오픈소스 API 취약점 탐지 및 PoC 마이그레이션
특정 기능에 국한된 취약점은 소프트웨어 개발자가 반드시 탐지하고 회피해야 할 중요한 문제입니다. 기존 접근 방식들은 API 본문만 고려하고 기능적으로 동등한 API들의 다양한 구현을 처리하지 못하여, 개별 기능별 취약점을 효과적으로 탐지하는 데 한계가 있었습니다. 본 연구는 이러한 문제를 해결하기 위해 API 본문 대신 API 문서 문자열과 시그니처를 활용하는 최초의 접근 방식인 APISS를 제안합니다. APISS는 기존 취약점이 있는 API에 대해 기능적으로 동등한 API들을 검색하고, 이들 API에 기존 취약점의 PoC(개념 증명)를 마이그레이션합니다. 기능적으로 동등한 API 검색에는 대규모 언어 모델 기반 API 임베딩을 활용하여 정확도를 높이고, PoC 마이그레이션에는 수동 비용을 크게 줄이는 반자동 스키마를 설계했습니다. APISS는 180개 자바 저장소와 10개 기존 취약점을 대상으로 한 종합 평가에서 기능적으로 동등한 API 검색에서 Top-1 정확도 0.81을 달성하여, 기존 최고 성능 방식의 0.55를 크게 상회했습니다. 또한, 취약점당 수동 비용이 10분 이내이고, 후보 API 테스트의 전체 실행 시간이 2시간 미만으로 매우 효율적입니다. APISS는 179개의 새로운 취약점을 탐지하고 60개의 새로운 CVE ID를 획득하여 보안 실무에 높은 가치를 제공합니다. 이 연구는 기능별 취약점 탐지 및 PoC 마이그레이션의 효율성과 정확성을 획기적으로 개선하는 데 기여합니다.