리스크 우선순위를 단일 리포트서 ‘리스트 뷰’와 ‘토포그래피 뷰’로 제공

[아이티데일리] 개발자 중심 애플리케이션 보안 테스팅(AST) 솔루션 분야 글로벌 기업 체크막스(Checkmarx)는 애플리케이션에서 컴포넌트간 상호작용 및 소프트웨어 자재명세서(Bill Of Material, BOM)의 완전한 가시성을 제공하는 맥락 인지 상호작용 엔진인 ‘체크막스 퓨전(Checkmarx Fusion)’을 출시한다고 16일 발표했다.

체크막스 퓨전(Checkmarx Fusion) 토포그래피 뷰(Topology View)
체크막스 퓨전(Checkmarx Fusion) 토포그래피 뷰(Topology View)

오늘날 개발자와 애플리케이션 보안(AppSec, 앱섹) 팀은 포괄적 앱섹 테스트를 위해 일반적 애플리케이션에 포함된 수십 개 컴포넌트의 상호작용, 기능, 취약점에 대한 단일하고 통합된 뷰를 오랫동안 필요로 해왔다. 체크막스는 이 같은 요구에 대응해 애플리케이션 취약점에 대한 총체적 관점을 제공해주는 ‘체크막스 퓨전’을 개발했다.

체크막스 퓨전은 소프트웨어 라이프사이클의 모든 단계에 걸친 애플리케이션 보안 스캔 결과에 대한 총체적 뷰를 활용한다. 취약점을 서로 연결하고 우선순위를 정의해 가장 중요한 이슈를 먼저 교정할 수 있도록 안내한다.

이제 관련 팀들은 ‘시프트 레프트(shift-left)’를 통해 처음부터 마지막 코드 라인을 쓸 때까지 개발 사이클 전반에 포괄적 앱섹 테스팅 및 교정 절차를 반영할 수 있다. 기존 ASOC(Application Security Orchestration and Correlation) 솔루션과 달리 체크막스 퓨전은 멀티 엔진 스캔을 통해 상관관계를 파악한다. 여러 엔진에 걸친 스캔 결과를 맥락에 기반해 파악함으로써 리스크의 우선 순위를 정의한다.

체크막스 퓨전은 △가시성 △상관관계 △우선순위 △클라우드 네이티브 등 4가지 요소를 통해 개발자와 앱섹 팀의 권한을 강화한다. 위협을 모든 소프트웨어 요소, 사용하는 클라우드 자원, 그들간의 관계를 포함하는 직관적인 시각적 그래프로 매핑해 위협 모델을 제공한다. 체크막스 퓨전은 2회 이상의 스캔으로 탐지에 걸리지 않을 수 있는 잠재적 취약점을 추론해 제시한다. 정적 코드 스캔 및 런타임 스캔의 결과를 결합, 상관관계를 파악해 사일로 스캐너에 맥락을 부여하고 오탐지(false positives)를 효과적으로 제거한다. 취약점을 실질적 임팩트 및 리스크 기준으로 우선순위를 정의해 개발자와 앱섹 팀이 가장 중요한 이슈를 해결하는데 집중하도록 한다. 마이크로서비스, 클라우드 자원, 컨테이너, API를 포함하는 클라우드 네이티브 아키텍처를 활용하면서 구축 이전 단계부터 런타임에 이르기까지 확보한 인사이트를 서로 연결시킨다.

체크막스 로만 투마(ROMAN TUMA) CRO(Chief Revenue Officer)
체크막스 로만 투마(ROMAN TUMA) CRO(Chief Revenue Officer)

라지 샤리르(Razi Sharir) 체크막스 최고제품책임자(Chief Product Officer)는 “개발팀은 매달 수천만 라인의 코드를 테스트한다. 소스코드, 오픈소스 코드, IaC(Infrastructure-as-Code), 컨테이너 등을 포함하는 현대 애플리케이션의 복잡성으로 인해 개발자와 앱섹 리더는 애플리케이션 컴포넌트가 서로 어떻게 상호작용하는지 가시성을 확보해야 하는 중요한 이유가 생겼다”며 “체크막스는 전 세계 고객들과 긴밀히 협력하면서 개발자와 앱섹 팀이 AST와 ASOC(Application Security Orchestration and Correlation, 애플리케이션 보안 위협 관리 및 상관관계분석 솔루션에 없는 애플리케이션 취약점의 맥락과 우선 순위에 대한 총체적 관점을 필요로 한다는 사실을 알게 됐다. 체크막스 퓨전은 앱섹 취약점 교정을 통일시키고 우선 순위를 정의하고 간소화해서 개발자의 효율과 조직의 민첩성을 증대시킨다”고 설명했다.

멜린다-캐롤 밸로우(Melinda-Carol Ballou) IDC 애플리케이션 라이프사이클 관리(ALM) 프로그램 리서치 디렉터는 “SAST, SCA, IAST, IaC 보안에 걸친 체크막스 포트폴리오의 폭넓은 역량을 통일된 플랫폼으로 제공하면 치열한 데브섹옵스(DevSecOps) 시장에서 경쟁 우위를 확보할 수 있다”며 “개발자에 집중하면서 데브옵스 툴체인(toolchain)과 통합하고 맥락화된 교육을 제공하는 플랫폼으로 개발자의 성과를 개선하고 보안 테스팅의 부담을 줄여 보다 안전한 애플리케이션을 신속하게 제공할 수 있다”고 설명했다.

체크막스 퓨전은 포괄적 AST 플랫폼인 ‘체크막스 원(Checkmarx One)’에 포함되며 현재 구매 가능하다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지