DOI QR코드

DOI QR Code

Detecting Vulnerable OSS Code Clones in Electric Vehicle Charging Infrastructure Using VUDDY

전기차 충전 인프라 오픈소스 소프트웨어에서의 취약한 코드 복제 탐지: VUDDY 를 활용한 사례 연구

  • Se-Ok Jeon (Dept. of Information Security Convergence, Chonnam National University) ;
  • Hyeonji Jang (Dept. of Artificial Intelligence, Chonnam National University) ;
  • Min-Soo Jeung (Dept. of Software Engineering, Chonnam National University) ;
  • SeoJun Lee (Dept. of Artificial Intelligence, Chonnam National University) ;
  • Da-Young Oh (Dept. of Artificial Intelligence, Chonnam National University) ;
  • Kwang-hoon Choi (Dept. of Information Security Convergence, Chonnam National University) ;
  • Seokhwi Kim (KSIGN) ;
  • Sungwoo Cho (AiDeep) ;
  • Jwongmi Kim (KSIGN)
  • 전세옥 (전남대학교 정보보안융합학과 ) ;
  • 장현지 (전남대학교 인공지능학부) ;
  • 정민수 (전남대학교 소프트웨어공학과) ;
  • 이서준 (전남대학교 인공지능학부) ;
  • 오다영 (전남대학교 인공지능학부) ;
  • 최광훈 (전남대학교 정보보안융합학과) ;
  • 김석휘 ((주)케이사인) ;
  • 조성우 ((주)에이아이딥) ;
  • 김정미 ((주)케이사인)
  • Published : 2024.10.31

Abstract

오픈소스 코드 재사용은 비용 절감과 생산성을 높이지만, 관리의 복잡성으로 인해 취약점이 발생할 수 있다. 본 논문은 전기차 충전 인프라에서 사용되는 오픈소스 소프트웨어의 취약한 코드 복제를 탐지하는 방법을 제안한다. VUDDY 와 IoTCube 를 활용해 분석한 결과, open-ocpp 에서 zlib 복제로 인한 취약한 코드 클론 사례가 발견되었으며, 이는 CVE-2016-9840 및 CVE-2016-9841 과 관련이 있었다. 연구는 코드 복제 취약점 탐지를 통한 전기차 충전 인프라 보안 강화 가능성을 보여주었다.

Keywords

Acknowledgement

본 연구에 필요한 IoTCube 를 공개해 주신 CSSA(고려대학교 소프트웨어보안연구소)에 감사드립니다. 본 연구는 과학기술정보통신부 및 정보통신기획평가원의 융합보안핵심인재양성사업의 연구 결과로 수행되었음" (IITP-2024-RS-2022-II221203). 본 연구는 한국인터넷진흥원(KISA)-정보보안 특성화대학 지원사업의 지원을 받아 수행된 연구임. 본 연구는 과학기술정보통신부 및 정보통신기획평가원의 인공지능융합혁신인재양성사업 연구 결과로 수행되었음(IITP-2023-RS-2023-00256629). 이 논문은 2024 년도 정부(과학기술정보통신부)의 재원으로 정보통신기획평가원의 지원을 받아 수행된 연구결과임 (RS-2024-00398993, 전기자동차 충전기 보안위협 대응 기술 개발)

References

  1. "2024 Open Source Security and Risk Analysis Report (OSSRA) | Synopsys".
  2. "Linux 커널에서 'Dirty Cow(CVE-2016-5195)' 제로데이 취약점 발견!", 이스트시큐리티 알약 블로그.
  3. "리눅스 커널 취약점 Dirty Cow(CVE-2016-5195) 통해 모든 버전의 안드로이드 루팅 가능해", 이스트시큐리티 알약 블로그.
  4. T. Kamiya, S. Kusumoto and K. Inoue, "CCFinder: a multilinguistic token-based code clone detection system for large scale source code", IIEEE Trans. Software Eng., vol 28, issue 7, pp 654-670.
  5. S. Kim, S. Woo, H. Lee and H. Oh, "VUDDY: A Scalable Approach for Vulnerable Code Clone Discovery", in 2017 IEEE Symposium on Security and Privacy (SP), 5 2017, pp 595-614.
  6. S. Woo, H. Hong, E. Choi and H. Lee, "MOVERY: A Precise Approach for Modified Vulnerable Code Clone Discovery from Modified Open-Source Software Components", presented at the 31st USENIX Security Symposium (USENIX Security 22), 2022, pp 3037-3053.
  7. M. Akuchie, "Hacked Electrify America Charger Exposes Major Cybersecurity Risk", ScreenRant.
  8. G. Coppoletta, A. Kaur, N. Valizadeh, O. Rana, R. Gjomemo and V. N. Venkatakrishnan, "OCPPStorm: A Comprehensive Fuzzing Tool for OCPP Implementations", Network and Distributed System Security Symposium (NDSS 2024), San Diego, USA, 2024.
  9. A. Nambiar, Z. B. Celik, R. Gerdes and A. Bianchi, "Poster: PLUG&CHECK: Finding Bugs in ISO15118 Implementations with EVFUZZ", Network and Distributed System Security Symposium (NDSS 2024), San Diego, USA, 2024.