시큐어코딩을 위한 PMD 룰 셋 확장

Abstract

컴퓨터의 사용이 증가하면서 컴퓨터 소프트웨어 시스템에서 개인정보와 같은 중요한 정보를 다루는 일이 많아졌다. 게다가 그 정보들이 네트워크를 통해 전달이 되면서 보안 위협에 대한 위험성도 증가했다. 방화벽, 키보드 보안과 같은 보안 솔루션을 도입하여 시스템을 보호하려고 하고 있지만 사이버 테러는 여전히 발생되고 있으며 경제적 손실을 일으키고 있다. 외부에 보안 솔루션을 추가로 도입하기 보다 시스템 내부를 더 견고하게 만들어서 보안 위협으로부터 위험을 최소화하고자 움직임이 일고 있다. 국내의 경우 시큐어 코딩 의무화 제도가 도입되면서 정부의 주도하에 많은 기업에서 시큐어 코딩의 필요성을 인식하게 되었고, 제도에 부합하기 위해 보안 취약점 진단이 가능한 정적분석 도구를 도입하고 있다. 공개용 진단 도구 중 PMD는 진단 규칙을 사용자가 원하는 대로 변경해서 사용할 수 있기 때문에 많이 도입되고 있지만 PMD의 약 270여개의 기본 진단 규칙 중에서 안전행정부에서 정의한 47개 SW보안약점을 진단할 수 있는 진단 규칙은 단 4개정도로 많이 부족한 상황이다. 본 논문에서는 PMD를 이용하여 2012년 안전행정부에서 발표한 SW 개발보안 가이드에서의 47개 보안약점 중 대표적인 약점 5가지를 Java 소스코드에서 진단하는 진단 규칙을 제시한다. 서론에서는 연구의 개략적인 설명으로 연구 배경과 목적에 대해 소개한다. 관련 연구에서는 시큐어 코딩 및 정적 분석에 대한 개요와 국내에서 발표된 SW 개발보안 가이드에 대해 설명하며 본 연구의 방향성에 대해 제시한다. 이를 기반으로 PMD 구조 및 사용 방법, 진단 규칙의 구성 요소 등을 설명하며 본 논문에서 제안하는 PMD의 확장된 진단 규칙의 개발 환경 및 확장한 진단 규칙의 특징과 내용, 예제 소스코드에 대하여 설명한다. 후반부에는 진단 규칙을 적용한 결과 값과 해당 소스코드를 보다 안전하게 코딩할 수 있는 방법을 제시하며 논문의 결론 및 향후 연구에 대해 제시한다.