정용환 기자
미국 백악관 국가사이버국장실 ONCD가 개발자에게 C++이나 C언어 등 프로그래밍 언어에서 Rust나 C# 등 메모리 안전성이 확보된 프로그래밍 언어로 이행하는 걸 권장하고 있다.
마이크로소프트와 구글 조사에 따르면 모든 보안 취약점 중 70%가 버퍼오버플로, 그러니까 영역 밖에서 읽고 메모리 유출 등 메모리 액세스와 관련한 소프트웨어 버그와 취약점으로 인해 발생한다. 이런 문제는 메모리 안전성이 확보된 프로그래밍 언어를 이용하면 회피할 수 있지만 메모리 안전성이 확보되지 않은 프로그래밍 언어 인기는 뿌리 깊다. 조사기업 스타티스타 보고에 따르면 2023년 시점 개발자 중 22%가 C++을 이용하며 195가 C언어를 사용하고 있다고 한다.
백악관은 보안 강화를 위해 2024년 2월 26일 메모리 안전성이 확보된 프로그래밍 언어 사양 권장 성명을 발표했다. 또 미국가안보국 NSA는 메모리 안정성 프로그래밍 언어로 Rust나 C#, Go, 자바, 루비, 스위프트를 들고 있다.
ONCD 측은 향후 목표로 사이버 보안에 대한 책임을 개발자 자신과 중소기업에서 대기업, 기술 기업, 미국 정부로 옮기는 걸 꼽고 있으며 이런 대기업과 정부는 진화를 계속하는 위협에 대처할 능력이 높다고 평가하고 있다.
한 전문가는 C++과 C 언어에 대한 위험은 수십 년 전부터 잘 알려져 왔다며 많은 이들이 사용하기 때문에 백악관이 개발자에게 메모리 안전성이 뛰어난 프로그래밍 언어로의 전환을 권장하는 게 유익하고 시의적절하다고 평가했다. 하지만 이어 메모리 안전 취약성을 악용하는 공격자 위협이 점차 교묘해지고 있는 만큼 빠른 변경이 필요한 반면 C++이나 C 언어에서 탈피하는 게 하루아침에 할 수 있는 일이 아니라는 점도 지적하고 있다.
덧붙여 메모리 안전성이 뛰어난 프로그래밍 언어 사용을 권장하는 성명은 지난해 9월 미국 CISA도 발표하고 있으며 12월에는 CISA, FBI, NSA, 동맹국 기관이 공동으로 메모리 안전성이 뛰어난 프로그래밍 언어를 촉진하는 보고서(The Case for Memory Safe Roadmaps)를 발표하기도 했다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
