WO2023096152A1

WO2023096152A1 - 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치

Info

Publication number: WO2023096152A1
Application number: PCT/KR2022/015342
Authority: WO
Inventors: 이정현; 조해현; 심경민; 이선준; 전거창
Original assignee: 숭실대학교 산학협력단
Priority date: 2021-11-25
Filing date: 2022-10-12
Publication date: 2023-06-01
Also published as: KR102470683B1

Abstract

본 발명은 소프트웨어 시스템에 대한 보안 설계 결함을 탐지하기 위한 보안 설계 결함 탐지 장치에서 수행되는 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법에 관한 것으로, 단위 테스트 케이스를 전처리하는 단계; 전처리된 단위 테스트 케이스를 이용해 상기 소프트웨어 시스템이 보안 정책에 위배되는지 테스트하여 제1 테스트 케이스를 생성하는 단계; 상기 제1 테스트 케이스에 기초하여 상기 소프트웨어 시스템의 기능을 테스트하기 위한 데이터 집합인 제2 테스트 케이스를 생성하는 단계; 및 상기 제2 테스트 케이스를 실행하여 상기 소프트웨어 시스템의 취약점을 탐지하는 단계를 포함한다. 이를 통해 소프트웨어 시스템의 제한되지 않고 잘못 구현된 동작으로 인해 발생할 수 있는 보안 설계 결함에 의한 보안 취약점을 탐지할 수 있다.

Description

단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치

본 발명은 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치에 관한 것으로 보다 상세하게는 소프트웨어 시스템의 제한되지 않고 잘못 구현된 동작으로 인해 발생할 수 있는 보안 취약성을 평가하는데 도움을 줄 수 있는 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치에 관한 것이다.

IoT 시장이 계속해서 성장하는 가운데, IoT 장치 들은 매년 증가하여 2021년까지 250억 개로 증가할 것으로 예상된다. 이러한 환경에서 모바일 기기의 중요성도 커지면서, 모바일 애플리케이션의 시장도 가파르게 성장하고 있다.

하지만 소프트웨어 시스템의 설계 결함으로 인한 보안 취약성이 실제 시스템에 지속해서 나타나고 있으며, 이러한 보안 설계 결함은 제한되지 않고 잘못된 시스템 동작을 유발할 수 있으며, 원격 코드 실행 또는 민감한 데이터 유출과 같은 치명적인 취약점으로 이어질 수 있다.

이러한 시스템의 제한되지 않고 잘못된 동작을 발견하는 것은 필수적인 작업이지만, 전체 코드를 자세히 분석하는 것은 시간이 오래 걸리고 오류가 발생하기 쉬우므로 보안 전문가가 이러한 취약점을 미리 발견하는 것은 어렵다는 한계가 존재한다.

그리고 일반적으로 이러한 보안 취약점은 범위를 벗어난 메모리 액세스 또는 초기화되지 않은 메모리 사용과 같은 메모리 손상 오류, 그리고 보안 설계 결함이 주요 원인일 수 있다.

구체적으로 buffer overflow, out-of-bound access, use-after-free 및 double-free와 같은 메모리 손상 오류는 안전하지 않은 언어(예를 들어 C 및 C++)로 개발된 프로그램에 영향을 미치는 중요한 보안 문제이다. 메모리 손상 오류의 대부분은 프로그래밍 오류로 인해 발생하는데, 이러한 오류는 실제 소프트웨어의 크기와 복잡성으로 인해 자주 발생한다. 따라서 취약점을 악용하여 해커(공격자)는 주소를 변경하여 악성 코드 조각을 실행하거나 메모리의 민감한 데이터에 접근(액세스)할 수 있다. 이러한 메모리 손상 오류는 지난 27년동안 여전히 위험한 소프트웨어 취약점의 최상위 순위였으며 2020년 가장 위험한 소프트웨어 취약점 상위 25개에서 5위를 차지하였다.

한편 설계 결함은 수 많은 사용자에게 심각한 보안 위협이 될 수 있는데, 이러한 보안 위협이 된 실제 사례를 살펴보면 다음과 같다.

먼저 MVC 프레임워크를 기반으로 Java 웹 애플리케이션 개발에 사용되는 Apache Struts 프레임워크는 이 프레임워크에서 무제한 동작을 제어하지 못하기 때문에 심각한 취약점을 가지고 있었다. Apache Struts 프레임워크는 Java 개체의 속성 값을 가져오거나 설정하는데 사용되는 OGNL(Object-Graph Naviga-tion Language) 익스프레션(expressions)을 지원하고, HTTP요청에서 수신한 OGNL 익스프레션을 실행할 수 있다. 따라서 OGNL 익스프레션은 시스템의 민감한 데이터가 포함된 내부 개체에 접근할 수 있기 때문에 실행을 신중하게 제어해야 했지만, 불행히도 Apache Struts 프레임워크에는 이러한 제어 메커니즘이 없기 때문에 임의 코드 실행을 허용하는 심각한 취약점이 많이 발생할 수 밖에 없었다. 이에 해커는 OGNL 익스프레션을 사용하여 자격증명 파일을 유출하거나 백도어를 여는 방식으로 HTTP 요청 태그에 익스플로잇 코드(exploit code) 삽입하여 이러한 취약점을 악용하였다. 도 1은 Apache Struts에서 임의 코드 실행에 악용될 수 있는 취약점의 일부 목록을 보여주는 것으로, 평균 CVSS 점수(8.3)에서 알 수 있듯이 심각도가 매우 높은 것은 물론, 그 중 23개의 취약점으로 인해 해커가 원격 코드를 실행할 수 있었다. Apache Struts에서 발견된 이러한 취약점은 설계 결함으로 인한 소프트웨어의 무제한 동작이 심각한 보안 취약성을 초래할 수 있음을 분명하게 보여준다.

두번째로 Shellshock은 Unix Bash Shell에서 발견된 취약점으로, 임의의 명령을 실행할 수 있다는 취약점을 가지고 있어, 사용할 수 없어야 하는 환경 변수에서 임의의 명령을 실행하는 취약점을 통해 해커가 무단 액세스 및 임의 코드 실행을 얻을 수 있었다. 해커는 초기 공개 후 몇 시간 후에 Shellshock 취약점을 악용하기 시작했으며, 취약점과 관련된 수 백만 건의 실제 해킹이 단 며칠 만에 기록되었다. 표 2는 이러한 Shellshock과 관련된 취약점 목록과 심각도를 나타낸 리스트이다. 이러한 두번째 사례는 설계 결함이 수많은 사용자에게 영향을 미치는 중대한 사이버 보안 위협이 될 수 있음을 보여주는 것이다. 특히나 이러한 취약점의 영향을 받는 Bash 버전(version)의 첫 번째 출시(release) 이후 취약점이 발견될 때까지 22년이 걸렸다는 사실은 보안 측면에서 설계 결함을 평가하는 것이 매우 중요하며 잠재적인 사이버 보안 위협을 제거하는데 필수적인 작업임을 보여주는 사례이다.

