고려대 이희조 교수팀, 취약점 최초 발생 지점 탐지기술 ‘V0Finder’ 개발

취약점 최초 근원지 탐지기술로 소프트웨어 보안성 강화

[보안뉴스 이상우 기자] 고려대학교 컴퓨터학과 이희조 교수(소프트웨어보안 연구소장) 연구팀이 소프트웨어 보안취약점의 최초 근원지(취약점이 최초 발현된 소프트웨어와 그 버전 정보)를 자동화된 방식으로 정확하게 탐지하는 기술을 개발해 보안 취약점 관리 및 공급망 보안 향상에 기여하는 성과를 거뒀다.

▲V0Finder 개발팀[사진=고려대학교]

소프트웨어 개발 시 오픈소스 소프트웨어를 재사용하는 것은 개발과정에서의 하나의 트렌드로 자리잡았다. 이런 소프트웨어 개발 환경에서, 특정 오픈소스 소프트웨어에서 발견된 취약점은 해당 오픈소스 소프트웨어를 재사용하는 다른 소프트웨어로 전파될 가능성이 존재한다. 전파된 취약점을 적시에 탐지하지 못하면, 개발자들은 취약점이 내포되어 있는 오픈소스를 활용해서 소프트웨어를 개발하게 되며, 이는 곧 전체 소프트웨어의 보안성을 위협한다.

의학계에서 전염병의 첫 번째 감염자를 탐지하는 것은 광범위한 확산을 방지하기 위해 매우 중요한 요인이 된다. 마찬가지로, 소프트웨어 보안취약점의 최초 근원지를 정확하게 탐지하는 것이 전파된 취약점의 조기 탐지에 큰 영향을 미친다는 점에 착안해 고려대 우승훈 박사과정 연구원을 비롯한 이희조 교수팀은 자동화된 방식으로 정확하게 취약점의 최초 근원지, 즉 취약점이 최초로 발생한 지점을 의미하는 ‘Vulnerability Zero’를 탐지하는 기술인 ‘V0Finder’를 개발했다.

V0Finder는 취약점의 최초 근원지를 높은 정확도(98% 정밀도 및 95% 재현율)로 탐지해 낼 수 있는 자동화된 툴이다. 이희조 교수팀은 V0Finder를 활용해 취약점의 올바른 최초 근원지가 제공되면, 전파된 취약점을 조기에 발견하고 패치를 적용할 수 있다는 사실을 밝혀냈다. 구체적으로, 이번 연구는 보안취약점에 대한 국제표준 식별번호인 CVE(Common Vulnerabilities and Exposures) 취약점의 올바른 최초 근원지가 제공되는 경우, 개발자들이 전파된 CVE 취약점을 평균 1년 이내에 패치할 수 있었던 반면, 근원지가 잘못된 CVE의 경우 이를 사용하는 소프트웨어는 2배 이상 패치 시간이 지연된다는 사실을 입증했다.

또한, 연구팀은 V0Finder를 활용해 현재의 공개 취약점 데이터베이스가 잘못된 최초 근원지 정보를 제공하는 96개의 CVE 취약점을 발견했다. 이는 검증에 사용된 5,671개 CVE의 2%에서 취약한 소프트웨어 정보가 잘못되어 있는 것을 의미하며, 해당 CVE 취약점들에 대한 올바른 최초 근원지 정보를 CNA(CVE Numbering Authority, CVE번호 부여 기관)에 보고했다. 즉각적으로 수정이 이루어진 사례를 포함해 CNA로부터 내용을 확인한 후, 취약점 데이터베이스에 반영하겠다는 답변을 받았다.

미국 국립표준기술연구소(NIST)의 국가 취약성 데이터베이스(NVD) 및 CVE를 감독하는 비영리 단체인 CVE MITRE를 비롯한 현재 공개 취약점 데이터베이스들은, 취약점 보고를 받았을 때 전달받은 최초 근원지 정보를 검증하거나 혹은 올바른 최초 근원지를 탐지하려고 시도하지 않는다. 또한, 특정 소프트웨어 개발 및 보안팀이 버그 바운티 프로그램 등으로 취약점을 보고 받았을 때, 타사 소프트웨어(third-party software)에서 발견된 취약점일지라도 그들은 자체 소프트웨어의 취약점으로 보고하는 경향이 많다. 이는 취약점이 잘못된 최초 근원지 정보가 공개 취약점 데이터베이스로 제공되는 원인이 된다.

고려대 연구팀의 V0Finder는 세계 최고 권위의 보안 학술대회인 'USENIX Security 2021'에서 그 효율성을 인정받고, 이 내용을 8월 14일 오전(한국시간) 논문으로 발표했다.

소프트웨어 취약점을 조기에 탐지하고 이를 해결하는 것은 안전한 소프트웨어 생태계를 구축하기 위한 가장 첫 걸음이다. 취약점의 올바른 최초 근원지가 제공되면, 소프트웨어 개발 및 보안팀들은 그들이 재사용하고 있는 오픈소스 소프트웨어가 CVE 취약점의 최초 근원지에 영향을 받는지를 확인할 수 있게 되며, 결과적으로 소프트웨어 보안성을 향상시킬 수 있다. 오픈소스 소프트웨어 단위의 취약점 점검과 더불어, 소스코드 레벨에서의 CVE 취약점 스캐닝까지 진행한다면 전파된 취약점의 위협을 더 효율적으로 대응할 수 있다.

이희조 교수는 “취약점의 최초 근원지 정보가 올바르게 제공되면 전파된 취약점 해결이 더 효율적이고 더 빠르게 이루어진다는 이번 연구결과는 취약점으로 인한 보안위협의 조기 예방에 큰 도움이 될 것이며, 궁극적으로 안전한 소프트웨어 개발 및 취약점 관리 생태계에 직접적인 기여를 할 것”이라고 기대했다.
[이상우 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)