코드분석 전문기업 코드마인드가 차별화된 신개념 시큐어코딩 솔루션으로 소스코드 분석시장에서 각광받고 있다.
코드마인드(대표 신승철)는 시큐어코딩과 코드인스펙션 시장에서 온더플라이 엔진과 결함추적그래프를 탑재한 차세대 소스코드 정적분석 기술로 차별화 전략을 펼치고 있다고 4일 밝혔다.
정적분석은 프로그램을 분석할 때 프로그램을 실행하지 않고 코드를 분석하는 방법이다. 컴파일러가 검출하지 못하는 보안 취약점이나 실행오류를 검출할 수 있다.
코드마인드는 SW 소스코드를 정부 보안표준에 따라 보안 취약점을 검출하는 '코드마인드CSI', 코드실행오류를 검사하는 '코드마인드CQI', 개인용 코드진단 도구 '코드마인드 디벨로퍼' 세 가지 모델을 공급 중이다.
코드마인드는 CC인증을 부여하는 IT보안인증사무국 자료에 따르면 자사 소스코드 진단도구가 국내 CC인증 획득 제품 중 가장 높은 보안취약점 검출률을 보였다고 밝혔다.
코드마인드는 도구의 성능을 넘어 검출결과를 검토하고 오류를 수정하는 업무까지 포함한 업무 전반 효율성을 향상시키는 사용자경험(UX)도 추가했다. 온더플라이 기능과 결함추적 그래프 기능을 사용하면 분석결과 검토·수정 과정이 평균 33% 단축된다고 회사는 밝혔다. 온더플라이 기능은 분석 완료를 기다리지 않고 분석 중간에 검출 이슈를 검토할 수 있어 분석과 검토가 동시에 이뤄진다.
또 결함추적 그래프는 결함발생 지점에서 원인지점까지 빠르게 데이터 흐름을 역추적하는 그래프 UI를 제공한다. UI는 웹기반으로 별도 클라이언트 없이 사용자나 관리자 모두 웹브라우저를 이용해 도구를 사용할 수 있다.
코드마인드 정적분석 엔진은 요약해석 기반 시맨틱 분석기술로 소스코드를 깊게 분석해 버퍼오버플로나 메모리 누출 같은 문제의 검사 정확도를 확보한다. 일반적으로 깊은 분석이 진행되면 고속분석이 어렵지만 코드마인드 엔진은 머신러닝 기법을 활용해 필요한 부분만 깊게 분석하면서 고속 분석한다.
이욱세 코드마인드 상무는 “차세대 정적분석 도구는 정확하고 빠른 검출을 뛰어넘어 결함 수정 비용을 얼마나 줄일 수 있는지가 핵심”이라면서 “개발자가 코딩 중에 결함 진단 및 코드 상태를 실시간 제공받으면 테스트 능력과 개발 생산성이 크게 향상될 것”이라고 말했다.
권상희기자 shkwon@etnews.com
