미국 국가안전보장국(NSA)이 C와 C++을 사용하는 기관에 프로그래밍 언어 변경을 권고했다.

해외 IT 매체 더레지스터는 NSA의 권장 지침을 인용, “NSA는 최대한 메모리-세이프 언어를 사용해, 컴파일러 옵션과 도구 옵션, 운영체제 구성 등 코드 강화 방어로 보호 수준을 강화할 것을 권고한다”라고 보도했다.

NSA가 권고를 발표한 주된 이유는 사이버 공격 세력이 메모리를 제대로 관리하지 못하는 코드 취약점을 악용할 가능성 때문이다. 프로그래머에게 제공하는 옵션과 유연성이 많을수록 더 자주 발생하는 문제점이기도 하다.

NSA는 C와 C++에서 유독 문제가 심각한 편이라고 전했다. 일례로, 지난 9월, 마이크로소프트 애저 최고 기술 관리자 마크 러시노비치(Mark Russinovich)는 보안 문제를 언급하며, 신규 프로젝트의 C, C++ 사용 중단을 고려할 때라고 주장했다.

반면, 메모리-세이프 언어는 컴파일 타임과 런타임 체크를 결합해, 프로그래머의 실수로 발생한 취약점을 자동 차단한다.

사이버 보안 기업 아크로니스(Acronis) 최고 정보보안 관리자 케빈 리드(Kevin Reed)는 NSA의 권고와 관련, “NSA의 권고사항 발표는 옳은 일이다”라며, “ASLR(Address Space Layout Randomization)과 스택 가드 등이 보안 문제의 임시 해결책이 될 수 있으나 완벽한 해결책이 될 수는 없다. 메모리-세이프 언어로 변경하는 것이 문제 해결에 훨씬 더 도움이 된다”라고 설명했다.

한편, NSA는 C와 C++ 대신 사용할 메모리-세이프 언어로 C#과 러스트, 고, 자바, 루비, 스위프트 등을 언급했다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]