C 언어를 메모리 안전하게 — Fil-C의 단순화된 모델로 들여다보는 동작 원리

무슨 일이 있었나요

Fil-C라는 프로젝트, 들어보셨나요? 한 줄로 설명하자면 "C 언어 코드를 그대로 쓰면서도 메모리 안전성을 보장하는 컴파일러"예요. 이번에 Corsix라는 개발자가 Fil-C의 동작 원리를 단순화된 모델로 풀어 설명한 글을 공개했어요. Fil-C 자체는 Filip Pizlo(WebKit JavaScriptCore 엔진을 만든 사람)가 주도하는 프로젝트인데, 내부 구현이 복잡해서 따라가기 어려웠거든요. 이걸 "왜 이렇게 만들었는지"를 설명해주는 좋은 입문 자료가 나온 거예요.

왜 지금 주목받느냐고요? Rust가 메모리 안전성으로 큰 인기를 끌었지만, 세상에는 여전히 수십억 줄의 C 코드가 돌아가고 있어요. 리눅스 커널, OpenSSL, SQLite, 임베디드 펌웨어 — 다 C예요. 이걸 Rust로 다시 쓸 수는 없잖아요? Fil-C는 "기존 C 코드를 거의 손대지 않고" 안전하게 만들겠다는 야심찬 시도라서 의미가 커요.

핵심 내용 — 어떻게 안전을 보장하나요

C 언어의 가장 큰 위험 요소는 포인터예요. 포인터는 그냥 "메모리 주소를 가리키는 숫자"인데, 이게 자유롭다 보니 엉뚱한 곳을 가리키거나(use-after-free), 배열 끝을 넘어가거나(buffer overflow) 하는 사고가 끊임없이 일어나요. 마이크로소프트나 구글의 보안 취약점 통계를 보면 약 70%가 이런 메모리 관련 버그거든요.

Fil-C가 쓰는 핵심 아이디어는 "뚱뚱한 포인터(fat pointer)"예요. 이게 뭐냐면, 일반 C에서 포인터는 그냥 8바이트짜리 주소 하나인데, Fil-C에서는 포인터에 "이 메모리의 시작 위치는 어디고, 끝은 어디까지인지" 같은 메타데이터를 같이 묶어서 들고 다녀요. 그래서 포인터를 통해 메모리에 접근할 때마다 "내가 정해진 범위 안에서만 읽고 쓰고 있나?"를 자동으로 검사할 수 있어요.

또 하나의 핵심은 가비지 컬렉터(GC)예요. C에서는 free()를 호출해서 직접 메모리를 해제하는데, 이게 use-after-free 버그의 원인이거든요. Fil-C는 free()를 호출해도 실제로는 곧바로 메모리를 회수하지 않고, 가비지 컬렉터가 "아무도 이 메모리를 더 이상 가리키지 않는다"고 확인한 후에 회수해요. 그래서 free된 메모리에 실수로 접근해도 안전하게 처리되는 거죠.

이런 안전 검사는 공짜가 아니에요. 일반적으로 2~5배 정도 느려지는 걸로 알려져 있어요. 하지만 보안이 절대적으로 중요한 영역(예: 네트워크 데몬, 파서)에서는 이 정도 비용이 충분히 받아들일 만하다는 게 Fil-C의 입장이에요.

업계 맥락 — 비슷한 시도들

Fil-C 외에도 C를 안전하게 만들려는 시도는 여럿 있어요. CHERI는 ARM에서 하드웨어 차원에서 fat pointer를 지원하는 아키텍처예요. Morello라는 시제품 칩까지 나와 있는데, 하드웨어 변경이 필요해서 보급에는 한계가 있어요. Checked C는 마이크로소프트에서 진행하던 프로젝트로, C에 검사 가능한 포인터 타입을 추가하는 방식이었는데 지금은 동력을 많이 잃었고요.

그리고 비교 대상으로 빠질 수 없는 게 Rust예요. Rust는 컴파일 타임에 빌림 검사기(borrow checker)로 안전성을 보장해서 런타임 비용이 거의 없어요. 대신 기존 C 코드를 다 다시 써야 한다는 큰 단점이 있죠. Fil-C의 강점은 정확히 이 지점에 있어요. "성능을 좀 포기하더라도 기존 자산을 살린다"는 거예요.

한국 개발자에게 주는 시사점

사실 Fil-C를 당장 프로덕션에 쓰기는 일러요. 아직 실험적인 단계고, 모든 C 라이브러리가 잘 동작한다는 보장도 없어요. 하지만 이런 흐름을 알아두는 건 굉장히 가치 있어요.

임베디드나 시스템 프로그래밍을 하시는 분이라면, 앞으로 "메모리 안전성을 어느 정도까지 컴파일러/런타임에 맡길 것이냐"가 큰 화두가 될 거예요. 미국 정부(CISA, NSA)는 이미 새로운 C/C++ 코드를 가능하면 줄이라고 권고하고 있고, 이런 압력이 결국 한국의 보안 인증이나 발주처 요구사항으로도 흘러올 가능성이 높거든요.

또 컴파일러나 언어 런타임에 관심 있는 분이라면 Fil-C는 정말 좋은 학습 자료예요. fat pointer 구현, 정확한 가비지 컬렉터, 기존 C ABI와의 호환성 문제 — 이런 주제를 한꺼번에 다루는 실제 코드베이스가 흔치 않거든요. 이번에 공개된 단순화 모델 글은 그 입문 단계로 딱 좋아요.

마무리

Fil-C는 "C를 버리지 않고도 안전해질 수 있다"는 가설을 실험하는 흥미로운 프로젝트예요. 성능 비용이 있지만, 시스템 전체를 다시 쓰는 것보다는 훨씬 현실적인 선택지가 될 수 있어요.

여러분이라면 기존 C 프로젝트의 보안을 강화해야 할 때, Rust로 재작성하시겠어요, 아니면 Fil-C 같은 도구로 감싸시겠어요?