[신SW상품대상]파수닷컴 `스패로우`

파수닷컴(대표 조규곤)이 정적 프로그램 분석이론을 이용해 프로그램을 실행하지 않고도 소스코드만으로 실행 중 발생할 수 있는 보안 취약점과 품질 오류를 자동으로 검출해주는 정적 분석도구 `스패로우`를 출품했다.

일반적인 정적 분석도구는 프로그램의 생김새나 구조만 관찰해 쉬운 패턴의 간단한 오류만 찾아내는 신택틱 분석엔진을 기반으로 한다. 반면에 파수닷컴 스패로우는 신택틱은 물론이고 프로그램의 실행 의미를 파악하는 시맨틱 기반의 분석엔진을 적용해 신택틱 분석엔진으로는 검출이 어려운 보안 약점까지 정확하고 정교하게 검출해 준다.

스패로우가 채용한 시맨틱 기반 분석엔진은 프로그램의 실행 흐름과 각 프로그램 구문의 의미를 이해해 실행 중 프로그램 상태를 예측해내므로 정확한 분석결과를 보장한다. 분석 중 실현 불가능한 경로들을 걸러내 분석의 정확도와 효율성을 높인다. 아무리 깊은 호출 관계가 존재하더라도 포기하지 않고 함수 호출 흐름을 따라가서 분석하므로 많은 함수가 복잡하게 얽혀서 생기는 치명적인 오류들도 찾아낼 수 있다.

최신 정적 분석기술을 모두 구현해 높은 검출력과 낮은 오탐률을 자랑하는 스패로우는 소프트웨어(SW) 보안성 강화와 품질 향상과 더불어 소스 내비게이터, 체커그룹, 상세한 분석리포트 등 다양한 부가기능으로 편리하고 효율적인 개발환경을 제공한다. 특히 검출결과를 쉽게 이해할 수 있도록 결함의 발생 장소, 원인을 데이터 흐름에 따라 설명하는 소스 내비게이터는 초급 개발자도 스스로 결함을 수정할 수 있도록 도와준다.

그 밖에도 개발 초기 단계에서 보안 취약점과 품질 오류를 검출하기 때문에 스패로우로 프로그램 테스팅 시간은 물론이고 오류 수정 비용도 절감할 수 있다.

[주요특징]

▶OS:윈도, 리눅스

▶프로그램 실행 없이 소스코드만으로 보안 취약점과 품질 오류를 자동 검출해주는 정적 분석도구

▶(02)300-9023

[조규곤 대표 인터뷰]

“정적 분석도구는 현재 외산 도구에 선점돼 있고 신뢰성을 요구하지 않지만 최근 서비스 중단이나 보안 이슈로 소스코드 품질 인식이 서서히 생기고 있는 상황입니다. 파수닷컴은 포괄적인 소스코드 품질 관리로 시장을 선점할 것입니다.”

조규곤 파수닷컴 대표는 시장 자체가 크지는 않지만 외산 도구가 독점하고 있는 상황에 침투해 국산 솔루션 점유율을 높이는 한편 비즈니스 애플리케이션 측면에서도 포괄적인 소스코드 품질관리 도구로 자리잡겠다는 포부를 밝혔다.

조 대표는 “스패로우의 기반 기술은 지난 30년간 심도 있는 연구가 진행돼 왔으며 지난 2000년도부터 선진국을 중심으로 프로그램 오류 검증 기법인 `화이트박스 테스트`의 중요한 축으로 자리잡았다”며 “기존 동적 프로그램 분석의 한계를 보완하는 주요 방법론으로 국내에서도 점차 확산되는 추세”라고 설명했다.

파수닷컴은 스패로우의 올해 매출목표를 지난해보다 50% 상향 조정한 18억원으로 잡고 있다. 향후 검출 성능과 지원 범위를 넓히고 추가적인 개발 테스팅 기능을 보강한 버전 5.0 신제품을 오는 2015년 출시할 계획이다.

정미나기자 mina@etnews.com