[K사이버보안 최전선] 장일수 스패로우 대표 "소프트웨어 개발 과정부터 보안 취약점 제거해야 해킹 막는다"

'시큐어코딩' 개발자에게 맞춤법 검사기 같은 역할
전 영역 디지털화된 세상, 소프트웨어 보안 중요해
공공기관·금융·민간기업까지 다양하게 사용

장일수 스패로우 대표가 지난 13일 조선비즈와 서울 상암동 사무실에서 인터뷰하고 있다. /스패로우 제공

“출판사 직원이 글을 쓰면서 오타를 확인하기 위해 맞춤법 검사기를 항상 켜두듯이, 개발자는 소프트웨어를 개발하면서 보안 취약점을 확인하기 위해 ‘시큐어코딩’ 도구를 사용해야 한다. 자율주행 자동차부터 사물인터넷(IoT)이 연결된 집과 스마트시티까지, 모든 것이 소프트웨어로 연결된 세상에서 해킹은 최고의 위험 요소다. 이를 방지하기 위해 소프트웨어 개발 단계부터 개발자가 보안을 점검해야 한다.”

스패로우는 ‘시큐어코딩’ 솔루션을 판매하는 보안업체다. 데이터보안 기업 파수의 애플리케이션 보안 사업본부에서 시작한 회사는 2018년 분사했다. 시큐어코딩이란 소프트웨어 개발 과정에서 ‘소스코드(프로그래밍 언어로 구현한 소프트웨어 설계로 텍스트 파일 형식으로 나타남)’ 등에 존재하는 보안 취약점을 제거하고, 보안을 고려해 기능을 설계 및 구현하는 보안 방안을 뜻한다.

개발자는 자신이 개발하고 있는 소프트웨어에 미래 해커의 먹잇감이 될 수 있는 어떤 약점이 있는지를 파악하고 사전에 사고를 방지할 수 있다. 실제 건물을 짓기 전 정교한 설계도를 꼼꼼히 살펴보며 어떤 사고가 발생할 수 있을지 진단하는 것과 유사하다.

시큐어코딩의 근간은 정적분석(Static Analysis)이다. 소프트웨어가 실행되지 않은 상태에서 소스코드의 의미를 분석해, 결함을 찾아내는 분석 기법이다. 조달정보개방포털에 따르면 스패로우는 지난해 기준 정적분석도구 공공시장점유율 74%를 차지하고 있다. 스패로우에 따르면 회사는 5년 연속 해당 분야 1위를 차지하고 있다.

지난 13일 서울 상암동 사무실에서 장일수 스패로우 대표를 만났다. 기계공학과 출신인 장 대표는 현대정보기술에서 직장생활을 시작해 시스템 엔지니어로 일하며 현대자동차와 현대중공업 정보기술(IT) 서비스를 관리했다. 2002년 파수에 입사해 2014년 프로그램분석(PA) 제품영업총괄을 맡았고, 2018년 스패로우가 분사하면서 스패로우 대표가 됐다. 그는 현재 제6대 한국소프트웨어테스팅협회 회장이기도 하다.

ㅡ오늘날 소프트웨어가 중요한 이유는.

“이전에는 소프트웨어와 관련 없다고 여겨지던 모든 분야까지 이젠 다 디지털화됐다. 예컨대 자동차에서도 이젠 인포테인먼트가 핵심이고 자율주행차 시대가 눈앞까지 다가왔다. 전에는 디지털과 상관없다고 생각되던 우리들의 집까지도 월패드뿐 아니라 냉장고, TV 등 모든 것이 사물인터넷(IoT)으로 연결됐다. 도시까지 폐쇄회로(CC)TV 등 모든 것이 디지털화된 도시, 즉 스마트시티까지 현실화하고 있다.

이 모든 디지털화를 가능하게 만드는 것이 바로 소프트웨어다. 자동차, 스마트팩토리 공장 시스템 가동 등 모든 분야에서 특정 업무를 수행하기 위해 만들어진 응용 소프트웨어, 즉 애플리케이션(앱)이 사용된다. 우리가 편의를 누리고 있는 모든 것이 코딩으로 만들어진 세상이다.”

일러스트=손민균

ㅡ그렇다면 소프트웨어 보안은 왜 중요한가.

“이렇듯 우리의 생활과 밀접한 소프트웨어에 보안 결함이 있어 해킹이 발생한다면 어떻게 될까. 과거와 비교했을 때 피해의 규모는 어마어마하게 커질 것이다. 아파트 월패드 시스템이 해킹당한다면 해커가 원격으로 도어락의 비밀번호를 입력해 무고한 시민의 집 문을 열 수도 있다. 자율주행차가 해킹 당한다면 누군가의 차에 조작을 가해 사고를 낼 수도 있다. 일상에 맞닿아 있는 다양한 소프트웨어의 보안이 강력해야 여러 사고를 방지할 수 있다.”

ㅡ시큐어코딩 도구는 소프트웨어 보안 취약점을 어떻게 해결하나.

“소프트웨어가 제품으로 실제 소비자를 만나기 전부터, 개발 단계에서 개발자가 자신이 코딩한 결과물에 어떤 보안 취약점이 있는지 확인하고 이를 미리 수정할 수 있게 한다. 예컨대 자동차를 만드는 회사가 시큐어코딩 도구를 사용한다고 가정하자. 개발자가 자율주행 소프트웨어를 개발하던 중 자신이 짠 소스코드를 시큐어코딩 도구에서 가동했더니 해커가 쉽게 우회할 수 있는 경로를 발견하고 이를 수정할 수 있다. 혹은 개발이 거의 완료된 제품을 보안 담당자가 시큐어코딩 도구로 가동한 후 보안 취약점을 찾아내 개발팀에 수정을 요청할 수도 있다. 출판사 직원이 책을 만들기 위해 원고를 작성하면서 오타나 비문이 있는지 확인하기 위해 맞춤법 검사기를 미리 돌려보는 것과 비슷하다. 개발자에게 보조 도구가 되어주는 것이다.”

ㅡ고객사는 누구인가.

“공공기관과 금융업체, 그 외 민간기업 비중이 1:1:1로 유사하다고 볼 수 있다. 공공기관의 경우 특히 1억원 이상 규모의 전자정부 발주 사업은 시큐어코딩이 의무화됐기 때문에 탄탄한 수요가 있다. 금융의 경우 의무는 아니지만, 금융감독원에서 이를 권고하고 있고 보안이 중요한 분야이기에 니즈가 꾸준히 있다.

ㅡ앞으로의 목표는.

“현재 연 매출이 10%씩 성장하고 있는데 탄탄한 수요를 바탕으로 회사를 성장시켜 3년 안에 상장하는 것이 목표다. 소프트웨어 보안을 위한 모든 보안 솔루션을 한 번에 제공할 수 있는 업체가 되겠다.”

- Copyright ⓒ 조선비즈 & Chosun.com -