마지막으로 Heartbleed는 인터넷 보안에 사용되는 SSL/TLS(Secure Sockets Layer/ Transport Layer Security) 암호화를 제공하는 OpenSSL 암호화 소프트웨어 라이브러리의 심각한 보안 취약점이다. 해당 취약점을 악용하면 Heartbeat 요청 메시지에 포함된 페이로드와 페이로드의 길이가 일치하는지 확인하지 않기 때문에 64KB 메모리를 읽을 수 있다. 이에 Heartbeat를 사용하면 TLS 및 DTLS(Datagram Transport Layer Security) 프로토콜에서 매번 연결을 재협상하지 않고도 통신 연결을 유지할 수 있다. 그리고 서버가 Heartbeat에 응답할 때 메모리에서 요청한 만큼 받은 페이로드의 길이만큼 반환하게 된다. 따라서 시스템 메모리에 저장된 개인 키와 같은 민감한 정보가 누출될 가능성이 있으며, 이러한 보안 설계 결함으로 인해 많은 웹 사이트가 취약해졌다.

이에 자동화된 취약점 탐지 방법으로 fuzzing, symbolic execution 및 Taint analysis 등이 있다. 하지만 대부분의 기존의 자동화된 취약점 탐지 접근 방식 및 방법은 프로그램에 존재하는 논리결함이나 메모리 손상을 유발하는 프로그램의 메모리 취약성을 발견하는 것에 그칠 뿐이므로, 보안 설계 결함으로 인한 취약점을 탐지하는 효과적인 방안이 필요하다.

[선행기술문헌]

[특허문헌]

(특허문헌 1) 한국공개특허공보 제 호

본 발명은 상기와 같은 문제를 해결하기 위해 안출된 것으로, 본 발명의 목적은 소프트웨어 시스템의 제한되지 않고 잘못 구현된 동작으로 인해 발생할 수 있는 보안 설계 결함에 의한 보안 취약점을 탐지할 수 있는 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치를 제공하는 것이다.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 소프트웨어 시스템에 대한 보안 설계 결함을 탐지하기 위한 보안 설계 결함 탐지 장치에서 수행되는 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법은, 외부 장치로부터 상기 소프트웨어 시스템에 대한 단위 테스트 케이스를 수집하고, 상기 단위 테스트 케이스를 전처리하는 단계; 전처리된 단위 테스트 케이스를 이용해 상기 소프트웨어 시스템이 보안 정책에 위배되는지 테스트하여 제1 테스트 케이스를 생성하는 단계; 상기 제1 테스트 케이스에 기초하여 상기 소프트웨어 시스템의 기능을 테스트하기 위한 데이터 집합인 제2 테스트 케이스를 생성하는 단계; 및 상기 제2 테스트 케이스를 실행하여 상기 소프트웨어 시스템의 취약점을 탐지하는 단계를 포함한다.

그리고 상기 전처리하는 단계에서는, 상기 단위 테스트 케이스에 포함된 코드 조각을 분류하고, 분류된 코드 조각에 기초하여 상기 단위 테스트 케이스를 조합 또는 변경하여 전처리할 수 있다.

또한 상기 제1 테스트 케이스를 생성하는 단계는, 상기 전처리된 단위 테스트 케이스에 대한 접근 제어 검사를 통해 권한 부여 여부를 확인하는 제1 보안 정책 테스트를 수행하는 단계; 상기 전처리된 단위 테스트 케이스에 대한 무결성 검사를 통해 데이터의 무단 변경 또는 변조 여부를 확인하는 제2 보안 정책 테스트를 수행하는 단계; 및 상기 전처리된 단위 테스트 케이스에 대한 기밀유지 검사를 통해 데이터의 암호화여부를 확인하는 제3 보안 정책 테스트를 수행하는 단계를 포함할 수 있다.

여기서, 상기 제1 보안 정책 테스트를 수행하는 단계, 제2 보안 정책 테스트를 수행하는 단계 및 제3 보안 정책 테스트를 수행하는 단계는, 기설정된 순서에 따라 수행될 수 있다.

그리고 상기 제2 테스트 케이스를 생성하는 단계에서는, 상기 제1 테스트 케이스를 무작위로 생성된 데이터 유형 및 값으로 조작하여 상기 제2 테스트 케이스를 생성하거나, 전처리되지 않은 상기 단위 테스트 케이스를 상기 제1 테스트 케이스에 결합하여 상기 제2 테스트 케이스를 생성할 수 있다.

한편 상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 컴퓨터로 판독 가능한 저장 매체에는 상기 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법을 수행하기 위한 컴퓨터 프로그램이 기록되어 있다.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 소프트웨어 시스템에 대한 보안 설계 결함을 탐지하기 위한 단위 테스트 케이스 기반의 보안 설계 결함 탐지 장치는, 외부 장치로부터 상기 소프트웨어 시스템에 대한 단위 테스트 케이스를 수집하고, 상기 단위 테스트 케이스를 전처리하는 전처리부; 전처리된 단위 테스트 케이스를 이용해 상기 소프트웨어 시스템이 보안 정책에 위배되는지 테스트하여 제1 테스트 케이스를 생성하는 보안 정책 테스트부; 상기 제1 테스트 케이스에 기초하여 상기 소프트웨어 시스템의 기능을 테스트하기 위한 데이터 집합인 제2 테스트 케이스를 생성하는 테스트 케이스 생성부; 및 상기 제2 테스트 케이스를 실행하여 상기 소프트웨어 시스템의 취약점을 탐지하는 취약점 탐지부를 포함한다.

그리고 상기 전처리부는, 상기 단위 테스트 케이스에 포함된 코드 조각을 분류하고, 분류된 코드 조각에 기초하여 상기 단위 테스트 케이스를 조합 또는 변경하여 전처리할 수 있다.

또한 상기 보안 정책 테스트부는, 상기 전처리된 단위 테스트 케이스에 대한 접근 제어 검사를 통해 권한 부여 여부를 확인하는 제1 보안 정책 테스트를 수행하는 액세스 제어 검사기; 상기 전처리된 단위 테스트 케이스에 대한 무결성 검사를 통해 데이터의 무단 변경 또는 변조 여부를 확인하는 제2 보안 정책 테스트를 수행하는 데이터 무결성 검증기; 및 상기 전처리된 단위 테스트 케이스에 대한 기밀유지 검사를 통해 데이터의 암호화여부를 확인하는 제3 보안 정책 테스트를 수행하는 데이터 기밀유지기를 포함할 수 있다.

여기서 상기 제1 보안 정책 테스트, 제2 보안 정책 테스트 및 제3 보안 정책 테스트는 기설정된 순서에 따라 수행될 수 있다.

그리고 테스트 케이스 생성부는, 상기 제1 테스트 케이스를 무작위로 생성된 데이터 유형 및 값으로 조작하여 상기 제2 테스트 케이스를 생성하는 무작위 생성기; 및 전처리되지 않은 상기 단위 테스트 케이스를 상기 제1 테스트 케이스에 결합하여 상기 제2 테스트 케이스를 생성하는 결합 생성기를 포함할 수 있다.

