이희조 교수 연구팀, 세계 최고 IoT SW보안 기술 인정
세계 3대 보안 학회中 최고 ‘IEEE Security & Privacy’ 논문 채택

▲ 김슬배 연구원

 
모든 것이 지능화(AI) 되어 서로 연결되는 미래 테크노 유토피아에서는 거대 도시의 복잡한 일상을 처리하는 스마트 기술이, 사이버 공격으로 말미암아 발생하는 새로운 재해의 원인으로 작용할지도 모른다.

소프트웨어(SW)를 개발할 때 매우 빈번하게 나타나는 ‘재사용 코드(code clone)’의 문제는 기하급수적으로 늘어나고 있는 사물 인터넷(IoT) 장비와 더불어 각종 버그 및 보안 취약점을 확산시키는 주요 원인이 되고 있다. 실제로 유명 공개 소프트웨어 2,500종을 분석한 결과, 85%에서 재사용 코드가 존재하는 것으로 밝혀졌으며, CCTV, 공유기 등 IoT 장비를 이용한 서비스 거부 공격(DoS)은 점차 다양한 형태로 진화하고 있다.

이 점에 착안한 고려대 이희조 교수(IoT 소프트웨어보안 국제공동연구센터, 센터장) 연구팀은 소프트웨어에 내재된 취약한 ‘재사용 코드’를 획기적으로 자동 탐지하는 기술을 개발하여, 세계 최고 권위의 보안 학술대회인 ‘IEEE Security & Privacy (이하 S&P)’에 채택되는 성과를 이루었다. IEEE S&P는ACM CCS, USENIX Security 와 더불어 보안 분야 세계3대 학회로 꼽힌다.

38회를 맞는 올해 S&P에는 전 세계 연구팀으로부터 450편이 넘는 논문이 제출되었는데, 그중 약 13%에 해당하는 60여 편만이 엄격한 심사 과정을 통과하였으며, 고려대 연구팀의 논문 “A scalable approach for VUlnerable coDe clone DiscoverY (이하 VUDDY)”는 심사위원단 6명으로부터 “SW 취약점을 종전의 기술보다 더 빠르고 정확하게 탐지할 수 있어 실용적 가치가 매우 높은, 현대 SW 생태계에 반드시 필요한 기술이다”라고 호평 받았다.

본 논문을 통해 VUDDY 기술은 美 CMU, UC Irvine 등 타 대학 연구소 기술보다 높은 정확성과 최소 두 배 이상 빠른 전처리 성능과 1,000배 이상 빠른 탐지 성능을 보유한 것이 입증되었고, 작년 4월부터 서비스 중인 “보안취약점 자동분석 플랫폼 – IoT큐브 (https://iotcube.net)”에 구현되어 누구나 사용해 볼 수 있다. 최근 발매된 스마트폰 3종에서 평균 200개의 보안 취약점을 찾아냈고, 전자 대기업 및 글로벌 IT회사에서 SW 개발시 보안검사 절차로 내재화하는 등 이미 활용 사례도 나타나고 있다.

석사 과정임에도 큰 성과를 창출한 고려대 김슬배 연구원은 “알고리즘의 우수성으로 2천만 라인(line)의 스마트폰 소프트웨어도 1.3초 내에 처리하는 높은 성능과 쉬운 사용성까지 보유하여, 앞으로 더 많은 분야에서 활용되었으면 한다”고 밝혔으며, 이희조 센터장은 “향후 IoT 장비의 보안 적합성을 주기적으로 검사하는 등 국내 IoT 산업 발전에도 획기적으로 기여하게 될 것”이라고 말했다.

VUDDY는 오는 5월 23일 미국 세너제이에서 개최되는 S&P에서 전 세계에 발표될 예정이다.

커뮤니케이션팀 남상헌(kize@korea.ac.kr)