이희조 고려대 교수팀 , 취약 코드 탐지 MOVERY 기술 개발

96% 정밀도·재현율로 취약 코드 탐지
오픈소스·상용SW 숨겨진 부분까지 분석
사이버 보안 위협 선제 대응 가능해져

우승훈 고려대 박사 연구원이 USENIX Security 2022에서 발표하는 모습.
우승훈 고려대 박사 연구원이 USENIX Security 2022에서 발표하는 모습.

국내 연구진이 기존 기술 대비 소프트웨어(SW) 취약점을 최대 6배 이상 잘 찾는 기술을 개발했다.

이희조 고려대 컴퓨터학과 교수 연구팀은 미국 보스턴에서 열린 세계 최고 권위보안 학술대회 'USENIX Security 2022'에서 취약점 탐지 툴 'MOVERY'를 발표, 효율성을 인정받았다

MOVERY는 다양한 코드 형상으로 전파된 취약코드를 높은 정확도로 탐지하는 툴이다. 각각 96%의 정밀도와 재현율을 기록했다. 이는 전파된 취약코드를 최대 6배 이상 더 많이 탐지할 수 있는 수치다.

MOVERY는 테스트에서 Git, LibGDX 등 오픈소스 SW에서 전파된 취약점을 탐지하는 데 성공했다. 깃허브에서 널리 활용되는 10개 유명 오픈소스 SW로부터 400개가 넘는 취약 코드를 탐지했다. 위험도가 높은 취약점은 개발팀에 보고해 개선을 유도했다.

연구팀은 또 공개된 취약 코드 90% 이상이 전혀 다른 코드 형상(syntax)으로 다른 SW에 전파된다는 사실을 밝혀냈다. 이렇게 전파된 취약점은 탐지가 어려울뿐만 아니라, 전체 SW 보안을 위협하여 금전 손실이나 개인 정보 유출 등의 문제로 이어질 수 있다.

연구팀은 MOVERY가 SW 컴포넌트의 숨겨진 취약점 탐지에 유용하게 사용될 수 있다고 설명했다.

우승훈 고려대 박사 연구원(제1저자)은 “MOVERY의 코드레벨 탐지 기술은, 오픈소스뿐 아니라 상용 SW 내에 숨겨진 취약점을 찾아내는 데에도 활용할 수 있다”며 “보안 위협을 선제적으로 찾아내 대응 기회를 제공한다는 점이 의미를 지닌다”고 설명했다.

연구팀은 MOVERY 등 우수 학회에서 발표된 혁신 기술 상용화도 지원한다.

보안취약점 자동분석 플랫폼 서비스 아이오티큐브에 다양한 SW 취약점 분석 기술을 무료로 공개했다. 누구나 드로그 앤 드롭 방식으로 쉽게 SW 취약점을 분석해볼 수 있다.

최호기자 snoop@etnews.com