마이크로소프트가 원퍼즈(OneFuzz) 프레임워크를 오픈소스화한다. 이를 통해 개발자들은 출시 전에 소프트웨어의 약점을 식별하기 위한 퍼즈 테스트를 진해할 수 있다고 회사 측은 전했다.
‘서비스로서의 셀프 호스트형 퍼징 플랫폼’(self-hosted fuzzing-as-a-service platform)으로 표현되는 원퍼즈는 개발자 주도적 퍼징(developer-driven fuzzing)을 구현하는 것이 특징이다. 원퍼즈 소스 코드는 9월 19일 기트허브에 등록될 방침이다.
퍼즈 테스트란 심각한 보안 취약점을 발견함으로써 네티이브 코드의 보안 및 안정성을 향상시키는 프로세스다. 소프트웨어에 임의의 입력을 던져 예기치 않은 작업으로 인해 소프트웨어가 실패할 수 있는 인스턴스를 찾는 과정이 이에 해당한다.
마이크로소프트는 퍼즈 테스트가 실행 가능한 결함을 찾는 데 효과적이지만 구현하기 어렵고 비용이 많이 든다는 점을 지적했다. 이로 인해 퍼즈 테스트 기능을 구축하고 활용한 전담 보안 엔지니어링 팀이 요구되곤 한다는 설명이다. 원퍼즈를 이용하면 개발자가 퍼트 테스트를 실행할 수 있게 되기 때문에 취약성 발견이 개발 사이클의 초기에 이뤄질 수 있다고 회사 측은 강조했다.
특히 원퍼즈를 이용하는 개발자는 CI/CD 시스템에 통합할 수 있는 단일 명령어를 실행함으로써써 몇 개의 가상 머신에서부터 수천 개의 코어에 이르기까지 퍼즈 작업을 개시할 수 있다고 마이크로소프트는 전했다. 원퍼즈는 마이크로소프트 엣지 브라우저 및 윈도우를 개발하는데 활용된 도구로도 알려져 있다. ciokr@idg.co.kr