�ݺ�ߣ

An HP Company
2012.9
㈜크라비스커뮤니티
안전한 애플리케이션 구축 및 운영방안

An HP Company
기업 애플리케이션 현실
2
웹 환경 업무
레거시 통합
App
외부 파트너와
연결된App
아웃소싱 개발
사내 업무 시스템
공격의 75% 이상이
애플리케이션 대상
공격
- 가트너

An HP Company
애플리케이션 보안 동향 – 개발과정 보안
3
○ Gartner 예측
- 2010년 까지 SDLC내에 보안을 통합시킴으로써 주요 취약점의 80%가 감소할 것임 (80% 가능성)
- 2010년 까지 상기 취약점의 감소는 현재의 설정관리와 침해사고 대응 비용의 75%를 감소시킬 것임 (70% 가능성)
- 2008년까지 어플리케이션 보안은 시스템의 기능 만큼이나 중요하게 평가의 주요 요소가 될 것임. (70% 가능성)
단계 보안Activity
프로젝트
개시/ 분석
-보안 요구사항 정의 (시스템, 기능)
-보안 코딩 표준 정의
-보안 프레임웍 정의
-보안 요구사항 매핑
설계
-보안 명세(Spec.) 정의
- 위협 모델링
- 보안 설계
- 보안 테스트 계획 수립
개발
- 보안 코드 검토
- 보안 단위 시험
- White Box 보안 시험
- 보안 시스템 구축
테스트
- 보안 기능 시험
- 보안 침투 테스트
- 보안 코드 스캐닝
유지관리/
운영
- 보안 운영 지침 수립
(패치, 설정, 지속적 점검 등)
- 보안 이슈 추적/해결
“Integrate security best practice and tools
into software dev lifecycle”, Feb. 2006

An HP Company
애플리케이션 보안 특징 및 현실
4
- 개발자 참여 필요  취약점 조치는 개발자가 수행해야 함
- 기능성, 가용성, 편의성이 개발자들의 주된 목표, 또한 프로젝트 기간 내에 코딩을 완료해야 함
- 현실적으로 보안을 고려하여 코딩 할 수 있는 개발자 부재
- “보안 코딩 가이드”는 있으나 준수 한계  코딩단계부터 적용 가능한 보안 방안 부재
 개발자
 운영자
 보안 관리자 / IT관리자
- 애플리케이션 상세 이해 한계
- 보안 코딩 가이드 준수 여부에 대한 검증 장치 혹은 프로세스 미비(매뉴얼 리뷰, 컨설팅)
- 외주 개발 애플리케이션에 대한 보안 검증 장치 부재(개발사 몫?)
- 국제규정 및 감독기관, 외부 규정을 준수하는 개발보안 필요
- 네트워크, 시스템 및 애플리케이션의 가용성 유지해야 함
- 애플리케이션에 대한 상세 이해 부족
- 운영단계에서 애플리케이션 취약점 조치 어려움 - 현실적으로 전수검사 불가능
개발 라이프 사이클(SDL)내의 보안 방안 부재
업무별 적정 프로세스 및 솔루션 부재

An HP Company
SDL에서의 보안 요소
5
Build Server
개발자
보안 테스트
보안운영
Security Leads / Auditors
Manage and Measure
개발단계에서
취약점 조기 조치
애플리케이션
분류 및
보안테스트
코드 배포시
애플리케이션
모니터링 및 방어
전수검사에 의한
취약점 분류,
취약도 확인 및
조치
Management

An HP Company
HP Fortify Within the Secure Software Lifecycle
6
HP Fortify SCA
Proactive security with targeted,
accurate analysis tuned for low
false positives
HP Fortify SCA
Analyzes code comprehensively
and accurately
Developers
HP Fortify SecurityScope
HP WebInspect
Makes every black box security test measurable and
actionable
Security Testers
HP Fortify RTA
Monitors and measures web
applications in production
Security Ops Team
Security Leads / Auditors
HP Software Security Center
Central reporting and management of software security across the enterprise
Management
Build Server
FPR
HP Fortify SCA

