더 나은 '코드 보안'을 위한 5가지 개발 툴

InfoWorld

소프트웨어 개발 프로세스 자체만큼 시스템과 데이터 보안을 시작하기에 좋은 곳도 없다. 코딩 실수만큼 시스템을 취약하게 만들기 좋은 일도 없기 때문이다. 하지만 수 백만 줄의 코드에서 광범위한 잠재적 취약점을 찾는 것은 결코 쉽지 않은 일이다. 다행히도 코드 보안을 위해 다양한 툴이 등장하고 있다. 정적 분석 등의 기능을 이용한 이런 툴은 잠재적인 문제를 찾아낼 뿐 아니라 개발 과정에서 보안에 우선순위를 부여한다.

직접 설치 솔루션부터 클라우드 서비스까지, 또 오픈소스 솔루션부터 상용 서비스까지 코드의 보안 결함을 분석하기 위한 5가지 툴에 대해 알아보도록 하자.

코디스코프 잭스(Codiscope Jacks)


코드를 실행하지 않고 디버깅하는 정적 분석은 취약성을 찾아내기 위한 첫 번째 단계이다. 깃허브(Github)에 르포(Repo)를 저장하는 조직에 아직 베타 단계인 코디스코프의 잭스는 깃허브로부터 코드를 가져와 스캔함으로써 서비스형 정적 분석을 수행할 수 있다. 잭스는 현재 자바스크립트 프로그램을 스캔할 수 있으는데, 코디스코프는 자바 프로그램까지 범위를 확대할 계획이다. 물론 다른 언어와 다른 관리형 저장소 역시 지원할 계획이다.

코디스코프의 마케팅 책임자 케이티 라이언은 "우리는 사용자들의 코드를 보존하지 않는다"라며, "장기적으로 개선할 수 있는 영역을 찾아내는 데 중점을 두고 있다"고 강조했다.

잭스는 줄 번호로 잠재적인 문제점을 표시하고 모범 사례를 권고하며 코드의 문제를 해결할 수 있는 패치가 제공되는 경우 사용자에게 이를 알린다. 표시된 각 코드 줄에는 설명이 수반되며, 잭스는 해커가 연결을 통제할 수 잇는 안전하지 못한 스크립트 등의 상황에 대해 경고한다. 서버쪽에는 악성 자바스크립트 코드가 서버에서 실행되는 인젝션 공격과 쿠키 값에 클라이언트쪽 스크립트가 접근하지 못하도록 하는 EHOS(Enable HttpOnly Session)가 포함된다.

라이언은 "우리가 현재 구현한 가장 강력한 트리거는 암호 작성술 중심이기 때문에 자신이 안전한 math.random 숫자 생성기를 사용하고 있으며, 자신의 코드에 구현한 암호화 유형이 모범 사례를 따르고 있음을 보장할 수 있다"고 설명했다.

이 서비스는 올 해 상반기에 일반 대중에 공개될 예정이다. 개발자들이 코드를 작성하고 팀 논의를 진행하면서 코드 보안에 대해 더욱 배울 수 있도록 서비스를 더욱 협업적으로 만들 계획이다.

플로파인더(Flawfinder)


플로파인더는 C/C++ 코드를 검토하고 위험 수준에 따라 분류한 잠재적인 취약점을 보고하는 오픈소스 툴이다. 버퍼 오버플로우 문제, 포맷 문자열 문제, 레이스(Race) 조건, 형편 없는 무작위 숫자 획득 등의 알려진 위험이 있는 언어 함수의 내장 데이터베이스를 이용한다.

보조 프로젝트로 플로파인더를 개발한 소프트웨어 개발자 겸 분석가 데이비드 휠러는 "지금보다 소프트웨어가 훨씬 안전하기를 바란다"며, "많은 애플리케이션 개발자들이 보안 취약성으로 이어지는 같은 실수를 범하고 있다. 플로파인더는 추가적인 검토가 필요할 수 있는 코드의 구체적인 영역을 지적하는 단순한 툴이다. 이 단순한 툴이 배치된 소프트웨어의 취약성 수를 줄여줄 수 있기를 바란다"고 말했다.

휠러는 개발자들이 소프트웨어가 배치되기 전에 결함을 찾아야 한다고 촉구했다. 취약성이 될 가능성이 높은 일련의 규칙 패턴을 계속 추가할 계획이다. 휠러는 플로파인더가 정교한 툴이 아니라 고지식한 알고리즘을 사용한다. 기술적으로 어휘 소스 코드 정적 분석기에 불과하다고 말한다.

하지만 이런 단순성에도 불구하고 플로파인더 웹사이트에서는 많은 사람들이 그 유용성을 증언하고 있다. 한 사용자는 “플로파인더 1.0을 통해 엄청난 C/C++ 소스를 처리했다. 이 툴 덕분에 많은 곳을 발견하여 고칠 수 있었다"고 밝혔다.

서버 및 데스크톱 개발을 위한 플로파인더는 GNU/리눅스에서 시험을 거쳤으며 유닉스와 유사한 시스템에서 동작하고 시그윈(Cygwin) 환경을 통해 윈도우에서 동작한다. 사용하려면 파이썬 2가 필요하다.


IBM 시큐리티 앱스캔(IBM Security AppScan)


웹 및 모바일 애플리케이션 보안을 개선하기 위한 IBM 시큐리티 앱스캔은 직접 설치 툴로써 정적 및 동적 분석을 모두 활용하여 애플리케이션을 블랙박스로 취급하고 취약성을 찾기 위한 테스트를 진행한다.

