규칙 명세를 기반으로 한 Java 프로그램의 보안 취약점 자동 검사

Abstract

개발자의 애플리케이션 개발의 부주의와 보안의식 결여로 인한 제품 결함은 보안 취약점 문제를 발생시킨다. 이에 따라 애플리케이션 보안 취약점 검사에 대한 관심이 높아지고 있다. 현재 애플리케이션 취약점 진단 방식으로 가장 널리 사용하는 것은 프로그램 정적 분석 방법이다. 예전의 메뉴얼 검사 방식보다 시간과 비용 면에서 매우 효율적인 방법이다. 문제는 개개의 보안 취약점을 분석하기 위해서 각각의 분석기를 개발해야하는 고충이 있다. 또한 사용자정의 취약점 명세 입력을 지원하지 않는 분석기 들이 대부분이다. 더욱이, 사용자정의 취약점 명세 입력을 지원하는 몇몇 분석기는 취약점 명세의 작성이 난해하고 복잡하다. 메뉴얼 검사 방식 처럼 전문가가 있지 않는 한, 분석기 개발자에게 의존해야한다. 본 논문에서는 애플리케이션 보안 취약성 검사에 프로그램 정적 분석 방법의 효율성에 대하여 설명한다. 또한, 기존 도구들이 가지고 있는 난해한 규칙 기술 방법을 더욱 쉽게 기술 하는 규칙 명세 언어(Rule Description Language)와 검증 규칙을 통한 Java 언어의 보안 취약점 검사 방법을 제시한다.; Any possible security vulnerabilities in applications are better be checked and corrected before the applications are actually set up and used. Man- ual diagnosis is norm, but constly and error-prone. This thesis proposes an automatic, rule-based static checking method which 칗 ds whether or not known security vulnerabilities exist in applications. We design the rule description language in which we can specify simple and 컊 w patterns of known security vulberabilities. Simple patterns can easily be scanned, but 컊 w patterns need to employ control-컊 w and data-컊 w analysis. Our ap- proach is extensible such a way that newly discovered vulnerabilities can easily be added. We implemented the analyzer and tested for Java applica- tions.