개발자 중심 애플리케이션 보안 테스팅(AST) 솔루션 기업 체크막스가 체크막스 퓨전과 체크막스 1을 출시한다.

16일 체크막스는 서울 강남구 조선팰리스에서 소규모 기자간담회를 열고 '체크막스 퓨전'을 선보였다.

이날 간담회에는 로만투마 체크막스 CRO가 참석해 체크막스 퓨전에 대해 소개했다.

로만 CRO는 "RSA 행사가 끝나고 바로 한국을 방문했다. 그만큼 한국시장이 중요하다고 판단 한 것"이라며 "이번에 선보이는 체크막스 퓨전은 RSA에서 객관적인 평가로 인정받은 제품이다. 자율주행, 의료기기 등 한국이 전세계에 기여하는 사항이 많은 만큼 개발과 보안에 신경써야 할 때라고 판단했다"고 말했다.

그는 "오늘날 개발자와 애플리케이션 보안(AppSec, 앱섹) 팀은 포괄적 앱섹 테스트를 위해 일반적 애플리케이션에 포함된 수십 개 컴포넌트의 상호작용, 기능, 취약점에 대한 단일하고 통합된 뷰를 오랫동안 필요로 해왔다. 체크막스는 이 같은 요구에 대응해 애플리케이션 취약점에 대한 총체적 관점을 제공해주는 '체크막스 퓨전'을 선보였다"며 개발 배경을 소개했다.

이어 "빠른 속도로 애플리케이션 개발이 되고 있는 현재 개발자들은 오픈 소스 라이버리에서 쉽게 코드를 다운받아 사용한다. 그 코드가 악성코드에 감염됐는지도 확인하지 않은채 말이다. 이런 코드도 잘 만들어져 있는 코드기 때문에 악의적인 것이 포함되어 있다고 판단되지 않기 때문"이라며 "뿐만아니라 그것을 걸러낼 수 있는 플랫폼도 전무하기 때문에 즉각적으로 해결하기가 힘든 게현실이다"고 말했다.

그러면서 "한국 기업이 개발을 위해 코드를 다운 받을 때 해당 코드가 안전한 코드인지 스캔하고 개발자들의 정보까지 파악해 문제가 발생하지 않도록 방지 하는 것"이라며 "문제가 발생했다고 해도 즉각적으로 해결해 시간을 단축 할 수 있는 플랫폼을 제공하는 것이 체크막스가 하는 일"이라고 강조했다.

체크막스는 본 제품은 소프트웨어 라이프사이클의 모든 단계에 걸친 애플리케이션 보안 스캔 결과에 대한 총체적 뷰를 활용해서 취약점을 서로 연결하고 우선순위를 정의하여 가장 중요한 이슈를 먼저 교정할 수 있도록 안내한다.

이제 관련 팀들은 '시프트 레프트(shift-left)' 를 통해 해서 처음부터 마지막 코드 라인을 쓸 때까지 개발 사이클 전반에 포괄적 앱섹 테스팅 및 교정 절차를 반영할 수 있다. 기존 ASOC (Application Security Orchestration and Correlation)

솔루션과 달리 체크막스 퓨전은 멀티 엔진 스캔을 통해 상관관계를 파악하고 여러 엔진에 걸친 스캔 결과를 맥락에 기반해서 파악, 리스크의 우선 순위를 정의한다.

체크막스 퓨전은 다음과 같은 네 개 요소를 통해 개발자와 앱섹 팀의 권한을 강화한다.

구체적으로 ▲가시성 ▲상관관계 ▲우선순위 ▲클라우드-네이티브다.

우선 가시성은 위협을 모든 소프트웨어 요소, 사용하는 클라우드 자원, 그들 간의 관계를 포함하는 직관적인 시각적 그래프로 매핑해서 위협 모델을 제공한다. 체크막스 퓨전은 2회 이상의 스캔으로 탐지에 걸리지 않을 수 있는 잠재적 취약점을 추론해서 제시한다.

이어 상관관계는 스캔의 결과를 결합해 상관관계를 파악해 사일로 스캐너에 맥락을 부여하고 오탐지를 효과적으로 제거한다.

우선순위는 취약점을 실질적 임팩트 및 리스크 기준으로 우선순위를 정의한다. 마지막으로 클라우드-네이티브는 마이크로서비스, 클라우드 자원, 컨테이너, API를 포함하는 클라우드 네이티브 아키텍처를 활용하면서 구축 이전 단계부터 런타임에 이르기까지 확보한 인사이트를 서로 연결시킨다.

라지 샤리르(Razi Sharir) 체크막스 최고제품책임자(Chief Product Officer)는 "개발팀은 매달 수천만 라인의 코드를 테스트한다. 소스코드, 오픈소스 코드, IaC(Infrastructure-as-Code), 컨테이너 등을 포함하는 현대 애플리케이션의 복잡성으로 인해 개발자와 앱섹 리더는 애플리케이션 컴포넌트가 서로 어떻게 상호작용하는지 가시성을 확보해야 하는 중요한 이유가 생겼다"며 "체크막스는 전 세계 고객들과 긴밀히 협력하면서 개발자와 앱섹 팀이 AST와 ASOC(Application Security Orchestration and Correlation, 애플리케이션 보안 위협 관리 및 상관관계분석 솔루션에 없는 애플리케이션 취약점의 맥락과 우선 순위에 대한 총체적 관점을 필요로 한다는 사실을 알게 됐다. 체크막스 퓨전은 앱섹 취약점 교정을 통일시키고 우선 순위를 정의하고 간소화해서 개발자의 효율과 조직의 민첩성을 증대시킨다"고 설명했다.

멜린다-캐롤 밸로우(Melinda-Carol Ballou) IDC 애플리케이션 라이프사이클 관리(ALM) 프로그램 리서치 디렉터는 "SAST, SCA, IAST, IaC 보안에 걸친 체크막스 포트폴리오의 폭넓은 역량을 통일된 플랫폼으로 제공하면 치열한 데브섹옵스(DevSecOps) 시장에서 경쟁 우위를 확보할 수 있다"며 "개발자에 집중하면서 데브옵스 툴체인(toolchain)과 통합하고 맥락화된 교육을 제공하는 플랫폼으로 개발자의 성과를 개선하고 보안 테스팅의 부담을 줄여 보다 안전한 애플리케이션을 신속하게 제공할 수 있다"고 설명했다.

로만 CRO는 마지막으로 "이같이 리서치 역량이 뛰어나고 좋은 품질의 체크막스 퓨전이라는 플랫폼을 한국기업들이 이용한다면 실질적으로 시간을 단축할 수 있고 기업의 브랜드 이미지에도 긍정적인 영향을 미칠 것이다. 더 나아가 한국 시장 뿐만 아니라 글로벌 시장에서도 큰 밸류가 될 것"이라고 말했다.