고려대, 코드가 바뀌어도 정확히 찾아낸다... 웹 라이브러리 정밀 탐지 기술 ‘DEBUN’ 개발

컴퓨터학과 박지혁 교수팀, ASE 2025에서 연구 성과 발표

△ 박성민 학생(컴퓨터 22)이 AES2025에서 ‘DEBUN’ 기술에 대해 발표하고 있다.

고려대학교(총장 김동원) 컴퓨터학과 박지혁 교수 연구팀이 웹 자바스크립트 라이브러리 정밀 탐지 기술을 개발해, 11월 19일 서울 그랜드워커힐에서 열린 소프트웨어공학 국제 학술대회 ‘ASE 2025(The 40th IEEE/ACM International Conference on Automated Software Engineering)’에서 연구 성과를 발표했다.

ASE는 자동화된 소프트웨어 분석·설계·구현·테스트·유지보수 전 분야를 다루는 세계 최고 권위의 소프트웨어공학 국제 학술대회다. 올해 행사에는 1,000명 이상의 연구자와 산업 전문가들이 참여해 최신 기술 동향을 공유했다.

현대 웹사이트는 다양한 외부 라이브러리를 기반으로 구현되며, 배포 과정에서 코드 구조가 변형되는 문제가 발생한다. 이로 인해 라이브러리의 취약한 종류와 버전을 정확히 파악하기 어렵고, 이는 웹 기반 보안 위협을 키우는 주요 요인으로 지적돼 왔다.

*라이브러리: 특정 기능을 쉽게 구현할 수 있도록 묶어 제공하는 코드 모듈

연구팀은 이러한 문제를 해결하기 위해 코드 구조가 변형되어도 라이브러리 종류와 버전을 안정적으로 구분할 수 있는 정밀 탐지 기술 ‘DEBUN’을 개발했다. 특히, 라이브러리의 고유한 속성 접근 순서를 그래프로 표현하는 ‘속성 순서 그래프’를 적용해, 코드가 손상된 상황에서도 남아 있는 실행 패턴을 기반으로 라이브러리의 정확한 판별이 가능하다. 또한 번들링 및 난독화 환경에서도 일정한 성능을 유지하는 점이 강점이다.

*번들링: 여러 개의 자바스크립트 파일을 하나로 묶어 브라우저 로딩 속도를 향상시키는 과정

연구팀은 트래픽 기준 상위 100개 웹사이트를 대상으로 DEBUN의 성능을 검증했다. 기존 기술이 최대 85개 라이브러리만 식별했던 데 반해, DEBUN은 195개 라이브러리를 탐지해 두 배 이상 높은 성능을 보였다. 또한, 라이브러리 식별 정확도는 96.5%, 재현율은 87.4%로 높은 정밀도를 기록했다.

박지혁 교수는 “DEBUN은 웹사이트 내 자바스크립트 라이브러리를 정밀하게 식별할 수 있는 최신 기술”이라며, “취약한 라이브러리 사용으로 인한 보안 위협을 사전에 차단할 뿐 아니라, SBOM 생성 정확도를 높이는 데에도 의미 있는 역할을 할 것”이라고 말했다.

*SBOM(Software Bill of Materials, 소프트웨어 자재명세서): 소프트웨어에 포함된 라이브러리와 구성요소 목록

본 연구는 과학기술정보통신부와 정보통신기획평가원(IITP)의 정보보호핵심원천기술개발사업 지원을 받아 수행됐다.