디지털타임스

 


[웹 애플리케이션 보안] 한국포티파이소프트웨어 `포티파이 360`

프린트 페이스북 트위터 카카오스토리
실행가능한 보안 취약점 빠르게 식별ㆍ수정
한국포티파이소프트웨어(대표 문성준)는 개발 전반에 걸친 개발 보안 프로세스 확립과 개발 보안체계 구축을 타깃으로 솔루션 개발뿐만 아니라 프로세스 컨설팅 및 서비스 공급에 심혈을 기울이고 있다.

이 회사의 보안 개발 라이프사이클 솔루션인 `포티파이 360'은 SCA(Static Code Analyzer), PTA(Program Trace Analyzer), RTA(Real-Time Analyzer) 등 세 가지 모듈로 구성되며, `360 서버'를 통해 협업능력을 포함하는 통합된 형태의 관리와 정보를 제공한다.

포티파이 SCA는 애플리케이션 보안의 근본 문제인 소스코드 수준의 취약점을 분석, 제거할 수 있게 개선책을 제시한다. 430여 보안 및 품질 관점의 점검범주를 지원하며, 특히 자바, JSP, 닷넷, C/C++, PL/SQL, 파이썬, ASP 등의 애플리케이션 소스 및 관련 라이브러리의 취약점 점검을 지원한다.

포티파이 PTA는 애플리케이션 테스트 관점에서 운영 중이거나 운영 이관 전 애플리케이션에 대한 동적 테스트를 통해 애플리케이션의 취약점을 발견해낸다. 애플리케이션 바이너리 수준에서의 모니터링을 통한 테스트를 수행, 바이트 코드 실행정보와 소스정보를 포함해 결과를 제공하며 오탐이 거의 없다.

포티파이 RTA는 빌드 단계에서 운영환경으로 애플리케이션 바이너리를 배포하기 전에 취약한 애플리케이션 바이너리를 보안이 고려된 바이너리로 자동 변환한다. 웹 애플리케이션의 내부에서부터 외부까지 프로그램 로직을 감시해 성능저하 요소가 거의 없는 것이 특징이다.

포티파이360은 정적 분석기법인 소스코드 분석(SCA)과 동적 분석 기법인 프로그램 실행분석(PTA), HP의 웹 스캐너인 `웹인스펙트(WebInspect)'를 상호 연동해 애플리케이션의 보안 취약점을 통합 분석한다. 이를 통해 동적 분석의 한계인 분석범위를 확장하고 정적 분석 결과를 실제 공격이 가능한 순으로 분류, 제공하므로 위험도와 실행 가능성이 높은 보안 취약점을 빠르게 식별, 우선 수정할 수 있게 해 개발비용과 시간을 대폭 절감한다.