[박춘식 교수의 보안이야기] 일본독립행정법인정보처리추진기구(IPA)는 11월 17일, 기술보고서로 “소스코드시큐리티 검사”에 관한 보고서를 공개하였다. 이 보고서는 소스코드시큐리티 검사의 유효성과 중요성에 관한 이해를 높이며 실제 개발 현장에서 활용되는 것을 목적으로 한 것으로 IPA가 추진하는 “시스템 라이프사이클에 따른 취약성 대책”의 일환이다. 구체적으로 유효한 장면이나 실시·성공사례를 소개하고 있다.
 
소스코드 중에 존재하는 취약성을 남김없이 검출할 수 있는 “소스코드시큐리티 검사”는 소프트웨어를 출하하기 전에 취약성을 저감하기 위한 대책으로 특히 유효하지만 IPA가 독자로 행한 설문조사 결과에서는 개발 현장에서의 실시율은 “취약성 진단”의 약 54%에 대해서, “소스코드시큐리티 검사”는 약 16%로 아직까지 실시되고 있지 않는 상황이다.
 
IPA에서는 이러한 이유로써 “소스코드시큐리티검사”의 유효성과 중요성이 인식되어 있지 않은 점을 열거하고 있다. 이번 보고서에서는 시스템 라이프사이클에 따른 시큐리티 대책 가운데, “소스코드시큐리티검사” 기술에 대해서 설명하고 구체적으로 유효한 장면이나 실시·성공사례를 소개함으로써 “소스코드시큐리티검사”의 유효성과 중요성을 설명하고 있다. [박춘식 서울여자대학교 정보보호학과 교수]