| 내용 |
컴퓨터의 응용 프로그램을 개발하는 사람들에게 프로그램의 오류(버그)를 찾아내는 일은 머리를 싸매게 만들 만큼 골치 아픈 일들 중 하나 이다. 비록 여러 개의 버그를 찾아내었다 할지라도, 여전히 찾아내지 못한, 따라서 언젠가 새로운 골칫거리가 될, 버그들이 얼마나 남아 있는지 알 수도 없는 일이다. 이런 버그를 찾기 문제에 NYU와 MIT, 그리고 Northeastern 대학의 연구자들이 조금은 황당할 법한 방법을 제시하였다. 즉, 버그를 하나씩 찾아서 제거하는 대신에 수천에서 수만에 이르는 새로운 버그를 프로그램에 적용 시켜 보는 것이다. Large-Scale Automated Vulnerability Addition (LAVA)라 불리는 이 새로운 버그 탐색 시스템은 프로그램의 소스 코드에 자동으로 수많은 버그들을 주입시켜 테스트를 해 보는 기술이다. 연구팀은 이를 통한 연구에서 기존의 버그를 찾아내는 프로그램들이 상존하는 프로그램 오류의 2%도 채 탐색해내지 못한다는 것을 알아냈다. 이 시스템을 공동 개발한 Brendan Dolan-Gavitt는 이러한 버그 탐색 시스템의 효용성은 false positive와 false negative의 두 가지 메트릭(즉, 버그가 아닌데 버그로 구분되는 경우와 버그인데 버그가 아니라고 판정되는 경우)으로 부터 기인하는데 이 둘 다 계산해 내기가 무척 어렵다고 말한다. 그렇기 때문에 이미 알려진 수만 가지의 오류 상황을 프로그램에 적용하여 오류의 갯수를 정량적으로 판단하는 것이 유일한 방법이며 그것이 바로 LAVA 시스템이 하는 일이라고 그는 덧 붙혔다. 이 연구는 지난 5월 캘리포니아 San Jose에서 열린 37차 IEEE Symposium on Security and Privacy에 LAVA: Large-scale Automated Vulnerability Addition라는 제목으로 발표 되었다. |
