※ 개발한 SW결과의 활용성, 유용성을 판단할 수 있도록 가급적 충분하고 상세하게 작성함
※ 그림, 표 등을 적절히 활용하여 내용이 일목요연하고 쉽게 전달되도록 표현함
구성항목 세부 구성항목 세부 구성항목 설명
analysis system based on the source code
2.1 출원번호 : 2.2 출원일 : 2016. 8.
2.3 발명명칭 : Automatic extraction methods of risk code for symbolic execution based on vulnerability analysis of software (Symbolic execution)을 장착하여 특정언어(2016 현 재, Java 언어)의 오픈소스에 대해 데이터 레벨의 취 약정보 Set 추가 제공
- 취약점 분석 기술현황(국내)
구성항목 세부 구성항목 세부 구성항목 설명
구성항목 세부 구성항목 세부 구성항목 설명
구성항목 세부 구성항목 세부 구성항목 설명
구성항목 세부 구성항목 세부 구성항목 설명
(2) 소스수집시, 자동분류체계와 매핑하여 OpenSVS 레파 지토리에 저장
(3) 취약점 분석정보와 CVE에 정의된 취약점 유형정보를 자동 매핑하여 Big-Data 엔진을 통해 재수집시에 필요한, 위험성 기준 정립
[자동수집기술 개념도]
- 보안 패치 정보를 이용해 공개·오픈 소스의 취약점 탐지 화이트박스 테스팅기술
(1) 당 과제에서는 화이트박스 테스팅 기술에 기호기반 분 석엔진(Symbolic Execution)의 원천기술을 추가 연구 (2) 보안 패치정보를 이용, 고도화된 기존의 정적분석과 기
호기반 분석이 추가된 오픈소스 분석 수행
(3) 기호기반 실행엔진은 오픈소스의 실행가능한 모든 경 로를 조사하여 발생 가능한 속성위배(Property violations, such as Deadlock, Unhandled Exception) 사항을 분석 및 추적
(4) White BOX 테스팅기술 중 기호기반 분석엔진을 중심 으로, 웹 환경하에서 분석가능한 엔진 고도화
(5) 구현된 기호기반 분석엔진은 OpenSVS플래폼 및 Smart fuzzing툴과도 연계
구성항목 세부 구성항목 세부 구성항목 설명
[기호기반 분석엔진 흐름도]
- 상용·오픈 소스를 대상으로 하는 스마트 퍼징 블랙박스 테스팅 기술
(1) 취약점이 분석된 오픈소스들 중에서 Smart Fuzzing을 위한 퍼징대상 사이트를 선정하고, 선정된 사이트를 분석 하여 기호기반엔진(Symbolic Execution Engine, SEE)과 통신하기 위한 세부 블록으로 매핑 테이블을 구성
(2) 매핑 테이블을 기준으로 세부 블록별 기호기반엔진 (SEE)에 분석을 요청하고, SEE로부터 리턴받은 결과데이 터를 이용 실행 환경상에 Smart Fuzzing 수행
(3) Fuzzing 결과를 조회하고 Exploitable 실행 검증
[Smart Fuzzer 구성도]
구성항목 세부 구성항목 세부 구성항목 설명
- 상용·오픈 소스 취약 의심 코드클론에 대한 자동 검증 기 술
(1) 정적분석(Source), 동적분석(Runtime) 및 Penetrate 동 적분석을 융합한 Exploitable 검증기술 연구
(2) 정적 및 동적분석 결과의 매핑여부 분석
(3) 정적 도출 취약점에 대한 동적 익스플로잇 수행 모듈 분석
(4) 동적 도출 취약점에 대한 정적 룰분석 및 적용 룰 베 이스 분석
(5) 최종적으로 각 취약점에 대한 침해가능성 평가 및 어 플리케이션에 대한 침해 가능성 평가
[코드클론 자동검증 흐름도]
- 취약점 자동 패치 가이드라인 및 리포팅 기술 및 분석업 무 효율화를 위한 플랫 폼 개발
(1) 하이브리드 리포팅 기술 (Hybrid Reporting) 개발 ㅇ 알고리즘을 통한 정적분석의 소스와 동적분석의 취약 점 URL 매핑
ㅇ 동적분석의 취약점 URL과 정적분석의 취약점 소스 탐지라인 Reverse 매칭
ㅇ 동적분석을 통한 정적분석의 취약점 흐름 목록 도출
구성항목 세부 구성항목 세부 구성항목 설명
(2) Total 서비스 제공을 위한 플랫폼 개발
ㅇ 글로벌 소스 레파지토리 탑재 및 OpenSVS 플랫폼과 연계로 오픈소스 개발자가 소스포지(Source Forge), 기터 브(GitHub)처럼 OpenSVS 플랫폼에도 소스 업로드 가능 ㅇ DSM (Dependency Structure Matrix - 의존성 분석서 버)을 탑재하여 오픈소스에 대한 소스간 의존성 및 참조 연관성 분석으로 시각화된 취약점 이동경로 정보 제공 - 소스 내 리소스간의 상호참조 및 상위참조 분석정보의 실시간 제공
[OpenSVS 플랫폼]
개발기간 및 소요 공수
- 총수행기간 : 2014. 10. 1 ~ 2017. 8. 31(35개월) - 수행기관 : (주)엔키소프트-주관, (주)이븐스타-참여1,
숭실대학교-참여2
