2nd/10_Wiki/Topics/Architecture/Static_and_Dynamic_Analysis.md

category, tags, title, last_updated

category	tags	title	last_updated
Unified	auto-consolidated technical-documentation	정적 및 동적 분석 방법론 (Static and Dynamic Analysis)	2026-05-02

정적 및 동적 분석 방법론 (Static and Dynamic Analysis)

📌 Brief Summary

정적 분석과 동적 분석은 복잡한 소프트웨어 시스템의 코드베이스를 해독하고 결함을 식별하기 위한 두 가지 핵심 방법론입니다. 정적 분석은 코드를 실행하지 않은 상태에서 소스 코드의 구조, 구문, 보안 취약점 등을 검사하여 문제를 조기에 발견합니다 [1, 2]. 동적 분석은 코드를 실제로 실행하면서 런타임 오류, 메모리 누수, 호출 스택 및 실시간 변수 변화 등 정적 독해만으로는 파악하기 힘든 시스템의 동적인 특성을 추적하고 파악하는 데 사용됩니다 [2, 3].

📖 Core Content

• 정적 분석 (Static Analysis):

  • 애플리케이션을 실행하지 않고 휴지(Rest) 상태의 소스 코드를 스캔하여 정의되지 않은 변수, 코딩 비효율성, 보안 취약점(SAST) 등을 식별합니다 [1, 2].
  • 개발 주기의 초기 단계에서 버그와 위험을 발견함으로써, 개발자가 더 깨끗한 코드를 작성하고 배포 후의 높은 수정 비용과 보안 침해 위험을 줄이는 데 기여합니다 [1, 4].
  • 최근의 정적 분석 도구들(예: Cycode, Checkmarx, SonarQube 등)은 복잡성을 띠는 환경에서 다중 언어 지원, 커스텀 룰 작성 기능을 갖추며 CI/CD 파이프라인에 통합되어 구동됩니다 [5-8].

• 동적 분석 (Dynamic Analysis):

  • 실제 애플리케이션을 실행하면서 입력 유효성 검사 오류나 런타임 시에만 발생하는 메모리 누수, 실행 흐름의 문제 등을 찾아냅니다 [1, 2].
  • 정적인 코드 읽기만으로는 객체의 수명 주기나 비동기 메시지 큐의 흐름 등을 파악하기 어려우므로, 로그(Logs), 디버깅 도구의 중단점(Breakpoints), 그리고 런타임 프로파일러(Runtime Profiler)를 활용해 실행 상태를 실시간으로 관찰합니다 [3, 9, 10].
  • 실제 워크로드를 프로파일링하여 Flame/Icicle 그래프를 통해 실행 중인 코드 영역을 시각적으로 확인하고 최적화 포인트를 탐색할 수 있습니다 [11].

• 코드베이스 이해를 위한 하이브리드 활용:

  • 새로운 코드베이스나 복잡한 레거시 코드를 읽을 때, 정적인 코드 분석과 문서 읽기를 바탕으로 시스템의 전반적인 구조를 파악하고, 의도적으로 시스템에 잘못된 입력을 주입해 스택 트레이스(Stack Trace)를 관찰하거나 테스트 코드를 수정해가며 시스템의 반응을 살펴보는 동적, 실험적 접근을 결합하는 것이 효과적입니다 [12, 13]. 최신 DevSecOps 워크플로우에서는 두 방식을 결합한 하이브리드 접근법을 채택하기도 합니다 [1].

⚖️ Trade-offs & Caveats

• 오탐지(False Positives)와 개발자 피로도: 정적 분석 도구는 코드 실행 없이 패턴을 검사하므로 실제로는 안전하거나 의도된 코드도 취약점이나 오류로 잘못 식별(False Positive)할 수 있습니다 [14]. 규칙의 질과 설정에 따라 오탐률이 높아지면 개발자의 피로도를 높이고 신뢰를 떨어뜨리며 튜닝 작업에 많은 시간을 소모하게 됩니다 [8, 14].
• 동적 분석의 환경 구성 제약: 동적 분석은 애플리케이션을 실제로 실행할 수 있는 상태여야 하므로, 복잡한 분산 시스템이나 특정 데이터베이스 종속성이 얽힌 대규모 레거시 환경에서는 코드를 실행하고 테스트할 수 있는 로컬 환경이나 디버깅 환경을 설정하는 것 자체가 큰 진입 장벽이 될 수 있습니다 [3, 15].
• 성능에 미치는 영향: 파이프라인에 지나치게 무거운 분석 툴을 통합하면 빌드와 배포 시간이 느려져 개발 속도(Velocity)를 저하시킬 위험이 있습니다. 분석 도구가 가볍지 않다면 실시간 검사보다는 예약된 스캔 형태로 타협점을 찾아야 합니다 [16].

