SW 안전성·보안성 확보 위한 정적분석 도구 ‘코드마인드’ 소개

[보안뉴스 김태형] 코드분석 전문벤처 기업인 코드마인드(대표 신승철, www.codemind.co.kr)는 소프트웨어의 보안성과 품질을 자동으로 검사하는 도구를 개발하고 있다. 또한, 최고 수준의 정적분석 기술과 인공지능, 휴리스틱을 결합해 개발자 친화적인 정적분석 도구를 제공하며, 모바일 앱의 정보유출지 검출 서비스를 통해 국내 모바일 앱 정보유출 현황을 처음으로 진단해서 발표했다. 이 외에 모바일앱의 정보유출을 사용 중에 제어할 수 있는 앱을 개발하기도 했다.

코드마인드는 자사의 정적분석 도구 ‘코드마인드’를 가지고 오는 3월 16일부터 18일까지 일산 킨텍스 전시장에서 개최되는 ‘전자정부솔루션페어 2016(eGISEC 2016, www.egisec.org)’에 참가한다. 코드마인드는 플래그쉽 제품으로 온더플라이 방식의 정적분석 도구이며, 높은 기술력으로 소프트웨어 보안성과 품질을 보장한다.

이번 전시회를 통해 코드마인드는 정적분석 도구를 중점적으로 소개할 예정이다. 국내외에서 정적분석 도구를 이용해 소프트웨어의 보안성과 품질을 확보하고자 하는 움직임이 확산되고 있다. 하지만 정적분석 도구의 활용성은 기대에 못 미친다는 보고가 있다. 이를 극복하기 위해 개발된 차세대 정적분석 도구 코드마인드를 선보인다는 계획이다.

코드마인드는 시큐어코딩과 품질 검사도구이고 개발자를 위한 스마트 코드브라우저로 온더플라이 방식이기 때문에 개발 중인 코드에 실시간 검사결과를 제공함으로써 대용량 코드의 검사시간 과다 문제를 피할 수 있다. 또한, 결함 추적 그래프를 제공함으로써 오탐 판독이나 결함 원인 파악이 쉽고 코드 수정 비용을 줄여준다.


코드마인드 정적분석 엔진은 요약해석 기반 시맨틱 분석 기술로 소스코드를 깊게 분석해 버퍼오버플로우나 메모리 누출 같은 문제의 검사 정확도를 확보한다. 일반적으로 깊은 분석이 진행될 경우 고속 분석이 어렵지만 코드마인드 엔진은 머신러닝 기법을 활용해 꼭 필요한 부분만 가려서 분석함으로써 깊게 분석하면서도 고속 분석이 가능한 것이 특징이다.

코드마인드 신승철 대표는 “코드마인드는 차세대 정적분석 도구로서 기존 제품이 검사도구로 주로 사용되던 것을 개발단계에서부터 사용 가능한 제품으로 개발한 것이다. 소프트웨어 안전성과 보안성 확보를 위해서는 소프트웨어 공학적인 방법론과 더불어 코드마인드 같은 자동도구가 필수적”이라면서 “차세대 정적분석 도구는 정확하고 빠른 검출을 뛰어넘어 결함 수정 비용을 얼마나 줄일 수 있는가에 초점을 맞춰야 한다. 개발자가 코딩 중에 결함 진단 및 코드 상태를 실시간으로 제공받게 되면 테스트 능력과 개발 생산성이 크게 향상될 것”이라고 말했다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>