An HP Company
HP Fortify Software 모듈별 기능(요약)
7
○ Fortify Real-Time Analyzer
○ Fortify Static Code Analyzer
- 개발단계부터 보안 취약점 발견 및 조치를 통한 “안전한 애플리케이션 개발”
- SDLC 프로세스와 연동되어 “보안 검토 프로세스”로 사용
- 지원대상 : Adobe®, ASP.NET, C/C++, C#, Classic ASP, HTML(HTML5), Java, JavaScript/AJAX, JSP, PHP,
PL/SQL, MS T-SQL, VB for Applications, VB Script, VB.NET, XML, Flex, 환경(Apache, J2EE, EJB, ASP.NET,
Weblogic등) 및 Premium Language(COBOL, ColdFusion®, Python, Mobile, ABAP) – 20종 언어 및 환경 분석
- 개발자 관점 (소스파일,라인,함수)의 개선 보고서 제공으로 애플리케이션 취약점 수정 용이
- IDE Plug-ins (VS.net, Eclipse, IBM WSAD/RAD, Borland JBuilder) 지원
○ Fortify SecurityScoupe, WebInspect
- 애플리케이션 보안 테스트
- HP WebInspect와 연계하여 하이브리드 분석
- Application Firewall
- “Hardened Software”방식(세계최초)
- Monitoring mode 및 defense mode 지원
○ Software Security Center
- 웹 기반의 애플리케이션 보안현황 관리(리포트, 이력관리, 룰 관리 및 update, 사용자관리)
- 온라인 협업 관리
- 거버넌스

An HP Company
취약점 내 용
Path Manipulation
시스템 중요파일(password, 소스코드 등)에 접근 하여 시스템 침탈
가능
SQL Injection DB 공격하여 비인가 정보 획득, 데이터 변조 가능
Cross-Site Scripting 페이지 가로채기, 바이러스 설치, 백도어 등의 스크립트 공격 가능
HTTP Response Splitting 페이지 가로채기, 바이러스 설치, 백도어 등의 스크립트 공격 가능
Trust Boundary Violation 프로그램 내부 데이터 조작 공격
Unchecked Return Value: Missing Check against
Null
시스템 간접정보 획득, 및 프로그램 오동작 가능
J2EE Misconfiguration: Missing Error Handling 시스템 간접정보 획득 가능성
주요 분석 카테고리(셈플)
○ 전체 카테고리(https://www.fortify.com/vulncat/ko/vulncat/index.html)
○ 보안 카테고리
분석 카테고리
8
- API Abuse , Code Quality, Encapsulation, Environment, Errors, Input Validation and Representation,
Security Features, Time and State의 8개 분류로 구성된 490여개 보안 및 품질 카테고리로 구성
- OWASP TOP 10 및 CWE 항목을 수용하는 200여 보안 카테고리로 구성
- 정보유출과 같은 보안 사고의 근본적인 원인을 조기 탐지 및 제거

An HP Company
주요 분석 카테고리(셈플)
문제점 내 용
Poor Style: Redundant Initialization
이 변수 값은 할당되어 있지만 사용하지 않으므로 불필요한 저장 공
간을 차지합니다.
Poor Style: Value Never Read
이 변수 값은 할당되어 있지만 사용하지 않으므로 불필요한 저장 공
간을 차지합니다.
Redundant Null Check
프로그램이 null 포인터를 역참조할 가능성이 있기 때문에 null 포인
터 예외가 발생합니다.
Unreleased Resource : Database 프로그램이 시스템 리소스를 해제하지 못할 수도 있습니다.
Unreleased Resource : Stream 프로그램이 시스템 리소스를 해제하지 못할 수도 있습니다.
Dead Code: Expression is Always True 이 식은 항상 true가 됩니다.
Dead Code: Unused Field 이 필드는 사용되지 않습니다.
○ 품질 카테고리
분석 카테고리
9
- 시스템에 심각한 오류를 일으키는 메모리/리소스 사용 및 해제, Error 처리, 미사용 루틴 탐지등 300여 항목의
품질 카테고리로 구성
- C/S 기반과 서버에서 작동되는 시스템의 심각한 오류를 사전에 제거 하여 애플리케이션의 품질 향상
(예- 은행의 코어 뱅킹 시스템, 제조사의 조업시스템 – NH증권, 현대해상, 농협카드, 신한은행 등)

