지난 5월 22일, 이희조 교수와 오학주 교수는 소프트웨어에 내재된 취약한 ‘재사용 코드(code clone)’를
획기적으로 자동 탐지하는 기술을 개발해 세계 최고 권위의 보안 학술대회인 ‘IEEE Security & Privacy
(이하 S&P)’에 채택되는 성과를 거뒀다.
소프트웨어를 개발할 때 빈번하게 나타나는 ‘재사용 코드(code clone)’ 문제는 사물 인터넷(IoT) 장비와
각종 버그 등을 확산시키는 주요 원인으로 꼽힌다. 유명 공개 소프트웨어 2,500여종을 분석한 결과
85%에 재사용 코드가 존재하는 것으로 밝혀졌으며, CCTV나 공유기 등 다양한 IoT 장비를 이용한
서비스 거부 공격(DoS)은 점차 다양한 형태로 진화하고 있다.
이 점에 착안해 이 교수 연구팀은 소프트웨어에 내재된 취약한 재사용 코드를 획기적으로 자동 탐지하는
기술을 개발해 S&P에 채택되었다. S&P는 ‘ACM CCS’, ‘USENIX Security’와 더불어 보안 분야
세계 3대 학회로 꼽힌다. 올해 38회를 맞는 S&P에는 전 세계 연구팀으로부터 450편이 넘는 논문이
제출됐다. 이 가운데 약 13%에 해당하는 60여 편만이 엄격한 심사 과정을 통과했다.
이 교수 연구팀의 논문 ‘A scalable approach for VUlnerable coDe clone DiscoverY(이하 VUDDY)’는
심사위원단 6명으로부터 “SW 취약점을 종전의 기술보다 더 빠르고 정확하게 탐지할 수 있어
실용적 가치가 매우 높은 현대 SW 생태계에 반드시 필요한 기술이다”라고 호평을 받았다.
VUDDY 기술은 美 CMU, UC Irvine 등 타 대학 연구소 기술보다 높은 정확성과
최소 2배 이상 빠른 전처리 성능, 1000배 이상 빠른 탐지 성능을 보유한 것이 입증됐다.
지난 2016년 4월부터 서비스 중인 ‘보안취약점 자동분석 플랫폼–IoT큐브(https://iotcube.net)’에
구현돼 누구나 사용해 볼 수 있다. 또한 VUDDY 기술은 최근 발매된 스마트폰 3종에서
평균 200개의 보안 취약점을 찾아냈다. 뿐만 아니라 전자 대기업과 글로벌 IT회사에서
SW를 개발할 때 VUDDY를 보안검사 절차로 내재화하는 등 이미 활용 사례가 나타나고 있다.
VUDDY 기술 개발에는 이 교수팀에서 석사과정을 밟고 있는 김슬배 연구원의 노력이 크게 작용했다.
김 연구원은 “알고리즘의 우수성으로 2000만 라인(line)의 스마트폰 소프트웨어를 1.3초 내에
처리하는 높은 성능을 갖고 있고 사용법 또한 용이해 앞으로 더 많은 분야에서 활용됐으면 한다"고 말했다.
이 교수는 “향후 IoT 장비의 보안 적합성을 주기적으로 검사하는 등 국내 IoT 산업 발전에 획기적으로 기여하게 될 것”이라고 밝혔다.
한편 VUDDY는 5월 23일 미국 새너제이에서 개최되는 S&P를 통해 전 세계에 발표되었다.