상술한 본 발명의 일측면에 따르면, 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치를 제공함으로써, 소프트웨어 시스템의 제한되지 않고 잘못 구현된 동작으로 인해 발생할 수 있는 보안 설계 결함에 의한 보안 취약점을 탐지할 수 있다.

도 1 및 도 2는 설계 결함으로 인한 보안 취약성을 설명하기 위한 도면,

도 3은 본 발명의 일 실시예에 따른 보안 설계 결함 탐지 장치(100)의 구성을 설명하기 위한 도면,

도 4는 본 발명의 일 실시예에 따른 보안 설계 결함 탐지 장치(100)의 세부구성을 설명하기 위한 도면,

도 5 및 도 6은 본 실시예에 따른 보안 설계 결함 탐지 장치(100)에서 생성되는 테스트 케이스를 설명하기 위한 도면,

도 7 및 도 8은 본 실시예에 따른 보안 설계 결함 탐지 장치(100)에서 취약점을 탐지하는 과정을 설명하기 위한 도면,

도 9는 본 실시예에 따른 보안 설계 결함 탐지 장치(100)에서 탐지된 취약점의 유형을 설명하기 위한 도면, 그리고,

도 10은 본 발명의 일 실시예에 따른 보안 설계 결함 탐지 방법을 설명하기 위한 흐름도이다.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.

그리고 본 발명에 따른 구성요소들은 물리적인 구분이 아니라 기능적인 구분에 의해서 정의되는 구성요소들로서 각각이 수행하는 기능들에 의해서 정의될 수 있다. 각각의 구성요소들은 하드웨어 또는 각각의 기능을 수행하는 프로그램 코드 및 프로세싱 유닛으로 구현될 수 있을 것이며, 두 개 이상의 구성요소의 기능이 하나의 구성요소에 포함되어 구현될 수도 있을 것이다. 따라서 이하의 실시예에서 구성요소에 부여되는 명칭은 각각의 구성요소를 물리적으로 구분하기 위한 것이 아니라 각각의 구성요소가 수행되는 대표적인 기능을 암시하기 위해서 부여된 것이며, 구성요소의 명칭에 의해서 본 발명의 기술적 사상이 한정되지 않는 것임에 유의하여야 한다.

이하에서는 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.

도 3은 본 발명의 일 실시예에 따른 보안 설계 결함 탐지 장치(100)의 구성을 설명하기 위한 도면, 도 4는 본 발명의 일 실시예에 따른 보안 설계 결함 탐지 장치(100)의 세부구성을 설명하기 위한 도면, 도 5 및 도 6은 본 실시예에 따른 보안 설계 결함 탐지 장치(100)에서 생성되는 테스트 케이스를 설명하기 위한 도면, 도 7 및 도 8은 본 실시예에 따른 보안 설계 결함 탐지 장치(100)에서 취약점을 탐지하는 과정을 설명하기 위한 도면, 그리고 도 9는 본 실시예에 따른 보안 설계 결함 탐지 장치(100)에서 탐지된 취약점의 유형을 설명하기 위한 도면이다.

상술한 바와 같이 소프트웨어의 보안 취약점으로 인해 허용되지 않은 무단 작업이 수행될 수 있는데, 가장 일반적인 보안 취약점은 메모리 손상 버그로 인해 발생하는 것으로, 이러한 버그는 프로그래머의 실수와 소스코드의 오류로 인해 발생할 수 있다.

보안 취약점을 유발할 수 있는 이러한 버그는 프로그램을 중단시킬 수 있으므로 이상적으로는 소프트웨어 개발 및 테스트 중에 발견될 수 있고, 상술한 바와 같이 소프트웨어의 기능에는 영향을 미치지 않지만 올바르지 않거나 예기치 않거나 또는 의도하지 않은 동작을 유발할 수 있는 설계 결함은 원격 코드 실행과 같은 심각한 보안 취약성을 초래하여 수 많은 사용자를 위협할 수 있다. 특히 이러한 취약점은 자동화된 평가 도구의 부재에 의해 감지가 어렵고, 이에 따라 상술한 Shellshock 사례처럼 보안 결함이 매우 오랜시간동안 발견하지 못할 수 있다.

특히 개발자가 구현한 이러한 단위 테스트 케이스는 보안적인 측면을 고려하지 않고 구현된 경우가 많은데, 예를 들어 오류를 발생하는 코드가 포함되어 있지만 의도치 않게 제대로 작동하는 경우나, 제대로 작동을 해서 문제가 없는 것처럼 보이지만, 실제로는 오류를 발생시키는 경우가 발생하여 시스템의 취약점으로 이어질 수 있게 된다.

이에 본 발명의 일 실시예에 따른 보안 설계 결함 탐지 장치(100)는 시스템의 제한되지 않고 잘못 구현된 동작을 기반으로 보안 취약점을 탐지하기 위해 마련될 수 있다. 이러한 본 실시예의 보안 설계 결함 탐지 장치(100)는 대상 프로그램의 테스트 케이스를 가지고 보안 정책을 통해 취약점을 평가할 수 있다.

이 때 보안 설계 결함 탐지 장치(100)는 설계 결함이 가져올 수 있는 소프트웨어 시스템의 두 가지 비정상적인 동작을 정의하는데, 하나는 제한되지 않은 동작인 무제한 동작(unrestricted behavior)이고, 나머지 하나는 잘못 구현된 동작(Misimplemented behavior)일 수 있다.

여기서 무제한 동작, 즉 제한되지 않은 동작은 시스템이 자체적으로 또는 외부에서 요청한 작업을 적절하게 제한하거나 제한하지 않을 때 발생할 수 있다. 구체적으로 예를 들면 SQL 인젝션은 임의의 SQL 쿼리를 악의적으로 주입하고 실행하여 데이터베이스가 비정상적으로 작동하도록 조작하여 심각한 데이터 유출 사고로 이어질 수 있는데, 이는 허용되는 입력 유형 및 값을 제대로 검사하지 않아 발생하는 취약점이다.

한편 잘못 구현된 동작은 보안의 관점에서 기능이 잘못되었거나 부적절하게 구현된 결과일 수 있는데, 본 발명에서는 부적절한 구현으로 인해 잘못 구현된 동작을 감지하는 것에 중점을 두기로 한다. 예를 들어 프로그램이 잘못 구현된 동작으로 암호화 작업을 수행할 때 프로그램이 잘못된 데이터(암호화해야하는 데이터 제외)를 암호화하는 경우일 수 있다.

이러한 제한되지 않은 동작, 그리고 잘못 구현된 동작을 기반으로 보안 취약점을 탐지하는 본 발명의 보안 설계 결함 탐지 장치(100)는 개발자가 구현한 시스템의 단위 테스트 케이스를 기반으로 복잡하고 모호한 테스트 케이스를 자동으로 생성할 수 있으며, 일반적으로 단위 테스트 케이스는 오류를 만드는 코드가 아니라 예상대로 올바르게 작동해야하는 코드를 포함할 수 있다.

