2017년 4월 11일 화요일

소프트웨어 안전성 분석(1)

산업 내에서 직접적인 소프트웨어 활용이 많아지면서 소프트웨어의 안전성에 대한 고민이 다른 측면으로 다시 시작되었다. 소프트웨어가 오류없이 동작하는데 초점이 맞춰진 예전에는 소프트웨어 테스팅이나 보안 중심으로 안전성을 확인했지만 지금은 소프트웨어가 산업 자체에 영향을 주는 경우가 많아 이 외에도 다양한 관점으로 안전성을 살펴볼 필요가 생겼다. 2회에 걸쳐 소프트웨어 안전성 분석에 대해 알아보고자 하며 이번 회에서는 소프트웨어 안전성 분석의 개념 중심으로 살펴보도록 한다.
소프트웨어 관점의 소프트웨어 안전성 분석
소프트웨어가 사용되면서 사용자들에게 가장 큰 고민은 소프트웨어 오류였다. 소프트웨어를 개발하면서 나타나는 오류는 사용자뿐만 아니라 개발을 완료한 개발자 입장에서도 많은 시간과 노력을 들여야 하는 경우가 많았다. 또한 소프트웨어를 사용하는 범위가 산업의 기반 시설들을 다루는 경우보다는 대체로 오퍼레이션과 관련된 것들이 많아 소프트웨어의 안전성이 좋지 않아도 산업 자체가 동작하는데 큰 무리는 없었다. 그래도 소프트웨어의 안전성을 높이기 위해 글로벌 기업을 중심으로 많은 예산과 인력을 투입하였고 다양한 소프트웨어 분석 도구와 기술을 개발하여 대처하였다. 개발 과정에서부터 보안 안전성을 고려하여 개발하는 시큐어 소프트웨어 개발 방법론(Secure Software Development Methodology)도 소프트웨어 안전성이나 보안 위협을 고려한 방법이라고 할 수 있다.
과거에 많이 사용된 소프트웨어 안전성 분석 방법은 크게 화이트박스 테스팅(White box Testing)과 블랙박스 테스팅(Black box Testing)으로 볼 수 있다. 화이트박스 테스팅은 분석 대상이 되는 소프트웨어의 소스코드를 대상으로 취약성이 발생할 수 있는 패턴을 분석하거나 버퍼 오버플로우와 포맷 스트링 취약점 등을 점검하여 소프트웨어가 적절하게 데이터를 처리하는지 점검하는 방식이다. 블랙박스 테스팅은 소프트웨어에 데이터를 입력하고 소프트웨어의 동작을 모니터링하면서 안전성을 점검한다. 블랙박스 테스팅은 소스코드가 반드시 필요하지는 않고 화이트박스 테스팅이 발견하지 못하는 예외적인 상황을 유발시켜 다양한 형태의 안전성 분석을 할 수 있지만 시간과 비용이 많이 드는 것이 단점이기 때문에 효율적인 테스팅을 위해서 자동화된 안전성 분석 도구가 이용되는 경우가 많다(그림1).

<그림1> 블랙박스 테스트와 화이트박스 테스트

소프트웨어의 안전성 분석을 위해서는 분석 대상 소프트웨어의 수준에 따라 분석 방법을 결정하는데 실행 프로그램만 있는 경우에는 블랙박스 테스팅, 소스코드가 제공되는 경우에는 화이트박스 테스팅을 수행하는 경우가 많다. 블랙박스 테스팅과 리버스 엔지니어링(Reverse Engineering)을 접목한 그레이박스 테스팅(Gray box Testing)도 알려져 있다(표1).

<표1> 소프트웨어 안전성 분석 방법의 장단점
출처: 한국전자통신연구원(ETRI)

블랙박스 테스팅과 화이트박스 테스팅을 활용하는 방법도 여러가지가 있다. 먼저 소프트웨어에 다양한 입력을 하여 실행시킨 후 결과를 살펴보는 동적 분석(Dynamic Analysis)과 소프트웨어를 실행시키지 않고 소스 코드의 내용으로 판단하는 정적 분석(Static Analysis)이 있다. 블랙박스 테스트와 화이트박스 테스트를 이 두가지 방법으로 구분하여 안전성을 테스트 할 수 있다(표2).

<표2> 정적 분석과 동적 분석
출처: 데이터베이스진흥원

소프트웨어 안전성 확인을 위해서 동적 분석은 소프트웨어의 특성에 따라 다양한 방법으로 확인해야 하지만 정적 분석은 요구사항을 받아 개발을 하면서 확인하기 때문에 요구사항을 받은 후 진행되는 프로세스에 따라 안전성 확인 방법이 어느 정도 정해져 있다.

