보안취약점 최초 근원지 탐지기술로 SW보안성 제고

이희조 고려대 교수팀
취약점 발생 지점 탐지기술 개발
보안 학술대회서 관련 논문 발표

[정보통신신문=박광하기자]

이희조 고려대학교 컴퓨터학과 교수(소프트웨어보안 연구소장)연구팀은 소프트웨어(SW) 보안취약점의 최초 근원지(취약점이 최초 발현된 SW와 그 버전 정보)를 자동화된 방식으로 정확하게 탐지하는 기술을 개발했다고 최근 밝혔다. 개발된 기술은 향후 보안 취약점 관리 및 공급망 보안 향상에 기여할 것으로 보인다.

SW 개발 시 오픈소스 SW를 재사용 하는 것은 개발 과정에서의 하나의 트렌드로 자리잡았다.

이런 SW 개발 환경에서, 특정 오픈소스 SW에서 발견된 취약점은 해당 오픈소스 SW를 재사용하는 다른 SW로 전파될 가능성이 존재한다. 전파된 취약점을 적시에 탐지하지 못하면, 개발자들은 취약점이 내포돼 있는 오픈소스를 활용해서 SW를 개발하게 되며, 이는 곧 전체 SW의 보안성을 위협한다.

의학계에서 전염병의 첫 번째 감염자를 탐지하는 것은 광범위한 확산을 방지하기 위해 매우 중요한 요인이 된다. 마찬가지로, SW 보안취약점의 최초 근원지를 정확하게 탐지하는 것이 전파된 취약점 조기 탐지에 큰 영향을 미친다는 점에 착안해 우승훈 고려대 박사과정 연구원을 비롯한 이희조 교수팀은 자동화된 방식으로 정확하게 취약점의 최초 근원지, 즉 취약점이 최초로 발생한 지점을 의미하는 'Vulnerability Zero'를 탐지하는 기술인 'V0Finder'를 개발했다.

V0Finder는 취약점의 최초 근원지를 높은 정확도(정밀도 98%, 재현율 95%)로 탐지해 낼 수 있는 자동화된 툴이다. 이희조 교수팀은 V0Finder를 활용해 취약점의 올바른 최초 근원지가 제공되면, 전파된 취약점을 조기에 발견하고 패치를 적용할 수 있다는 사실을 밝혀냈다.

구체적으로, 이번 연구는 보안취약점에 대한 국제 표준 식별번호인 CVE(Common Vulnerabilities and Exposures) 취약점의 올바른 최초 근원지가 제공되는 경우, 개발자들이 해당 전파된 CVE 취약점을 평균 1년 이내에 패치 할 수 있었던 반면, 근원지가 잘못된 CVE의 경우 이를 사용하는 SW는 2배 이상 패치 시간이 지연된다는 사실을 입증했다.

또한, 연구팀은 V0Finder를 활용해 현재의 공개 취약점 데이터베이스가 잘못된 최초 근원지 정보를 제공하는 96개의 CVE 취약점을 발견했다. 이는 검증에 사용된 5671개 CVE의 2%에서 취약한 SW 정보가 잘못돼 있는 것을 의미하며, 해당 CVE 취약점들에 대해 올바른 최초 근원지 정보를 CVE번호 부여 기관인 'CNA(CVE Numbering Authority)'에 보고했다. 즉각적으로 수정이 이뤄진 사례를 포함해, CNA로부터 내용을 확인 후 취약점 데이터베이스에 반영하겠다는 답변을 받았다.

미국 국립표준기술연구소(NIST)의 국가 취약성 데이터베이스(NVD) 및 CVE를 감독하는 비영리 단체인 CVE MITRE를 비롯한 현재 공개 취약점 데이터베이스들은 취약점 보고를 받았을 때 전달받은 최초 근원지 정보를 검증하거나, 혹은 올바른 최초 근원지를 탐지하려고 시도하지 않는다.

또한, 특정 SW 개발 및 보안팀이 버그 바운티 프로그램 등으로 취약점을 보고 받았을 때, 타사 SW(third-party software)에서 발견된 취약점일지라도 그들은 자체 SW의 취약점으로 보고하는 경향이 많다.

이는 취약점이 잘못된 최초 근원지 정보와 함께 공개 취약점 데이터베이스를 통해 제공되는 원인이 된다.

고려대 연구팀의 V0Finder는 세계 최고 권위의 보안 학술대회인 'USENIX Security 2021'에서 그 효율성을 인정받고, 이 내용을 8월 14일 오전(한국시각) 논문으로 발표했다.

논문명은 'V0Finder: Discovering the Correct Origin of Publicly Reported Software Vulnerabilities'이며, 저자는 우승훈(제1저자), 이동욱, 박성한, 이희조(교신저자), Sven Dietrich(뉴욕시립대학교) 등이다.

SW 취약점을 조기에 탐지하고 이를 해결하는 것은 안전한 SW 생태계를 구축하기 위한 가장 첫 걸음이다.

취약점의 올바른 최초 근원지가 제공되면, SW 개발 및 보안팀들은 그들이 재사용하고 있는 오픈소스 SW가 CVE 취약점의 최초 근원지에 영향을 받는지를 확인할 수 있게 되며, 결과적으로 SW 보안성을 향상시킬 수 있다.

오픈소스 SW 단위의 취약점 점검과 더불어, 소스코드 레벨에서의 CVE 취약점 스캐닝까지 진행한다면, 전파된 취약점의 위협을 더 효율적으로 대응할 수 있다.

연구를 주도한 이희조 고려대 교수는 "취약점의 최초 근원지 정보가 올바르게 제공되면 전파된 취약점 해결이 더 효율적이고 더 빠르게 이뤄진다는 이번 연구결과는 취약점으로부터 인한 보안 위협의 조기 예방에 큰 도움이 될 것"이라며 "궁극적으로 안전한 SW 개발 및 취약점 관리 생태계에 직접적인 기여를 할 것"이라고 기대했다.

박광하 기자 다른기사 보기