🔗 Knowledge Connections

• Codebase_Onboarding_Guide: 분석 기술을 활용해 시스템을 빠르게 파악하는 절차.
• SAST_vs_DAST: 보안 관점에서의 정적/동적 분석 비교.
• Behavioral_Code_Analysis: 코드 변경 이력과 분석 데이터를 결합한 고도화된 기법.

---

Related Concepts

[관계 유형 A (아키텍처/기반 기술)]

• SAST (Static Application Security Testing)
  • 연결 이유: 정적 분석 소프트웨어의 대표적인 형태로서 코드 내에 하드코딩된 비밀번호나 인젝션 위험과 같은 보안 취약점을 실행 전에 탐지하는 기술입니다 [1, 17].
  • 이 개념을 통해 더 깊게 이해할 수 있는 부분: 정적 분석이 CI/CD 환경에서 어떻게 코드 품질 게이트(Quality Gate)로 작용하며 데브섹옵스(DevSecOps)를 구현하는지 이해할 수 있습니다.
• 런타임 프로파일링 (Runtime Profiling)
  • 연결 이유: 동적 분석 과정의 핵심 기법 중 하나로, 코드 실행 과정의 자원 소모, 병목 현상 및 실행 경로의 빈도 등을 추적합니다 [3, 11].
  • 이 개념을 통해 더 깊게 이해할 수 있는 부분: 개발자가 의도한 설계가 실제 런타임 환경에서 어떻게 동작(예: 과도한 스레드 대기, 무한 루프 등)하는지 현실적인 시스템 행동을 파악할 수 있습니다.

[관계 유형 B (구현/활용 도구)]

• 중단점 및 디버깅 (Breakpoints & Debugging)
  • 연결 이유: 동적 분석의 가장 기본적이고 직접적인 도구로, 특정 코드 라인에서 런타임 흐름을 멈추고 호출 스택(Call Stack)과 변수 상태를 실시간 관찰하게 해 줍니다 [3, 10].
  • 이 개념을 통해 더 깊게 이해할 수 있는 부분: 방대한 호출 트리를 가진 낯선 코드베이스를 추적할 때 데이터 변환과 객체의 수명 주기를 파악하는 실무적인 방법을 이해할 수 있습니다.
• 기술적 부채 (Technical Debt)
  • 연결 이유: 분석 도구를 통한 지속적인 리팩토링이나 검증이 누락되었을 때 코드베이스에 누적되는 장기적인 유지보수 비용입니다 [18-20].
  • 이 개념을 통해 더 깊게 이해할 수 있는 부분: 정적/동적 분석 도구(예: CodeScene 등)가 어떻게 팀의 개발 패턴을 분석해 코드베이스의 유지보수성과 아키텍처 위험 요소를 진단하는지 이해할 수 있습니다.

Deeper Research Questions

• 정적 분석 도구(SAST)들이 보고하는 오탐지(False Positives)를 낮추고 개발자의 튜닝 부담을 줄이기 위해, AI 모델(예: Code Property Graph 등)은 어떠한 원리로 컨텍스트를 분석하고 적용되는가?
• 수백 개의 마이크로서비스로 이루어진 아키텍처 환경에서, 개별 서비스의 경계를 넘나드는 런타임 호출 흐름을 동적으로 추적(예: 분산 트레이싱)하고 분석하는 가장 효과적인 방법은 무엇인가?
• 동적 분석 환경(실행 환경)을 로컬에 구축하기 매우 까다로운 복잡한 레거시 코드베이스의 경우, 정적 분석 도구와 AI 자동화 지식 추출만으로 런타임 동작을 유추하고 안전하게 리팩토링을 수행하려면 어떤 전략이 필요한가?
• CI/CD 파이프라인에서 정적 분석 스캐닝 속도가 전체 개발 및 배포 속도(Velocity)에 병목이 되지 않도록 하면서도 높은 수준의 검증 품질을 유지하기 위한 타협점은 어떻게 구성해야 하는가?
• 단순한 구조 분석을 넘어 코드의 변경 이력(Git)과 행동 메트릭을 기반으로 위험도(Hotspot)를 예측하는 행위 기반 코드 분석(Behavioral Code Analysis)은 전통적인 정적 분석과 어떻게 차별화되는가?

