비행기, 자동차, 핵 시설 등에 사용되는 애플리케이션의 안전 테스트 도구
입력할 수 있는 변수의 수가 한정적이라 대규모 시스템 실험에 부적절했으나

[보안뉴스 문가용 기자] 미국의 국가표준기술연구소(NIST)가 이번 주 ‘자동화 결합 소프트웨어 시험 도구(Automated Combinatorial Testing for Software, 이하 ACTS)’라는 연구 툴킷을 업데이트 했다고 발표했다. 개발자들이 복잡한 안전 관련 애플리케이션들을 시험함으로써 위험한 사태로 발전할 수 있는 오류들을 미리 찾아낼 수 있게 되었다.


ACTS는 원래 개발자들이 스스로 만든 제품들이 다양한 공격으로부터 안전하게 지켜질 수 있는지 실험해볼 수 있게 해주는 툴킷이다. 특히 안전과 관련된 애플리케이션들이 각종 값을 입력받았을 때 어떤 반응을 일으킬 수 있는지 확인하는 데 도움이 되었던 도구다. 이런 애플리케이션들은 자동차, 비행기, 핵 개발 시설 등에서 활용되는 것들이다.

기존 ACTS의 문제는 대규모 시스템의 경우 꼼꼼한 실험을 진행하는 게 매우 어려웠다는 것이다. 이에 NIST의 연구원들은 텍사스대학교, 어도비(Adobe), 오스트리아의 SBA 리서치(SBA Research)와 함께 “수천~수만 개의 변수로 된 대규모 입력 값을 가지고도 실험을 수월하게 진행할 수 있도록 만들었다.” 이는 CCM(Combinatorial Coverage Measurement)이라고 하는 별도의 툴로서 개발됐고, 기존의 ACTS 툴과 통합됐다.

NIST는 “이번 업그레이드를 통해 단순히 안전에 대한 문제만을 향상시키는 게 아니라 비용 절감에도 도움이 될 것”이라고 장담했다. “안전 관련 소프트웨어가 안정적으로 출시 및 도입된다는 것만으로도 7~20배의 비용 절감 효과가 발생할 것입니다.”

“이번 업그레이드 전에는 수천~수만 개의 변수들을 꼼꼼하게 처리하고 실험해보는 것이 어려웠습니다.” NIST의 엔지니어인 라그후 캐커(Raghu Kacker)의 설명이다. “즉 ACTS라는 툴에 커다란 제한점이었다는 것이죠. 수많은 고객들을 나르는 항공사에서나 수많은 변수들이 작용하는 핵 시설의 애플리케이션을 실험하는 데에 에로사항이 많았습니다. 사람의 생명과 건강이 달린 부분인데 말이죠.”

업그레이드 이전의 ACTS는 최대 수백 건의 입력 값만을 수용할 수 있었다. 여기에 SBA 리서치가 최대 수용치를 2000인 방법을 개발해냈다. NIST에 따르면 이 두 가지 시스템의 호환성이 좋기 때문에 병행해서 사용할 수 있다고 한다.

하지만 SBA 리서치가 개발한 알고리즘이 ACTS 툴셋에 공식 통합된 것은 아니다. NIST에 개별적으로 문의했을 때 SBA 리서치의 알고리즘을 제공하고 있다고 한다.

3줄 요약
1. 안전 시스템에 설치되는 애플리케이션 실험해주는 툴셋, ACTS.
2. 기존에는 수천~수만 건의 변수를 대입하는, 대규모 실험이 불가능했음.
3. 이번에 여러 기관과 기업들이 소프트웨어의 용량을 확장시킴.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>