소프트웨어 개발자가 준비해야 하는 미래

지금까지도 소프트웨어 개발자가 되기 위한 준비를 위해 C++이나 Java와 같은 프로그래밍 언어를 배우고자 하는 사람들이 많다. 많은 SI 프로젝트가 요구하는 대용량 처리 시스템과 모바일 발달로 인한 다양한 앱들은 개발자들을 코딩하는 기술자로 내몰고 있는 것이 사실이기 때문이다. 하지만 제4차 산업혁명의 등장으로 다양한 산업 분야에서 소프트웨어 개발자를 찾고 있고 개발자에게 코딩 이외에 다양한 아이디어를 요구하고 있다. 두산중공업의 이빈 팀장, 현대파워텍의 이윤희 팀장, 로만소프트의 이철승 대표, 그리고 김규억 박사와 함께 이러한 현상을 주목하며 이야기를 나눠본다.

Q: 안녕하세요. 참석자들이 소프트웨어와 조금 거리가 있을 제조업이나 디자인 쪽입니다. 이렇게 모인 이유에 대해 얘기해보죠.

소프트웨어 개발이 아주 과거에는 특정한 사람들의 전유물이었습니다. 가만히 앉아서 코딩의 신이라는 소리를 들어야 최고가 됐구나 생각했지요. 그러다가 웹 환경이 나타나면서 개발자들에게는 Java 언어가 익숙한 언어가 됐고 너도나도 소프트웨어 개발에 많이 편입을 하게 되었습니다. 숫자로 보면 눈에 띄게 늘어난 것이 사실입니다.

<그림1> 소프트웨어 개발 환경 변화

출처: 오픈소스컨설팅

이러한 개발 환경은 시스템의 전체 큰 그림을 잘 그려놓고 세부적으로 잘 연결되어 움직이도록 하는 Big Picture형 개발자가 필요했습니다. 단순히 개발만 잘하는 사람이 아니라 어떻게 하면 시스템이 효율적이고 문제없이 돌아가게 하는지를 고민해서 개발하는 것이지요.
그러다 모바일이 나오면서 소프트웨어 크기가 전체적으로 작아지기 시작했습니다. 가급적이면 크게, 더 크게 만들던 시스템에서 손에서 동작하는 소프트웨어로 변화하기 시작한 것이죠. 작은 모바일 안에서 어떻게 하면 더 작고 효율적인 소프트웨어를 만들까 하고 고민하기 시작했습니다. 이러한 고민은 사용자를 더 만족스럽게 해주기 위해 더 보기 좋고 빠르게 동작하고 원하는 기능이 딱 들어있는 소프트웨어가 만들어지도록 했다는 것이죠. 이 때까지는 일반적으로 알려진 소프트웨어만 생각하기 때문에 기존의 소프트웨어 개발자가 더 고민할 것은 많지 않았습니다.

<그림2> 시대별 기술 변화
출처: 조대협 - 소프트웨어 개발 트렌드의 변화

그런데 지금은 단순히 운영 시스템 정도만 요구하던 산업에서 소프트웨어 개발자를 채용하고 있습니다. 이유가 뭘까요? 소프트웨어 개발 회사에 의뢰하던 수준을 넘어 자신들에게 딱 맞는 소프트웨어가 필요해졌다는 것입니다. 우리가 모인 이유도 새로운 소프트웨어의 세계를 얘기해 보기 위해서 입니다.

