한국포티파이소프트웨어 단순한 웹 보안 솔루션이 아닌 개발 프로세스 공급할 것
 
한국포티파이소프트웨어는 지난 2003년 창립된 미국의 애플리케이션 보안 전문기업 포티파이소프트웨어의 한국 지사로 올해 설립됐다. 한국포티파이소트웨어(대표 문성준, www.fortify.co.kr, 이하 한국포티파이) 문성준 대표는 올 초부터 한국지사 설립을 준비하고 3/4분기부터 한국 법인으로서의 활동을 시작했다. 한국포티파이는 현지화된 개발보안 소프트웨어 공급으로 한국 시장을 공략해 나간다는 전략으로 현재 금융, 공공, 제조, 통신 분야에 40여 곳의 고객을 확보하고 있다.

포티파이소프트웨어는 지난 2003년에 창립한 애플리케이션 보안 시장의 선두 기업이며 전 세계 500여 이상의 고객을 확보하고 있다. 포티파이는 ‘Fortify 360’이라는 개발 보안 솔루션을 출시하여 현재 개발 라이프 사이클의 전 분야에 걸쳐 적용할 수 있는 유일의 솔루션을 공급하고 있다.
 
포티파이소프트웨어는 개발 전반에 걸친 ‘개발 보안 프로세스 확립 및 개발 보안 체계 구축’을 타깃으로 하여 그간 솔루션뿐만 아니라 개발 프로세스 컨설팅 및 서비스 공급에 심혈을 기울여 왔다. 그 결과 단순 ‘웹 보안 솔루션 공급’사가 아닌 ‘프로세스 공급사’로서의 색깔을 확실히 해왔다. 그리고 2005년부터 미국 시장 외에 최초로 국내 공급을 시작으로 제조, 금융, 공공 시장 등에 두루 고객사를 확보했고 2009년에 한국 내 법인 한국포티파이소프트웨어를 설립한 것이다.
 
문성준 한국포티파이 대표는 “애플리케이션 보안 분야 세계 1위인 포티파이는 올해 소프트웨어 분야에 1억달러의 매출을 예상하고 있다”면서 “처음에 포티파이는 소스코드분석 툴로 시작해 애플리케이션 보안 전반에 걸쳐 포티파이 360 제품을 개발, QA와 운영에 관련된 전 개발 주기 전 과정의 보안을 진단부터 치유, 방어까지 가능한 소프트웨어 보안 솔루션”이라고 설명했다. 포티파이는 SAM(보안보증 성숙도 모델)을 통해서 기업의 소프트웨어 보안을 위해서 개발한 자체 방법론에 따라 제품을 개발하고 있으며 이 방법론도 고객 기업에 제공하고 있다.
 
문 대표는 포티파이의 총판 형태로 지난 2005년부터 사업을 시작해 올해 한국 지사 설립과 동시에 정식으로 영업을 하고 있으며 현재 공공기관, 제 1금융, 제조, 통신 기업 등의 40여곳이 넘는 고객을 확보하고 라이센스 형태로 서비스를 제공하고 있다. 이와는 별도로 30여곳 이상의 컨설팅 서비스 고객도 확보하고 있다. 문 대표는 “한국 지사의 올해 성과는 엔드유저 계약 규모로 45억원 정도의 매출을 예상하고 있으며 내년에는 이의 두 배의 매출을 예상한다”고 설명했다.
 
또한 그는 “소프트웨어 개발주기 보안은 최근 이슈가 되고 있는 해킹의 대부분이 애플리케이션 취약점을 이용한 공격이며 모든 기업의 업무들은 애플리케이션 기반으로 이루어지기 때문에 현재 애플리케이션 보안은 무엇보다 중요한 이슈가 되고 있다”고 강조했다.
 
