결함 주입을 이용한 소프트웨어 보안 테스팅

  • 발행 : 2006.10.30


사이버 공격이 급증함에 따라 이를 사전에 효과적으로 예방할 수 있는 소프트웨어 보안 테스팅의 필요성이 점차 증대되고 있다. 결함 주입 기법은 사이버 공격과 마찬가지로 프로그램의 외부에 노출된 인터페이스에 고의적으로 결함을 주입하는 방법으로 보안 취약점을 찾는 우수한 방법이다. 이 논문에서는 결함 주입 기법의 기본적인 개념을 살펴본다. 또한, 결함 주입을 수행하는 절차인 결함 주입 대상 외부 인터페이스 선택, 결함 유발 가능 입력 데이터 생성, 결함 주입에 따른 이상현상 탐지 각각에 대한 개요 및 최근 동향을 기술한다.



  1. Barton P. Miller, Lars Fredriksen, Bryan So, 'An empirical study of the reliability of Unix Utilities', Communications of the ACM, 33(12):pp.32-44, December 1990 https://doi.org/10.1145/96267.96279
  2. Peter Oehlert, 'Violating Assumptions with Fuzzing', IEEE Security & Privacy, pp.58-62, March/April 2005
  3. James A. Whittaker, 'Software's Invisible Users', IEEE Software, 18(31): pp.84-88, 2002
  4. http://www.securityinnovation.com/holodeck/index.shtml
  5. http://www.ece.cmu.edu/~koopman/ballista/
  6. Nathan P. Kropp, Philip J. Koopman, Daniel P. Siewiorek. 'Automated Robustness Testing of Off-the-Shelf Software Components', Proceedings of the 28th Fault Tolerant Computing Symposium, pp.230-239, June 1998
  7. Michael Sutton, Adam Greene, 'The Art of File Format Fuzzing', Blackhat 2005
  8. http://labs.idefense.com/software/fuzzing.php#more_spikefile
  9. Ilja van Sprundel, 'Unix Kernel Auditing'
  10. Volkmar SIEH, 'Fault-Injector using UNIX ptrace Interface', Internal Report No.:11/93, Universit at Erlangen-Nurnberg, 1993
  11. Justin E. Forrester, Barton P. Miller, 'An Empirical Study of the Robustness of Windows NT Applications Using Random Testing', 4th USENIX Windows System Symposium, 2000
  12. PROTOS Project, http://www.ee.oulu.fi/research/ouspg/protos/
  13. GPF project, http://www.appliedsec.com
  14. Autodafe, http://autodafe,sourceforge.net
  15. Jeffrey M. Voas, Software Fault Injection Inoculating Programs Against Errors, John Wieley & Sons, 1997
  16. Michael Howard, David LeBlanc, Writing Secure Code, 2nd Edition, 2002, Microsoft Press
  17. http://www.microsoft.com/whdc/devtools/debugging/default.mspx
  18. http://msdn.microsoft.com/library
  19. http://www.gnu.org/software/gdb/
  20. Diomidis Spinellis, 'The Design and Implementation of a Two Process Prolog Debugger', 1989