요
정적 분석Static Analysis)은 소스 코드 바이너리를 실행하지 않고도프트웨어의조, 품질, 보안성 등을 평가하는 기술입니다. 특히 보안야에서는 소프트웨어 개발 초기 단계에서 잠재적인 보안 취약점을 조기에 발견하고 수정할 수 있어, 취약점 스캐닝 도구로서 매우 중요한 역할을 합니다. 정적 분석은 소스 코드를 기반으로 하거나, 컴파일된 바이너리 파일을 대상으로 수행될 수 있으며, 이를 통해 개발자가 코드 리뷰를 보다 체계적이고 효율적으로 수행할 수 있도록 돕습니다.
이 기술은 DevSecOps 환경에서 지속적 통합(CI) 파이프라인에 통합되어, 코드 변경 시마다 자동으로 취약점을 탐지하는 데 활용됩니다.
정적 분석의 원리
정적 분석은 프로그램의 실행 흐름을 실제로 실행하지 않고, 구문 분석(parsing), 제어 흐름 분석(Control Flow Analysis), 데이터 흐름 분석(Data Flow Analysis) 등의 기법을 사용하여 코드를 검사합니다. 주요 분석 기법은 다음과 같습니다:
1. 구문 분석 (Syntax Analysis)
소스 코드를 토큰화하고, 언어의 문법 규칙에 따라 구조를 파악합니다. 이 과정에서 기본적인 문법 오류나 비정상적인 패턴을 식별할 수 있습니다.
2. 제어 흐름 분석 (Control Flow Analysis)
함수나 조건문, 반복문 등 프로그램의 실행 경로를 그래프 형태로 모델링하여, 어떤 코드 블록이 어떻게 실행될 수 있는지 분석합니다. 예를 들어, if 문의 조건이 항상 true인 경우나, 도달할 수 없는 코드(dead code)를 탐지할 수 있습니다.
3. 데이터 흐름 분석 (Data Flow Analysis)
변수의 정의와 사용 위치를 추적하여, 버퍼 오버플로우, NULL 포인터 역참조, 정보 유출 등과 같은 취약점을 식별합니다. 예를 들어, 사용자 입력이 검증되지 않은 채 SQL 쿼리에 삽입되는 경우를 탐지할 수 있습니다.
4. 패턴 기반 탐지 (Pattern Matching)
미리 정의된 보안 취약점 패턴(예: SQL 인젝션, XSS, 하드코딩된 비밀번호 등)과 코드를 비교하여 일치하는 부분을 찾아냅니다.
정적 분석 도구의 종류
정적 분석 도구는 오픈소스부터 상용 제품까지 다양하며, 언어 및 분석 목적에 따라 구분됩니다.
| 도구 이름 |
지원 언어 |
특징 |
| SonarQube |
Java, C/C++, Python, JavaScript 등 |
코드 품질과 보안을 통합 분석, CI/CD 통합 용이 |
| Checkmarx |
Java, .NET, JavaScript, Python 등 |
상용 도구, SAST(정적 애플리케이션 보안 테스트) 전문 |
| Fortify SCA |
C/C++, Java, .NET 등 |
HP 계열 상용 도구, 정교한 데이터 흐름 분석 |
| Semgrep |
다수의 언어 (규칙 기반) |
오픈소스, 간단한 규칙으로 빠른 스캔 가능 |
| PMD |
Java, JavaScript, Apex 등 |
오픈소스, 코드 스타일 및 보안 문제 탐지 |
정적 분석의 장점과 한계
장점
- 조기 탐지: 개발 단계 초기에 취약점을 발견하여 수정 비용을 절감.
- 전수 검사 가능: 모든 코드를 분석할 수 있어, 테스트 커버리지가 높음.
- 자동화 용이: CI/CD 파이프라인에 통합 가능하여 반복적인 보안 검사를 자동 수행.
- 일관성: 인간의 주관적 판단 없이 일관된 기준으로 코드를 검사.
