[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¼ÒÇÁÆ®¿þ¾î °³¹ß ¹æ¹ý·Ð¿¡ ÀÖ¾î¼ ÀÏ°üÀûÀ¸·Î ¹Ýº¹ »ý»êÇÒ ¼ö Àִ ü°è´Â °¡Àå ÀÌ»óÀûÀÌ°í È¿À²ÀûÀÎ °ÍÀ¸·Î ²ÅÈù´Ù. ¶ÇÇÑ °³¹ß ÇÁ·ÎÁ§Æ®ÀÇ ´ÜÀ§°¡ ÀÚ²Ù¸¸ Ä¿Áö¸é¼ ¾î´À »õ ¡®ÇʼöÀû¡¯ÀÎ °ÍÀÌ µÇ¾î¹ö·È´Ù. ÀÌ·± »óȲ¿¡¼ ³ë½ºÀ̽ºÅÏ´ëÇÐ(Northeastern University)ÀÇ ¿¬±¸¿øµéÀÌ ÀÏ°üÀûÀÌÁö ¾ÊÀº ÇÁ·Î±×·¡¹Ö ¿ä¼ÒµéÀ» ŽÁöÇÔÀ¸·Î½á ¹ö±×¿Í Ãë¾àÁ¡À» Àâ¾Æ³¾ ¼öµµ ÀÖ´Ù°í ÁÖÀåÇÏ°í ³ª¼¹´Ù.
[À̹ÌÁö = Pixabay]
¿©±â¼ ¿¬±¸¿øµéÀÌ ¸»ÇÏ´Â ¡®ÀÏ°üÀûÀÌÁö ¾ÊÀº ÇÁ·Î±×·¡¹Ö ¿ä¼Ò¡¯¶õ ¡®ÄÚµå ½º´ÏÆê(code snippet)¡¯À» ¸»ÇÑ´Ù. ÄÚµå ½º´ÏÆêÀº ¡®ÄÚµå Á¶°¢¡¯À¸·Îµµ ¹ø¿ªµÇ´Âµ¥, ÇÁ·Î±×·¡¹Ö µÈ ÄÚµåÀÇ ÀÛÀº ÀϺθ¦ °¡¸®Å°¸ç, ´Ù¾çÇÑ ÇÁ·Î±×·¡¹Ö ÇÁ·ÎÁ§Æ®¿¡¼ Àç»ç¿ë °¡´ÉÇÏ´Ù. ´Ù¸¸ ƯÁ¤ ±â´ÉÀ» ¼öÇàÇÏ°í ¹®Á¦¸¦ ÇØ°áÇÏ´Â µ¥ ÀÖ¾î Àüü ÇÁ·Î±×·¡¹ÖÀÇ ¹æ¹ý ¹× Á¢±Ù¹ýÀÌ ´Þ¶óÁú ¼ö(Áï ÀÏ°üÀûÀÌÁö ¾ÊÀ» ¼ö) ÀÖ´Ù.
³ë½ºÀ̽ºÅÏ´ëÇÐÀÇ ¿¬±¸¿øµéÀÇ ÁÖÀåÀº ÀÌ·± ÄÚµå ½º´ÏÆêµé°ú ³ª¸ÓÁö ÄÚµå ¿ä¼ÒµéÀ» ºñ±³ÇÏ¿© ÀÏ°üÀûÀÌÁö ¾ÊÀº ºÎºÐµéÀ» ÆľÇÇÔÀ¸·Î½á º¸¾È ¹®Á¦ Áß ÀϺΰ¡ ÇØ°áµÉ ¼ö ÀÖ´Ù´Â °ÍÀÌ´Ù. ÀÌ·¯ÇÑ Á¢±Ù¹ýÀ» ¿¬±¸¿øµéÀº ÇȽº(FICS)¶ó°í ºÎ¸¥´Ù. ¡®±â´ÉÀûÀ¸·Î À¯»çÇÏÁö¸¸ ÀÏ°ü¼ºÀÌ ºÎÁ·ÇÑ ÄÚµå ½º´ÏÆê(Functionally-similar yet Inconsistent Code Snippet)¡¯À̶ó´Â ¸»ÀÇ Áظ»ÀÌ´Ù. ±×¸®°í ½ÇÁ¦ ÇȽº¸¦ »ç¿ëÇØ ´Ù¼¸ °³ÀÇ ¿ÀǼҽº ÇÁ·ÎÁ§Æ®¸¦ ºÐ¼®ÇØ 22°³ÀÇ »õ·Î¿î Ãë¾àÁ¡°ú ¹ö±×¸¦ ã¾Æ³Â´Ù°í ÇÑ´Ù.
