MS가 개발한 새로운 코드 분석 툴, 오픈소스로 풀렸다

MS가 다양한 코드의 특성을 파악하기 위해 만든 툴, 애플리케이션 인스펙터

악성 요소를 찾아내는 게 아니라, 흥미로운 특성 파악해내...현재 무료로 제공 중

마이크로소프트가 이번 주 새로운 소스코드 분석기를 발표했다. 코드의 특성을 파악하기 위해 만들어진 도구라고 하며 이름은 마이크로소프트 애플리케이션 인스펙터(Microsoft Application Inspector)다.

애플리케이션 인스펙터는 코드를 분석해 잘못된 부분을 찾아내는 도구가 아니다. 암호화 관련 기능이나 원격 자원으로의 연결, 숨겨져 있는 플랫폼의 존재 등 ‘흥미로운 기능’과 ‘메타데이터’를 찾아내는 것이 이 도구의 주요 목적이다.

MS에 의하면 “애플리케이션을 구축할 때 여러 요소들을 가지고 와 이어 붙이는 방식을 활용하는 요즘 시대에, 이러한 분석 도구의 필요성이 보다 높아지고 있다”고 설명한다. “내가 만든 애플리케이션이지만, 그 안에 들어간 각종 코드까지 전부 알고 있지 못하는 상황에서 정교한 분석 도구는 필수 요소입니다.”

외부 코드를 가져와 짜깁기 하는 걸 코드 재활용 혹은 코드 재사용이라고 부른다. 코드 재사용의 가장 큰 장점은 앱 완성에 걸리는 시간이 단축된다는 것이며, 앱의 완성도와 호환성도 좋아진다는 것이다. 그러나 그 복잡한 구조 속에 각종 취약점이 존재할 가능성이 높아진다는 단점도 가지고 있다.

“애플리케이션 인스펙터는 기존의 정적 분석 툴과는 조금 다릅니다. 코드 내에서 문제가 될 만한 점을 찾기보다 코드의 특성을 파악하는 것을 주요 목적으로 하기 때문입니다. 따라서 서드파티 소프트웨어들에 숨어 있을 수 있는 각종 위험 요소를 파악하는 데에 유용하며, 실제로 그런 목적으로 제작한 것입니다. 보안이 아니더라도 여러 면에서 도움이 될 것입니다.” MS의 설명이다.

애플리케이션 인스펙터를 통해 개발자들은 다음과 같은 것들을 조사할 수 있다.
1) 버전 확인(즉 시간 경과에 따른 주요 변화 확인)
2) 공격 표면의 증가 및 감소 확인
3) 악성 코드로 의심되는 부분의 유무 확인

애플리케이션 인스펙터는 여러 플랫폼을 아우르며, 명령행으로 구성되어 있다. 실행 결과는 JSON, 인터랙티브 HTML 등 다양한 포맷으로 받을 수 있고, 인기 높은 프로그래밍 언어에 맞춘 수백가지 탐지 패턴을 보유하고 있다고 한다.

다음의 요소들과 호환된다.
1) 여러 애플리케이션 프레임워크
2) 클라우드 및 서비스 API(마이크로소프트 애저, 아마존 AWS, 구글 클라우드 플랫폼)
3) 암호화 기술(대칭, 비대칭, 해싱, TLS)
4) 데이터 유형
5) 운영 시스템(플랫폼 식별, 파일 시스템, 레지스트리, 사용자 계정)
6) 보안 기능(인증, 식별)

애플리케이션 인스펙터의 가장 큰 장점은 오픈소스라 누구나 사용할 수 있다는 것이다. 마이크로소프트의 깃허브 리포지터리(https://github.com/Microsoft/ApplicationInspector)에서 다운로드가 가능하다.

3줄 요약
1. MS의 새로운 코드 분석 툴, 애플리케이션 인스펙터.
2. 코드의 흥미로운 특성들을 파악해내는 기능을 가지고 있음.
3. 현재 마이크로소프트 깃허브에서 다운로드가 가능함.

[출처] https://www.boannews.com/media/view.asp?idx=85876 (보안뉴스)