따라서 본 발명의 소프트웨어 시스템에서 취약점을 탐지하기 위한 보안 설계 결함 탐지 장치(100)는 자동으로 생성되는 테스트 케이스를 통해 대상 소프트웨어 시스템에서 정의되지 않고 잘못 구현된 동작을 탐지할 수 있다.

이를 위해 보안 설계 결함 탐지 장치(100)는 보안 설계 결함 탐지 방법을 수행하기 위한 소프트웨어(어플리케이션)가(이) 설치되어 실행될 수 있고, 전처리부(110), 보안 정책 테스트부(130), 테스트 케이스 생성부(150) 및 취약점 탐지부(170)를 포함하여 마련될 수 있다.

전처리부(110)는 외부 장치에 저장되어 있는 소프트웨어 시스템에 대해 개발자가 사전에 구현한 코드인 단위 테스트 케이스를 외부 장치로부터 수집하고, 수집된 단위 테스트 케이스를 전처리할 수 있다. 여기서 전처리는 수집된 단위 테스트 케이스에 포함된 코드 조각을 분류하고, 분류된 코드 조각을 조합 또는 변경하여 단위 테스트 케이스를 전처리하는 것일 수 있다. 이를 위해 전처리부(110)는 수집기(Crawler)(111), 분류기(Classifier)(113) 및 분석기(parser)(115)를 포함하여 마련될 수 있다.

수집기(111)는 네트워크를 통해 웹 페이지 등을 포함하는 공식 저장소와 같은 외부 장치에서 대상 소프트웨어 시스템에 대한 단위 테스트 케이스를 수집할 수 있으며, 일반적으로 대부분의 소프트웨어 시스템에는 각 기능을 테스트하기 위한 기본 코드 조각(snippets)인 단위 테스트 케이스가 포함되어 있다.

그리고 수집기(111)는 단위 테스트 케이스를 수집한 후 해당 정보를 사용해야하므로 해당 코드, 즉 단위 테스트 케이스가 있는 URL 및 소스 저장소 내부에 저장된 경로와 같은 코드 출처에 대한 정도도 함께 수집할 수 있다. 예를 들어 "https://github.com/ros/ros_tutorials/tree/noetic-devel/rospy_tutorials/001_talker_listener/talker.py"를 통해 코드 템플릿을 가져왔다고 가정하면, 이 경우 해당 코드 템플릿이 ROS의 noetic 버전을 대상으로 하고 있으며 talker의 관점에서 talker와 listener 간의 기능을 테스트하기 위한 단위 테스트임을 URL에서 알 수 있다.

한편 분류기(113)는 수집기(111)에서 수집된 코드 조각을 클래스, 함수, 주석 및 변수 등으로 분류할 수 있다. 그리고 분류된 코드 조각은 분석기(115)로 전달될 수 있다.

한편 분석기(115)는 대상 소프트웨어 시스템의 제한되지 않고 잘못 구현된 동작을 발견하기 위한 테스트 케이스를 생성하기 위해 분류기(113)에서 분류된 데이터인 코드 조각, 즉 단위 테스트 케이스를 조합하거나 변경할 수 있다.

여기서 분석기(115) 각 단위 테스트 케이스의 논리적 흐름이나 의미를 분석하기보다는 직관적으로 인식할 수 있는 각 단위 테스트 케이스의 기능을 수정하여 전처리함으로써 대상 소프트웨어 시스템의 동작을 식별할 수 있도록 한다. 예를 들어 단위 테스트 케이스에서 특정 변수를 사용하여 함수를 호출하면 분석기(115)는 해당 함수를 호출하는 테스트 케이스를 생성하여 변수의 값을 임의로 수정할 수 있다. 대상 소프트웨어 시스템의 의도된 함수를 표시하기 위해 각 단위 테스트 케이스의 주석도 사용자에게 제공할 수 있다. 이러한 정보를 기반으로 사용자는 대상 소프트웨어 시스템 또는 단위 테스트 케이스를 수동으로 분석하지 않고도 대상 소프트웨어 시스템의 의도된 기능을 찾을 수 있다.

이 때 분석기(115)는 테스트 중인 기능을 설명하기 위한 적절한 설명이 없는, 제대로 개발되지 않은 단위 테스트 사례에서는 사용자에게 충분한 정보를 제공할 수 없기 때문에, 이 경우 분석기(115)는 기능명이나 단위 테스트 케이스 등의 정보만을 사용자에게 제공하도록 할 수 있다.

이렇게 분석기(115)에서 단위 테스트 케이스가 조합 또는 변경된 데이터인 전처리된 단위 테스트 케이스는 보안 정책 테스트부(130)로 전달될 수 있다.

한편 보안 정책 테스트부(130)는 전처리부(110)에서 전처리된 단위 테스트 케이스를 이용해 대상 소프트웨어 시스템이 보안 정책에 위배되는지를 테스트하여 제1 테스트 케이스(TC1)를 생성할 수 있다. 실제로 모든 보안 정책은 시스템 기능과 밀접하게 연결되어 있으며, 기능 테스트에는 많은 보안 메커니즘 실행이 포함된다.

하지만 개발자에 의해 구현된 테스트 기능은 테스트 보안 측면을 고려하지 않지만 보안 취약성은 애플리케이션의 가용성에 영향을 미칠 수 있기 때문에, 보안 정책은 보안 메커니즘에 대한 충분한 신뢰를 제공할 수 있다.

대부분의 경우 보안 정책의 배포는 자동화되지 않기 때문에 구현의 정확성을 확인하거나 테스트 해야하는데, 이러한 맥락에서 본 발명의 보안 정책 테스트부(130)에서 수행되는 보안 정책 테스트를 통해 해당 소프트웨어 시스템에 요구되는 보안 정책에 대한 보안 정책의 구현이 정확하다는 증거를 얻을 수 있게 된다.

따라서 본 발명에 따른 보안 정책 테스트부(130)는 전처리된 단위 테스트 케이스를 사용하여 대상 소프트웨어 시스템의 보안 관점에서 발생할 수 있는 보안 정책을 보여줄 수 있고, 이에 사용자는 보안 정책을 통해 대상 소프트웨어 시스템이 제대로 구현되었는지 이해하고 확인할 수 있게 된다.

대상 소프트웨어 시스템에서 보안 정책을 적용하는 범주는 매우 다양한데, 본 실시예에 따른 보안 설계 결함 탐지 장치(100)에서는 시스템의 특성 중 데이터 전송 보안에 중점을 두고 제한되지 않고 잘못 구현된 동작에서 발생할 수 있는 보안 문제를 사전에 예방하도록 할 수 있다.

데이터 보안 정책은 접근 권한이 있는 사용자와 개체의 각 사용자에게 허용되는 작업 유형을 결정하게 되며, 이에 기초하여 본 발명의 보안 정책 테스트부(130)는 액세스 제어 검사기(131), 무결성 검증기(133) 및 데이터 기밀유지기(135)를 포함하여 마련될 수 있다.