개발보안 솔루션 ‘포티파이 360’
포티파이의 개발 보안 솔루션 ‘Fortify 360’은 애플리케이션 코딩에서 테스트, 운영까지 개발 전 단계에 대해 제공되는 보안 모듈들로 3개의 분석기가 있다. 우선 Fortify SCA(애플리케이션 보안의 근본 문제인 소스코드의 취약점 제거 솔루션)가 있는데 이는 애플리케이션 상의 가능한 모든 실행 경로를 분석함으로써 소스 코드의 보안 취약 가능성을 식별한다. 그리고  짧은 시간 내에 검토해 주며 보다 적은 노력으로 문제를 해결할 수 있다는 것이 특징이다.
 
또 Fortify PTA(애플리케이션 취약점 탐지 및 조치 보안 테스트)는 QA테스트 단계에 보안 테스트를 통합하는 자동화된 솔루션으로 QA테스트가 기능 테스트를 수행할 때 보안 취약점을 발견하기 위해 공격 경로 추적을 수행하며 사용이 용이하다는 장점을 갖고 있다. 그리고 Fortify RTA(코드 배포시 애플리케이션 실시간 모니터링 및 방어)는 웹 애플리케이션 내부에서 작동하여 정확히 어떻게 공격을 당하는지에 관해 가장 정확하고 자세한 정보를 제공하며 공격으로부터 적극적으로 방어할 수 있다.
 
마지막으로 Fortify On Demand는 서드파티 혹은 기업 내에서 개발되는 애플리케이션에 대해 중앙 집중식 방법에 의해 보안성을 측정하여 문제가 있을 경우 수정하도록 하고 보안 취약점이 없음을 보증하는 서비스다. 이는 애플리케이션 소스 혹은 바이너리를 시스템에 업로드 후 동적/정적 분석(소스 없는 바이너리로 수행 가능)이 가능하다.
 
이러한 포티파이 360은 애플리케이션 취약점을 근본적으로 제거할 수 있다는 것이 장점이다. 주요 고객은 은행권이 대부분이며 특히 금융권은 차세대 시스템을 구축할 때 많이 도입했고 올해에는 카드사도 많이 도입했다. 또한 일반 기업에서는 애플리케이션 보안성 강화 차원에서 개발보안 소프트웨어를 많이 도입하고 있는 추세다.
 
제품 현지화로 국내 시장 적극 공략
문 대표는 내년에도 금융권 시장은 계속해서 연결될 것이고 공공시장의 고객은 몇 곳이 있지만 공공시장 쪽에 좀 더 노력해서 더 많은 고객을 확보해 나갈 계획이라고 말했다. 그러기 위해서는 제품의 현지화가 무엇보다 중요한데 포티파이는 2005년 해외 시장의 첫 발로 한국 시장 진출을 선택했고 이때 바로 한글 버전을 국내에 출시하기도 했다. 이는 미국 본사도 한국 시장을 매우 중요하게 생각하고 있었기 때문이라는 것이 문 대표의 설명이다.
 
그는 “대부분 외산 소프트웨어가 국내에 들어와서 고객들에게 외면을 받는 이유는 본사의 마케팅 방법과 기업문화를 기반으로 한국에 도입하려다 보니까 국내 시장에서는 통하지 않는 것”이라며 “무엇보다 외산 소프트웨어는 국내의 환경에 적절한 현지화를 통해 공급해야 성공할 수 있다”고 말했다. 이에 포티파이 본사는 향후 한국형 소스코드 분석 솔루션을 만들어 공급할 계획이다.
 
문 대표에 따르면 포티파이 본사는 내년 매출 규모를 1.5억달러 정도로 예상하고 있고 한국 시장에서 포티파이의 시장 규모를 약 100억원 정도로 전망하고 있다. 이를 위해서 포티파이는 한국 시장에 다른 제품도 론칭하고 사업을 더 확장해 나간다는 계획을 세우고 있다.
 
