최재승 교수 |
세부전공 소프트웨어 보안, 소프트웨어 테스팅, 프로그램 정적 분석 |
연구실 소개 AS709 (연구실) 소프트웨어가 점차 많은 곳에서 사용되고 있는 오늘날, 소프트웨어에 존재하는 버그 및 보안 취약점은 심각한 문제를 일으킬 수 있다. 정보보안 연구실에서는 이런 버그와 취약점들을 자동으로 탐지하여 사전에 제거하는 방법을 연구한다. 구체적으로는 아래와 같은 다양한 기술을 활용하며, 이 상호보완적인 기술들을 결합함으로써 소프트웨어 취약점을 더욱 효과적으로 탐지하는 방법을 연구한다. 정적 분석 (Static Analysis) 정적 분석은 프로그램이 어떻게 작동할지를 실제로 실행시켜보지 않은 채로 어림잡음으로써, 프로그램에서 어떤 오류가 발생할지 예측하는 기술이다. 정적 분석은 필연적으로 오탐을 수반하는데, 이러한 오탐을 줄인 정확한 분석 기법을 개발하는 것이 주요 목표가 된다. 퍼즈 테스팅 (Fuzz Testing) 퍼즈 테스팅은 프로그램을 다양한 입력을 주고 실행해 보는 것을 수없이 반복하여 오류를 일으키는 기술로서, 그 원리는 단순하지만 취약점을 찾아내는 실용적인 방법으로 널리 쓰이고 있다. 이때, 테스팅을 위한 프로그램 입력을 어떤 알고리즘으로 생성하는지가 테스팅의 성능을 크게 좌우하므로, 효과적인 입력 생성 알고리즘을 설계하는 것이 중요한 문제가 된다. 기호 실행 (Symbolic Execution) 기호 실행은 프로그램을 하나의 구체적인 입력이 아닌, 추상화된 기호 입력을 가지고 실행하면서 오류가 발생할 수 있는지 검토하는 것이다. 기호 실행은 하나의 프로그램 실행 경로에 대해 자세히 조사하며 오류 발생 여부를 검사할 수 있지만, 그 속도가 느리기 때문에 어떤 실행 경로를 먼저 검사할지를 효율적으로 결정하는 것이 중요하다.
| |