먼저, 액세스 제어 검사기(131)는 전처리된 단위 테스트 케이스에 대한 접근 제어 검사를 통해 권한 부여 여부를 확인하는 제1 보안 정책 테스트를 수행할 수 있다. 액세스 제어 검사기(131)는 대상 소프트웨어 시스템의 기능에 대한 역할 기반 접근 액세스, 사용자 액세스 권한 및 기능 분할과 같은 세부 보안 또는 권한 부여 기능을 식별할 수 있다. 따라서 액세스 제어 검사기(131)는 대상 소프트웨어 시스템에서 동작하는 관리자 권한 및 권한 승격과 같은 기능도 제어를 통해 권한을 부여 받았는지 여부를 확인하는 제1 보안 정책 테스트를 수행할 수 있다.

데이터 무결성 검증기(133)는 전처리된 단위 테스트 케이스에 대한 무결성 검사를 통해 데이터의 무단 변경 또는 변조 여부를 확인하는 제2 보안 정책 테스트를 수행할 수 있다. 데이터는 무단 변경 또는 변조로부터 보호되어야 하는데, 데이터 무결성은 누군가가 권한이 없는 정보를 가로채고 변경하는 조작의 보안 위험으로부터 보호할 수 있다. 이러한 데이터 무결성은 네트워크 내에 저장된 데이터를 보호하는 것 외에도 신뢰할 수 없는 데이터가 시스템에 전송될 때 데이터 무결성을 보장하기 위해 추가적인 보안 요소가 필요하다. 시스템에 입력되는 데이터가 공용 네트워크에서 수신되는 경우, 일반적으로 암호화하여 데이터가 스니핑 및 해석되지 않도록 보호되어야 하며 데이터가 변경되지 않았는지 확인하여야 한다. 이를 위해 데이터 무결성 검증기(133)는 데이터의 변경 또는 변조 여부를 확인하는 제2 보안 정책 테스트를 수행할 수 있다.

한편 데이터 기밀유지기(135)는 전처리된 단위 테스트 케이스에 대한 기밀유지 검사를 통해 데이터의 암호화여부를 확인하는 제3 보안 정책 테스트를 수행할 수 있다. 데이터 기밀유지는 정보를 오직 인가된 사용자에게만 공개하는 것을 의미하는 것으로, 전송되는 데이터의 내용을 완벽하게 보호해 인가되지 않은 사용자, 즉 비인가자가 정보의 실제 내용에 접근하는 것을 방지하는 것이다. 비밀보장이 되며 원치않는 정보의 공개를 막을 수 있는 기밀유지는 주로 데이터 하이재킹(Hijacking)에 관한 행위로부터 데이터를 보호할 수 있으며, 가장 대중적인 사용방법인 암호화를 사용하는지에 대한 여부를 확인할 수 있다. 데이터 기밀유지기(135)는 이러한 데이터의 암호화여부를 확인하는 제3 보안 정책 테스트를 수행할 수 있다.

이 때 보안 설계 결함 탐지 장치(100)는 액세스 제어 검사기(131)에서 수행되는 제1 보안 정책 테스트, 데이터 무결성 검증기(133)에서 수행되는 제2 보안 정책 테스트 및 데이터 기밀유지기(135)에서 수행되는 제3 보안 정책 테스트가 기설정된 순서에 따라 수행되도록 할 수 있다. 이러한 기설정된 순서는 보안 설계 결함 탐지 장치(100)를 사용하는 시스템 개발자가 설정한 순서일 수 있으며, 보안 정책 테스트부(130)는 제1 내지 제3 보안 정책을 설정된 순서에 따라 순차적으로 수행할 수 있다. 도 4에서는 데이터 기밀유지기(135)에서 수행되는 제3 보안 정책 테스트가 마지막에 수행되는 것으로 도시되었으나, 이는 설명의 편의를 위한 예시적 사항일 뿐, 이에 한정되는 것은 아니다.

그리고 모든 보안 정책 테스트가 완료된 전처리 단위 테스트 케이스인 제1 테스트 케이스(TC1)는 보안 정책 테스트의 결과와 함께 테스트 케이스 생성부(150)로 전달될 수 있다. 이러한 제1 테스트 케이스(TC1)에는 보안 정책 테스트에 대한 결과가 함께 포함될 수도 있다.

한편, 테스트 케이스 생성부(150)는, 보안 정책 테스트부(130)로부터 전달받은 제1 테스트 케이스(TC1)에 기초하여 대상 소프트웨어 시스템의 기능을 테스트하기 위한 데이터 집합인 제2 테스트 케이스(TC2)를 생성할 수 있다.

이 때 테스트 케이스 생성부(150)를 이용해 제2 테스트 케이스(TC2)를 생성함에 있어 대상 소프트웨어 시스템에서 위배될 수 있는 보안 정책을 제1 테스트 케이스(TC1)에 적용하여 제2 테스트 케이스를 생성할 수도 있다.

또한 테스트 케이스 생성부(150)는 제한되지 않고 잘못 구현된 동작을 발견할 가능성을 극대화하기 위해 대상 소프트웨어 시스템의 특정 기능한 테스트할 수 있는 제2 테스트 케이스(TC2)를 생성하기보다는 한 번에 다양한 기능을 테스트할 수 있는 제2 테스트 케이스(TC2)를 도 5 및 도 6과 같이 생성하도록 하는 것이 바람직할 수 있으며, 이를 위해 본 테스트 케이스 생성부(150)는 무작위 생성기(151) 및 결합 생성기(153)를 포함할 수 있다.

무작위 생성기(R.A.G)(151)는 제1 테스트 케이스를 무작위로 생성된 데이터 유형 및 값으로 조작하여 상기 제2 테스트 케이스를 생성할 수 있다. 구체적으로 무작위 생성기(151)는 제1 테스트 케이스(TC1)에 포함된 코드 조각을 무작위로 생성된 데이터 유형 및 값으로 변경하여 단위 테스트 케이스 내부의 값(데이터)를 조작함으로써 제2 테스트 케이스(TC2)를 단일 단위 테스트 케이스로 생성할 수 있다.

한편, 결합 생성기(153)는 전처리되지 않은 단위 테스트 케이스를 제1 테스트 케이스(TC1)에 결합하여 상기 제2 테스트 케이스(TC2)를 생성할 수 있다.

구체적으로 결합 생성기(153)는 수집기(111)에서 수집된 단위 테스트 케이스, 즉 분석기(115)를 통한 전처리가 되지 않은 복수의 단위 테스트 케이스를 제1 테스트 케이스(TC1)에 결합하는 방식으로 제2 테스트 케이스(TC2)를 생성할 수 있다.

이 때 제1 테스트 케이스(TC1)에 결합되는 전처리되지 않은 단위 테스트 케이스의 개수는 임의로 결정되거나 사전에 설정된 개수에 따라 정해질 수 있다. 또한 결합 생성기(153)는 사용자가 제1 테스트 케이스(TC1)에 결합될 단위 테스트 케이스를 특정하도록 할 수도 있다.

한편 취약점 탐지부(170)는 무작위 생성기(151) 또는 결합 생성기(153)를 통해 생성된 제2 테스트 케이스(TC2)를 실행하여 시스템의 취약점을 탐지할 수 있다.

