임베디드 기기 바이너리 취약점 분석 효율성 제고를 위한 중간어 변환 기술 Intermediate-Representation Translation Techniques to Improve Vulnerability Analysis Efficiency for Binary Files in Embedded Devices원문보기
임베디드 기기는 시퀀스 제어 기능과 수치연산 기능을 활용하여 제어 프로그램에 따라 산업현장의 기기 등 다양한 자동화 시스템에 활용된다. 현재 임베디드 기기는 기업의 산업현장, 원전, 대중교통 같은 국가기반시설에서 제어 시스템으로 활용되고 있다. 따라서 임베디드 기기를 대상으로 하는 공격은 큰 경제적 손실과 사회적 손실을 야기할 수 있다. 임베디드 기기를 대상으로 하는 공격은 대부분 데이터, 코드 변조로서 제어 프로그램을 대상으로 이루어진다. 산업 자동화 임베디드 기기의 제어 프로그램은 일반적인 프로그래밍 언어와 달리 회로 구조를 표현하기 위하여 설계되었고, 대부분의 산업 자동화 제어 프로그램은 그래픽 기반 언어인 LAD로 설계되어있어 정적분석이 용이하지 않다. 이러한 특징으로 인하여 산업 자동화 제어 프로그램에 대한 취약점 분석 및 보안 관련 연구는 정형 검증, 실시간 모니터링 수준에 그친다. 또한 사전에 취약점을 탐지하고 공격에 대한 대비가 가능한 산업 자동화 제어 프로그램 정적분석 연구는 매우 저조한 실정이다. 따라서 본 연구에서는 산업 자동화 임베디드 프로그램에 대한 정적분석 효율성 증대를 위하여 회로 구조를 표현하기 위해 설계된 산업 자동화 제어 프로그램을 논리식으로 표현하기 위한 방법을 제시한다. 또한 다양한 제조사의 산업 자동화 제어 프로그램을 통합적으로 분석하기 위하여 LLVM IR을 활용한 중간어 변환 기술을 제안한다. LLVM IR을 활용함으로서 동적 분석에 대한 통합분석이 가능하다. 본 연구에서는 해당 방법에 대한 검증을 위하여 S 사(社)의 제어 프로그램을 대상으로 하여 논리식 형태의 중간어로 변환하는 프로그램의 시제품을 개발하였다.
임베디드 기기는 시퀀스 제어 기능과 수치연산 기능을 활용하여 제어 프로그램에 따라 산업현장의 기기 등 다양한 자동화 시스템에 활용된다. 현재 임베디드 기기는 기업의 산업현장, 원전, 대중교통 같은 국가기반시설에서 제어 시스템으로 활용되고 있다. 따라서 임베디드 기기를 대상으로 하는 공격은 큰 경제적 손실과 사회적 손실을 야기할 수 있다. 임베디드 기기를 대상으로 하는 공격은 대부분 데이터, 코드 변조로서 제어 프로그램을 대상으로 이루어진다. 산업 자동화 임베디드 기기의 제어 프로그램은 일반적인 프로그래밍 언어와 달리 회로 구조를 표현하기 위하여 설계되었고, 대부분의 산업 자동화 제어 프로그램은 그래픽 기반 언어인 LAD로 설계되어있어 정적분석이 용이하지 않다. 이러한 특징으로 인하여 산업 자동화 제어 프로그램에 대한 취약점 분석 및 보안 관련 연구는 정형 검증, 실시간 모니터링 수준에 그친다. 또한 사전에 취약점을 탐지하고 공격에 대한 대비가 가능한 산업 자동화 제어 프로그램 정적분석 연구는 매우 저조한 실정이다. 따라서 본 연구에서는 산업 자동화 임베디드 프로그램에 대한 정적분석 효율성 증대를 위하여 회로 구조를 표현하기 위해 설계된 산업 자동화 제어 프로그램을 논리식으로 표현하기 위한 방법을 제시한다. 또한 다양한 제조사의 산업 자동화 제어 프로그램을 통합적으로 분석하기 위하여 LLVM IR을 활용한 중간어 변환 기술을 제안한다. LLVM IR을 활용함으로서 동적 분석에 대한 통합분석이 가능하다. 본 연구에서는 해당 방법에 대한 검증을 위하여 S 사(社)의 제어 프로그램을 대상으로 하여 논리식 형태의 중간어로 변환하는 프로그램의 시제품을 개발하였다.
