분석을 업계 유일하게 모두 지원하는 점이 눈길을 끈다.
이 제품을 이용하면 개발 초기 단계부터 개발 프로세스와 연동되어 개발자에 의해 보안 취약점에 대한 조기 발견 및 조치가 가능하다.
대형 개발환경의 경우엔 분석 시스템을 클라우드 환경으로 구성하나 후 병렬처리해 분석 요구의 증대에 따른 확장도 가능하다.

테스트시 보안취약점 검출 (Fortify Security Scope와 HP WebInspect)
Fortify Security Scope와 HP WebInspect는 애플리케이션에 대한 동적 테스트 도구. 애플리케이션 테스트 관점에서 운영중 또는 운영 이관전 애플리케이션에 대한 동적 테스트를 통해 애플리케이션의 취약점을 발견한다.
특히 기존의 단순 웹 스캐닝 방식의 테스트와는 달리 애플리케이션 바이너리 수준에서의 모니터링을 통한 테스트를 병행하기에, 바이트코드 실행 정보와 소스정보를 포함해 결과를 제공하며 오탐이 거의 없는 것이 특징이다.

운영시 공격방어 및 모니터링 (Fortify RTA(Real-Time Analyzer)
Fortify RTA(Real-Time Analyzer)는 애플리케이션 하드닝(Hardening) 방식을 사용한다. 빌드 단계에서 운영환경으로 애플리케이션 바이너리를 배포하기 전에 취약한 애플리케이션 바이너리를 보안이 고려된 바이너리로 자동 변환해 운영 환경으로 이관할 수 있다.
웹 애플리케이션에 대해 내부부터 외부까지 프로그램 로직을 감시하며, 성능저하 요인은 거의 없다고 한다. 해외에선 네트웍 트래픽이 많은 금융권, e-commerce, 공공 분야에 적용되어 운영되고 있다.

통합 보안 분석 (하이브리드 분석)
Fortify SSC는 정적 분석 기법인 소스코드 분석과(SCA) 동적 분석 기법인 프로그램 실행분석(Sccurity Scope), 웹 스캐너인 WebInspect를 서로 연결해 애플리케이션의 보안취약점에 대해 통합 분석함으로써, 동적 분석의 한계인 분석 범위를 확장하고 정적 분석 결과를 실제 공격이 가능한 순으로 분류하여 분석결과를 제공한다. 이를 통해 위험도와 실행 가능성이 높은 보안 취약점을 빠르게 식별한 후 우선 수정할 수 있도록 해 전체 개발비용과 시간을 줄일 수 있다.

통합 개발 프로세스 관리 (Fortify Software Security Center)
Fortify SSC Server는 SCA, Security Scope, HP WebInspect, RTA의 분석 현황 정보 및 각종 리포트를 통합해 제공하는 서버 모듈. 기업의 보안/QA 관리자, 개발자들은 이 툴을 이용해 온라인 시스템을 통해 분석 결과를 공유하고 모니터링 할 수 있다. 또한 기업 내부 개발 보안정책을 관리.배포하고 개발팀과 보안팀이 온라인상에서 협업을 통해 효과적으로 분석결과를 검토, 조치할 수 있게 했다. 또한 SSA 거버넌스 모듈을 통해 기업이 PCI, FISMA, HIPAA, SOX , NERC등 컴플라이언스에 준하는 개발 보안 프로세스를 확립 할 수 있는 시스템을 제공한다.

Conclusion. 결과물 해석할 수 있는 '눈'
HP Fortify SCA는 OWASP TOP 10 등 490여 보안 및 품질 관점의 점검 범주를 지원하는 것이 돋보인다. 또한 업계 최다의 20종 언어의 애플리케이션 소스 및 관련 라이브러리들의 취약점 점검을 하고, 모바일 개발 환경인 Android와 iOS에 대한 분석을 모두 지원하고 있는 점은 큰 장점이다. 다만 툴을 충분히 이용하기 위해선 사용자들이 이 툴이 지원하는 다양한 결과물를 정확히 해석할 수 있는 눈을 갖춰야 할 것이다.

취재협조: 엔시큐어 손장군 부장 (www.ensecure.co.kr)