포크에서 사라진 하루, 전역 히스토리로 찾는 일일 취약점

초록

본 논문은 Software Heritage의 전역 커밋 그래프를 활용해 오픈소스 포크에서 발생하는 “one‑day” 취약점을 자동으로 탐지하는 방법을 제시한다. OSV에 등재된 7 162개의 취약한 커밋을 시작점으로 220만 개 이상의 포크에 취약·패치 커밋을 전파하고, 최신 커밋이 여전히 취약한 포크를 선별한다. 실험 결과 135건의 고위험 일일 취약점을 발견했으며, 정밀도 0.69, 유지보수자 확인 9건을 기록했다.

상세 분석

이 연구는 오픈소스 생태계에서 포크가 보안 위험을 전파하는 메커니즘을 정량화하고, 기존 의존성‑기반 취약점 탐지 도구가 놓치는 “cross‑fork” 취약을 메타데이터 수준에서 해결한다는 점에서 의의가 크다. 핵심 아이디어는 전역 커밋 그래프를 이용해 취약·패치 커밋을 커밋‑레벨로 전파하는 것이다. 이를 위해 저자들은 먼저 OSV 데이터베이스에서 Git 커밋 SHA‑1 기반으로 정의된 취약 범위를 추출한다. 그런 다음 Software Heritage(이하 SWH)의 DAG 구조에 모든 공개 커밋을 로드하고, 공유 커밋을 기준으로 포크 관계를 역동적으로 구축한다. 공유 커밋이 존재하면 두 저장소는 “shared‑commit fork”로 간주되며, 이는 플랫폼‑독립적인 포크 탐지를 가능하게 한다.

전파 알고리즘은 두 단계로 이루어진다. ① 취약 커밋을 포함하는 모든 후손 커밋을 “취약”으로 마킹하고, ② 해당 취약을 해결하는 패치 커밋이 등장하면 그 이후의 모든 후손을 “안전”으로 전환한다. 이 과정은 전역 DAG에 대해 단일 패스(DFS/BFS)로 수행되며, 5 억 개 이상의 커밋을 메모리 효율적인 압축 그래프 형태로 처리한다. 결과적으로 각 포크의 최신 커밋이 어느 시점에 취약·패치 상태에 놓였는지를 정확히 파악할 수 있다.

평가에서는 7 162개의 취약 저장소를 시작점으로 2.2 백만 개의 포크를 대상으로 전파를 실행했다. 이후 GitHub 스타 수와 CVSS 점수를 기준으로 “중요 포크”를 추려 1 500여 개를 수동 검토했으며, 135건의 고위험 일일 취약을 확인했다. 정밀도 0.69는 자동 탐지 결과 중 실제 취약인 비율을 의미한다. 유지보수자에게 직접 연락한 결과 9건(≈6.7%)이 공식적으로 확인되었으며, 이는 기존 도구가 전혀 인식하지 못했던 사례임을 보여준다.

한계점으로는 (1) OSV에 등재되지 않은 취약에 대한 탐지가 불가능하고, (2) 커밋‑레벨 전파가 실제 코드 변경(예: cherry‑pick)에서 커밋 ID가 변형될 경우 누락될 위험이 있다. 또한, “one‑day” 취약이 실제 서비스에 노출되는 기간을 정확히 측정하려면 배포 시점과 사용량 데이터를 추가로 수집해야 한다.

향후 연구 방향은 (가) 정적·동적 분석 결과와 전역 히스토리 전파를 결합해 커밋‑레벨 정확도를 높이는 하이브리드 모델, (나) 패키지 매니페스트와 CI/CD 로그를 연계해 포크의 실제 배포 현황을 실시간으로 추적하는 시스템, (다) 정책‑레벨에서 포크 유지보수자를 자동 알림하는 서비스 제공 등이 있다.

전반적으로 이 논문은 “전역 히스토리 분석”이라는 새로운 패러다임을 제시함으로써, 오픈소스 공급망 보안에서 포크 기반 위험을 체계적으로 감시하고 완화할 수 있는 실용적인 기반을 마련했다.