ÇȽº°¡ ±âÁ¸ ÄÚµå ºÐ¼® ¹æ¹ý·ÐµéÀ» ´ëüÇÒ Çõ½ÅÀûÀÎ ÄÚµå Á¡°Ë¹ýÀÎ °ÍÀº ¾Æ´Ï´Ù. ¿¬±¸¿øµéµµ ÀÌ Á¡À» °Á¶ÇÏ°í ÀÖ´Ù. ±×Àú Äڵ带 ºÐ¼®ÇØ Ãë¾àÁ¡À» ã¾Æ³»¾ß ÇÏ´Â ºÐ¼®°¡µé¿¡°Ô »õ·Î¿î ¹«±â°¡ Çϳª ´õ »ý°å´Ù´Â Â÷¿ø¿¡¼ ¿¬±¸ ¼º°ú¸¦ ¹Ù¶óº¼ ¼ö ÀÖ´Ù°í ¿¬±¸¿ø Áß ÇÑ ¸íÀÎ ¸¸¼ö¸£ ¾Æ¸¶µð(Mansour Ahmadi)´Â °Á¶ÇÑ´Ù. ¾Æ¸¶µð´Â ÇöÀç ¾Æ¸¶Á¸ÀÇ º¸¾È ¿£Áö´Ï¾îÀ̱⵵ ÇÏ´Ù.
¡°ÄÚµåÀÇ Á¤Àû ºÐ¼®°ú °°Àº ¹æ¹ý·Ð¿¡ ÀÖ¾î¼ Á¦ÀÏ Áß¿äÇÑ °Ç ¡®Ã£¾Æ³»·Á´Â Ãë¾àÁ¡ÀÌ ±âÁ¸¿¡ ¹ß°ßµÈ Ãë¾àÁ¡À̾î¾ß ÇÑ´Ù¡¯ ȤÀº ¡®Á¤Àû ºÐ¼® ¹æ¹ý·Ð¿¡ ÀÔ·ÂµÈ ÆÐÅÏ°ú ¸Â¾Æ¶³¾îÁ®¾ß ÇÑ´Ù¡¯´Â °ÍÀÔ´Ï´Ù. ±×·±µ¥ ½Ã½ºÅÛ¿¡ ÀÌÀü¿¡ ¾Ë·ÁÁöÁö ¾ÊÀº Ãë¾àÁ¡ÀÌ ÀÖ´Ù°í ÇÏ¸é ¾î¶³±î¿ä? Á¤Àû ºÐ¼®À¸·Î´Â ã¾Æ³»Áö ¸øÇÕ´Ï´Ù. ÇÏÁö¸¸ ¡®ÇȽº¡¯¸¦ »ç¿ëÇϸé Àâ¾Æ³»´Â °Ô °¡´ÉÇÕ´Ï´Ù.¡±
ÇȽº´Â ¸Ó½Å·¯´×À» ±â¹ÝÀ¸·Î ÇÑ ±â¼úÀÌ´Ù. ´Ù¸¸ ´Ù¸¥ À¯»ç ÇÁ·ÎÁ§Æ®µé°ú ´Þ¸® ¡®ÆÐÅÏ¡¯ ȤÀº ¡®½Ã±×´Ï󡯸¦ ã¾Æ³»´Â °Ô ÀΰøÁö´ÉÀÇ ¸ñÀûÀº ¾Æ´Ï´Ù. ƯÁ¤ ±â´ÉÀ» ¼öÇàÇ쵂 ºñ½ÁÇÑ ±â´ÉÀ» °¡Áø ´Ù¸¥ ¿ä¼Òµé°ú ´Ù¸¥ ¹æ¹ý ȤÀº Á¢±Ù¹ýÀ» °¡Áö°í ÀÖ´Â ½º´ÏÆêµéÀ» ã¾Æ³»´Â °ÍÀÌ ¸ñÀûÀÌ´Ù. ¡°¹Ù¿îµå È®ÀÎÀ» ÇÏÁö ¾Ê´Â ´Ü¼ø ¹ö±×ºÎÅÍ UaF¿Í °°Àº º¹ÀâÇÑ ¹ö±×±îÁö, Äڵ庣À̽º¿¡ ¹ö±×°¡ ¾ø´Â ÄÚµå ½º´ÏÆê°ú, ±×¿Í À¯»çÇÏÁö¸¸ ¹ö±×°¡ ¸¹Àº ÄÚµå ½º´ÏÆêÀÌ °øÁ¸ÇÏ°í ÀÖ´Ù¸é ÇȽº¸¦ ÅëÇØ ÀÌ ¹ö±×µéÀ» ã¾Æ³»´Â °Ç °¡´ÉÇÑ ÀÏÀÔ´Ï´Ù.¡±