IBM의 애플리케이션 보안 제품 관리 프로그램 책임자 래리 제라드는 "웹 애플리케이션을 살피고 입력 양식을 찾으며 기본적으로 이런 입력 양식을 테스트해 취약한지 확인한다"고 설명했다.

또한 앱스캔은 인터랙티브 분석을 수행하는데, 에이전트를 애플리케이션 서버에 배치해 애플리케이션이 SQL 주입 문제를 말끔하게 해결했는지 여부를 검사하는 등 애플리케이션이 테스트에 어떻게 반응하는지 검사한다. 또한 모바일 애플리케이션을 위한 전문 분석 기능도 제공한다.

여러 개의 코드가 취약하고 공통적인 방법이 있다는 것을 발견하면, 앱스캔은 개발자에게 복수의 취약성을 정리하기 위해 방식을 수정해야 하는 위치를 알려준다. SQL 인젝션, 크로스사이트 스크립트 작성, 기타 문제 등의 취약성을 검사한다. 앱스캔은 발견사항을 보고서로 작성하고 긍정 오류를 줄이기 위한 분석이 특징이다.

파라소프트 DTP(Parasoft Development Testing Platform)


파라소프트의 DTP는 IDE에서 또는 빌드 또는 CI(Continuous Integration)의 일환으로 정적 분석을 실시한다.

파라소프트의 에반젤리스트 아서 히켄은 CI 중 DTP를 활성화하면 "로컬 상태로 분석을 실시한 것처럼 결과가 이메일, 웹 보고서, IDE 등 여러 방식으로 개발자에게 전달된다"며, “우리의 C/C++, 닷넷, 자바용 정적 분석 툴은 플랫폼당 약 1,500개의 규칙이 있다. 규칙은 보안 적합성이 나열된 광범위한 문서, CWE(Common Weakness Enumeration) 같은 참조에 대한 링크, 사용자가 제어할 수 있는 심각도, 파라미터 등을 갖추고 있다"고 설명했다.

또한 파라소프트는 룰위저드(RuleWizard)라는 맞춤형 규칙 작성 툴을 제공한다.

파라소프트의 PIE(Process Intelligence Engine)는 결함 방지 및 노출이 목적이다. PIE는 소프트웨어 개발 라이프사이클 동안 관찰 결과를 상호 연계시켜 결함을 찾는다. PIE를 통해 시험 중 보안 취약성이 발견되면 더욱 엄격한 정적 분석 규칙을 마련할 수 있다. 또한 대시보드가 간과하는 애플리케이션을 위험을 찾을 수 있다.

DTP의 정보는 비주얼 스튜디오, 이클립스, 인텔리J 아이디어(IntelliJ Idea) 등의 IDE로 내보낼 수 있다.

정적 분석에 대한 파라소프트의 관점이 지난 수 년 동안 바뀌었다. 히켄은 "우리는 정적 분석이 긍정 오류, 리거시 코드, 부적절한 규칙, 프로세스에서 너무 늦게 실행되는 등 다양한 이유로 사람들을 압도할 수 있다는 사실을 발견했다"며, "이런 문제를 해결하기 위해 우리는 정적 분석을 중심으로 DTP를 구축했다"고 설명했다. 또한 이를 통해 더 나은 우선순위 결정과 발견사항 추적이 가능했다고 덧붙였다.

로그 웨이브 클럭워크(Rogue Wave Klocwork)


젠킨스(Jenkins) 등의 CI 시스템과 호환되는 로그 웨이브 클럭워크는 점진적인 코드 변화를 분석하는 직접 설치 툴이다.

로그 웨이브의 클럭워크 제품 관리자 월터 캐피타니는 정적 소스 코드 분석을 이용해 "개발자들이 소프트웨어 개발 라이프사이클 중 가능한 조기에 품질 및 보안 결함을 찾아내는데 도움이 되는 툴”이라며, "우리는 인간이 소스 코드를 읽으면서 결함을 찾듯이 소스 코드를 분석하여 결함을 찾는다. 하지만 우리는 인간보다 더욱 신뢰할 수 있으며 인간이 할 수 없는 것도 할 수 있다”고 설명했다.

이 툴은 실행할 소스 코드 모델을 구축하고 루프 반복자 변수의 범위값 같은 인자를 이해한다.

캐피타니는 "가능한 모든 실행 경로를 평가한다"고 강조했다. 예를 들어 클럭워크가 SQL 함수 호출에 맞닥뜨리면 함수 호출의 패러미터를 획득한 곳으로 코드를 역추적할 수 있다. 그리고 나서 SQL 쿼리 문자열에서 입력이 원래 의도한 대로 사용되었는지 아니면 의도하지 않은 동작을 유발할 수 있는 데이터 내부에 명령이 없는지 확인하기 위해 정리되었는지 판단할 수 있다. SQL 인젝션 등의 문제를 표시할 수 있다. 크로스사이트 스크립트와 메모리 오버플로우 등의 메모리 넘침 등의 문제 또한 발견한다.

클럭워크의 체커(Checker)는 입력과 관련해 데이터 사용 또는 함수의 동작을 찾는다. 캐피타니는 "함수가 사용하기 전에 입력이 적절히 처리되지 않은 경우 이런 종류의 결함을 촉발한다"고 지적했다.  editor@itworld.co.kr