¿ì½ÂÈÆ ±³¼ö |
°í·Á´ëÇб³(ÃÑÀå ±èµ¿¿ø) ÄÄÇ»ÅÍÇаú ÀÌÈñÁ¶ ±³¼ö ¹× ¿ì½ÂÈÆ ±³¼ö ¿¬±¸ÆÀÀº 8¿ù 11ÀÏ ¹Ì±¹ ¾Ö³ÊÇÏÀÓ¿¡¼ ¿¸° ¼¼°è ÃÖ°í ±ÇÀ§ÀÇ º¸¾È ºÐ¾ß Çмú´ëȸ USENIX Security 2023¿¡¼ ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡ ŽÁö ±â¼úÀÎ V1SCANÀ» ¹ßÇ¥Çß´Ù.
- USENIX Security : IEEE S&P, ACM CCS¿Í ÇÔ²² ¼¼°è 3´ë ÄÄÇ»ÅÍ º¸¾È ÃÖ¿ì¼ö Çмú´ëȸ·Î ²ÅÈù´Ù.
µðÁöÅÐ Àüȯ°ú Çõ½ÅÀûÀÎ ¼ºñ½º °³¹ßÀ» À§ÇØ ¿ÀǼҽº ¼ÒÇÁÆ®¿þ¾î Àç»ç¿ë ºóµµ°¡ Áõ°¡ÇÏ°í ÀÖÁö¸¸, Ãë¾àÁ¡ÀÌ ³»Æ÷µÈ ¿ÀǼҽº ¼ÒÇÁÆ®¿þ¾î Àç»ç¿ëÀº º¸¾È ¹®Á¦¸¦ ¾ß±âÇÒ ¼ö ÀÖ´Ù. ÀÌ¿¡ ¾ÈÀüÇÑ ¼ÒÇÁÆ®¿þ¾î »ýÅÂ°è ±¸ÃàÀ» À§ÇÏ¿© ¿ÀǼҽº ¿øµ¥ÀÌ Ãë¾àÁ¡ ŽÁö ±â¼ú V1SCANÀ» ¹ßÇ¥Çß´Ù. ¿øµ¥ÀÌ Ãë¾àÁ¡À̶õ ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡¿¡ ´ëÇÑ ÆÐÄ¡°¡ °³¹ßµÇ¾úÁö¸¸ Àû¿ëÇÏÁö ¾ÊÀº »óÅ ¶Ç´Â Àç»ç¿ë °úÁ¤¿¡¼ Äڵ尡 ¼öÁ¤µÇ¾î ¾Ë·ÁÁø ÆÐÄ¡¸¦ ±×´ë·Î Àû¿ëÇÒ ¼ö ¾ø´Â »óŸ¦ ¸»ÇÑ´Ù.
V1SCANÀº ±âÁ¸ Ãë¾àÁ¡ ŽÁö¿¡ È°¿ëµÇ´ø ¹öÀü±â¹Ý ¹× ÄÚµå±â¹Ý ±â¼úµéÀ» °³¼±ÇÏ°í ÅëÇÕÇÔÀ¸·Î½á ¿ÀǼҽº ¼ÒÇÁÆ®¿þ¾î Àç»ç¿ëÀ¸·Î ÀÎÇØ ÀüÆÄµÈ Ãë¾àÄڵ带 ³ôÀº Á¤È®µµ(96% Á¤¹Ðµµ ¹× 91% ÀçÇöÀ²)·Î ŽÁöÇÒ ¼ö ÀÖ´Ù. V1SCANÀº ³ôÀº Á¤È®µµ»Ó ¾Æ´Ï¶ó Á¡°ËµÈ Ãë¾àÁ¡ÀÌ ½ÇÁ¦·Î ¹®Á¦¸¦ ÀÏÀ¸Å³ °ÍÀÎÁö ¾Æ´ÒÁö¸¦ ÇÊÅ͸µÇÒ ¼ö ÀÖ´Ù´Â Á¡¿¡¼ ±âÁ¸ÀÇ ¹öÀü±â¹Ý°ú Â÷º°¼ºÀ» Áö´Ñ´Ù. ±âÁ¸ ±â¼ú ±â¹Ý Ãë¾àÁ¡ ŽÁö´Â 77% ¿ÀŽÀ» ±â·ÏÇÏ¿©, Ãë¾àÁ¡ÀÌ ½ÇÁúÀûÀ¸·Î ¾î¶² ¹®Á¦¸¦ ¾ß±âÇÒÁö ÆÇ´ÜÇÏ´Â °úÁ¤¿¡¼ºÎÅÍ ½Ã°£°ú ºñ¿ëÀÌ ¼Ò¿äµÆ´Ù. ±×·¯³ª V1SCANÀº 4% ÀÌÇÏ ¿ÀŽ ¹× ±âÁ¸ ±â¼ú ´ëºñ 1.5¹è ´õ ³ô¾ÆÁø Ãë¾àÁ¡ ŽÁöÀ²À» º¸ÀÌ¸é¼ GitHub »óÀ§ 10°³ C/C++ ¼ÒÇÁÆ®¿þ¾î·ÎºÎÅÍ 130°³°¡ ³Ñ´Â º¸¾È Ãë¾àÁ¡À» ŽÁöÇÏ´Â µ¥ ¼º°øÇß°í, À̵é Áß ¾Ç¿ëÀÌ °¡´ÉÇÑ À§ÇèÇÑ Ãë¾àÁ¡µéÀº ¿ÀǼҽº Ä¿¹Â´ÏƼ¿¡ °øÀ¯ÇÏ¿© ½Ç¿ë¼ºÀ» ÀÔÁõÇß´Ù.
