댓글 0
기사입력 : 2022.09.27 15:42
[시큐리티팩트=김상규 기자] 고려대학교 컴퓨터학과 이희조 교수 연구팀은 기존 기술로는 탐지하기 어려웠던 취약 코드를 정확하게 탐지할 수 있는 MOVERY 기술을 개발했다.
MOVERY는 다양한 코드 형상으로 전파된 취약코드를 높은 정확도로 탐지해 내는 툴이다. MOVERY는 기존 취약점 탐지 기술보다 훨씬 높은 정확도(96% 정밀도 및 96% 재현율)를 기록하여, 전파된 취약코드를 최대 6배 이상 더 많이 탐지할 수 있다. 실제 실험 결과, MOVERY는 Git, LibGDX 등의 소프트웨어에서 전파된 취약점을 탐지하는데 성공했다.
또한 GitHub에서 널리 활용되는 10개의 유명 오픈소스 소프트웨어로부터 400개가 넘는 취약 코드를 탐지했다. 악용이 가능한 위험한 취약점들은 개발팀에 보고해 적절한 조치를 취할 수 있도록 했다.
이희조 고려대 교수팀은 공개된 취약 코드의 대부분이(약 91%) 전혀 다른 코드 형상(syntax)으로 다른 소프트웨어에 전파된다는 사실을 밝혀냈다. 이렇게 전파된 취약점은 탐지가 어려울뿐더러, 전체 소프트웨어 보안을 위협하여 금전 손실이나 개인 정보 유출 등의 문제로 이어지기도 한다.
우승훈 고려대 박사 연구원(제1저자)은 "MOVERY의 코드레벨 탐지 기술은, 오픈소스뿐 아니라 상용 소프트웨어 내에 숨겨진 취약점을 찾아내는 데에도 활용할 수 있다. 즉, 잠재적인 위협 요소로 남아 있지만 손대기 어려웠던 보안 위협을 선제적으로 찾아내 대응 기회를 제공한다는 점이 큰 의미를 지닌다"며 MOVERY의 높은 활용성을 시사했다.
한편 MOVERY는 미국 보스턴에서 열린 세계 최고 권위의 보안 학술대회인 USENIX Security 2022에서 그 효율성을 인정받았다. USENIX Security는 IEEE S&P, ACM CCS와 함께 세계 3대 컴퓨터 보안 우수 학술대회로 꼽힌다.