An HP Company
분석 카테고리(샘플)
○ 모바일 환경 카테고리
분석 카테고리
10
- 모바일 폰의 데이터 유출 위험 또는 불필요한 권한을 부여 하는 애플리케이션 설정 및 코딩 오류 등 보안
카테고리로 구성
취약점 내 용
Query String Injection :
Android ContentResolver
사용자 입력을 포함하고 있는 SQLite 쿼리 문을 생성하면 공격자가 허가받지 않은 레코드를 볼 수 있습니다.
Insecure Storage : Android
External Storage
Android의 외부 저장소에 데이터를 작성합니다.
외부 저장소에 저장한 파일은 누구나 읽을 수 있으며 USB 대용량 저장소로 컴퓨터의 파일을 전송할 때 사용자가 수정할 수
있습니다. 또한, 외부 저장소 카드에 있는 파일은 파일을 작성한 응용 프로그램을 제거한 후에도 그대로 유지됩니다. 이러한
제약으로 인해 저장소에 작성된 민감한 정보가 손상되거나 공격자가 프로그램이 의존하는 외부 파일을 수정하여 악성
데이터를 프로그램에 삽입할 수도 있습니다.
Access Control : Android
ContentResolver
적절한 접근제어 없이 사용자가 제어하는 기본 키를 포함하는 SQLite 문을 실행하면 공격자가 허가받지 않은 레코드를 볼
수 있습니다.
Privilege Management :
Android Network
프로그램이 네트워크 연결을 구성할 수 있는 권한을 요청합니다.
Android Messaging
프로그램은 SMS 작업을 수행하도록 요청합니다.
Android Disable
프로그램은 핸드셋을 비활성화할 수 있는 권한을 요청합니다.
Android Data Storage
프로그램이 Android의 외부 저장소에 데이터를 작성할 수 있는 권한을 요청합니다.
Android Location
프로그램은 장치의 GPS 위치에 접근할 수 있는 권한을 요청합니다.
Android Telephony
프로그램은 전화를 걸고 받을 수 있는 권한을 요청합니다.

An HP Company
Requirements Design Coding Testing Production
1단계 : 소프트웨어 보증 센터(Security Gate)
Security
Gate
보안 승인 테스트
프로세스 적용 방안 - 애플리케이션 보증 센터

An HP Company
HP Fortify SCA
Static Code Analyzer
Integrated within Build
Server Environment
3rd party
code
in-house
code
Data
Integration
Tool
Integration
Correlation
Software Security
Center
Development
프로세스 적용 방안 - 애플리케이션 보증 센터
개발자 : 버그 관리시스템에
할당, 중요 이슈 확인 / 수정
Bug
Tracking
Software Security Center
Collaborative Web interface or Audit Workbench
감리자/보안담당자 :
분석결과 확인, 중요한
이슈 분류
보안 / 개발 관리자 :
진행사항 확인,
리포트 확인
Scan Results
소프트웨어 보안 게이트
• 개발 완료 전 최종 점검
• 아웃소싱 개발 프로그램에 대한 검증
• 전체 개발과정상의 한가지 단계
적합 테스트 운영기능테스트코딩빌드계획
Ad-hoc testing
12

An HP Company
Step 1: Security Gate 구현
Step 2: SDLC의 보안
Security
Gate
보안 승인 테스트
보안이 고려된 애플리케이션 개발의 생산비용 절감
프로세스 적용 방안 - SDLC 확장

An HP Company
중앙 집중식 관리 및 제어
Security
Gate
Efficient Remediation
Bug
tracking
Develope
r IDEs
Collab
Module
Automate Testing
Via Build
Integration
Via
Developers
IDE
Via QA
Server
Key Benefits
• 조기에 취약점을 발견하고
조치하게 되므로 비용
절감
• 개발자는 보안코딩을
학습하여 개발함으로써
애플리케이션의 위험이
낮아짐

An HP Company
Development
Fortify IDE Plugins
IDE 상에서 Fortify 360
서버에 접속하여 문제를
확인하고 수정
개발자 : IDE, 버그 관리툴,
협업 기능을 통해 할당된
이슈를 확인하고 제시된
Fortify 가이드에 따라 수정
Bug Tracking
Software Security Center
Collaborative Web interface or Audit Workbench
보안 감리자 / 개발
관리자 : 시스템에
로그인 하여 분석결과
확인 및 취약점 할당
보안 / 개발관리자 :
진행사항 확인,
리포트 확인, 중요
사항 발생시 Alert
수신 (예- XSS
vulnerabilities
found in
overnight build)
소프트웨어 개발 프로세스 전체에 적용
최소의 비용으로 문제를 수정하고 예방 할 수 있음
적합 테스트 운영기능테스트코딩빌드계획
15
HP Fortify SCA
Static Code Analyzer
Integrated within Build
Server Environment
3rd party
code
in-house
code
Data
Integration
Tool
Integration
Correlation
Software Security
Center
Scan Results

