보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

고려대 이희조-우승훈 교수팀, 직접 개발한 CNEPS로 공급망 보안 강화

입력 : 2024-04-22 14:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
제1저자 나윤종 연구원, 4월 19일 열린 SW 공학분야 최우수 학술대회 ICSE 2024 발표

[보안뉴스 김영명 기자] 고려대 컴퓨터학과 이희조 교수 및 우승훈 교수 연구팀은 팀이 직접 개발한 오픈소스 구성요소 의존성 분석 기술 CNEPS(Component Dependency Scan)를 소프트웨어 공학분야 최우수 학술대회 ICSE 2024에서 4월 19일 발표했다고 밝혔다.

▲이번 연구의 제1저자인 고려대 컴퓨터학과 나윤종 연구원이 ICSE 2024에서 발표하고 있다[사진=고려대 융합보안대학원]


오픈소스 소프트웨어(OSS: Open Source Software) 재사용이 늘어나면서 상호 복잡하게 얽힌 의존성을 분석하려는 수요도 증가하고 있다. 소프트웨어를 개발할 때 여러 오픈소스를 조합해 사용하는 경우, 구성요소간 의존성을 파악하지 않으면 특정 보안 취약점이나 버그가 전체 공급망 보안에 영향을 미칠 수 있다. 그러나 하나의 오픈소스가 다양한 버전의 오픈소스에서 재사용되고 구성요소가 중복되는 현상 등으로 인해 의존성 정보를 정확히 파악하는 일은 난제에 가깝다.

고려대 이희조-우승훈 교수 연구팀은 다년간의 오픈소스 보안 연구를 통해 국내외 소프트웨어 공급망 보안 강화에 이바지했다. 연구팀은 2021년 오픈소스 소프트웨어 구성요소 탐지기 ‘CENTRIS’, 2022년 소프트웨어 취약점 탐지 기술 ‘MOVERY’에 이어 개발된 ‘CNEPS’는 오픈소스 내 최소 단위인 ‘모듈’ 개념을 제시한다. 모듈은 특정 오픈소스가 다른 오픈소스 프로젝트에서 라이브러리로 재사용될 수 있는 최소 단위를 의미하며, 모듈간 호출 정보 분석 기술로 의존성을 정확히 재구성하게 한다.

CNEPS를 이용해 깃허브 기준 상위 100개 유명 오픈소스 소프트웨어를 대상으로 분석한 결과 CNEPS는 기존 연구 대비 약 2배 더 많은 의존성을 정확하게 탐지할 수 있다. CNEPS는 기존 219개 대비 435개의 의존성을 10초 미만의 시간 내에 89.9% 정확도와 93.2% 재현률로 식별해 우수성을 입증했다.

고려대 이희조 교수(소프트웨어보안연구소 연구소장 겸임)는 “첨단 제품에 포함된 오픈소스는 서로 뿌리처럼 얽혀 있어 상호 의존성 정보를 명확히 파악하기 매우 어렵다”며 “CNEPS는 미국 및 유럽에서 촉발돼 규제화가 활발히 진행 중인 소프트웨어 자재명세서 SBOM(Software Bill of Materials) 생성과 무결성 검증 기술에도 기여할 수 있는 혁신 기술”이라고 설명했다.

또한 우승훈 교수는 “CNEPS는 기존에 식별하기 어려웠던 구성요소 의존성까지도 정확하게 식별해 추후 발생 가능한 잠재적인 보안 위협 예방의 핵심 기술로 활용될 수 있다”고 밝혔다.

이희조-우승훈 교수 연구팀은 우수 학회에서 발표된 혁신 기술을 공개 서비스로 운영한다. 2016년 론칭한 보안 취약점 자동분석 플랫폼 서비스 ‘아이오티큐브(iotcube)’에서는 드래그앤드롭 방식으로 자동 취약점 분석 관련 연구성과들을 체험해 볼 수 있으며, 기업 사용자는 래브라도랩스의 래브라도 솔루션으로 활용이 가능하다.

한편 이번 연구는 과학기술정보통신부·정보통신기획평가원(IITP)의 정보보호 핵심원천 기술 개발 사업 및 정보통신방송혁신인재양성 사업 지원을 통해 수행됐다. 이번 연구의 논문명은 이며, 저자는 고려대 나윤종 연구원(제1저자), 고려대 이주명(공동저자), 고려대 이희조 교수, 고려대 우승훈 교수(교신저자) 등이다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)