오학주 교수팀, 세계 최초 SW테스팅 탐색전략 자동생성 기술 개발

소프트웨어 공학 최고학회 ‘International Conference on Software Engineering’ 채택돼



▲ 왼쪽부터 오학주 교수, 차수영 연구원, 이준희 연구원, 홍성준 연구원

 

4차 산업혁명의 시대, 모든 것이 IT와 연결되는 스마트 세상의 브레인은 바로 소프트웨어(SW)다. 모든 산업이 SW에 의존성을 갖게 되면서 “무결점 소프트웨어”에 대한 수요가 폭발하고 있다. 예를 들어, Microsoft사의 SW 테스팅 도구 ‘SAGE’는 Windows 7 운영체제의 보안 취약점 중 30%를 검출하는데 성공하여, 회사가 수백만 달러를 절약할 수 있도록 도와주었다.


여기에 사용된 기법이 바로 콘콜릭 테스팅(CONCOLIC Testing)으로, 일반 및 기호(CONCrete + symbOLIC) 실행의 2가지 방법으로 SW를 테스트하여, 탐지 범위와 취약점 검출율을 높이는 효과적인 SW 테스팅 기법이다.



그러나 기존 콘콜릭 테스팅 기술의 한계는 바로 ‘탐색 전략‘에 의해 크게 성능이 좌우된다는 것으로, 많은 테스팅 전문가들이 각각 SW에 맞춰 수동으로 탐색 전략을 만들어왔다. 하지만 이렇게 수작업으로 만들어진 탐색 전략들은 모든 SW에서 일관된 성능을 내는 탐색 전략이 없었다.



이에 고려대학교 정보대학 컴퓨터학과 오학주 교수 연구팀은 이러한 난제를 극복하기 위해 대상 소프트웨어에 최적화된 탐색 전략을 자동으로 생성하는 기술을 개발하여, 세계 최고 권위의 소프트웨어 공학 학술대회인 ‘International Conference on Software Engineering (이하 ICSE)’에 채택되는 성과를 이뤘다.




지난 5월 27일 스웨덴 예테보리에서 개최된 ICSE에는 전 세계 500편이 넘는 논문이 제출됐는데, 고려대 연구팀의 논문 “Automatically Generating Search Heuristics for Concolic Testing”는 심사위원단으로부터 “대상 프로그램마다 특성이 다른데 탐색 전략을 그에 맞게 자동으로 조정하는 것은 매우 새롭고 흥미로운 기술”이라고 호평 받았다.


특히, 이 기술은 기존 학계에 알려진 5개의 탐색 전략들보다 높은 분기문 커버리지를 달성했다. 또한 이 기술을 활용하면 소프트웨어의 취약점의 탐지 범위를 기존보다 최대 20배까지 향상시킬 수 있어, 향후 전 세계의 모든 SW 기업들의 수요가 있을 것으로도 예상된다.


ParaDySE라 명명된 본 기술은 현재 서비스 중인 “보안 취약점 자동분석 플랫폼, IoT큐브(https://iotcube.net)”에 구현되어 누구나 사용할 수 있으며, 깃허브에도 오픈소스로 공개(https://github.com/kupl/ParaDySE)되어 있다.



연구에 참여하고 학술대회에서 직접 발표한 고려대 차수영 연구원은 “본 탐색 전략 자동생성 기술이 더욱 다양한 소프트웨어의 취약점을 검출하는데 활용되었으면 한다.”고 소감을 밝혔다.

 

 

 

 

출처 : 커뮤니케이션팀 서민경(smk920@korea.ac.kr)