An HP Company
프로세스 적용 방안 - Cloud Scan 구성

An HP Company
Cloud Scan 구성 – 필요 구성요소
1. Cloud CLI
- 빌드 환경 설정
2. Cloud Contoller
- 클라이언트와 클라우드 간의 통신 서비스
3. Cloud Engine (Hadoop-Master)
- Job Master
4. CloudScan Cloud (Hadoop-Scan Engine)
- Job Slaves

An HP Company
1. Response
2. Response job
(option) Upload .fpr files
3. Request Result File4. Get results
Cloud Scan 개념

An HP Company
Cloud Scan 구성
Source Code
Compiler
Cloud CLI
Sourceanalyzer
JRE
TCP/IP
OS
Cloud Controller
(Web Service)
Tomcat
JRE
TCP/IP
Linux, Windows
SSC
360 WEB
Tomcat
JRE
JDBC
TCP/IP
Windows
DBMS
MS-SQL 2008
Oracle
JDBC
TCP/IP
OS
Cloud ControllerC, .NET
개발
System
Source Code
Compiler
Cloud CLI
Sourceanalyzer
JRE
TCP/IP
OS
Source Code
Compiler
Cloud CLI
SCA
JRE
TCP/IP
Any OS
Source Code
Compiler
Cloud CLI
Sourceanalyzer
JRE
TCP/IP
OS
JAVA 개발
System
Source Code
Compiler
Cloud CLI
Sourceanalyzer
JRE
TCP/IP
OS
Source Code
Compiler
Cloud CLI
SCA
JRE
TCP/IP
Any OS
관리 서버 관리서버용
DBMS
Scan Server
SCA
Hadoop Slave
JRE
TCP/IP
Linux
Hadoop Server
Master
Hadoop
JRE
TCP/IP
Linux
SCA
Hadoop Slave
JRE
TCP/IP
Linux
SCA
Hadoop Slave
JRE
TCP/IP
Linux
SCA
Hadoop Slave
JRE
TCP/IP
Linux
[분석 절차]
1. 개발시스템에서 CloudCLI 이용 분석 요청
(빌드 수행)
2. CloudController는 요청을 받아 Hadoop서버에
JOB 요청
3. Hadoop 서버는 가용한 ScanServer를 할당
4. 할당받은 Scan Server에서 SCAN 수행
5. 분석결과는 선택에 따라 두 경로로 전달
- 분석 요청 시스템으로 FPR전송
- SSC서버에 분석결과 등록

An HP Company
Source Code
Compiler
Cloud CLI
Sourceanalyzer
JRE
TCP/IP
OS
Cloud Controller
(Web Service)
Tomcat
JRE
TCP/IP
Linux, Windows
SSC
360 WEB
Tomcat
JRE
JDBC
TCP/IP
Windows
DBMS
MS-SQL 2008
Oracle
JDBC
TCP/IP
OS
Cloud ControllerC 개발
System
Source Code
Compiler
Cloud CLI
Sourceanalyzer
JRE
TCP/IP
OS
Source Code
Compiler
Cloud CLI
SCA
JRE
TCP/IP
Any OS
Source Code
Compiler
Cloud CLI
Sourceanalyzer
JRE
TCP/IP
OS
JAVA 개발
System
Source Code
Compiler
Cloud CLI
Sourceanalyzer
JRE
TCP/IP
OS
Source Code
Compiler
Cloud CLI
SCA
JRE
TCP/IP
Any OS
관리 서버 관리서버용
DBMS
Scan Server
SCA
Hadoop Slave
JRE
TCP/IP
Linux
Hadoop Server
Master
Hadoop
JRE
TCP/IP
Linux
SCA
Hadoop Slave
JRE
TCP/IP
Linux
SCA
Hadoop Slave
JRE
TCP/IP
Linux
SCA
Hadoop Slave
JRE
TCP/IP
Linux
[분석 절차]
1. 개발시스템에서 CloudCLI 이용 분석 요청
(빌드 수행)
2. CloudController는 요청을 받아 Hadoop서버에
JOB 요청
3. Hadoop 서버는 가용한 ScanServer를 할당
4. 할당받은 Scan Server에서 SCAN 수행
5. 분석결과는 선택에 따라 두 경로로 전달
- 분석 요청 시스템으로 FPR전송
- SSC서버에 분석결과 등록
Cloud Scan 구성

