본문으로 이동

잠재적 보안 취약점을 찾기 위한 테스트 기법 ‘AI퍼징(AI Fuzzing)’

  • 메일
모든 소프트웨어에는 보안 취약점이 존재한다. 소프트웨어의 안전성을 확보하기 위해 이를 찾아내서 패치하는 반복적인 과정을 거치는데, 보안 취약점을 찾기 위한 테스트 기법 중 하나인 ‘AI퍼징’에 대해 알아보겠다. 소프트웨어의 보안 테스트 기법 ‘퍼징(Fuzzing)’
AI Fuzzing 1
AI Fuzzing 1

퍼징(Fuzzing)은 소프트웨어의 취약점을 테스트하는 기법 중 하나이다. 소프트웨어에 입력값을 무작위로 대입해보고, 그 과정에서 발생하는 에러나 충돌을 모니터링해서 보안의 허점을 찾아내는 방식인데, 실제로 소스 코드를 분석해서 찾아낼 수 있는 버그보다 퍼징을 통해 찾아낼 수 있는 버그가 많아 보안 전문가들 사이에서는 꽤 효과적인 테스트 방식으로 꼽힌다. 퍼징을 할 때 다양한 변수를 입력하는 과정에서 수동 설정이 필요한 경우도 있는데 가능한 모든 경우의 수를 입력하는 것은 매우 오랜 시간과 막대한 비용이 들기 때문에 거의 불가능하다고 볼 수 있다. 이런 점 때문에 퍼징은 ‘바보 과학(Dumb Science)’이라고 불리기도 한다. 인공지능을 만난 퍼징 기법
AI Fuzzing 2
AI Fuzzing 2

전통적인 퍼징 방식이 AI(인공지능)를 만나면 이야기가 달라진다. AI퍼징은 애플리케이션 혹은 시스템의 보안 취약점을 찾기 위해 머신러닝(Machine Learning)과 유사한 기술을 사용하는데 머신러닝이란 인공지능의 한 분야로, 컴퓨터가 주어진 데이터에서 스스로 패턴을 분석해 의미 있는 정보를 찾아내는 기술을 뜻한다. 이로 인해 퍼징을 할 때 테스트 사례 생성이 용이해지면서 효율적인 맞춤 방식이 가능해졌고, 기존 방식으로는 발견할 수 없는 취약점까지도 좀 더 빨리 찾아낼 수 있는 가능성이 열렸다. 2019년 10대 보안 위협 중 하나로 꼽힌 AI퍼징
AI Fuzzing 3
AI Fuzzing 3

하지만 더욱 효율적인 보안을 위해 인공지능을 접목시킨 퍼징 기법은 호주의 기술 컨설팅 업체인 ‘라이트사이즈 테크놀로지(Rightsize Technology)’가 선정한 2019년 10대 보안 위협 가운데 하나로 꼽히기도 했다. AI퍼징을 통해 보안 취약점을 발견하기는 쉬워졌지만, 이는 곧 보안 취약점을 파악해 패치되기 전 공격하는 ‘제로데이(Zero Day) 공격’ 통로가 쉽게 열린다는 뜻이기도 한데 이처럼 새로운 기술의 활용도가 높아졌다는 것은 곧 악용의 우려가 높아졌다는 의미이기도 하다. 잠재적 보안 취약점을 찾기 위한 퍼징 기법은 인공지능을 만나 점점 고도화될 전망인데 관심을 가지고 지켜볼 필요가 있겠다.

*source : 반도체이야기. http://samsungsemiconstory.com
Related contents

삼성전자 반도체의 이야기를 만나보세요

반도체 뉴스룸에서 더 많은 최신 뉴스를 확인하려면 아래의 버튼을 클릭하세요.

삼성전자 반도체 뉴스룸 바로가기
관련 컨텐츠