Utilizing sequence control and numerical computing, embedded devices are used in a variety of automated systems, including those at industrial sites, in accordance with their control program. Since embedded devices are used as a control system in corporate industrial complexes, nuclear power plants ...
Utilizing sequence control and numerical computing, embedded devices are used in a variety of automated systems, including those at industrial sites, in accordance with their control program. Since embedded devices are used as a control system in corporate industrial complexes, nuclear power plants and public transport infrastructure nowadays, deliberate attacks on them can cause significant economic and social damages. Most attacks aimed at embedded devices are data-coded, code-modulated, and control-programmed. The control programs for industry-automated embedded devices are designed to represent circuit structures, unlike common programming languages, and most industrial automation control programs are designed with a graphical language, LAD, which is difficult to process static analysis. Because of these characteristics, the vulnerability analysis and security related studies for industry automation control programs have only progressed up to the formal verification, real-time monitoring levels. Furthermore, the static analysis of industrial automation control programs, which can detect vulnerabilities in advance and prepare for attacks, stays poorly researched. Therefore, this study suggests a method to present a discussion on an industry automation control program designed to represent the circuit structure to increase the efficiency of static analysis of embedded industrial automation programs. It also proposes a medium term translation technology exploiting LLVM IR to comprehensively analyze the industrial automation control programs of various manufacturers. By using LLVM IR, it is possible to perform integrated analysis on dynamic analysis. In this study, a prototype program that converts to a logical expression type of medium language was developed with regards to the S company's control program in order to verify our method.
Utilizing sequence control and numerical computing, embedded devices are used in a variety of automated systems, including those at industrial sites, in accordance with their control program. Since embedded devices are used as a control system in corporate industrial complexes, nuclear power plants and public transport infrastructure nowadays, deliberate attacks on them can cause significant economic and social damages. Most attacks aimed at embedded devices are data-coded, code-modulated, and control-programmed. The control programs for industry-automated embedded devices are designed to represent circuit structures, unlike common programming languages, and most industrial automation control programs are designed with a graphical language, LAD, which is difficult to process static analysis. Because of these characteristics, the vulnerability analysis and security related studies for industry automation control programs have only progressed up to the formal verification, real-time monitoring levels. Furthermore, the static analysis of industrial automation control programs, which can detect vulnerabilities in advance and prepare for attacks, stays poorly researched. Therefore, this study suggests a method to present a discussion on an industry automation control program designed to represent the circuit structure to increase the efficiency of static analysis of embedded industrial automation programs. It also proposes a medium term translation technology exploiting LLVM IR to comprehensively analyze the industrial automation control programs of various manufacturers. By using LLVM IR, it is possible to perform integrated analysis on dynamic analysis. In this study, a prototype program that converts to a logical expression type of medium language was developed with regards to the S company's control program in order to verify our method.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
G Sandaruwan 외 3인은 다양한 경로의 산업자동화 임베디드 기기에 대한 공격 경로를 분석하여 산업자동화 임베디드 기기 취약점을 찾아내었다[5]. 또한 산업자동화 임베디드 기기 기반 시스템에서의 취약점을 보완하기 위한 솔루션을 제안하였다. University Laboratory in Automated Production Resarch의 S.
본 연구에서는 위와 같은 실행 순서와 회로 구조를 반영하기 위하여 중간어 변환 과정에 앞서 파스트리 형태로 변형하는 과정을 진행한다. 본 논문에서는 회로 구조를 논리식 형태로 이루어진 파스트리로 변형을 진행하는 동시에 같은 신호 흐름을 유지하기 위하여 산업자동화 제어 프로그램을 대상으로 변환 규칙을 설계한다. 해당 규칙에 따라 그림 3의 STL 형식의 프로그램은 그림 6의 파스트리와 같은 형태로 변형된다.
