96% 정밀도·재현율로 취약 코드 탐지
오픈소스·상용SW 숨겨진 부분까지 분석
사이버 보안 위협 선제 대응 가능해져
국내 연구진이 기존 기술 대비 소프트웨어(SW) 취약점을 최대 6배 이상 잘 찾는 기술을 개발했다.
이희조 고려대 컴퓨터학과 교수 연구팀은 미국 보스턴에서 열린 세계 최고 권위보안 학술대회 ‘USENIX Security 2022’에서 취약점 탐지 툴 ‘MOVERY’를 발표, 효율성을 인정받았다
MOVERY는 다양한 코드 형상으로 전파된 취약코드를 높은 정확도로 탐지하는 툴이다. 각각 96%의 정밀도와 재현율을 기록했다. 이는 전파된 취약코드를 최대 6배 이상 더 많이 탐지할 수 있는 수치다.
MOVERY는 테스트에서 Git, LibGDX 등 오픈소스 SW에서 전파된 취약점을 탐지하는 데 성공했다. 깃허브에서 널리 활용되는 10개 유명 오픈소스 SW로부터 400개가 넘는 취약 코드를 탐지했다. 위험도가 높은 취약점은 개발팀에 보고해 개선을 유도했다.
연구팀은 또 공개된 취약 코드 90% 이상이 전혀 다른 코드 형상(syntax)으로 다른 SW에 전파된다는 사실을 밝혀냈다. 이렇게 전파된 취약점은 탐지가 어려울뿐만 아니라, 전체 SW 보안을 위협하여 금전 손실이나 개인 정보 유출 등의 문제로 이어질 수 있다.
연구팀은 MOVERY가 SW 컴포넌트의 숨겨진 취약점 탐지에 유용하게 사용될 수 있다고 설명했다.
우승훈 고려대 박사 연구원(제1저자)은 “MOVERY의 코드레벨 탐지 기술은, 오픈소스뿐 아니라 상용 SW 내에 숨겨진 취약점을 찾아내는 데에도 활용할 수 있다”며 “보안 위협을 선제적으로 찾아내 대응 기회를 제공한다는 점이 의미를 지닌다”고 설명했다.
연구팀은 MOVERY 등 우수 학회에서 발표된 혁신 기술 상용화도 지원한다.
보안취약점 자동분석 플랫폼 서비스 아이오티큐브(https://iotcube.net)에 다양한 SW 취약점 분석 기술을 무료로 공개했다. 누구나 드로그 앤 드롭 방식으로 쉽게 SW 취약점을 분석해볼 수 있다.
최호기자 snoop@etnews.com
원문 기사 링크: https://www.etnews.com/20220926000173