코드 리뷰 인텔리전스로 이끄는 스마트 퍼징

초록

EyeQ는 코드 리뷰에서 추출한 보안 관련 힌트를 자동으로 주석으로 변환해 기존 어노테이션 기반 퍼저에 전달함으로써, PHP와 같은 대규모 프로젝트에서 기존 퍼징이 놓친 40여 개의 신규 취약점을 발견한 시스템이다.

상세 분석

이 논문은 현대 퍼징이 “깊은 상태”와 “전제 조건”에 가로막혀 중요한 취약점을 놓치는 문제점을 정확히 짚어낸다. 특히, 개발자들이 코드 리뷰 과정에서 남기는 “여기 드래곤이 있다”는 메모가 실제로는 위험도가 높은 코드 영역을 가리키는 신호임을 강조한다. 기존의 코드 커버리지 기반 피드백은 제어 흐름 변화를 추적하지만, 값 기반 로직이나 상태 전이와 같은 의미적 진행을 포착하지 못한다. 이를 보완하기 위해 논문은 IJON과 같은 어노테이션 기반 퍼징 프레임워크를 선택한다. IJON은 IJON_SET, IJON_MAX 등 개발자가 정의한 메트릭을 퍼저에게 직접 피드백으로 제공해, 커버리지가 정체된 상황에서도 의미 있는 진행을 유도한다. 핵심 기여는 리뷰 텍스트를 자동으로 파싱해 보안 관련 키워드와 문맥을 식별하고, 해당 키워드가 언급된 함수·변수·조건문을 정밀하게 로컬라이징한 뒤, 적절한 IJON 매크로를 삽입하는 파이프라인을 구축한 점이다.

첫 단계인 리뷰 필터링에서는 LLM을 활용해 “보안 관련” 리뷰만을 추출한다. 여기서는 “stack size”, “magic value”, “unchecked” 등 CWE와 연관된 용어를 프롬프트에 명시해 높은 정밀도를 확보한다. 두 번째 단계인 코드 로컬라이제이션은 정적 분석(콜그래프, 데이터 흐름)과 자연어‑코드 매핑을 결합해, 리뷰에서 언급된 변수·함수가 실제 구현에 어디에 매핑되는지 자동으로 찾는다. 세 번째 단계는 매핑된 위치에 맞는 IJON 매크로를 선택·삽입하는 과정이다. 예를 들어, 리뷰에서 “스택 크기가 비정상적으로 작을 경우”라는 경고가 있으면 IJON_MIN(stack_size)를 해당 변수 초기화 직후에 삽입해, 퍼저가 최소값을 탐색하도록 유도한다.

실험은 두 단계로 진행된다. 첫 번째는 인간 분석가가 직접 리뷰를 해석해 어노테이션을 삽입한 “Human‑guided” 베이스라인을 구축하고, AFL+++IJON으로 41개의 신규 버그를 발견한다. 두 번째는 완전 자동화된 파이프라인을 적용해 동일한 PHP 코드베이스에 대해 46개의 신규 버그를 탐지했으며, 이는 기존 OSS‑Fuzz와 비교해 30% 이상 향상된 결과다. 특히, 스택 오버플로우, 잘못된 입력 검증, 메모리 누수 등 다양한 CWE‑type 취약점이 리뷰 기반 어노테이션 덕분에 초기 입력 단계에서 빠르게 도달될 수 있었다.

이 시스템은 개발자 워크플로우에 별도 작업을 요구하지 않는다. 리뷰가 이미 존재하고, 어노테이션 삽입은 자동화되므로 기존 CI/CD 파이프라인에 손쉽게 통합 가능하다. 또한, LLM 기반 자동화는 인간 오류를 크게 감소시키면서도, 리뷰 텍스트의 비구조적 특성을 효과적으로 구조화한다는 점에서 의미가 크다. 한계점으로는 리뷰 품질에 의존한다는 점과, 현재는 PHP에 국한된 평가이므로 다른 언어·플랫폼에 대한 일반화 검증이 필요하다는 점을 들 수 있다. 향후 연구에서는 멀티‑언어 지원, 리뷰‑버그 매핑 정확도 향상, 그리고 동적 분석과 정적 분석을 결합한 하이브리드 피드백 메커니즘을 탐색할 여지가 있다.