백악관은 개발자들에게 "안전한" 프로그래밍 언어를 선호하여 C와 C++를 피하라고 촉구했습니다.

У 새로운 보고서 백악관 국가사이버국장실(ONCD)은 개발자들에게 대중적인 언어를 제외한 카테고리인 '경량 프로그래밍 언어'를 사용할 것을 촉구했다. 이 조언은 바이든 미국 대통령의 사이버 보안 전략의 일부이며 "사이버 공간의 구성 요소를 보호"하기 위한 조치입니다.

소프트웨어 코드의 부적절한 메모리 관리로 인해 심각한 취약점이 발생하여 공격자가 사이버 공격을 수행할 수 있습니다. Java와 같은 프로그래밍 언어는 런타임 오류 감지 메커니즘으로 인해 메모리 관리 측면에서 안전한 것으로 간주됩니다. 이와 대조적으로 C와 C++를 사용하면 개발자는 포인터 작업을 수행하고 컴퓨터 메모리의 주소를 직접 지정할 수 있습니다. 여기에는 포인터를 통해 액세스할 수 있는 모든 메모리 위치에 대한 데이터 읽기 및 쓰기가 포함됩니다.

2019년에는 안전엔지니어 Microsoft 취약점의 약 70%가 메모리 보안 문제로 인해 발생한 것으로 보고되었습니다. 2020년에 Google은 동일한 수치를 보고했지만 Chromium 브라우저에서 발견된 버그에 대한 것입니다.

보고서는 “전문가들은 메모리 안전과 관련된 기능이 부족할 뿐만 아니라 C나 C++와 같은 미션 크리티컬 시스템에 널리 퍼져 있는 여러 프로그래밍 언어를 확인했다”고 밝혔다. "CISA(사이버 보안 인프라 보안 기관)의 오픈 소스 소프트웨어 보안 로드맵에서 권장하는 대로 메모리 안전 프로그래밍 언어를 처음부터 선택하는 것은 "끝까지 보안 소프트웨어를 처음부터 개발하는 한 가지 예입니다."

19페이지 분량의 보고서의 목적은 사이버 보안에 대한 책임이 개인과 중소기업에만 있지 않도록 하는 것입니다. 대신 책임은 대규모 조직, 기술 회사, 그리고 궁극적으로 정부에 있습니다.

보고서는 C와 C++의 문제점을 지적할 뿐만 아니라 "메모리 안전"으로 인식되는 프로그래밍 언어 등 다양한 대안도 제시합니다. 국가안전보장국(NSA)이 권장하는 언어로는 Rust, Go, C#, Java, Swift, JavaScript, Ruby가 있습니다. 이러한 언어에는 일반적인 유형의 메모리 공격을 방지하는 메커니즘이 포함되어 있어 개발 중인 시스템의 보안이 향상됩니다.

ONCD는 기업과 엔지니어에게 소프트웨어 개발에 모범 사례를 적용하고 메모리 안전 하드웨어를 사용하여 공격자가 공격할 수 있는 공격 표면을 줄이도록 요청하고 있습니다. 보고서 자체에서는 메모리 안전 프로그래밍 언어로 간주되는 것이 정확히 무엇인지 자세히 설명하지 않았습니다. 그러나 2022년 월 국가안전보장국(NSA)이 공개한 사이버 보안 뉴스레터, 그가 메모리 안전하다고 믿었던 프로그래밍 언어를 자세히 설명했습니다.

보고서는 또한 소프트웨어 보안에 대한 더 나은 측정을 요구합니다. ONCD는 더 나은 지표를 통해 기술 제공업체가 취약점이 문제가 발생하기 전에 더 나은 계획, 예측 및 완화를 할 수 있다고 믿습니다.

이 보고서는 미국 정부가 취한 일련의 조치 중 가장 최근의 것입니다. 2023년 월 바이든 대통령은 소프트웨어와 하드웨어를 보호하고 기술 산업의 관계를 구축하기 위한 프로세스를 시작하는 사이버 보안 행정 명령에 서명했습니다.

또한 읽기:

• Microsoft AI 도구를 사용하는 중국과 러시아의 해커를 발견했습니다.
• 국방부는 Google의 AI를 사용하여 공습 대상을 식별했습니다.