Log4j 취약점 사태나 콜로니얼 파이프라인 랜섬웨어 해킹 공격에서 확인할 수 있듯, 안전한 소프트웨어 생태계 구축은 사회가 함께 풀어가야 할 당면 과제다. 보안을 고려한 스마트 기기 개발과 공급망보안, 그리고 규제 보안 요구사항 증가 등으로 소프트웨어 취약점을 조기에 탐지해 적절한 조치를 취하는 기술의 필요성 역시 더욱 중요해졌다.

고려대학교 컴퓨터학과 이희조 교수 연구팀은 이러한 사회 흐름에 발맞춰, 기존 기술로는 탐지하기 어려웠던 취약 코드를 정확하게 탐지할 수 있는 MOVERY 기술을 개발했다. MOVERY는 미국 보스턴에서 열린 세계 최고 권위의 보안 학술대회인 USENIX Security 2022에서 그 효율성을 인정받았다. USENIX Security는 IEEE S&P, ACM CCS와 함께 세계 3대 컴퓨터 보안 우수 학술대회로 꼽힌다.

MOVERY는 다양한 코드 형상으로 전파된 취약코드를 높은 정확도로 탐지해 내는 툴이다. 과거 이희조 교수 연구팀이 IEEE S&P 2017에서 발표했던 VUDDY 기술은 정확한 취약점 탐지를 목표로 했다면, MOVERY는 취약코드 자체를 더 많이 찾는 방향성에 집중했다.

MOVERY는 기존 취약점 탐지 기술보다 훨씬 높은 정확도(96% 정밀도 및 96% 재현율)를 기록하여, 전파된 취약코드를 최대 6배 이상 더 많이 탐지할 수 있다. 실제 실험 결과, MOVERY는 Git, LibGDX 등의 소프트웨어에서 전파된 취약점을 탐지하는데 성공했다. 또한 GitHub에서 널리 활용되는 10개의 유명 오픈소스 소프트웨어로부터 400개가 넘는 취약 코드를 탐지하였고, 악용이 가능한 위험한 취약점들은 개발팀에 보고해 적절한 조치를 취할 수 있도록 했다.

이희조 고려대 교수팀은 공개된 취약 코드의 대부분이(약 91%) 전혀 다른 코드 형상(syntax)으로 다른 소프트웨어에 전파된다는 사실을 밝혀냈다. 이렇게 전파된 취약점은 탐지가 어려울뿐더러, 전체 소프트웨어 보안을 위협하여 금전 손실이나 개인 정보 유출 등의 문제로 이어지기도 한다.

오픈소스와 공급망 보안 이슈가 커지고 SBOM 활용한 소프트웨어 보안 관리가 요구되는 시기에, MOVERY는 소프트웨어 컴포넌트의 숨겨진 취약점 탐지에 유용하게 사용될 수 있다. 고려대 우승훈(제1저자) 박사 연구원은 "MOVERY의 코드레벨 탐지 기술은, 오픈소스뿐 아니라 상용 소프트웨어 내에 숨겨진 취약점을 찾아내는 데에도 활용할 수 있다. 즉, 잠재적인 위협 요소로 남아 있지만 손대기 어려웠던 보안 위협을 선제적으로 찾아내 대응 기회를 제공한다는 점이 큰 의미를 지닌다"며 MOVERY의 높은 활용성을 시사했다.

이희조 교수팀은 MOVERY, VUDDY와 같이 우수 학회에서 발표된 혁신 기술을 상용화하는 데에도 기여 중이다. 2016년 런칭한 보안취약점 자동분석 플랫폼 서비스 아이오티큐브(iotcube.net)에는 다양한 소프트웨어 취약점 분석 기술들이 무료로 공개되어있으며, 누구나 드로그 앤 드롭 방식으로 쉽게 소프트웨어 취약점을 분석해볼 수 있다. 현재 아이오티큐브 플랫폼은 전세계 141개국에서 약 2만 명이 활용 중이며, 기업 환경을 위해서는 래브라도 솔루션을 별도 제공한다.
* 논문명: MOVERY: A Precise Approach for Modified Vulnerable Code Clone Discovery from Modified Open-Source Software Components
* 저자: 우승훈(제1저자), 홍현지, 최은진, 이희조(교신저자)
* 오픈소스: GitHub (https://github.com/wooseunghoon/MOVERY-public)

한편, 이번 연구는 과학기술정보통신부 및 정보통신기획평가원의 지원을 받아 수행됐다.

이현건 기자 다른기사 보기