인간생활을 도와주는 로봇이 일상 깊숙이 파고 들고 있다. 청소용 로봇으로 시작해 앞으로는 간병 로봇이나 요리 로봇 등으로 발전할 전망이다. 그러나 로봇이 일반인 일상에 끼어들면서 우려도 커지고 있다. 혹시 로봇이 소프트웨어(SW) 오류로 인해 사람을 해하지 않을까하는 걱정이다. 아무리 완벽한 SW라 하더라도 SW오류나 외부 해킹에 의해 오작동이 생기면 치명적일 수 있다. 때문에 SW 코딩 단계부터 코딩 오류나 보안 취약점을 찾아내는 검증SW 중요성이 높아지고 있다.
소스코드 진단 분야 개척자 코드마인드(대표 신승철)는 이같은 검증SW전문업체로 주목받고 있다.
코드마인드는 프로그램 소스코드를 실시간 분석해 프로그램 구조 이해를 돕고, 보안약점을 검출하는 정적분석 솔루션을 제공한다. 정적분석은 프로그램을 분석할 때 프로그램을 실행하지 않고 코드를 분석하는 방법이다. 컴파일러가 검출하지 못하는 보안 취약점이나 실행오류를 검출할 수 있다. 최근에는 공공기관부터 민간기업까지 소스코드 진단도구 소비층이 넓어지며 요구사항도 다양해졌다.
코드마인드는 SW 소스코드를 국내외 보안표준에 따라 보안 취약점을 검출하는 '코드마인드CSI', 코드실행오류를 검사하는 '코드마인드CQI', 개인용 코드진단 도구 '코드마인드 디벨로퍼' 세 가지 모델을 공급 중이다.
지능화된 사이버 위협에 대응하는 가장 필수적인 대책은 SW 개발단계에서 보안취약점을 방지하는 시큐어코딩과 소스코드 진단이다. 소스코드 진단도구는 개발단계 소스코드로부터 보안약점을 검출하고 수정하도록 도와주는 SW 개발 필수요소다. 코드마인드는 바이너리코드 취약점 진단도구, 해킹불가 프로그램 생성기술 등으로 SW 분석검증 분야 첨단기술을 선도하고 있다.
코드마인드는 높은 진단도구 자체 검출률과 정확도, 소스코드 수정을 위한 혁신 사용자 경험을 제공해 사용자로부터 좋은 반응을 얻고 있다. 코드마인드 정적분석 기술은 정확하고 빠른 분석은 물론이고 다양한 언어와 보안 규칙에 유연하게 적용가능한 그래프DB 기반 정적분석 기술이다.
함수, 파일, 패키지 등 프로그램 단위 사이 데이터 흐름을 추적, 세계 수준 검출 결과를 도출한다. 코드마인드는 혁신적 사용자 경험을 위한 온더플라이 기능과 결함추적 그래프를 구현했다.
온더플라이는 소스코드 분석이 끝나지 않아도 분석 중 검출 결과를 검토하는 기능이다. 분석 완료를 기다리지 않고 분석 중간에 검출 이슈를 검토할 수 있어 분석과 검토가 동시에 이뤄진다. 기존 일괄처리 방식 도구에 비해 대용량 코드 진단에 적합하다.
결함추적 그래프는 검출 이슈 발생지점에서 원인지점까지 추적하는 과정을 시각적으로 보여주는 그래프 브라우징 기능이다. 다양한 프로그램 단위 그래프를 추적해가면 소스코드 데이터 흐름 파악이 용이하다. 결함 수정 업무 강도를 획기적으로 낮춘다.
코드마인드 정적분석 엔진은 요약해석 기반 시맨틱 분석기술로 소스코드를 깊게 분석해 버퍼오버플로우나 메모리 누출 같은 문제의 검사 정확도를 확보한다. 일반적으로 깊은 분석이 진행되면 고속분석이 어렵지만 코드마인드 엔진은 머신러닝 기법을 활용해 필요한 부분만 깊게 분석하면서 고속 분석한다.
코드마인드는 2013년 창업한 새내기 기업이지만 구성은 교수와 연구원 출신으로 10년전 국내 최초로 소스코드 진단과 시큐어코딩을 산업계에 전파한 경력을 갖고 있다.
지금까지 성과는 좋다. 국방·자동차·금융 등 민감한 분야에서 코드마인드 분석도구를 사용하고 있다. 도구 성능을 넘어 검출결과를 검토하고 오류를 수정하는 업무까지 포함한 업무 전반 효율성을 향상시키는 솔루션으로 인기를 얻고 있다.
코드마인드는 이에 그치지 않고 바이너리코드 취약점 진단도구, 해킹불가 프로그램 생성기술 등으로 SW분석검증 분야에서 첨단기술을 선도하고 있다.
<인터뷰>신승철 대표
“한 나라 SW 수준은 SW 검증진단 수준과 같다고 생각합니다. 국내 SW기술력을 높이는 중요한 지렛대 역할을 하겠습니다.”
신승철 코드마인드 대표는 SW 발전은 SW 검증진단과 궤를 같이 한다는 생각을 갖고 있다. 그만큼 SW 진단검증이 중요하다는 것이다.
신 대표는 “SW진단검증은 지금도 유일하게 성숙하지 않는 분야”라면서 “향후 성장이 기대되는 분야지만 고난도 기술이 많이 필요하기 때문에 이 분야 발전은 학계와 산업계가 힘을 합쳐야 한다”고 말했다.
SW진단검증 분야는 소스코드 진단, 바이너리 진단, 테스트 자동화, 정형 검증, 검증 코드 자동생성, 자동 해킹 및 방어 등 SW 안전성과 기업 생산성 향상에 획기적 변화를 가져올 기술을 포함한다.
신 대표는 “장기적으로 해킹이 원천 방지되는 SW를 개발하는 도구도 내놓겠다는 마스터플랜을 갖고 있다”면서 “해외시장도 개척해 SW검증 전문기업으로 커나갈 것”이라고 강조했다.
〃
권상희기자 shkwon@etnews.com
