기계학습에 기반한 보안약점의 탐지 및 분류에 관한 연구

Abstract

소프트웨어에 내재되어있는 결함을 통해 발생하는 보안 사고가 늘어나고 있는 추세이다. 이에 소프트웨어 보안 사고는 발생 후에 대처를 하는 것보다 사전에 소프트웨어의 결함을 제거함으로써 예방하는 것이 그에 따른 피해를 줄이는 데 효과적이라는 인식이 전반적으로 공감대를 얻고 있으며, 이러한 인식의 일환으로 우리나라는 2012년 소프트웨어 개발 보안 제도를 만들어 시행 중이다. 소프트웨어 개발보안제도의 핵심은 프로그램의 구현단계에서의 보안 활동인 시큐어코딩이다. 시큐어코딩과 연계된 개발보안 활동은 보안 취약점이 내재되어 있는 소스코드의 특징과 패턴을 찾아내는 것이며, 소스코드의 정확한 분석을 위해 자동화된 정적 분석기의 활용을 권고하고 있다. 그러나 현실적으로는 코딩 방법과 개발자의 스타일에 따라 다양한 형태로 소스코드가 작성 될 수 있기 때문에 보안에 취약하다고 판단되는 패턴을 탐지하기 위한 룰셋을 만들어주고 정적 분석 도구에 적용 시키는 일은 여전히 전문가의 개입을 필요로 한다. 또한 소스코드 분석은 고려해야 될 변수가 많으며, 어떤 취약점을 탐지할 건지에 따라 소스코드를 분석하는 관점을 달리해야하기 때문에 정적분석 도구의 복잡성을 높이고 정확한 진단을 어렵게 만든다는 문제가 있다. 본 연구에서는 이러한 문제를 완화시키기 위한 방법으로 기계학습 알고리즘의 도입을 제안하는 바이다. 기계학습은 최근 음성신호, 자연어 처리, 사물개체 인식 등과 같이 사람의 인지 능력으로 판단할 수 있던 문제 영역을 해결하는 성과를 보이고 있다. 이와 같은 최근 연구 사례를 보았을 때, 전문가의 의해 정의되었던 안전하지 않은 소스코드의 룰셋을 기계학습을 이용해 보안 취약점을 식별하고 탐지할 수 있는지 실험 결과를 통해 알아보고자 한다. 또한 실험 결과를 기반으로 기계학습을 이용한 정적분석의 가능성을 평가하고 발전방향을 제시하고 연구를 마친다.