- 년차별 사업비현황
구성항목 세부 구성항목 세부 구성항목 설명
1차년도(2014년) 1,015,000 33,850 304,600 338,450 1,353,450 2차년도(2015년) 1,015,000 338,450 338,450 1,353,450 3차년도(2016년) 1,015,000 338,450 338,450 1,353,450 합 계 3,045,000 33,850 981,500 1,015,350 4,060,350
개발환경
(시스템환경, 도구, 개발언어, 제약사항)
- Hardware 및 Software 구성 (1) Hardware
ㅇ OpenSVS Server / GNU/Linux(x86_64) / 1 EA ㅇ Crawler Server / Window 2012 / 1 EA
ㅇ Analysis Server / Window 2012 / 1 EA ㅇ DSM Machine / Window 2012 / 1 EA
ㅇ Database Server / GNU/Linux(x86_64) / 1 EA - 개발자 장비 각 Notebook 사용
(2) Software
ㅇ Apache Web Server
ㅇ Web Application Server - NaWAS (오픈소스 기반) ㅇ DSM(Dependency Structure Matrix)SW : Structure 101 ㅇ Analysis Engine : BigLook 5.0 (evenstar)
ㅇ Database : Oracle 12c for Linux
[하드웨어 구성도]
구성항목 세부 구성항목 세부 구성항목 설명 QT Creator Multiplatform C++ 개발 툴
(웹크롤러 구현시 활용)
구성항목 세부 구성항목 세부 구성항목 설명
ㅇ 사업유형별 다양한 방법론 제공 : 규모, 기간, 업종에 따른 다양한 개발 절차, 기법 및 표준 템플리 제공
ㅇ 프로젝트 특성에 따른 테일러링 용이 : 규모, 기간, 기술, 개발환경 등 사업특성에 따른 최적의 작업경로 선정
ㅇ 개발방법론과 관리방법론 통합 제공 : 개발공정과 관 리공정을 통합한 통합방법론 기반 수행
구성항목 세부 구성항목 세부 구성항목 설명
ㅇ 프로젝트 관리도구와 연동한 자동화 지원 : 관리도구에 의한 프로젝트 계획 및 진척관리
ㅇ 전문조직 전문가에 의한 지원체계 : 프로젝트 관리, 방 법론, 품질 및 요소기술 전문조직 지원과 방법론 및 수 행기법 등에 대한 지속적인 교육
(3) ENKI-SDM 성공적용 경험
구성항목 세부 구성항목 세부 구성항목 설명
논문 A Design and Development of Secure-Coding Check System Based on CVE and CWE 논문 그레이 박스 테스트를 활용한 스마트 퍼징
Automatic extraction methods of risk code for symbolic execution based on vulnerability analysis of software
- 산출물 목록
구성항목 세부 구성항목 세부 구성항목 설명
(1) CWE(Common Weakness Enumeration)는 소프트 웨어 보안 및 품질 강화를 위해, 개발 시에 참고할 수 있도록 전 세계 소프트웨어 취약점을 표준화한 목 록이며, CWE에서 요구하는 조건을 만족하는 서비스 또는 제품에게는 CWE 호환성 인증 부여
(2) CVE(Common Vulnerabilities and Exposures)에 등록된 취약점과 유형을 시스템 OS, 취약점 포트, 취
구성항목 세부 구성항목 세부 구성항목 설명
(1) HP Fortify SCA(Static Code Analyzer)
구성항목 세부 구성항목 세부 구성항목 설명 (www.evenstar.co.kr) 주력제품인 BigLook 5.0과 연 계(커스터마이징 필요)하여 사용가능
구성항목 세부 구성항목 세부 구성항목 설명 를 제공하는 제품은
국내 유일하며, 기호기반 분석엔진(Symbolic Execution) 기술을 활용하여 취약점을 분석하거나, 스마트퍼징(Smart Fuzzing) 서비스를 제공하는 사례 는 세계 최초임.
- 최근 오픈소스에 대한 취약점 분석서비스를 제공하 는 사례로 미국의 ‘소스클리어-SourceClear’ 및 영국의
‘스니크-Snyk’가 있으며, 이미 상용화단계에서 서비스 중임
-이 제품과의 기능 및 서비스 측면에서 비교 분석한 내용
은 다음과 같다.
사용환경 - System Requirements (1) OpenSVS Platform
. OS - Windows, Linux . HDD 1GB, Memory 8G . JDK 1.8 이상
구성항목 세부 구성항목 세부 구성항목 설명
OpenSVS Platform 80 Server당 20%
사용자/관리자 매뉴얼,
Analysis Engine 7 Project당 30%
검수 후 무상 1년 패치,