머신러닝을 활용한 소스 코드 보안 취약점 존재 여부 판단

Abstract

Traditional methods of detecting security vulnerabilities in source-code require a lot of time and effort. If there is good data, machine learning could solve the issue. Thus, this paper proposes a source-code vulnerability detection method based on machine learning. This method employs the code2vec model used to propose the names of methods and uses Juliet Test Suite as a data set which is a collection of common security vulnerabilities. The evaluation shows that this method has high precision of 97.3% and recall rates of 98.6%. And the result of detecting vulnerabilities in open-source projects shows hopeful potential. In addition, it is expected that further progress can be made through studies covering vulnerabilities and languages not addressed here.|소스코드의 보안 취약점을 탐지하기 위해서는 프로그램 분석이 필요하다. 프로그램 분석 방법은 크게 동적 프로그램 분석과 정적 프로그램 분석 두 가지로 나뉜다. 동적 프로그램 분석은 프로그램을 실행하면서 분석을 진행하고 정적 프로그램 분석은 프로그램을 실행하지 않고 분석을 진행한다. 프로그램의 보안 취약점을 개발과정 중에 탐지 할 수 있다면 배포이후에 탐지하는 것 보다 비용을 크게 절감할 수 있다. 따라서 프로그램을 실행하지 않고도 분석이 가능한 프로그램 정적 분석 도구를 활용하면 평균적으로 17%의 비용절감이 가능하다[1]. 하지만 이러한 소스 코드의 보안 취약점을 탐지하는 전통적인 방법은 많은 시간과 노력을 필요로 한다. 만약 보안 취약점 유형들에 대한 좋은 품질의 데이터가 있다면, 이와 머신러닝 기술을 활용해 문제를 효과적으로 해결할 수 있을 것이다. 이에 본 논문은 정적 프로그램 분석에 머신러닝 기술을 활용하여 소스 코드에서 보안 취약점을 탐지하는 방법을 제시하고, 실험을 통하여 가능성을 보인다. 메소드 단위의 코드 조각의 의미를 해석하여 메소드의 이름을 예측하는 code2vec 모델을 사용하고, 모델을 생성하고 검증 및 평가를 하기 위한 데이터로 NIST(National Institute of Standards and Technology)에서 제공하는 소프트웨어들의 취약점을 표준화한 CWE(Common Weakness Enumeration)를 모아놓은 Juliet Test Suite를 사용하였다. 모델 평가 결과 약 97.3%의 정밀도와 약 98.6%의 재현율로 매우 희망적인 결과를 확인하였고 오픈 소스 프로젝트의 취약점을 탐지함으로써 가능성을 보였다. 향후 연구를 통해 다른 취약점 유형과 다양한 언어로 작성된 소스 코드에 대해서 대응함으로써 기존의 분석 도구들을 대체할 수 있을 것이다.