사이버 공격에 취약한 C/C++ ==> 뭔소리야 이게?
씨뿔뿔이 취약하면 자바나 시샾이나 파이썬은 얼마나 더 취약하단 말이야? 그럼 모든 언어를 쓰지 말라고? 그럼 컴퓨터는 에센셜리 모두 다 셧다운하란 말이야? 하긴 요즘에 하스겔이나 Rust 같은걸 쓴다고는 하드만. ㅋㅋㅋ 개들도 마찬가질텐데…어셈를리어를 쓰란 이야긴가 뭔가
학생들 코딩에 관한 이야기가 나올 때 초첨이 어긋나는게 “어떤 언어”를 선택하느냐입니다. 사실 코딩을 배운다는 건 문제 해결할 수 있는 “논리”를 배우는 겁니다. 문제를 해결할 논리를 이해하면 어떤 언어를 쓰는지는 차후의 문제고 어느 언어로 시작하든지 다른 언어로 옮겨 가는 것은 별로 어렵지 않습니다. 그래서 부트 캠프를 나오고 제대로 자리를 찾을 수 없는 것이 필요한 건 문제 해결 능력인데 거기서는 언어를 주로 배우기 때문입니다.
예전에 포트란 라이브러리을 쓰는 회사에서 포트란 코드에 문제가 생겨도 고칠 사람이 없다는게 문제였다.
아마도 C++가 보안에 취약하다는 말은 몇십년 후에는 C++ 엔지니어도 희귀해 질 테니까 한 번 보안이 취약했던 곳은 고칠 수 없어 계속 뚤릴 수 있기 때문이 아닐까 하는 생각이 든다.
근데 AI로 벅잡는 건 없나?
Firmware 관련된것은 죄다 C/C++ . hardware 엔지니어이고 가끔 firmware 수정을 하면서 분석할때 사용을 했는데,, C만 사용해봐도,, python 정말 너무 쉽다는것을 느낌.. python으로 script 짜는것은 기술로 쳐주지도 않음.. C 로 driver 자유자재로 짜면서 하드웨어 분석 능력이 있어야 진짜 엔지니어 임..
C는 machine에 가까운 언어들 중에서 가장 대중적인 언어입니다. 덕분에 machine이 어떻게 동작하는지 어느 정도 이해해야 하고 사용하기도 좀 까다롭지만 대신에 가장 좋은 퍼포먼스를 낼 수 있지요. 앞으로 전혀 새로운 개념의 architecture가 등장하지 않는 한 결코 사라질 일은 없을 겁니다.
있습니다. 이제 막 나오는 제품들이라 ‘와’ 하는 감탄이 나올 정도의 super smart 하지는 않은데, 그래도 툴이 이해하는 context의 길이가 점점 길어져서 예전보다 좀 더 정교한 진단들이 나오고 있습니다. 현재 보안 버그 수정에 드는 비용을 1/10에서 1/100 수준으로 낮추는 걸 목표로 합니다. 버그 발견 및 수정에 인건비가 그렇게 줄어든다는 건데, 제품 라이선스 가격이 높아서 실제 비용이 대폭 세이브되는 상황은 아직 아닙니다.
> 아마도 C++가 보안에 취약하다는 말은 몇십년 후에는 C++ 엔지니어도 희귀해 질 테니까 한 번 보안이 취약했던 곳은 고칠 수 없어 계속 뚤릴 수 있기 때문이 아닐까 하는 생각이 든다.
그 부분도 문제의 일부이지만, 지금 당장 c/c++로 씌어진 app이 적성 국가나 해커의 공격으로부터 안전하냐 하는 질문에 대해서 ‘안전하다’라고 cio/ciso가 답할 수 없다는 게 실제 문제입니다. 버그가 있으면 고치면 되는데, 없다는 것을 100% 확신하는 게 불가능하니까요. buffer overflow 얘기입니다.
buffer overflow는 전부 root 권한 탈취로 이어질 수 있다고 가정하고 critical severity로 다루는 게 안전한 지침이고요. buffer overflow가 불가능해지도록 언어 수준에서 막을 수 있으면 좋은데, 그건 또 안 되니까 그걸 언어 수준에서 막을 수 있는 방향으로 전환하라는 얘기인 거죠. 엔지니어가 코딩을 잘 하면 그런 버그 안 생긴다 하는 건 답이 아닙니다. 천 번을 잘 해도 딱 한 개의 buffer overflow를 못 막으면 그걸로 조직 전체가 뚫리니까요.
