애플리케이션 보안 전문업체인 ‘포티파이소프트웨어(www.fortify.com)’는 코딩 취약점 제거솔루션을 플랫폼 형태로 묶은 포티파이 360(Fortify SCA)을 내놨다.
또한 단순 제품 공급을 탈피해 보안 컨설팅 개념을 강조한 BSA(Business Software Assurance) 모델을 새로 선보였다.
포티파이소프트웨어는 26일 기자간담회를 갖고 “애플리케이션 취약점을 포괄적으로 방어하고, 새롭게 증가하는 애플리케이션 위협에 대응하기 위해 포티파이 360 및 BSA를 선보인 것”이라고 밝혔다.
포티파이 360은 코딩 단계부터 운영 단계까지 각 단계 마다 애플리케이션 취약점을 제거하기 위해 필요한 요소들을 제공하는 세 가지 모듈로 구성된다.
코딩단계에서는 포티파이 SCA(Static Code Analysis)를 이용해 개발 초기부터 취약점을 제거할 수 있게 했다.
이 과정에선 코드를 파싱해 취약점 룰을 적용 문제가 된 코드를 일일이 찾아 정보를 제공한다.
테스팅 단계에서는 바이너리에 대한 보안 QA모듈인 PTA(Program Trace Analyzer)을 이용하여 취약 바이너리에 대한 보안 관점의 품질 보증을 제공한다.
이 모듈은 애플리케이션 내부 안쪽에 모니터를 설치된다. 이를 통해 애플리케이션을 테스트하는 동안에 보안문제가 발생하면, 이에 대한 경고 메시지를 관리자에게 보고해 주는 기능을 한다.
또 운영단계에서는 애플리케이션에 대한 실시간 방어 및 모니터링 모듈인 RTA(Real-Time Analyzer)를 제공한다.
RTA은 기존 웹 방화벽 개념의 솔루션으로 소프트웨어 방식으로 웹 서버에 설치된다. 이 제품은 하드닝 기술을 이용해 웹 서버의 성능 저하 요소가 거의 없다고 포티파이 측은 밝혔다.
이 세 가지 모듈은 포티파이 매니저를 통해 통합관리 된다. 이 관리 툴은 취약점 분석 결과를 통합적으로 관리하고, 사용자별 업데이트 기능을 제공한다. 이외에 취약점에 대한 다양한 리포팅 결과를 제공한다.
이번에 함께 발표된 BSA(Business Software Assurance)는 포티파이소프트웨어의 향후 비즈니스 방향성을 반영된 모델이다.
포티파이 관계자는 “BSA는 애플리케이션을 이용한 비즈니스 프로세스에서의 전반적인 위험관리, 솔루션 공급, 서비스 딜리버리, 컨설팅이 모두 포함된 비즈니스 모델”이라며 ““단순히 툴만 공급하는 것이 아닌, 비즈니스 소프트웨어 공급사로 발전하기 위한 포티파이소프트웨어의 포괄적인 기술 및 방법론”이라고 설명했다.
포티파이소프트웨어의 국내 총판인 인터비젠테크놀로지(www.interbizen.com)의
한편 포티파이소프트웨어는 2003년 창립 이래 현재 600여곳의 레퍼런스를 확보했다. 국내엔 2005년부터 인터비젠테크놀로지를 통해 공급되고 있으며 은행, 제조, 통신 등 분야에 30곳 이상의 레퍼런스를 확보하고 있다.