An HP Company
하이브리드 보안 분석 구성
설계/디자인 코딩 테스트(QA) 운영
HP Fortify SCA &
Plug-in Edition
개발
소스 코드 보안 분석
HP Fortify
SecurityScope
Run Time Test
소스 코드 실행
영역 보안 분석
HP Webinspect
Run Time Test
침투 테스트
(웹 스캐너)
분석결과 통합
HP Software Security Center
Tool Integration Data Integration
Correlation
진행 이력, 결과 확인 / 개발 평가, 측정
/ 정책 수립, 반영 / 보안 관리
•보안/개발 관리자, 감리자(Fortify 360 협업, 감사 모듈)
•보안 감리자 / 개발 관리자
-분석결과 확인
-개발자에게 취약점 할당
보안 / 개발관리자
-진행사항 확인
-리포트 확인
-중요 사항 발생 시 Alert 수신
프로세스 적용 방안 - 하이브리드 분석

An HP Company
22
비교 항목 비교 항목 설명 하이브리드 분석 웹 스캐너 소스 코드 분석
분석 영역
애플리케이션 소스 코드, 바이너리,
실행 보안 분석 여부
소스 코드,
바이너리,
URL
URL 소스 코드
분석방식 애플리케이션 보안 분석 기법
소스 코드 분석,
바이너리 분석,
침투 테스트
침투 테스트 소스 코드 정적 분석
분석 결과 보안 분석 결과 통합, 연관 분석 소스 코드, 라인, URL URL 소스 코드, 라인
분석 커버리지
애플리케이션 전체에 대한 보안 분석
커버리지
소스 코드 100%,
바이너리70% 이상
바이너리 30% 이하 소스 코드 100%
정확성 보안 취약점 탐지 정확성 정확한탐지=과탐+미탐 미탐 과탐
애플리케이션 보안 분석 비교

An HP Company
Fortify SCA 적용사례 - 신규 개발 시
23
23 2012-10-05
보안 담당자
개발 관리자
취약성관리서버
http://host_ip:8180
개발서버
개발담당자
자체점검
쉘 수행 및
로그 확인
2 소스코드 분석 수행
3 분석 결과 등록
IDE Plug-In
Eclipse, CLI
4 분석결과 확인, 다운로드
1 소스코드 Upload
Java, Jsp
5 취약점 제거
6 시스템 전수 검사
중간 테스트 및 이관 전

An HP Company
HP Fortify SCA 적용사례 - 품질 프로세스 연동
취약성관리서버
http://host_ip:8180
개발서버
개발담당자
자체점검
2 소스코드 분석 수행
3 분석 결과 등록
IDE Plug-In
Eclipse, CLI
4 분석결과 확인, 다운로드
1 소스코드 Upload
Java, Jsp
5 취약점 제거
운영서버
프라미
스
이관 프로세스개발 프로세스
6 취약점 존재 유무 정보
취약점 존재
?
7 소스코드 이관
Java, Jsp NO(이관)
YES(반려)

