고려대, 스마트 콘트랙트 보안 취약점 자동 검출 기술 개발

글자 작게 글자 크게 인쇄하기

오학주 고려대 컴퓨터학과 교수팀은 스마트 콘트랙트 보안 취약점을 자동으로 검출하는 기술인 'SmarTest'를 개발해 보안 분야 최우수 학술대회인 'USENIX 시큐리티 심포지엄 2021'에 발표했다.

해당 기술은 오픈소스 소프트웨어로 '깃허브'에 공개됐으며, 고려대 SW보안연구소(연구소장 이희조)의 '보안 취약점 자동분석 플랫폼(iotcube.net)'에도 공개해 누구나 사용해 볼 수 있도록 했다.

기존 스마트 콘트랙트 취약점 도구들은 크게 두 부류로 나눠진다. 먼저 한 부류는 단순히 보안 취약점 위치만을 보고하는 도구들이다. 많은 취약점을 탐지할 수 있지만 어떠한 경로로 취약점이 발현되는지 찾지 못하기 때문에, 실제로 취약점을 찾았더라도 활용성이 떨어진다. 두 번째 부류는 취약점 뿐 아니라 취약점이 발현되는 경로를 함께 찾아주지만 취약점 검출 능력이 떨어지는 도구들이다.

이러한 기존 기술들과 달리 스마트테스트는 많은 취약점을 자동으로 탐지할 뿐 아니라 취약점이 발현되는 경로까지 효율적으로 찾아준다.

SmarTest 동작 방식, (위) 다수의 스마트 컨트랙트로 구성된 학습 데이터로부터 기호실행을 통하여 취약점을 유발하는 시나리오들을 생성한 후 확률 모델을 생성함. (아래) 학습한 확률 모델을 활용해 새로운 스마트 컨트랙트의 취약점을 빠르게 탐지하는 기호 실행. 이미지, 설명=고려대.
<SmarTest 동작 방식, (위) 다수의 스마트 컨트랙트로 구성된 학습 데이터로부터 기호실행을 통하여 취약점을 유발하는 시나리오들을 생성한 후 확률 모델을 생성함. (아래) 학습한 확률 모델을 활용해 새로운 스마트 컨트랙트의 취약점을 빠르게 탐지하는 기호 실행. 이미지, 설명=고려대.>

연구를 맡은 오학주 교수는 “스마트 콘트랙트 보안 취약점 자동검출 기술이 가지던 기존 한계를 극복했다”며 “향후 블록체인 기술이 안전하게 활용되는데 기여할 수 있을 것”이라고 기대했다.

이번 연구는 과학기술정보통신부 정보보호핵심원천기술개발사업 및 SW컴퓨팅산업원천기술개발사업(SW스타랩) 지원을 받아 수행됐다.

김명희기자 noprint@etnews.com