올해 말부터 국내에서 소프트웨어(SW) 개발단계에서부터 보안취약점을 점검하는 '시큐어코딩'이 의무화되면서 관련 솔루션 기업들이 수혜를 입을 것으로 기대하고 있다.
9일 국내외 시큐어코딩 전문기업 관계자들에 따르면, 현재 국내 시큐어코딩 시장 규모는 100억~150억원 정도에 불과하지만 내년부터 공공부문 등에 도입되기 시작하면 급격한 증가추세를 보일 것으로 전망된다고 밝혔다.
행정안전부는 지난 5월 정보시스템 구축 운영 지침 개정안 행정예고를 통해 시큐어코딩 의무화 법안을 마련하고 행정예고 했다. 이에 따라 개발비 40억원 이상 정보화사업을 추진하는 모든 공공기관들은 12월부터 당장 시큐어코딩 준수사항을 이행해야 한다.
정부가 지난 몇 년 간 보안취약점을 이용한 분산서비스거부(DDoS), 개인정보 유출 사례들이 발생하면서 이에 원천적으로 대응하기 위해 SW 개발단계에서부터 취약점이 없게 하겠다는 지침을 마련한 것이다. SW 개발 회사들은 SQL삽입, 자원삽입, 크로스사이트스크립트 등 43가지 보안 약점을 점검해야한다.
솔루션 도입이 의무사항은 아니다. 그러나 대부분 공공기업들이 자체적으로 취약점을 발견하기 힘든 상황이라 시큐어코딩 솔루션 기업들이 수혜를 입을 것으로 예상된다.
국내 기업들 중 수혜를 입을 것으로 예상되는 곳은 지난 2009년 행안부의 전자정부 프로젝트 사업에 공급한 파수닷컴과 지티원이다.
파수닷컴은 '스패로우SCE'라는 제품으로 올해부터 시장을 공략하고 있다. 이 제품은 기존에 SW 개발과정에서 품질문제를 해결하기 위해 나온 스패로우에 행안부가 마련한 43가지 보안약점을 점검할 수 있도록 추가했다. 개발 과정에서 나온 SW의 문법적인 보안 오류와 문법에서 오류가 없더라도 의미에 기반한 취약점까지 찾아낸다는 점을 강점으로 내세웠다.
지티원은 '시큐리티프리즘'이라는 제품을 통해 보안취약점패턴 CWE, OWASP와 같은 국제 기준에 따른 보안취약점 패턴을 제공한다는 점을 강조했다. 이 기업 관계자는 지난 2006년부터 개발해 온 시큐어코딩 기술 노하우를 바탕으로 행안부 보안취약점 점검 프로젝트를 수행했다는 점에서 공공부문 도입에 자신감을 나타냈다.
이밖에 트리니티소프트는 작년에 웹 소스코드 통합관리 솔루션인 '코드레이'를 출시해 CC인증, GS인증을 취득하고 본격적으로 시큐어 코딩 솔루션 분야에 진출한다는 계획이다.
또한 이븐스타는 소프트웨어 변경관리와 같은 공기관이 필요로 하는 부가기능을 내세워 공공부문 중심으로 시장을 확대했다.
지난 2001년 한국전자통신연구원(ETRI)의 벤처기업으로 출발한 소프트4소프트는 10년간 코드검증기술을 개발해 온 노하우를 바탕으로 시큐어코딩 부문에도 수혜가 기대된다.
글로벌 시장에서 시큐어코딩 분야는 외국계 기업들의 독무대나 다름없었다. 그만큼 시큐어코딩 의무화가 적용되는 국내 시장에 대한 외국기업들의 기대감도 높다.
HP에 인수된 포티파이는 지난 2003년부터 설립된 회사로 국내에서는 2005년부터 '시큐어코딩'이라는 개념을 처음 도입했다.
국내 업계관계자들은 국내 공공기관에 보안제품을 공급하기 위해서는 국정원 CC인증과 같은 별도 인증을 받아야한다는 점이 외산솔루션에게는 진입장벽으로 작용할 수 있어 국내 제품 위주의 시장이 형성될 것이라는 전망이 나오고 있다.
그러나 현재 HP의 포티파이 솔루션 총판을 맡고 있는 엔시큐어 문성준 대표는 시큐어코딩은 별도의 인증이 필요치 않아 외산 솔루션 회사들도 충분히 경쟁할 만한 여건이 된다며 기대감을 드러냈다.
관련기사
- 파수닷컴, “글로벌 SW회사로 거듭날 것”2012.10.09
- 엔시큐어, 악산 위변조 방지 솔루션 공급2012.10.09
- 트리니티, 시큐어코딩 솔루션 GS인증 획득2012.10.09
- 현대정보기술, 지티원과 거버넌스 솔루션 사업 제휴2012.10.09
실제로 삼성, LG 등 국내 대기업과 공공기관들이 포티파이의 소스코드 분석솔루션을 사용하고 있다.
문 대표는 이미 글로벌 시큐어코딩 부문은 3천억원 시장을 이루고 있다며 큰 진입 장벽이 없고 기술적으로도 국산 제품에 비해 많은 롤팩(검증노하우)을 확보하고 있다는 점이 장점이라고 밝혔다.
