우승훈 교수

고려대학교(총장 김동원) 컴퓨터학과 이희조 교수 및 우승훈 교수 연구팀은 8월 11일 미국 애너하임에서 열린 세계 최고 권위의 보안 분야 학술대회 USENIX Security 2023에서 소프트웨어 취약점 탐지 기술인 V1SCAN을 발표했다. 
- USENIX Security : IEEE S&P, ACM CCS와 함께 세계 3대 컴퓨터 보안 최우수 학술대회로 꼽힌다.

디지털 전환과 혁신적인 서비스 개발을 위해 오픈소스 소프트웨어 재사용 빈도가 증가하고 있지만, 취약점이 내포된 오픈소스 소프트웨어 재사용은 보안 문제를 야기할 수 있다. 이에 안전한 소프트웨어 생태계 구축을 위하여 오픈소스 원데이 취약점 탐지 기술 V1SCAN을 발표했다. 원데이 취약점이란 소프트웨어 취약점에 대한 패치가 개발되었지만 적용하지 않은 상태 또는 재사용 과정에서 코드가 수정되어 알려진 패치를 그대로 적용할 수 없는 상태를 말한다.

V1SCAN은 기존 취약점 탐지에 활용되던 버전기반 및 코드기반 기술들을 개선하고 통합함으로써 오픈소스 소프트웨어 재사용으로 인해 전파된 취약코드를 높은 정확도(96% 정밀도 및 91% 재현율)로 탐지할 수 있다. V1SCAN은 높은 정확도뿐 아니라 점검된 취약점이 실제로 문제를 일으킬 것인지 아닐지를 필터링할 수 있다는 점에서 기존의 버전기반과 차별성을 지닌다. 기존 기술 기반 취약점 탐지는 77% 오탐을 기록하여, 취약점이 실질적으로 어떤 문제를 야기할지 판단하는 과정에서부터 시간과 비용이 소요됐다. 그러나 V1SCAN은 4% 이하 오탐 및 기존 기술 대비 1.5배 더 높아진 취약점 탐지율을 보이면서 GitHub 상위 10개 C/C++ 소프트웨어로부터 130개가 넘는 보안 취약점을 탐지하는 데 성공했고, 이들 중 악용이 가능한 위험한 취약점들은 오픈소스 커뮤니티에 공유하여 실용성을 입증했다.

또한, V1SCAN 기능은 SBOM 관리에도 도움을 줄 수 있다. 소프트웨어 명세서(Software Bills of Materials; SBOM)의 Vulnerability Exploitability eXchange(VEX)는 취약점 위협도에 따라 대응 가이드를 제시하는데, V1SCAN의 필터링 기능을 활용하면 어떤 취약점부터 대응해야 하는지 우선순위를 파악할 수 있다.
- 논문: V1SCAN: Discovering 1-day Vulnerabilities in Reused C/C++ Open-source Software Components Using Code Classification Techniques
- 논문링크: https://www.usenix.org/conference/usenixsecurity23/presentation/woo

우승훈 고려대 컴퓨터학과 교수는 "취약점으로 인해 발생할 수 있는 보안 위협을 예방하기 위해서는 다각적인 관점에서 소프트웨어를 분석할 필요가 있다"며 "버전기반 및 코드기반 취약점 탐지 기술을 융합하여 원데이 취약점을 탐지하는 V1SCAN은 높은 정확도로 보안 위협을 조기에 발견할 수 있고, 이에 선제 대응할 수 있다는 의의를 갖는다"고 설명했다.

이희조 교수 및 우승훈 교수 연구팀은 2022년 소프트웨어 취약점 탐지 기술 MOVERY, 2021년 오픈소스 소프트웨어 구성요소 탐지기인 CENTRIS와 같은 우수 학회에서 발표된 혁신 기술을 공개 서비스로 운영한다. 2016년 런칭한 보안 취약점 자동분석 플랫폼 서비스 '아이오티큐브(iotcube.net)'에서는 드래그앤드롭 방식으로 자동 취약점 분석 관련 연구성과들을 체험해 볼 수 있으며, 기업 환경을 위해서는 래브라도랩스의 래브라도 솔루션이 별도 존재한다.
- 오픈서비스: https://iotcube.net 

이번 연구는 과학기술정보통신부 및 정보통신기획평가원의 지원을 받아 수행됐다.

심지현 기자  bodo@emoneynews.co.kr

<저작권자 © 이머니뉴스, 무단 전재 및 재배포 금지>