인간을 대체하는 ICT 기술에 대한 동향

최근에 인공지능에 대한 관심이나 기술들이 많이 소개되고 있고 이를 활용한 비즈니스들이 앞다투어 발표되고 있다. 과거의 영화나 미디어에서 전달되던 것과 같이 인간이 해야할 일을 기계가 대신하는 시대가 곧 도래할 것처럼 보인다. 이번 회에서는 기계가 인간을 대체할 수 있게 해주는 ICT 기술이 어떤 것이 있는지 살펴보기로 한다.
인간 대 기술
마이크로소프트의 빌 게이츠나 미래 학자인 거드 레너드는 지금까지 나타난 기술의 발전보다 앞으로 30~50년 동안 발전할 기술이 더 많다라고 주장한다. 그동안 인간은 쉼없이 새로운 기술을 만들면서 다양한 혁신을 이루었지만 인공지능이나 유전자 기술 등과 같이 인간들에게 직접적으로 영향을 미치는 기술들은 인간의 삶에 큰 영향을 미칠 것으로 예상되고 있다. 이와 같이 앞으로 발전될 기술들은 이전의 기술들과는 사뭇 다르게 인간의 삶을 질적으로 바꾸어주는 역할을 할 것으로 보인다. 이러한 것을 트랜스휴머니즘(transhumanism)이라고 부르는데 사람이 기술로 세상을 바꾸는 것이 아니라 기술이 인간의 삶을 바꾼다는 것을 말한다.
인공지능 전문가인 제리 캐플런은 인공지능과 로봇의 발달을 제2차 산업혁명의 공장화나 자동화와 유사하다고 보고있다. 근로자들을 기계가 대체하는 것과 인공지능을 갖춘 로봇들이 일자리를 대체하는 것은 자연스러운 일이고 로봇의 일자리가 단순 노동에 그치지 않고 지적인 부분까지 확대된다고 한다. 로봇이 숙련된 근로자와 교육받은 사람들의 일까지 대신하는 것이고 기술 혁신은 단순히 근로자의 일자리를 대신하는 것에 그치지 않고 직종 자체를 소멸시킬 수도 있는 것이다.
더구나 인공지능의 발달로 사람, 사물, 공간을 초월하여 연결하고 인간의 지능을 초월하여 생각하는 산업의 구조와 시스템이 혁신되는 제4차 산업혁명의 등장은 인간의 자리를 점점 더 대체할 것으로 보인다. 즉 인공지능의 발달이 인간을 대체할 수 있는 기계의 발달을 이끌어 온다고 볼 수 있다.

<그림1> 산업혁명의 핵심 요소


인공지능의 발달
위키피디아에 의하면 인공지능(AI; Artificial Intelligence)은 기계로부터 만들어진 지능을 말한다. 컴퓨터 공학에서 이상적인 지능을 갖춘 존재, 혹은 시스템에 의해 만들어진 지능을 뜻한다. 이미 1980년대에 인공지능의 목표에 대해 정의가 되었는데 인간과 같은 사고를 하고 행동을 한다는 이론이 성립되었고 이러한 이론이 1990년를 넘어가며 시스템으로 정의하려는 노력이 이루어지고 있다. 이러한 목표는 인공지능이 인간과 유사한 생각을 하고 그에 따른 행동이 이루어지도록 하기 위한 노력으로 볼 수 있다(그림2).

<그림2> 인공지능의 정의 및 목표
출처: 조영임 - 인공지능시스템

인간을 대체하기 위해서는 인간처럼 행동하기 위한 기술을 만들어야 한다. 인공지능은 인간을 닮아가기 위한 대표적인 기술이라고 할 수 있다. 처음에는 규칙과 논리적인 프로그래밍을 통해 간단한 로직을 구현했고 통계와 확률을 이용해 판단을 할 수 있는 기본적인 자료를 제공하였다. 이후 딥러닝을 통해 기계 스스로 학습하는 알고리즘이 등장했고 인간과 같이 학습에 기반한 자율적인 판단을 하게 되었다(그림3).

<그림3> 인공지능의 발달 과정
출처: 한국전자통신연구원

인공지능을 구성하는 3대 요소는 학습, 추론, 인식이며 사용자 인터페이스(HCI; Human Computer Interface)가 포함되어 인공지능 시스템이 구성된다. 일반화되어 있고 절차적인 알고리즘으로 판단이 가능한 분야보다는 제한된 정보만으로도 어떤 사안이나 상황을 판단할 수 있는 분야가 인공지능의 적용에 적합하다고 볼 수 있다.
해외 인공지능 기술 현황
중국은 13차 5개년 계획(‘16년 ~ ‘20년)을 통해 인간과 로봇의 상호 작용을 위한 플랫폼 확보 계획을 발표했으며 ‘18년까지 7,000억을 투입해 로봇 산업 단지를 조성할 계획이다. 중국어는 키보드보다 음성 인식이 더 효율적이기 때문에 음성 인식 활용이 다른 국가들보다 높은 편인데 바이두, 알리바바, 텐센트 등이 인공지능에 적극적으로 투자하고 있다. 미국은 인공지능을 차세대 컴퓨팅 플랫폼으로 육성하려는 전략을 추진하고 있고 IBM, Alphabet, 마이크로소프트, 페이스북, 애플, 아마존 등 미국의 대표 글로벌 기업들은 인공지능을 기존 제품이나 서비스에 추가로 적용하고 있다. 로봇 강국인 일본은 인공지능을 로봇에 적용하는데 집중하고 있는데 생산 인력 부족과 생산성 향상을 위해 제조, 의료, 건설, 농업 등에 로봇을 적극 적용하는 로봇 新전략을 발표하였다. PatSnap에 의하면 인공지능 특허 출원이 미국 > 중국 > 일본 > 우리나라 순으로 많다고 조사되었다.