특히 한국포티파이는 국내 영업 파트너 6곳 모두가 탄탄한 기술지원 능력과 영업력을 갖추고 있어 2010년 사업 확대에는 큰 무리가 없을 것으로 전망했다. 문 대표는 “한국포티파이는 강력한 국내 파트너들이 기술지원과 영업에 전념할 수 있도록 마케팅 정책 마련과 고객 컨설팅 등에 집중할 것이며 모든 것을 갖춘 파트너들을 통해 영업을 강화해 나갈 것”이라고 덧붙였다.
 
문 대표가 말하는 포티파이만의 강점은 강하다는 것이다. 포티파이는 엔진보다 보안 룰팩을 중요하게 생각하고 룰팩 개발에만 10명이 이상이 상주해서 개발하고 있다. 그리고 애플리케이션 보안의 리더 기업으로 계속 변화하고 있다는 것을 강조했다.
 
또한 그는 포티파이의 솔루션은 보안이라는 관점보다 개발에 더 가까운 소프트웨어이기 때문에 개발자들은 애플리케이션 보안 강화에 신경을 더 써야 한다고 덧붙였다. 한편 한국포티파이는 내년에는 GS인증을 받아 개발자들에게 더 좋은 솔루션을 공급할 계획이다.
 
보안은 장기적인 계획으로 해결해야
문 대표는 내년에도 소프트웨어 보안이 계속 이슈가 될 것으로 전망했다. 그는 “소프트웨어 보안 외에도 DDoS 공격이 또 하나의 보안 이슈가 될 것으로 예상되지만 이는 전혀 이해할 수 없는 현상이다”며 “외국의 경우엔 우리나라와 같이 DDoS 공격에 의한 솔루션 붐이 일어나지는 않는데 우리나라는 DDoS 공격을 장비로만 막으려고 하기에 DDoS 장비 붐이 일어나고 관련 업체도 우후죽순처럼 늘어나고 있다”고 말했다.
 
그는 또 이는 유행처럼 번지는 하나의 트렌드라고 볼 수 있는 특이한 상황인데 우리나라는 보안도 유행처럼 웹방화벽, IPS, DDoS 등으로 하나의 유행이 되고 있다고 덧붙였다. 하지만 국내 보안의 가장 큰 문제는 가장 중요한 것은 제외되고 당장 급한 것에만 투자하는 것이 문제라는 것이 그의 지적이다. 즉 가장 중요한 것은 솔루션 도입보다 보안에 대한 근본적인 대책이 필요하다는 것.
 
그는 지난 2000년 초반부터 소프트웨어 보안을 처음으로 국내에 도입했다. 그 당시 웹방화벽 등이 나왔는데 이것은 보안을 위한 근본적인 방법이 아니라고 생각했다는 것. 때마침 미국에서 포티파이가 설립되었고 소프트웨어 개발 보안 제품이 나오게 되자 문 대표는 이를 국내에 공급하기 위해 발 빠르게 움직였던 것이 현재의 한국포티파이가 있게 된 것이다.
 
문 대표는 “보안을 너무 한시적으로 생각하지 말고 장기적인 안목과 플랜을 가지고 보안을 해결하려고 해야 한다. 즉 구체적인 계획을 세워야 한다”며 “국내 보안은 솔루션 보안만 하고 있다는 것이 문제”라고 지적했다.
 
포티파이는 특히 이러한 상황에서 개발 프로세스와 연관된 보안의 형태로 고객에게 어필했기 때문에 국내 시장에서 경쟁력을 갖출 수 있게 됐다. 개발프로세스 보안은 현재 미국시장이 제일 크고 유럽, 일본 다음에 호주와 한국이 비슷한 규모로 시장이 형성되어 있어 한국 시장은 잠재력이 큰 시장 중의 하나다.
 
이를 위해서 포티파이는 한국에 딱 맞는 한국형 애플리케이션 보안 솔루션들을 한국포티파이를 통해 공급하고 한국의 고객들에게 단순한 웹 보안 솔루션의 공급이 아닌 개발 프로세스를 공급해 나갈 것이다.
<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제112호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>