ÀÌ·¯ÇÑ ¡®Á¶°Ç¡¯ ¶§¹®¿¡ ÇȽº°¡ Àß ÅëÇÏ´Â ÇÁ·ÎÁ§Æ®°¡ ÀÖ°í ±×·¸Áö ¾ÊÀº ÇÁ·ÎÁ§Æ®°¡ ÀÖ´Ù. Àß ÅëÇÏ´Â °Ç ´ç¿¬È÷ ¿©·¯ ½º´ÏÆêÀÌ È°¿ëµÈ ¡®¾î´À Á¤µµ ±Ô¸ð¸¦ °®Ãᡯ ÇÁ·ÎÁ§Æ®µéÀÌ´Ù. ¡°¿©·¯ °³¹ßÀÚµéÀÌ ¸¸µé¾î ³õÀº ¿ä¼ÒµéÀ» Â¥±é±â ÇÏ´Â °ÍÀÌ ¿äÁò ¼ÒÇÁÆ®¿þ¾î °³¹ß ¹æ½ÄÀÌÁÒ. ±×·± Â¥±é±â ¿ä¼Ò°¡ ¸¹ÀÌ °¡¹ÌµÈ ÇÁ·ÎÁ§Æ®Àϼö·Ï ÇȽºÀÇ ¹æ¹ý·ÐÀº ³ôÀº Á¤È®µµ¸¦ º¸ÀÔ´Ï´Ù.¡±
ÇȽº´Â ±× ÀÚü·Î ¡®º¸¾È ¹æ¹ý·Ð¡¯À¸·Î¼ °³¹ßµÈ °ÍÀº ¾Æ´Ï´Ù. Ãë¾àÁ¡º¸´Ù´Â ¹ö±×¸¦ ã´Â °Í¿¡ ´õ ÀûÇÕÇϱ⵵ ÇÏ´Ù. ´Ù¸¸ ±×·¯ÇÑ °úÁ¤ Áß¿¡ Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ´Â °Ô ²Ï³ª ³ôÀº È®·ü·Î ¹Ýº¹µÇ¾ú´Ù´Â °Ô ¿¬±¸¿øµéÀÇ ¼³¸íÀÌ´Ù. ¡°½ÇÇèÀ» ÁøÇàÇÏ¸é¼ ¸Þ¸ð¸® À¯Ãâ, »ç¿ëÀÚ ÀԷ°ª È®ÀÎ, ¿Ã¹Ù¸£Áö ¾ÊÀº ŸÀÌÇÁij½ºÆà µîÀ» ã¾Æ³Â½À´Ï´Ù. ±×¸®°í ¸î °³¿¡´Â CVE ¹øÈ£¸¦ ºÎ¿©ÇØ ´Þ¶ó°í ½Åû±îÁö ÇÑ »óÅÂÀÔ´Ï´Ù.¡±
À̹ø ¿¬±¸ °á°ú´Â ¿ÃÇØ 8¿ù ¿¸± À¯Áî´Ð½º ½ÃÅ¥¸®Æ¼ ÄÁÆÛ·±½º(USENIX Security Conference)¸¦ ÅëÇØ »ó¼¼È÷ ¹ßÇ¥µÉ ¿¹Á¤ÀÌ´Ù. °ü·Ã ³»¿ëÀº ¿©±â(https://www.usenix.org/conference/usenixsecurity21/presentation/ahmadi)¼ Á¶±Ý ´õ ¿¶÷ÇÒ ¼ö ÀÖ´Ù.