Practical Application Contexts

• Implementation: 코드를 작성하는 동안 IDE 확장 도구(SAST 도구)를 통해 실시간으로 코딩 표준 위반 및 구문 오류를 수정하여, PR(Pull Request) 리뷰 전 기초적인 버그를 제거합니다.
• System Design: 시스템 설계 초기부터 프로파일링 및 디버깅을 원활히 하기 위해 로깅 전략을 표준화하고, 런타임 흐름을 쉽게 파악할 수 있도록 동적 분석에 유리한 아키텍처(Observability 적용)를 구성합니다.
• Operation / Maintenance: 레거시 코드의 치명적 오류 분석 시, 정적 분석으로 문제 가능성이 높은 코드 블록을 찾고, 해당 구간에 중단점을 걸어 실제 데이터를 흘려보내며(동적 분석) 근본 원인을 디버깅합니다.
• Learning Path: 새로운 코드베이스에 온보딩할 때, 주요 엔드포인트(진입점)부터 시작해 디버거(중단점)를 연결하여 시스템의 실제 실행 경로를 상향식/하향식으로 추적하면서 코드를 읽고 학습합니다.
• My Project Relevance: 유지보수 중인 애플리케이션의 코드 스멜과 잠재적 버그를 줄이기 위해 자동화된 코드 검사 규칙을 구성하거나 CI/CD 과정에 보안 스캐닝 툴을 도입하는 작업.

Adjacent Topics

• DevSecOps 및 CI/CD 통합
  • 확장 방향: 보안 스캐닝과 품질 검토 도구들이 개발 파이프라인 내부에 어떻게 자동화된 단계로 병합되어, 코드 병합 전에 문제를 원천적으로 차단하는지 탐구합니다.
• 코드 컴포넌트 시각화 및 아키텍처 맵
  • 확장 방향: 정적 의존성 분석과 동적 통신 데이터를 기반으로 시스템의 아키텍처와 패키지 간의 관계를 다이어그램(C4 모델 등)으로 시각화하여 팀의 인지적 부하를 낮추는 방법을 탐구합니다.

---

Last updated: 2026-05-02

1. 개요

소프트웨어 시스템을 해독하고 품질을 확보하기 위해서는 코드를 실행하지 않고 분석하는 정적 분석과 실제로 실행하며 관찰하는 동적 분석의 상호보완적 활용이 필수적이다. 정적 분석은 구조와 잠재적 결함을 조기에 식별하며, 동적 분석은 실제 런타임 동작과 복잡한 제어 흐름을 명확히 한다.

2. 정적 분석 (Static Analysis)

• 정의: 코드를 실행하지 않은 상태(Rest)에서 소스 코드의 구문, 구조, 보안 취약점 등을 스캔.
• 핵심 가치: 개발 초기 단계에서 버그 발견, 코딩 표준 준수 강제, 보안 취약점(SAST) 조기 차단.
• 주요 도구: SonarQube, ESLint, Checkmarx, 정적 의존성 분석 도구.

3. 동적 분석 (Dynamic Analysis)

• 정의: 애플리케이션을 실제로 실행하면서 발생하는 런타임 행위와 데이터 흐름을 추적.
• 핵심 가치: 메모리 누수 탐지, 호출 스택(Call Stack) 분석, 실제 변수 상태 관찰, 성능 병목 구간(Profiling) 식별.
• 주요 기법: 디버깅(중단점 활용), 로그 분석, 런타임 프로파일링, 분산 트레이싱.

4. 실전 활용: 하이브리드 접근 (Hybrid Approach)

1. 정적 파악: 아키텍처 다이어그램과 소스 코드 구조를 통해 시스템의 전체 지형 파악.
2. 동적 검증: 주요 진입점(Entry Point)에 중단점을 설정하고 실제 데이터를 흘려보내며 코드의 반응과 흐름을 역추적.
3. 실험적 수정: 테스트 코드를 수정하거나 의도적으로 예외를 발생시켜 시스템의 예외 처리 로직과 복구 메커니즘 검증.

5. 트레이드오프

• 정적 분석: 오탐지(False Positives)로 인한 개발자 피로도 발생 가능. 실행 환경이 불필요하여 도입이 쉬움.
• 동적 분석: 실행 가능한 환경 구축(로컬 셋업 등)에 비용 소요. 실제 동작을 보장하므로 신뢰도가 높음.

🧪 검증 상태 (Validation)

• 정보 상태: 검증 완료 (Verified)
• 출처 신뢰도: A
• 검토 이유: 코드 품질 확보와 아키텍처 이해를 위한 엔지니어링 분석 표준 정립.