소스코드 분석 결과 359개 버그 발견, 88개는 고위험군
이번 보고서에 따르면, 안드로이드커널 2.6.32(프로요)의 분석 결과 359개의 소프트웨어 버그가 검출됐고 그 중 88개는 보안취약점과 시스템 충돌을 일으킬 수 있는 고위험(High Risk)급인 것으로 나타났다. 이 안드로이드 커널은 스마트폰에 사용되는 코드이고 대표적으로 HTC Droid Incredible폰에 탑재되어 있다.
오픈소스코드에서 주로 발견된 버그들은 Memory corruption, NULL pointer dereferences, Resource leaks 등으로 시스템다운 및 보안취약점 등을 일으킬 수 있다. 즉, 스마트폰의 경우 동작 중 꺼지거나, 앱이 동작되다가 중단될 수 있으며, 종료가 제대로 안되서 폰이 뜨거워지는 등의 문제발생 소지가 있는 것이다.
커버리티의 수석과학자(Chief Scientist)이자 공동설립자인 Andy Chou는 "커버리티 스캔에서의 안드로이드 커널의 분석결과 버그 수에 있어서는 일반 소프트웨어의 평균 버그 수 보다 훨씬 적은 것으로 분석되나, 상당한 수의 버그들이 고위험급으로 분석 되었다"며 "추후 안드로이드 커널을 다시 분석하여 버그의 밀집도와 고위험(High Risk) 버그의 상태변화 추이를 발표할 계획"이라고밝혔다.
커버리티사는 2006년부터 미국토안보부(Department of Homeland Security)와 함께 오픈소스 소프트웨어 무결성 프로젝트인 '커버리티스캔 프로젝트'를 시행하고 있다. 커버리티사의 'Coverity Static Analysis'를 사용해 오픈소스의 커뮤니티로부터 제출된 오픈소프트웨어 소스코드를 분석한 결과를 발표해 오픈소스 개발자들이 자신의 소프트웨어에 내재된 문제점을 빠르게 찾고 품질을 강화할 수 있도록 하고 있다. '2010 오픈소스 무결성 리포트'에는 안드로이드(Android) 외에도 리눅스(Linux), 아파치(Apache), 삼바(Samba), PHP 등 291개의 오픈소스 소스코드 총 6천만 라인의 분석결과가 담겨져 있다.
안드로이드커널 분석 결과를 담고있는 '커버리티스캔 2010 오픈소스 무결성 리포트'의 보다 자세한 내용은 http://softwareintegrity.coverity.com/2011ScanAndroidReg.html 에서 다운로드 받아 볼 수 있다.
한편, 커버리티의 소프트웨어 소스코드 정적분석툴 'Coverity Static Analysis'는 소프트웨어 오류를 개발단계에서부터 찾아내어 회사의 비즈니스에 영향을 미치기 전에 대처할 수 있게 한다. 전 세계 1000여 개 이상의 회사에 도입됐으며 국내에는 독점 총판사인 이웨이파트너즈(www.ewaypartners.com)를 통해 삼성(전사 사용), LG(6개 사업부), 에트리, 게임 및 네트워크 회사를 포함해 약 15곳에 공급됐다.
김정은 기자
jekim92@itdaily.kr