¶ÇÇÑ, V1SCAN ±â´ÉÀº SBOM °ü¸®¿¡µµ µµ¿òÀ» ÁÙ ¼ö ÀÖ´Ù. ¼ÒÇÁÆ®¿þ¾î ¸í¼¼¼(Software Bills of Materials; SBOM)ÀÇ Vulnerability Exploitability eXchange(VEX)´Â Ãë¾àÁ¡ À§Çùµµ¿¡ µû¶ó ´ëÀÀ °¡À̵带 Á¦½ÃÇϴµ¥, V1SCANÀÇ ÇÊÅ͸µ ±â´ÉÀ» È°¿ëÇÏ¸é ¾î¶² Ãë¾àÁ¡ºÎÅÍ ´ëÀÀÇØ¾ß ÇÏ´ÂÁö ¿ì¼±¼øÀ§¸¦ ÆľÇÇÒ ¼ö ÀÖ´Ù.
- ³í¹®: V1SCAN: Discovering 1-day Vulnerabilities in Reused C/C++ Open-source Software Components Using Code Classification Techniques
- ³í¹®¸µÅ©: https://www.usenix.org/conference/usenixsecurity23/presentation/woo
¿ì½ÂÈÆ °í·Á´ë ÄÄÇ»ÅÍÇаú ±³¼ö´Â "Ãë¾àÁ¡À¸·Î ÀÎÇØ ¹ß»ýÇÒ ¼ö ÀÖ´Â º¸¾È À§ÇùÀ» ¿¹¹æÇϱâ À§Çؼ´Â ´Ù°¢ÀûÀÎ °üÁ¡¿¡¼ ¼ÒÇÁÆ®¿þ¾î¸¦ ºÐ¼®ÇÒ ÇÊ¿ä°¡ ÀÖ´Ù"¸ç "¹öÀü±â¹Ý ¹× ÄÚµå±â¹Ý Ãë¾àÁ¡ ŽÁö ±â¼úÀ» À¶ÇÕÇÏ¿© ¿øµ¥ÀÌ Ãë¾àÁ¡À» ŽÁöÇÏ´Â V1SCANÀº ³ôÀº Á¤È®µµ·Î º¸¾È À§ÇùÀ» Á¶±â¿¡ ¹ß°ßÇÒ ¼ö ÀÖ°í, ÀÌ¿¡ ¼±Á¦ ´ëÀÀÇÒ ¼ö ÀÖ´Ù´Â ÀÇÀǸ¦ °®´Â´Ù"°í ¼³¸íÇß´Ù.
ÀÌÈñÁ¶ ±³¼ö ¹× ¿ì½ÂÈÆ ±³¼ö ¿¬±¸ÆÀÀº 2022³â ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡ ŽÁö ±â¼ú MOVERY, 2021³â ¿ÀǼҽº ¼ÒÇÁÆ®¿þ¾î ±¸¼º¿ä¼Ò ŽÁö±âÀÎ CENTRIS¿Í °°Àº ¿ì¼ö ÇÐȸ¿¡¼ ¹ßÇ¥µÈ Çõ½Å ±â¼úÀ» °ø°³ ¼ºñ½º·Î ¿î¿µÇÑ´Ù. 2016³â ·±ÄªÇÑ º¸¾È Ãë¾àÁ¡ ÀÚµ¿ºÐ¼® Ç÷§Æû ¼ºñ½º '¾ÆÀÌ¿ÀƼťºê(iotcube.net)'¿¡¼´Â µå·¡±×¾Øµå·Ó ¹æ½ÄÀ¸·Î ÀÚµ¿ Ãë¾àÁ¡ ºÐ¼® °ü·Ã ¿¬±¸¼º°úµéÀ» üÇèÇØ º¼ ¼ö ÀÖÀ¸¸ç, ±â¾÷ ȯ°æÀ» À§Çؼ´Â ·¡ºê¶óµµ·¦½ºÀÇ ·¡ºê¶óµµ ¼Ö·ç¼ÇÀÌ º°µµ Á¸ÀçÇÑ´Ù.
- ¿ÀǼºñ½º: https://iotcube.net
À̹ø ¿¬±¸´Â °úÇбâ¼úÁ¤º¸Åë½ÅºÎ ¹× Á¤º¸Åë½Å±âȹÆò°¡¿øÀÇ Áö¿øÀ» ¹Þ¾Æ ¼öÇàµÆ´Ù.
½ÉÁöÇö ±âÀÚ bodo@emoneynews.co.kr
<ÀúÀÛ±ÇÀÚ © À̸Ӵϴº½º, ¹«´Ü ÀüÀç ¹× Àç¹èÆ÷ ±ÝÁö>