□ 고려대학교(총장 김동원) 컴퓨터학과 우승훈 교수 연구팀이 파이썬 코드에서 발생하는 암호 기능 오용을 자동으로 탐지하는 기술 'CRYPTBARA'를 개발해, 11월 19일 서울 그랜드워커힐에서 열린 소프트웨어공학 국제 학술대회 ‘ASE 2025(The 40th IEEE/ACM International Conference on Automated Software Engineering)’에서 성과를 발표했다.

□ ASE는 자동화된 소프트웨어 분석·설계·구현·테스트·유지보수 전 분야를 다루는 세계 최고 권위의 소프트웨어공학 국제 학술대회다. 올해 행사에는 1,000명 이상의 연구자와 산업 전문가들이 참여해 최신 기술 동향을 공유했다.

□ 파이썬은 서비스 개발에 사용되는 대표적인 프로그래밍 언어지만, 보안과 관련된 값(암호 키·난수·설정 값 등)이 코드 곳곳에 흩어져 작성되는 경우가 많다. 이로 인해 약한 암호 키 사용이나 잘못된 암호화 방식이 눈에 띄지 않아 보안 사고로 이어질 위험이 존재한다.

□ 우승훈 교수 연구팀이 개발한 ‘CRYPTBARA’는 이러한 암호 기능 오용으로 인한 보안 결함을 자동으로 찾는 기술이다. 특히 연구팀은 ‘암호 흐름 복원’ 개념을 적용해, 분산된 암호 키나 난수들이 어떤 경로를 거쳐 암호 함수에 사용되는지 추적할 수 있는 기반을 마련했다.

*암호 흐름 복원: 코드에 흩어진 암호 키·난수 등 보안 관련 값들의 생성부터 사용까지의 전체 이동 경로를 하나의 흐름으로 재구성해 파악하는 분석 방식

□ 이를 바탕으로 CRYPTBARA는 여러 함수로 나뉜 복잡한 코드에서도 암호 값의 실제 이동 경로를 정확히 분석해, 기존 도구가 놓쳤던 암호 기능 오용까지 효과적으로 탐지할 수 있다.

□ 실제로 연구팀이 34개 오픈소스 소프트웨어를 분석한 결과, 총 172건의 암호 기능 오용 사례를 발견했으며, 이 중 22건은 실제 취약점으로 이어질 수 있음을 확인했다. 탐지 성능 역시 기존 연구 대비 최대 약 30% 향상됐다.

□ 우승훈 교수는 “암호 기능은 작은 실수도 보안 위협으로 이어질 수 있다”라며 “CRYPTBARA는 코드 흐름을 복원해 이런 위험을 사전에 막을 뿐 아니라, SBOM·VEX 기반 공급망 보안 체계의 실제 영향 판단 정확도를 높이는 데에도 기여할 것”이라고 말했다.

*SBOM(Software Bill of Materials): 소프트웨어에 포함된 라이브러리와 구성요소 목록

*VEX(Vulnerability Exploitability eXchange): 소프트웨어 구성요소에서 발견된 취약점이 실제로 악용 가능한지 여부를 알려주는 보안 문서 형식

□ 본 연구는 과학기술정보통신부와 정보통신기획평가원(IITP)의 정보보호핵심원천기술개발사업 지원을 받아 수행됐다.