An HP Company
No. 시장 사업 개요 구분 사업년도 발주처 비고
1 통신 Apps. Source code Audit 신규 2005.12 SK Telecom
2 금융 변경관리도구와 통합된 SDLC 프로세스에서 보안성 검토 신규 2006.1 국민은행
3 금융 기업 뱅킹 업무 재 구축 시 개발단계부터 보안성 검토 및 적용 신규 2006.4 SC 제일은행
4 금융 개발단계 부터 보안성 검토 신규 2006.8 하나은행
5 제조 In-house/out sourcing 애플리케이션에 대한 보안성 검토 신규 2006.8 삼성전자
6 금융 인터넷 뱅킹 보안성 검토 신규 2006.11 외환은행
7 통신 Apps. Source code Audit 확장 2006.11 SK Telecom
8 통신 In-house/out sourcing 애플리케이션에 대한 보안성 검토 확장 2006.12 삼성전자
9 제조 In-house/out sourcing 애플리케이션에 대한 보안성 검토 확장 2006.12 삼성전자
10 공공 E-commerce 보안개발 프로세스 구축 신규 2006.12 KTNET
11 금융 SC제일은행 뱅킹시스템 보안분석 확장 2007.10 SC제일은행
12 금융 농협 업무 보안개발 프로세스 구축 신규 2007.11 농협 차세대
13 교육 학내 APP 보안분석용 신규 2007.12 한남대학교
14 금융 사내 APP 보안 분석용 신규 2007.12 KOSCOM
15 SI 개발 프로젝트에 대한 보안성 검토 신규 2008.3 LG CNS
16 통신 사내 APP 보안 분석용 신규 2008.4 LG Telecom
17 운송 사내 APP 보안 분석용 신규 2008.6 대한항공
17 운송 사내 APP 보안 분석용 신규 2008.6 대한항공
18 제조 개발 프로젝트에 대한 보안성 검토(Global ERP) 확장 2008.6 삼성전자
19 통신 사내 APP 보안 분석용 신규 2008.6 삼성네트웍스
20 통신 사내 애플리케이션 보안성 검토(T-World) 확장 2008.6 SK Telecom
21 SI LGCNS 패밀리사이트 보안 분석 확장 2008.6 LG CNS
22 금융 차세대 인터넷 뱅킹 시스템 보안 분석용 확장 2008.6 KB 국민은행 차세대
23 서비스 웹 애플리케이션 보안 분석 신규 2008.9 Auction
24 금융 웹 업무 보안 분석용 신규 2008.10 신한은행

An HP Company
N
o.
시장 사업 개요 구분 사업년도 발주처 비고
25 통신 Apps. Source code Audit 확장 2009.1 SK Telecom
26 금융 변경관리도구와 통합된 SDLC 프로세스에서 보안성 검토 신규 2009.2 기업은행
27 금융 애플리케이션 보안 검토 프로세스 확립 신규 2009.3 삼성화재
28 SI 개발 프로젝트에 대한 보안성 검토 신규 2009.3 삼성 SDS
29 SI 개발 프로젝트에 대한 보안성 검토 확장 2009.4 LG CNS
30 공공 보안 감사 신규 2009.5 지식경제부(우정금융)
31 공공 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2009.6 철도공사
32 금융 애플리케이션 보안 검토 프로세스 확립 신규 2009.6 BC 카드
33 서비스 애플리케이션 보안 검토 프로세스 확립 신규 2009.6 SK Communications
34 공공 이용자중심 프로젝트 개발 및 대외 점검 신규 2009.6 KISA
35 금융 애플리케이션 보안 검토 프로세스 확립 신규 2009.7 삼성카드
36 금융 개발 전 단계 보안 취약점 점검 신규 2009.7 NH 카드 차세대
37 공공 개발 전 단계 보안 취약점 점검 신규 2009.8 건강보험심사평가원
38 공공 SI 사업에 대한 개발 보안 프로세스 확립(금융 정보 분석원) 신규 2009.9 금융위원회
39 공공
SI 사업에 대한 개발 보안 프로세스 확립(자동차 고도화 사
업)
신규 2009.9 국토해양부
40 금융 변경관리도구와 통합된 SDLC 프로세스에서 보안성 검토 신규 2009.10 신한카드
41 제조 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2009.10 삼성물산
42 유통 애플리케이션 보안 검토 프로세스 확립 신규 2009.11 삼성TESCO
43 금융 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2009.11 롯데카드
44 제조 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2009.12 오토에버
45 금융 차세대 시스템 보안 분석 및 개선 신규 2009.12 현대해상 차세대

An HP Company
46 금융 차세대시스템 개발 보안 강화 신규 2010.02 하나 SK카드 차세대
47 대학 학사운영 시스템 보안 강화 신규 2010.02 숙명여자대학교
48 제조 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.03 삼성모바일디스플레이
49 제조 운영 애플리케이션에 대한 보안 검토 및 개선 확장 2010.03 삼성전자
50 SI 보안감사 연장 2010.03 삼성 SDS
51 공공 개발시스템 보안 강화 체계 구축 확장 2010.03 지식경제부(우정금융)
52 SI 보안감사 연장 2010.04 LG CNS
53 금융 개발 보안 강화 확장 2010.05 현대해상
54 금융 차세대 시스템 개발보안 강화 신규 2010.06 대구은행 차세대
55 금융 차세대 시스템 개발보안 강화 신규 2010.06 수협 차세대
56 금융 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.09 ING 생명
57 공공 등기시스템 개발보안 강화 신규 2010.09 대법원
58 ISV 개발 애플리케이션에 대한 보안검증 신규 2010.09 이글루시큐리티
59 공공 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.10 근로복지공단
60 공공 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.10 특허청
61 공공 공공 보안시스템 보안검증 신규 2010.12 국가보안연구소
62 유통 사내 시스템 개발보안 강화 신규 2010.12 GS리테일
63 금융 운영 애플리케이션에 대한 보안 검토 및 개선 신규 2010.12 현대카드

