“일각의 우려와 달리 IBM의 웹 스캐너의 매출은 꾸준히 증가하고 있습니다.”

한국IBM 래쇼날사업부의 성민 차장(사진)은 웹 애플리케이션 스캐너는 하향 산업이 아니냐는 필자의 질문에 이 같이 답했다. 큰 폭의 성장세는 아니지만 꾸준히 시장 매출이 확대되고 있다는 설명이다.

“프로그램 개발 단계에서 소스코드의 취약점을 검출해주는 ‘SW 정적분석 툴’의 등장이 웹 스캐너의 수요를 줄이지 않을까 하는 우려가 있지만, 기우(杞憂)일 뿐”이라고 일축한 박 차장은 “오히려 웹 스캐너의 수요는 더 증가하고 있고 IBM의 경우 협력할 파트너사도 계속 늘고 있는 상황”이라고 밝혔다.

 

스캐너-SW 정적분석 - 방화벽 연결 시너지 크다

엔터프라이즈 IT솔루션의 경우, 엄연히 다른 기능을 구현한 상이한 제품이지만 겉보기에 성격이 유사하다는 이유로 시장에서 경쟁으로 혼동되는 제품들이 있다. SW 정적분석 툴과 웹 스캐너, 그리고 웹 방화벽과 웹 스캐너 간의 관계가 그런 경우라고 볼 수 있다.

웹 스캐너는 ‘프로그램 운영 단계에서 발생할 수 있는 보안 취약점들을 테스트 단계에서 검출하고 해킹의 근본 루트를 차단한다’는 컨셉으로 등장과 동시에 시장의 주목을 받았지만, 제품을 시장에 선보인 상당수 업체들은 매출 면에서 두각을 나타내지 못했다. 특히 뜰 것으로 짐작하고 과거 웹 스캐너 시장에 과감히 도전장을 냈던 대부분 국내 업체들은 종국에 안타까운 고배를 맛봐야 했다.

“기능 구현을 기준으로 따지자면 한 벤더 웹 스캐너의 경쟁 상대는 다른 벤더의 웹 스캐너가 돼야 합니다. 하지만 IBM 앱스캔은 웹 방화벽, SW 정적분석 툴과 경쟁을 하고 있습니다.”

같은 웹 스캐너 업체들 보다는 웹 방화벽 업체들과 더욱 치열하게 경쟁했고, 지금은 SW 정적분석 툴까지 가세하면서 경쟁 구도는 더욱 복잡해졌다는 설명이다.

“이처럼 경쟁구도가 복잡해지면서 웹 스캐너는 상대적으로 고객의 구매욕구를 크게 자극하지 못했습니다. 꼭 필요한 제품임에도 말이죠.”

이처럼 웹 스캐너 시장의 문제점을 지적한 박 차장은 웹 방화벽과 SW 정적분석툴은 웹 스캐너와 상호 연계했을 때 최대 효과를 낼 수 있다고 강조했다.

방화벽 해킹 루트 원천 차단 한계, 스케너와 연계해야

호흡을 가다듬은 박 차장이, 웹 방화벽과 웹 스캐너의 상호 연관성을 설명하기 시작했다.

“일각에선 웹 방화벽을 적용하면 굳이 웹 스캐너를 도입하지 않아도 되는 것으로 생각합니다. 그러나 이 같은 시각은 잘못된 것입니다.”

“웹 방화벽이 상당수 웹 공격을 차단하는데 효과를 발휘하지만 해커가 시스템 내부로 들어올 때 이용하는 루트(보안 취약점)를 원천적으로 없애진 못합니다. 하여 안전한 웹 환경을 위해선 웹 스캐너로 애플리케이션 취약점을 꼼꼼히 제거하고 웹 방화벽으로 이후의 공격을 차단하는 2중3중의 보안 체계를 완성할 필요가 있습니다.”

웹 보안 사고를 확실히 막기 위해선 웹 스캐너는 프로그램 테스트 단계에, 방화벽은 운영 단계에 각각 배치해 상호 연계해야 한다는 설명이다.

박 차장이 이번엔 SW 정적분석 툴과 웹 스캐너의 관계를 설명해 주었다. 두 제품은 제품의 사용 단계와 사용자 범주, 찾아낼 수 있는 문제점이 서로 다르기 때문에 개발-테스트-운영으로 이어지는 소프트웨어 개발 라이프 사이클(SDLC)에 맞춰 연계해 사용해야 한다는 게 설명의 요지이다.

“SW 정적분석 툴은 SDLC 중 개발 단계에서 소스코드를 분석해 잠재적인 보안 문제를 찾아주는 솔루션입니다. 반면 웹 스캐너는 실제 운영 단계에서 나타날 수 있는 문제들을 테스트 단계에서 검출하는 제품입니다.”

“시장에선 두 제품이 경쟁 제품으로 비춰지고 있지만, 향후에는 SW 개발-빌드-배포 단계에서 SW 정적분석툴로 잠재 위협 요인을 검출하고 테스트-운영 단계에서 웹 스캐너를 활용하며, 상호 보완하는 방식으로 적용돼야 합니다.”

시장의 니즈도 조금씩 나오고 있는 상황이다. IBM 앱 스캔의 매출이 꾸준히 증가하고 있는 점이 이를 방증한다고 볼 수 있다.

스캐너-SW정적분석툴 연계 기능 제공, 향후 SssS 제공할

이런 고객 니즈에 맞춰 IBM은 지난해부터 자사의 웹 스캐너인 ‘앱스캔 엔터프라이즈’와 SW정적분석툴인 ‘앱스캔 소스 에디션’을 연계해 고객이 활용할 수 있게 했다.

두 제품을 각 개발 사이클에 맞게 병행 적용하고, 각 제품 사용 시 도출된 결과치를 연계해 하나의 콘솔에서 보며 분석할 수 있도록 했다.

또한 앱스캔의 데스크탑 버전인 ‘앱스캔 스탠다드’는 스캔할 때 자바스크립트에 한정해서 소스 레벨의 정적 분석 기능을 일부 활용할 수 있도록 지원하고 있다.

IBM은 향후 웹 스캐너 기능과 SW 정적 분석 기능을 SssS(서비스로서의 소프트웨어) 형태로 제공할 계획도 갖고 있어, 고객들은 제품 도입에 따른 초기 비용 부담을 덜 수 있게 됐다.

가트너에 따르면 전체 사이버 공격의 75%가 웹 애플리케이션 취약점을 이용한다고 한다. “이 같은 위협이 높은 웹을 보호하는데 해외 선진 기업들은 전문인력과 솔루션을 적용하고 있지만, 국내 기업들은 유독 웹 보안에 소홀한 감이 있습니다. 개선할 점입니다.”

IBM이 제공하게 될 서비스는 이런 불합리한 상황을 개선하는데 일조할 것으로 보인다.

“웹 보안의 중요함을 인지하고 있지만, 웹 스캐너와 SW 정적분석툴을 구매하기 부담스러운 기업 고객은 앞으로 IBM의 웹 취약점 분석 툴들을 서비스 형태로 받아보게 될 것입니다.”

<데일리그리드>

보라색
저작권자 © 데일리그리드 무단전재 및 재배포 금지