고려대학교 컴퓨터학과 이희조 교수 및 우승훈 교수 연구팀이 개발한 오픈소스 구성요소 의존성 분석 기술 CNEPS(Component Dependency Scan)가 소프트웨어 공학분야 최우수 학술대회 ICSE 2024에서 4월 19일 발표됐다.

오픈소스 소프트웨어(Open Source Software, OSS) 재사용이 늘어나면서 상호 복잡하게 얽힌 의존성을 분석하려는 수요도 증가하고 있다. 소프트웨어를 개발할 때 여러 오픈소스를 조합하여 사용하는 경우, 각 구성요소간 의존성을 파악하지 않으면 특정 보안 취약점이나 버그가 전체 공급망 보안에 영향을 미칠 수 있다. 그러나 한 오픈소스가 다양한 버전의 오픈소스에서 재사용되고 구성요소가 중복되는 현상 등으로 인해 의존성 정보를 정확히 파악하는 일은 난제에 가깝다. 

고려대학교 이희조-우승훈 교수 연구팀은 다년간의 오픈소스 보안 연구를 통해 국내외 소프트웨어 공급망보안 강화에 기여해왔다. 2021년 오픈소스 소프트웨어 구성요소 탐지기 CENTRIS, 2022년 소프트웨어 취약점 탐지 기술 MOVERY에 이어 개발된 CNEPS는 오픈소스 내 최소 단위인 ‘모듈’ 개념을 제시한다. ‘모듈’은 특정 오픈소스가 다른 오픈소스 프로젝트에서 라이브러리로 재사용될 수 있는 최소 단위를 의미하며, 모듈간 호출 정보 분석 기술로 의존성을 정확히 재구성하게 한다.

CNEPS를 이용하여 GitHub 기준 상위 100개 유명 오픈소스 소프트웨어 대상 분석 결과, CNEPS는 기존 연구 대비 약 2배 더 많은 의존성을 정확하게 탐지할 수 있다. CNEPS는 기존 219개 대비 435개의 의존성을 10초 미만의 시간 내에 89.9% 정확도와 93.2% 재현율로 식별함으로써 그 우수성을 입증했다.

고려대 이희조 교수(소프트웨어보안연구소 연구소장 겸임)는 “첨단 제품에 포함된 오픈소스는 서로 뿌리처럼 얽혀 있어 상호 의존성 정보를 명확히 파악하기 매우 어렵다”며 “CNEPS는 미국 및 유럽에서 촉발되어 규제화가 활발히 진행 중인 소프트웨어 자재명세서 SBOM(Software Bill of Materials) 생성과 무결성 검증 기술에도 기여할 수 있는 혁신 기술”이라고 설명했다.

고려대 우승훈 교수는 "CNEPS는 기존에 식별하기 어려웠던 구성요소 의존성까지도 정확하게 식별해 냄으로써 추후 발생 가능한 잠재적인 보안 위협 예방의 핵심 기술로 활용될 수 있다"고 밝혔다.

이희조-우승훈 교수 연구팀은 우수 학회에서 발표된 혁신 기술을 공개 서비스로 운영한다. 2016년 런칭한 보안 취약점 자동분석 플랫폼 서비스 '아이오티큐브(iotcube.net)'에서는 드래그앤드롭 방식으로 자동 취약점 분석 관련 연구성과들을 체험해 볼 수 있으며, 기업 사용자는 래브라도랩스의 래브라도 솔루션으로 활용이 가능하다. 

한편, 본 연구는 과학기술정보통신부·정보통신기획평가원(IITP)의 정보보호핵심원천기술개발사업 및 정보통신방송혁신인재양성사업 지원을 통해 수행됐다.