A Study on the Analysis of Vulnerabilities in the Program Source Code

프로그램 소스코드 취약성 분석에 관한 연구

The majority of recent intrusions reveal that the attackers do not use the previous intrusion techniques or network flaw, rather they tend to use the vulnerabilities residing inside the program, which are the running programs on the system or the processes for the service. Therefore, the security managers must focus on updating the programs with lots of time and efforts. Developers also need to patch continuously to update the program, which is a lot of burden for them. In order to solve the problem, we need to understand the vulnerabilities in the program, which has been studied for some time. And also we need to analyze the functions that contains some vulnerabilities inside. In this paper, we first analyzed the vulnerabilities of the standard C library, and Win32 API functions used in various programs. And then we described the design and implementation of the automated scanning tool for writing secure source code based on the analysis.

최근의 침해 사례를 보면 공격자들이 순수 공격 기술이나 네트워크 구성의 결함을 이용하기 보다는 시스템 상에서 구동 중인 프로그램들, 특히 서비스를 위한 프로세스들이 개발 당시에 가지는 근본적인 취약성을 이용한다. 따라서 보안 관리자들은 공격에 이용되는 취약성을 보완하기 위해 많은 노력과 시간을 투자해야만 하며, 동시에 개발자들 또한 계속된 프로그램 수정 작업으로 인한 부담이 커지고 있는 실정이다. 이러한 문제점을 해결하기 위해서는 우선적으로 소스 코드 내에 잠재되어 있는 취약한 함수들에 대한 분석이 있어야 한다. 본 논문에서는 프로그램의 표준 C 함수에 관련된 취약성과 Win32 API 함수의 취약성에 대하여 분석하고, 그 결과를 기반으로 소스 코드의 취약성을 검사하기 위한 자동화 도구를 제안한다.