한계
- 거짓 양성(False Positive): 실제 문제는 없지만 취약점으로 오진하는 경우가 많음.
- 거짓 음성(False Negative): 존재하는 취약점을 탐지하지 못할 수 있음.
- 동적 컨텍스트 부족: 실행 시점의 환경(예: 런타임 설정, 외부 API 응답)을 반영하지 못함.
- 성능 오버헤드: 대규모 코드베이스 분석 시 시간과 자원 소모가 큼.
정적 분석의 보안 적용 사례
- SQL 인젝션 탐지: 사용자 입력이 직접 SQL 쿼리에 삽입되는 코드를 식별.
- 크로스사이트 스크립팅(XSS): HTML 출력 시 입력값이 이스케이프되지 않은 경우 경고.
- 하드코딩된 민감 정보: 비밀번호, API 키 등을 소스 코드에 직접 기재한 경우 탐지.
- 불안전한 암호화 사용: 약한 해시 함수(MD5, SHA-1) 또는 잘못된 암호화 모드 사용 감지.
예시 (Java 코드에서 SQL 인젝션 탐지):
String query = "SELECT * FROM users WHERE name = '" + userInput + "'";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(query); // 정적 분석 도구는 userInput이 직접 삽입된 점을 취약점으로 경고
참고 자료 및 관련 문서
관련 문서: SAST, DAST, 소스 코드 보안 검사, DevSecOps
정적 분석은 현대 소프트웨어 보안의 핵심 요소로, 지속적인 개선과 도구의 정교화를 통해 보다 정확하고 신뢰할 수 있는 결과를 도출하고 있습니다.
# 정적 분석
##요
정적 분석Static Analysis)은 소스 코드 바이너리를 실행하지 않고도프트웨어의조, 품질, 보안성 등을 평가하는 기술입니다. 특히 **보안야**에서는 소프트웨어 개발 초기 단계에서 잠재적인 보안 취약점을 조기에 발견하고 수정할 수 있어, 취약점 스캐닝 도구로서 매우 중요한 역할을 합니다. 정적 분석은 소스 코드를 기반으로 하거나, 컴파일된 바이너리 파일을 대상으로 수행될 수 있으며, 이를 통해 개발자가 코드 리뷰를 보다 체계적이고 효율적으로 수행할 수 있도록 돕습니다.
이 기술은 DevSecOps 환경에서 지속적 통합(CI) 파이프라인에 통합되어, 코드 변경 시마다 자동으로 취약점을 탐지하는 데 활용됩니다.
---
## 정적 분석의 원리
정적 분석은 프로그램의 실행 흐름을 실제로 실행하지 않고, **구문 분석**(parsing), **제어 흐름 분석**(Control Flow Analysis), **데이터 흐름 분석**(Data Flow Analysis) 등의 기법을 사용하여 코드를 검사합니다. 주요 분석 기법은 다음과 같습니다:
### 1. 구문 분석 (Syntax Analysis)
소스 코드를 토큰화하고, 언어의 문법 규칙에 따라 구조를 파악합니다. 이 과정에서 기본적인 문법 오류나 비정상적인 패턴을 식별할 수 있습니다.
### 2. 제어 흐름 분석 (Control Flow Analysis)
함수나 조건문, 반복문 등 프로그램의 실행 경로를 그래프 형태로 모델링하여, 어떤 코드 블록이 어떻게 실행될 수 있는지 분석합니다. 예를 들어, `if` 문의 조건이 항상 `true`인 경우나, 도달할 수 없는 코드(dead code)를 탐지할 수 있습니다.
### 3. 데이터 흐름 분석 (Data Flow Analysis)
변수의 정의와 사용 위치를 추적하여, 버퍼 오버플로우, NULL 포인터 역참조, 정보 유출 등과 같은 취약점을 식별합니다. 예를 들어, 사용자 입력이 검증되지 않은 채 SQL 쿼리에 삽입되는 경우를 탐지할 수 있습니다.
