고려대, 오픈소스 소프트웨어 취약점 탐지기술 개발

▲우승훈 고려대학교 컴퓨터학과 교수가 지난 8월 11일 미국 애너하임에서 열린 ‘USENIX 시큐리티 2023’에서 발표하고 있다. 사진=고려대

[에너지경제신문 김철훈 기자] 고려대학교(총장 김동원) 컴퓨터학과 이희조 교수 및 우승훈 교수 연구팀은 지난 8월 11일 미국 애너하임에서 열린 세계 최고 권위의 보안 분야 학술대회 ‘USENIX 시큐리티 2023’에서 소프트웨어 취약점 탐지 기술인 ‘V1SCAN’을 발표했다고 25일 밝혔다.

‘USENIX 시큐리티’는 ‘IEEE S&P’, ‘ACM CCS’와 함께 세계 3대 컴퓨터 보안 최우수 학술대회로 꼽힌다.

디지털 전환과 혁신적인 서비스 개발을 위해 오픈소스 소프트웨어 재사용 빈도가 증가하고 있지만, 취약점이 내포된 오픈소스 소프트웨어 재사용은 보안 문제를 야기할 수 있다.

이에 안전한 소프트웨어 생태계 구축을 위해 오픈소스 원데이 취약점 탐지 기술 ‘V1SCAN’을 발표했다. 원데이 취약점이란 소프트웨어 취약점에 대한 패치가 개발됐지만 적용하지 않은 상태 또는 재사용 과정에서 코드가 수정대 알려진 패치를 그대로 적용할 수 없는 상태를 말한다.

V1SCAN은 기존 취약점 탐지에 활용되던 버전기반 및 코드기반 기술들을 개선하고 통합함으로써 오픈소스 소프트웨어 재사용으로 인해 전파된 취약코드를 높은 정확도(96% 정밀도 및 91% 재현율)로 탐지할 수 있다.

V1SCAN은 높은 정확도뿐 아니라 점검된 취약점이 실제로 문제를 일으킬 것인지 아닐지를 필터링할 수 있다는 점에서 기존의 버전기반과 차별성을 지닌다.

기존 기술 기반 취약점 탐지는 77% 오탐을 기록, 취약점이 실질적으로 어떤 문제를 야기할지 판단하는 과정에서부터 시간과 비용이 소요됐다.

그러나 V1SCAN은 4% 이하 오탐 및 기존 기술 대비 1.5배 더 높아진 취약점 탐지율을 보이면서 GitHub 상위 10개 C/C++ 소프트웨어로부터 130개가 넘는 보안 취약점을 탐지하는 데 성공했고, 이들 중 악용이 가능한 위험한 취약점들은 오픈소스 커뮤니티에 공유하여 실용성을 입증했다.

우승훈 고려대 컴퓨터학과 교수는 "취약점으로 인해 발생할 수 있는 보안 위협을 예방하기 위해서는 다각적인 관점에서 소프트웨어를 분석할 필요가 있다"며 "버전기반 및 코드기반 취약점 탐지 기술을 융합해 원데이 취약점을 탐지하는 V1SCAN은 높은 정확도로 보안 위협을 조기에 발견할 수 있고, 이에 선제 대응할 수 있다는 의의를 갖는다"고 설명했다.

이희조 교수 및 우승훈 교수 연구팀은 지난해 소프트웨어 취약점 탐지 기술 ‘MOVERY’, 2021년 오픈소스 소프트웨어 구성요소 탐지기인 ‘CENTRIS’와 같은 국제 학술대회에서 발표한 혁신 기술들을 공개 서비스로 운영하고 있다.

또한, 2016년 론칭한 보안 취약점 자동분석 플랫폼 서비스 ‘아이오티큐브’에서는 드래그앤드롭 방식으로 자동 취약점 분석 관련 연구성과들을 체험해 볼 수 있으며, 기업 환경을 위해서는 래브라도랩스의 래브라도 솔루션이 별도 존재한다.

이번 연구는 과학기술정보통신부 및 정보통신기획평가원의 지원을 받아 수행됐다.

kch0054@ekn.kr