An HP Company
64 금융 웹애플리케이션 취약점 분석시스템 구축 신규 2011.01 신협
65 공공 애플리케이션 취약점 분석도구 도입 신규 2011.02 국민연금공단
66 금융 차세대 업무 보안 분석 시스템 구축 신규 2011.04 NH증권
67 금융 차세대 업무 보안 분석 시스템 구축 신규 2011.04 부산은행
68 SI 개발시스템 보안 강화 체계 구축 신규 2011.04 삼성SDS
69 SI PCI 컴플라이언스 프로젝트 신규 2011.05 SK C&C USA
70 금융 차세대시스템 구축 소스코드 보안 시스템 구축 신규 2011.06 메리츠화재보험
71 제조 소스코드 보안 분석시스템 구축 신규 2011.07 동부하이텍
72 교육 차세대시스템 취약점 분석 도구 도입 신규 2011.07 한양대학교
73 포털 웹애플리케이션 취약점 분석시스템 구축 신규 2011.08 NHN
74 금융 소스코드 취약점 분석 인프라 패키지 도입 신규 2011.10 삼성생명
75 제조 개발 소스 보안분석 시스템 구축 신규 2011.10 안철수연구소
76 통신 웹애플리케이션 취약점 분석시스템 구축 신규 2011.10 KT렌탈
77 유통 소스코드검증솔루션 구축사업 신규 2011. 11 현대백화점
78 금융 소스코드 취약성 점검 툴 도입 신규 2011. 12 KB국민카드
79 공공 정보시스템 소스코드 보안취약점 분석도구 구매 추가 2011. 12 KISA
80 유통 차세대 시스템 개발 소스코드 보안분석 도구 구매 신규 2011. 12 현대그린푸드
81 금융 정적 보안분석 솔루션 도입 신규 2011. 12 KB생명

An HP Company
82 금융 보안분석 솔루션 확장 도입 추가 2011. 05 NH농협증권
83 금융 차세대 개발업무 보안 검토 도구 구매 추가 2011. 05 ING생명
84 SI 개발 프로젝트 보안코딩 점검도구 시범도입 추가 2011. 05 삼성SDS

An HP Company
No. 시장 사업 개요 발주처 적용 솔루션명
1 공공 대법원 등기시스템,사법시스템 보안 분석 대법원 FortifySCA
2 공공 교육행정정보시스템(NEIS) 보안 검증 교육인적자원부 FortifySCA
3 공공 건설교통부 보안 컨설팅 건설교통부 FortifySCA
4 금융 비씨카드 보안 컨설팅 비씨카드 FortifySCA
5 금융 대구은행 보안 컨설팅 대구은행 FortifySCA
6 제조 POSCO 보안 컨설팅 포스데이타 FortifySCA
7 금융 미래에셋생명 보안 컨설팅 미래에셋생명 FortifySCA
8 공공 지식경제부 체신금융 고도화 프로젝트 지식경제부 FortifySCA
9 공공 형사 사법 통합 2단계 프로젝트 법무부 FortifySCA
10 공공 육군 탄약정보 시스템 프로젝트 육군 FortifySCA
※ 이외 50여 곳 이상의 컨설팅 수행
Customers(서비스)
30

An HP Company
Customers(World-wide)
31
E-Commerce
Banking & Finance Telecom
Government
Infrastructure
Healthcare
Other

An HP Company
Thank You!
서울시 송파구 가락동 91-14 국토빌딩
TEL: 02-558-2997
부장 서태진 010-4444-3650

�ݺ�ߣ

포티파이 안전한 애플리케이션 구축 및 운영방안

Recommended

More Related Content

What's hot (20)

Similar to 포티파이 안전한 애플리케이션 구축 및 운영방안 (20)

포티파이 안전한 애플리케이션 구축 및 운영방안