본 발명의 일 실시예에 따른 보안 설계 결함 탐지 장치(100)는 도면에는 미도시하였으나, 단위 테스트 케이스를 포함하여 필요한 각종 정보를 수집 또는 입력받기 위한 통신부 또는 입력부는 물론, 수집된 단위 테스트 케이스를 전처리하고, 이를 분석하여 테스트 케이스를 생성하기 위해 필요한 각종 정보를 저장하는 저장부 및 결과물을 출력할 수 있는 출력부를 포함할 수 있다.

이하에서는 본 발명의 일 실시예에 따른 보안 설계 결함 탐지 장치(100)의 효과를 확인하기 위해 수행한 정량적, 정성적 평가 결과에 대해 설명하기로 한다. 본 실시예에 따른 보안 설계 결함 탐지 장치(100)의 효과를 검증하기 위해 3.40GHz Intel Skylake processor와 16GB RAM이 탑재된 Ubuntu Linux 14.06 64비트를 실행하는 시스템에서 평가가 수행되었고, 다양한 버전의 로봇 운영 체제(ROS, Robot Operating System)에 대한 취약점을 발견하기 위해 본 발명의 보안 설계 결함 탐지 장치(100)를 사용하였다.

여기서 ROS는 로봇 공학을 위한 오픈 소스 메타 운영 체제(소프트웨어 프레임워크 모음)으로, 현재 ROS는 많은 학술 프로젝트 및 상용 제품에 사용되고 있다. ROS는 하드웨어 추상화, 저수준 장치 제어, 일반 운영체제에서 제공하는 자주 사용하는 기능을 구현하고, 프로세스 간 메시지 전달 및 패키지 관리 기능을 제공할 수 있다. 또한 여러 시스템에서 작업할 수 있는 도구와 라이브러리를 제공하며 분산 계산, 멀티 스레딩(multi threading), 이벤트 기반 프로그래밍 및 기타 시스템 핵심 개념을 포함하여 상당한 수준의 복잡성을 가지고 있다.

이러한 ROS는 노드 간의 메시지 통신을 통해 진행하고, 노드는 시작 시 마스터에 정보를 등록해야 한다. 그리고 마스터는 각 노드의 정보를 가지고 있으며 노드를 관리하는 중요한 역할을 한다. 하지만 마스터도 실패할 수 있으며, 마스터에서 제한되지 않거나 잘못 구현된 동작이 발생하면 전체 시스템에 부정적인 영향을 미칠 수 있다. CVE-2016-10681을 비롯한 원격 모드 실행 취약점은 로봇의 대표적인 메타 OS인 ROS에서도 발견되었고, ROS에서 제공하는 계산 그래프 패키지의 설계 결함으로 인해 많은 MiR 로봇이 취약점에 노출되었다.

평가를 위해 최초 출시된 BOX Turtle 버전과 가장 최근에 출시된 ROS Noetic Nunjemys 버전부터 13가지 버전의 ROS를 테스트하였다. ROS에는 기본 기능, 서비스 및 노드 간의 상호 작용을 확인하기 위해 설계된 여러 단위 테스트 케이스가 있으며, 본 발명의 보안 설계 결함 탐지 장치(100)를 사용하여 이러한 ROS에서 제한되지 않거나 잘못 구현된 동작을 발견하기 위한 테스트 케이스를 생성하였다.

ROS에서 제한되지 않고 잘못 구현된 동작을 기반으로 취약점을 탐지하기 위해 본 실시예에 따른 보안 설계 결함 탐지 장치(100)를 사용해 테스트 케이스로 퍼지 테스트 케이스(fuzzy test cases)를 생성하고, ROS에서 실행하여 모니터링하였다.

먼저 보안 설계 결함 탐지 장치(100)는 공식 소스 코드 저장소와 ROS의 웹 커뮤니티에서 113개의 단위 테스트 케이스를 수집하였다. 그 다음 취약점 발견을 위한 테스트 케이스를 생성하였는데, 도 5 및 도 6은 보안 설계 결함 탐지 장치(100)에서 생성된 테스트 케이스의 코드 조각을 보여주는 도면이다. 각 도면에서와 같이 보안 설계 결함 탐지 장치(100)는 각 테스트 케이스에서 평가되는 모듈에 대한 간략한 설명을 함께 사용자에게 제공할 수 있다.

평가 결과 본 발명의 보안 설계 결함 탐지 장치(100)는 생성한 수 많은 테스트 코드에서 ROS의 XMLRPC 모듈과 TCPROS 모듈에서 제한되지 않은 동작과 잘못 구현된 동작을 식별하여 취약점을 탐지하였다. 또한 최초 공개된 ROS 버전부터 최신 버전까지 탐지된 취약점이 악용될 수 있음을 확인하였다.

먼저 XMLRPC 모듈에서의 제한되지 않은 무제한 동작에 대해 설명하기로 한다. 도 7은 상술한 바와 같이 마스터에 노드의 새로운 정보를 등록하는 과정을 도시한 도면으로, 동일한 이름의 listener를 등록하는 테스트 케이스를 실행하여 무제한 동작을 탐지하였다. ROS에서는 Talker 노드와 Listener 노드가 마스터 노드에 등록되어 있어야 서로 통신이 가능하다. 도 5에서는 "listener"라는 이름의 노드가 처음에 마스터에 등록되고, "listener"라는 이름의 다른 노드가 마스터에 등록 요청을 보내는데, 테스트 케이스를 통해 이전에 등록된 "listener"노드가 등록 취소되고 있음을 발견하였다.

해당 취약점의 근본 원인을 수동으로 분석한 결과, 마스터 노드에서 노드(예:talker와 listener) 간의 연결을 시작하는 데 사용되는 XMLRPC 통신 모듈에서 문제를 발견하였다. 마스터 노드가 Talker 및 Talker가 되고자 하는 노드로부터 요청을 받았을 때 마스터는 해당 노드를 listener 또는 Talker로 등록하기 위한 인증 절차를 수행하지 않았다.

도 7은 XMLRPC 모듈에 새 노드를 등록하는 코드 조각을 보여주는데, 노드에서 등록 요청이 오면 노드 주소에 해당하는 API 값만 확인할 뿐, 이전 API값과 요청된 API값이 다른 경우 XMLRPC 모듈은 추가 확인 없이 요청된 API를 bumped_api로 설정한다. 따라서 기존에 등록된 노드와 이름이 같은 새로운 노드가 listener를 요청하면 기존에 운영하던 서비스는 취소되고 새로운 연결이 시작되고, 결과적으로 ROS에서 악의적인 노드는 listener가 되어 두 노드 간의 데이터 트래픽을 가로챌 수 있음을 보여준다.

