Invisible Safety,

Proven by Intelligence

보이지 않는 안전을 인텔리전스로 증명하다.

기술 노트
IT 산업의 변화를 이끄는 MDS인텔리전스의
기술 인사이트를 만나보세요.
시스템 소프트웨어 개발
[QAC] CERT C Secure Coding Standard 검증을 위한 Helix QAC Compliance 모듈
2026년 01월 09일



본 글에서는 Helix QAC의 CERT C Compliance 모듈을 소개하고자 합니다.


CERT C Compliance 모듈은 CERT C Secure Coding Standard를 준수하기 위한 Helix QAC 정적분석 솔루션의 추가적인 모듈로, CERT C 위반사항 및 보안 관련 결함을 Helix QAC에서 검출하도록 지원합니다.


그렇다면 CERT C Secure Coding Standard란 무엇이고, 어떤 내용을 다루고 있는 표준인지 먼저 살펴보겠습니다.




ㅣ CERT C Secure Coding Standard


CERT C Secure Coding Standard는 안전한 시스템을 개발하기 위한 표준 가이드라인��로, C언어 코드 작성 시 호출해서는 안 되는 라이브러리 함수, 연산자 사용 시 주의해야할 점, POSIX 및 thread와 관련된 대표적인 주의사항 등을 안내합니다.



CERT C Secure Coding Standard 카테고리

- Rule 01. 전처리기 (PRE)

- Rule 02. 선언과 초기화 (DCL)

- Rule 03. 표현식 (EXP)

- Rule 04. 정수 (INT)

- Rule 05. 부동소수점 (FLP)

- Rule 06. 배열 (ARR)

- Rule 07. 문자와 문자열 (STR)

- Rule 08. 메모리 관리(MEM)

- Rule 09. 입력과 출력 (FIO)

- Rule 10. 환경(ENV)

- Rule 11. 시그널(SIG)

- Rule 12. 에러 관리 (ERR)

- Rule 13. 애플리케이션 개발 인터페이스(API)

- Rule 14. 동시 실행 (CON)

- Rule 48. 기타(MSC)

- Rule 50. 부록 POSIX(POS)

- Rule 51. Microsoft Windows (WIN)




또한 CERT C Secure Coding Standard는 위와 같은 카테고리 별 가이드라인을 규칙(Rule)과 제안사항(Recommendation)으로 나누어 제시하고 있습니다.



CERT C Secure Coding Standard Rule & Recommendation

- Rule: 코드 작성 시 개발자가 반드시 지켜야 하는 규칙

- Recommendation: 코드의 품질 향상을 위한 제안사항으로, Recommendation의 위반이 코드 결함을 나타내지는 않음



이와 같이 CERT C Secure Coding Standard는 단순히 버그나 결함을 찾는 방법과는 달리, 코드의 신뢰성 및 안전성을 높이기 위한 방안을 체계적으로 분류하여 제시함으로써, 소프트웨어 검증 범위를 명확하게 지정할 수 있도록 합니다.




ㅣ Helix QAC를 통한 CERT Secure Coding Standard 검증


Helix QAC는 대부분의 개발자나 컴파일러가 놓치기 쉬운 코드 상의 결함이나 보안 취약점을 찾아내는 정적분석 솔루션으로, CERT C Compliance 추가 모듈을 적용하여 CERT C Secure Coding Standard 검증이 가능합니다. CERT C compliance 모듈은 Helix QAC 가 CERT C Rule과 Recommendation에 대한 위반사항을 검출하고 리포팅할 수 있도록 지원함으로써 소스코드의 안전성 및 보안을 향상시킵니다.



CERT C Compliance 모듈의 주요 기능 및 특징

- 지속적인 CERT C Secure Coding Standard 검증 가능

- CERT C Secure Coding Standard 위반사항에 대한 리포트 추출 가능

- 수 백만 라인의 코드 검사 가능

- Helix QAC GUI를 통하여 검출 결과에 대한 상세한 설명 제공

- Helix QAC에서 별도의 설정 없이 즉시 사용할 수 있는 환경을 제공

- 프로그램 수행 없이 소스코드만으로 검사 가능




<Helix QAC GUI 화면>




또한 Helix QAC는 고성능의 C언어 파서를 사용하여 검출 범위를 최대화하면서도, 타 정적분석 도구에 비하여 낮은 오탐률을 보입니다. CERT C compliance 모듈은 이러한 Helix QAC에서 데이터 흐름 상의 문제, 소프트웨어 결함, 언어 구현 상의 오류, 위험한 라이브러리 함수 사용 등의 코딩 표준 위반사항을 빠르고 정확하게 검출하도록 지원합니다.






“PRQA Helix QAC Analyzers are effective at discovering violations of the CERT Coding Standards that were not discovered through 20 years of testing or by other static analysis tools.”

PRQA 사의 Helix QAC는 20년간 다른 도구에서는 검출하지 못했던 CERT 코딩 표준 위반사항을 효과적으로 검출한다.


- Robert C Seacord, Secure Code 협회 창시자







최근 소프트웨어 보안과 관련된 이슈가 자주 제기됨에 따라 CERT C와 같은 국제 표준 검증은 소프트웨어 개발과정에서 필수적인 사항으로 자리잡고 있습니다. 그러나 이러한 표준을 정해진 개발기간 안에 단순한 코드 리뷰만으로 점검하는 것은 쉽지 않은 일입니다.


따라서 Helix QAC의 CERT C compliance 모듈과 같은 자동화 솔루션을 사용한다면, CERT C 관련 위반사항을 빠르고 정확하게 검출하고 리포팅함으로써 개발 및 검증 시간을 단축할 수 있게 됩니다. 또한 CERT C Secure Coding Standard Rule을 100% 지원함으로써 Helix QAC를 통해 쉽게 룰을 적용하여 검증하실 수 있습니다.


Helix QAC에 대한 상세한 정보는 MDS인텔리전스 웹사이트에서 확인하실 수 있습니다.