### 4. 패턴 기반 탐지 (Pattern Matching)
미리 정의된 보안 취약점 패턴(예: SQL 인젝션, XSS, 하드코딩된 비밀번호 등)과 코드를 비교하여 일치하는 부분을 찾아냅니다.
---
## 정적 분석 도구의 종류
정적 분석 도구는 오픈소스부터 상용 제품까지 다양하며, 언어 및 분석 목적에 따라 구분됩니다.
| 도구 이름 | 지원 언어 | 특징 |
|-----------|----------|------|
| **SonarQube** | Java, C/C++, Python, JavaScript 등 | 코드 품질과 보안을 통합 분석, CI/CD 통합 용이 |
| **Checkmarx** | Java, .NET, JavaScript, Python 등 | 상용 도구, SAST(정적 애플리케이션 보안 테스트) 전문 |
| **Fortify SCA** | C/C++, Java, .NET 등 | HP 계열 상용 도구, 정교한 데이터 흐름 분석 |
| **Semgrep** | 다수의 언어 (규칙 기반) | 오픈소스, 간단한 규칙으로 빠른 스캔 가능 |
| **PMD** | Java, JavaScript, Apex 등 | 오픈소스, 코드 스타일 및 보안 문제 탐지 |
---
## 정적 분석의 장점과 한계
### 장점
- **조기 탐지**: 개발 단계 초기에 취약점을 발견하여 수정 비용을 절감.
- **전수 검사 가능**: 모든 코드를 분석할 수 있어, 테스트 커버리지가 높음.
- **자동화 용이**: CI/CD 파이프라인에 통합 가능하여 반복적인 보안 검사를 자동 수행.
- **일관성**: 인간의 주관적 판단 없이 일관된 기준으로 코드를 검사.
### 한계
- **거짓 양성**(False Positive): 실제 문제는 없지만 취약점으로 오진하는 경우가 많음.
- **거짓 음성**(False Negative): 존재하는 취약점을 탐지하지 못할 수 있음.
- **동적 컨텍스트 부족**: 실행 시점의 환경(예: 런타임 설정, 외부 API 응답)을 반영하지 못함.
- **성능 오버헤드**: 대규모 코드베이스 분석 시 시간과 자원 소모가 큼.
---
## 정적 분석의 보안 적용 사례
- **SQL 인젝션 탐지**: 사용자 입력이 직접 SQL 쿼리에 삽입되는 코드를 식별.
- **크로스사이트 스크립팅**(XSS): HTML 출력 시 입력값이 이스케이프되지 않은 경우 경고.
- **하드코딩된 민감 정보**: 비밀번호, API 키 등을 소스 코드에 직접 기재한 경우 탐지.
- **불안전한 암호화 사용**: 약한 해시 함수(MD5, SHA-1) 또는 잘못된 암호화 모드 사용 감지.
예시 (Java 코드에서 SQL 인젝션 탐지):
```java
String query = "SELECT * FROM users WHERE name = '" + userInput + "'";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(query); // 정적 분석 도구는 userInput이 직접 삽입된 점을 취약점으로 경고
```
---
## 참고 자료 및 관련 문서
- [OWASP Static Analysis](https://owasp.org/www-community/Static_Code_Analysis)
- [NIST - Static Application Security Testing](https://csrc.nist.gov/projects/static-application-security-testing-sast)
- [SANS Institute - Static Code Analysis Best Practices](https://www.sans.org/white-papers/)
> **관련 문서**: [SAST](SAST.md), [DAST](DAST.md), [소스 코드 보안 검사](source-code-security-review.md), [DevSecOps](devsecops.md)
정적 분석은 현대 소프트웨어 보안의 핵심 요소로, 지속적인 개선과 도구의 정교화를 통해 보다 정확하고 신뢰할 수 있는 결과를 도출하고 있습니다.