한편 이하에서는 상술한 TCPROS 모듈에서의 잘못 구현된 동작에 대해 설명하기로한다. 도 8은 ROS에서 사용되는 md5sum 및 문자열 메시지 유형 코드를 확인하는 도면이다. 도 6에 도시된 테스트 케이스, 즉 보안 설계 결함 탐지 장치(100)에서 생성된 제2 테스트 케이스는, 무작위로 생성된 인수를 talker 노드로 보내는 테스트 케이스이다. 해당 테스트 케이스를 실행하고 실행 결과를 모니터링한 결과 ROS에서 잘못 구현된 동작을 발견하였는데, 메시지 무결성 검사를 위한 해시 함수가 제대로 사용되지 않았다.

ROS에서 TCPROS 모듈은 TCP/IP를 기반으로 메시지 및 서비스를 전송하는데 사용되는 것으로, TCPROS 모듈에 의해 전송되는 모든 메시지의 메시지 헤더에는 메시지의 무결성을 확인하기 위한 md5sum필드가 있다. 하지만 TCPROS 모듈에서는 메시지의 무결성을 확인하는 기능이 세심하게 구현되지 않았음을 확인하였다. 구체적으로 도 8은 TCPROS 모듈에서 md5sum 해시를 사용하는 함수를 보여주는데, 함수에서 메시지의 실제 데이터를 포함하는 메시지 본문을 해시하는 대신 메시지 유형만 해시하여 md5sum을 생성한다. 따라서 메시지가 달라도 메시지의 md5sum 값이 동일하게 되고, 그 결과 ROS에서는 검증 과정을 거치지 않고 각각의 메시지를 위조하는 것이 가능한 취약점을 가지게 된다.

보안 설계 결함 탐지 장치(100)가 발견할 수 있는 취약점 유형을 평가하였으며, 이 평가는 보안 설계 결함 탐지 장치(100)가 취약점을 탐지하는 데 도움이 될 수 있는 특정 범위를 제공하는 것으로, 실험 결과 본 발명에 따른 보안 설계 결함 탐지 장치(100)가 탐지할 수 있는 취약점의 유형은 도 9에 도시된 바와 같다. 도면에서 체크 표시(v)는 탐지 가능한 취약점 유형을 나타낸다.

도 9를 참조하여 설명하면, 코드 인젝션 취약점(Code Injection Vulnerability)은 악성 코드가 시스템에 삽입되어 페이로드를 작성하여 실행될 수 있는 것으로, 이러한 취약점을 프로그램이 입력 값을 적절하게 제한하거나 확인하지 않을 때 존재한다. 따라서 보안 설계 결함 탐지 장치(100)는 이러한 취약점을 유발하는데 사용되는 사전 정의된 값 또는 기호를 사용하여 테스트 케이스를 생성할 수 있다.

데이터 유효성 검증 취약점(Data Validation Vulnerability)은 데이터 유형을 검증하는 기증이 잘못 구현될 때 발생하는 것으로, 본 실시예에 따른 보안 설계 결함 탐지 장치(100)는 제2 테스트 케이스로 의도적으로 대상 소프트웨어 시스템에 대해 데이터 유형의 부적절한 사용을 유발하는 테스트 케이스를 생성할 수 있고, 임의의 순서로 여러 임의 기능을 실행하는 테스트 케이스를 생성할 수도 있다. 이러한 테스트 케이스는 데이터 구조에 대해 구현되지 않은 임의의 기능이 있는 데이터 구조를 사용하거나 조작할 수 있기 때문에 데이터 유효성 검사 취약성 유형을 발견하는데 사용할 수 있다.

한편 예외 처리(Exception Handling) 유형의 취약점은 시스템에 구현된 적절한 예외 처리 기능이 없을 때 존재하는데, 예외 처리기가 시스템에 구현되지 않은 경우 예외가 충돌하거나 다른 취약점으로 이어질 수 있다. 따라서 본 보안 설계 결함 탐지 장치(100)는 다양한 데이터를 사용하는 테스트 케이스와 시스템의 다양한 기능 간의 상호 작용을 테스트할 수 있는 제2 테스트 케이스를 생성하여 제공할 수 있다. 이러한 제2 테스트 케이스는 시스템에서 예외를 유발할 수 있으며, 이는 예외 처리와 관련된 취약점을 감지하는 데 도움이 될 수 있다.

요약하면, 도 9는 본 실시예에 따른 보안 설계 결함 탐지 장치(100)가 코드 삽입, 데이터 검증, 예외 처리 유형의 취약점을 탐지할 수 있다. 따라서 기존의 메모리 취약성을 발견하는데 그치는 취약점 탐지 장치와는 달리, 본 발명의 보안 설계 결함 탐지 장치(100)는 보안 설계 결함으로 인한 취약점을 탐지하는데 효과적임을 알 수 있다.

한편, 도 10은 본 발명의 일 실시예에 따른 보안 설계 결함 탐지 방법을 설명하기 위한 흐름도로써, 본 발명의 일 실시예에 따른 보안 설계 결함 탐지 방법은 도 3 및 도 4에 도시된 소프트웨어 시스템에 대한 보안 설계 결함을 탐지하기 위한 보안 설계 결함 탐지 장치(100)와 실질적으로 동일한 구성 상에서 진행되므로, 도 3 및 도 4의 보안 설계 결함 탐지 장치(100)와 동일한 구성요소에 대해 동일한 도면 부호를 부여하고, 반복되는 설명은 생략하기로 한다.

먼저 보안 설계 결함 탐지 장치(100)는, 외부 장치로부터 소프트웨어 시스템에 대한 단위 테스트 케이스를 수집하고, 단위 테스트 케이스를 전처리할 수 있다(S110).

이러한 전처리하는 단계(S110)에서는, 단위 테스트 케이스에 포함된 코드 조각을 분류하고, 분류된 코드 조각에 기초하여 단위 테스트 케이스를 조합 또는 변경하여 전처리하는 것일 수 있다.

이후 전처리된 단위 테스트 케이스를 이용해 소프트웨어 시스템이 보안 정책에 위배되는지 테스트하여 제1 테스트 케이스를 생성하는 단계를 수행할 수 있다(S130).

제1 테스트 케이스를 생성하는 단계(S130)는, 전처리된 단위 테스트 케이스에 대한 접근 제어 검사를 통해 권한 부여 여부를 확인하는 제1 보안 정책 테스트를 수행하는 단계(미도시), 전처리된 단위 테스트 케이스에 대한 무결성 검사를 통해 데이터의 무단 변경 또는 변조 여부를 확인하는 제2 보안 정책 테스트를 수행하는 단계(미도시), 그리고 전처리된 단위 테스트 케이스에 대한 기밀유지 검사를 통해 데이터의 암호화여부를 확인하는 제3 보안 정책 테스트를 수행하는 단계(미도시)를 포함할 수 있다.

그리고 이러한 제1 보안 정책 테스트를 수행하는 단계(미도시), 제2 보안 정책 테스트를 수행하는 단계(미도시) 및 제3 보안 정책 테스트를 수행하는 단계(미도시)는 사전에 설정된 순서에 따라 수행될 수 있다.

이후 제1 테스트 케이스에 기초하여 상기 소프트웨어 시스템의 기능을 테스트하기 위한 데이터 집합인 제2 테스트 케이스를 생성하는 단계를 수행할 수 있다(S150).