ÇöÀç ¿¬±¸¿øµéÀº ¡°ÇȽºÀÇ ÀÛµ¿ ¿ø¸® ¶§¹®¿¡ À߸øµÈ ŽÁö °á°ú°¡ ³ª¿À´Â °æ¿ì¡±¸¦ ³õ°í Á» ´õ ½Éµµ ±íÀº ¿¬±¸¸¦ ÁøÇà Áß¿¡ ÀÖ´Ù°í ÇÑ´Ù. ÀÌ´Â °³¹ßÀÚ°¡ ¡®¹ö±×°¡ ¸¹Àº¡¯ ȤÀº ¡®¿Ã¹Ù¸£Áö ¾ÊÀº¡¯ ½º´ÏÆêÀ» Á¤»ó ½º´ÏÆ꺸´Ù ´õ ¸¹ÀÌ »ç¿ëÇÑ °æ¿ì´Ù. ±×·² ¶§¸é ¸Ó½Å·¯´× ¾Ë°í¸®ÁòÀÌ ºñÁ¤»óÀ» Á¤»óÀ¸·Î ÀÎÁöÇÒ ¼ö ÀÖ´Ù. Áï ¿À¿°µÈ ÇнÀ µ¥ÀÌÅÍ°¡ ÁÖÀÔµÊÀ¸·Î½á À߸øµÈ °á°ú°¡ ³ª¿À´Â °ÍÀÌ´Ù. ¡°ÇÏÁö¸¸ ÇöÀç±îÁöÀÇ Á¶»ç °á°ú, ÀÌ·± »ç·Ê´Â ±ØÈ÷ µå¹® °ÍÀ¸·Î º¸ÀÔ´Ï´Ù. ÀúÈñ°¡ Á¶»çÇßÀ» ¶§ µü ÇÑ °æ¿ì¸¸ ¿©±â¿¡ ÇØ´çµÇ´Â °ÍÀ¸·Î ºÐ¼®µÆ½À´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ÄÚµå ½º´ÏÆêµé¿¡¼ ¹ö±×¸¦ ¼Õ½±°Ô ã¾Æ³»´Â ¹æ¹ýÀÌ »õ·Ó°Ô °³¹ßµÊ.
2. ÀÌ ¹æ¹ýÀÇ À̸§Àº ¡®ÇȽº¡¯¶ó°í Çϴµ¥, ÀÇ¿Ü·Î Ãë¾àÁ¡À» ã¾Æ³»´Â µ¥¿¡µµ µµ¿òÀÌ µÊ.
3. Á¤È®ÇÑ ³»¿ëÀº 8¿ù¿¡ ¹ßÇ¥µÉ ¿¹Á¤À̸ç, ÇöÀç´Â ƯÀÌÇÑ °æ¿ìÀÇ ¼öµéÀÌ ¿¬±¸µÇ°í ÀÖÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>