제2 테스트 케이스를 생성하는 단계(S150)에서는, 제1 테스트 케이스를 무작위로 생성된 데이터 유형 및 값으로 조작하여 제2 테스트 케이스를 생성하거나, 전처리되지 않은 단위 테스트 케이스를 제1 테스트 케이스에 결합하여 제2 테스트 케이스를 생성할 수도 있다.

그리고나서 제2 테스트 케이스를 실행하여 상기 소프트웨어 시스템의 취약점을 탐지하는 단계를 수행할 수 있다(S170).

이와 같은 본 발명의 보안 설계 결함 탐지 방법은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.

상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다.

컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD 와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.

프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상에서는 본 발명의 다양한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.

[부호의 설명]

100 : 보안 설계 결함 탐지 장치 110 : 전처리부

111 : 수집기 113 : 분류기

115 : 분석기 130 : 보안 정책 테스트부

131 : 액세스 제어 검사기 133 : 데이터 무결성 검증기

135 : 데이터 기밀유지기 150 : 테스트 케이스 생성부

151 : 무작위 생성기 153 : 결합 생성기

170 : 취약점 탐지부

Claims

소프트웨어 시스템에 대한 보안 설계 결함을 탐지하기 위한 보안 설계 결함 탐지 장치에서 수행되는 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법에 있어서,

외부 장치로부터 상기 소프트웨어 시스템에 대한 단위 테스트 케이스를 수집하고, 상기 단위 테스트 케이스를 전처리하는 단계;

전처리된 단위 테스트 케이스를 이용해 상기 소프트웨어 시스템이 보안 정책에 위배되는지 테스트하여 제1 테스트 케이스를 생성하는 단계;

상기 제1 테스트 케이스에 기초하여 상기 소프트웨어 시스템의 기능을 테스트하기 위한 데이터 집합인 제2 테스트 케이스를 생성하는 단계; 및

상기 제2 테스트 케이스를 실행하여 상기 소프트웨어 시스템의 취약점을 탐지하는 단계를 포함하는, 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법.
제1항에 있어서,

상기 전처리하는 단계에서는,

상기 단위 테스트 케이스에 포함된 코드 조각을 분류하고, 분류된 코드 조각에 기초하여 상기 단위 테스트 케이스를 조합 또는 변경하여 전처리하는 것을 특징으로 하는, 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법.
제1항에 있어서,

상기 제1 테스트 케이스를 생성하는 단계는,

상기 전처리된 단위 테스트 케이스에 대한 접근 제어 검사를 통해 권한 부여 여부를 확인하는 제1 보안 정책 테스트를 수행하는 단계;

상기 전처리된 단위 테스트 케이스에 대한 무결성 검사를 통해 데이터의 무단 변경 또는 변조 여부를 확인하는 제2 보안 정책 테스트를 수행하는 단계; 및

상기 전처리된 단위 테스트 케이스에 대한 기밀유지 검사를 통해 데이터의 암호화여부를 확인하는 제3 보안 정책 테스트를 수행하는 단계를 포함하는 것을 특징으로 하는, 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법.
제3항에 있어서,

상기 제1 보안 정책 테스트를 수행하는 단계, 제2 보안 정책 테스트를 수행하는 단계 및 제3 보안 정책 테스트를 수행하는 단계는, 기설정된 순서에 따라 수행되는 것을 특징으로 하는, 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법.
제1항에 있어서,

상기 제2 테스트 케이스를 생성하는 단계에서는,

상기 제1 테스트 케이스를 무작위로 생성된 데이터 유형 및 값으로 조작하여 상기 제2 테스트 케이스를 생성하거나, 전처리되지 않은 상기 단위 테스트 케이스를 상기 제1 테스트 케이스에 결합하여 상기 제2 테스트 케이스를 생성하는 것을 특징으로 하는, 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법.
제1항에 따른 상기 단위 테스트 케이스 기반의 보안 설계 결함 탐지 방법을 수행하기 위한 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 저장 매체.
소프트웨어 시스템에 대한 보안 설계 결함을 탐지하기 위한 단위 테스트 케이스 기반의 보안 설계 결함 탐지 장치에 있어서,

외부 장치로부터 상기 소프트웨어 시스템에 대한 단위 테스트 케이스를 수집하고, 상기 단위 테스트 케이스를 전처리하는 전처리부;

전처리된 단위 테스트 케이스를 이용해 상기 소프트웨어 시스템이 보안 정책에 위배되는지 테스트하여 제1 테스트 케이스를 생성하는 보안 정책 테스트부;

상기 제1 테스트 케이스에 기초하여 상기 소프트웨어 시스템의 기능을 테스트하기 위한 데이터 집합인 제2 테스트 케이스를 생성하는 테스트 케이스 생성부; 및

상기 제2 테스트 케이스를 실행하여 상기 소프트웨어 시스템의 취약점을 탐지하는 취약점 탐지부를 포함하는, 단위 테스트 케이스 기반의 보안 설계 결함 탐지 장치.
제7항에 있어서,

상기 전처리부는,

상기 단위 테스트 케이스에 포함된 코드 조각을 분류하고, 분류된 코드 조각에 기초하여 상기 단위 테스트 케이스를 조합 또는 변경하여 전처리하는 것을 특징으로 하는, 단위 테스트 케이스 기반의 보안 설계 결함 탐지 장치.
제7항에 있어서,

상기 보안 정책 테스트부는,

상기 전처리된 단위 테스트 케이스에 대한 접근 제어 검사를 통해 권한 부여 여부를 확인하는 제1 보안 정책 테스트를 수행하는 액세스 제어 검사기;

상기 전처리된 단위 테스트 케이스에 대한 무결성 검사를 통해 데이터의 무단 변경 또는 변조 여부를 확인하는 제2 보안 정책 테스트를 수행하는 데이터 무결성 검증기; 및

상기 전처리된 단위 테스트 케이스에 대한 기밀유지 검사를 통해 데이터의 암호화여부를 확인하는 제3 보안 정책 테스트를 수행하는 데이터 기밀유지기를 포함하는 것을 특징으로 하는, 단위 테스트 케이스 기반의 보안 설계 결함 탐지 장치.
제9항에 있어서,

상기 제1 보안 정책 테스트, 제2 보안 정책 테스트 및 제3 보안 정책 테스트는 기설정된 순서에 따라 수행되는 것을 특징으로 하는, 단위 테스트 케이스 기반의 보안 설계 결함 탐지 장치.
제7항에 있어서,

테스트 케이스 생성부는,

상기 제1 테스트 케이스를 무작위로 생성된 데이터 유형 및 값으로 조작하여 상기 제2 테스트 케이스를 생성하는 무작위 생성기; 및

전처리되지 않은 상기 단위 테스트 케이스를 상기 제1 테스트 케이스에 결합하여 상기 제2 테스트 케이스를 생성하는 결합 생성기를 포함하는 것을 특징으로 하는, 단위 테스트 케이스 기반의 보안 설계 결함 탐지 장치.