따라서 효과적인 취약점 분석을 위해서는 통합 관리 방안이 필요 하다. 본 연구에서는 각 제조사의 산업자동화 제어 프로그램 통합 관리를 위하여 중간어 변환 기술을 제안한다.
Converter 모듈에는 새로운 라이브러리의 명령어를 추가하여 새로운 명령어에 대한 변환에 대응할 수 있다. 본 연구에서는 산업자동화 임베디드 기기의 레지스터와 메모리 구조를 활용한 실제 동작 방식을 구현하기 위한 모듈을 구현하였다. Load Structure 모듈은 산업자동화 제어 프로그램이 외부 데이터 블록의 데이터 값을 참조하는 과정을 구현한다.
현재 산업 자동화 임베디드 기기 관련 보안 연구는 산업자동화 임베디드 기기의 이상 행동을 감시하는 동적 분석방법에 집중되어 있으며, 정적분석의 경우 대부분 정형 검증에 치중되어 있다. 본 연구에서는 산업자동화 임베디드 기기의 산업자동화 제어 프로그램의 바이너리 파일의 코드를 추출하여 해당 코드를 바탕으로 하여 정적 분석 기반 취약점 탐지를 진행하는 기술을 제안한다. 산업자동화 임베디드 기기의 제어 프로그램 언어는 S 社의 S7 시리즈, M 社의 Melsec 등 다양한 제조사의 기기가 존재하며 각 제조사의 산업 자동화 제어 프로그램 구조, 문법, 명령어는 상이하다.
제안 방법
첫 번째, 데이터 변조에 의한 시스템 오작동 가능성을 탐지하기 위해 기호실행 기반 퍼징 기술을 제안한다. 두 번째, 프로그램 변조를 탐지하기 위하여 프로그램에 대한 해쉬값을 저장하는 데이터베이스를 활용한 탐지 시스템을 제안한다. 그림 9는 중간어 변환 기술 기반 취약점 통합 분석 시스템의 예상 개요도이다.
따라서 프로그램 변조와 특정 데이터 변조로 인하여 시스템이 오작동하는 공격 시나리오에 대한 대응이 필요하다. 따라서 본 연구에서는 중간어 기반 취약점 통합 시스템의 분석 도구로서 다음 분석 기법을 제안하였다. 첫 번째, 데이터 변조에 의한 시스템 오작동 가능성을 탐지하기 위해 기호실행 기반 퍼징 기술을 제안한다.
본 연구에서는 LLVM의 구동 방식을 차용하여 각 제조사의 명령어를 중간어로 변환하는 프론트 엔드, 취약점 분석을 진행하는 백 엔드로 취약점 분석 프로그램을 구성한다. 또한 LLVM IR의 API와 문법을 활용하여 리스트 형태로 표현되는 중간어를 설계한다. LLVM IR에서 제공하는 API의 활용 예시는 표 1과 같다.
본 논문에서는 산업자동화 임베디드 기기의 산업자동화 제어 프로그램을 중간어 형태로 변환하는 기술을 제안하고, 실제 S 社의 산업자동화 제어 프로그램을 대상으로 하여 회로, 접점, 코일을 논리식 형태의 중간어로 변환하였다. 해당 기술을 활용함으로서 각 제조사 별로 상이한 문법과 명령어를 가진 산업자동화 임베디드 기기 프로그램에 대한 통합적인 관리와 분석을 진행할 수 있다.
미들 엔드 단계에서는 최적화를 위한 ‘LLVM Optimizer’를 제공하고 백 엔드에서 코드 생성기로 변환된 중간어를 기계어로 만들어 컴파일을 진행한다. 본 연구에서는 LLVM의 구동 방식을 차용하여 각 제조사의 명령어를 중간어로 변환하는 프론트 엔드, 취약점 분석을 진행하는 백 엔드로 취약점 분석 프로그램을 구성한다. 또한 LLVM IR의 API와 문법을 활용하여 리스트 형태로 표현되는 중간어를 설계한다.
본 연구에서는 위와 같은 실행 순서와 회로 구조를 반영하기 위하여 중간어 변환 과정에 앞서 파스트리 형태로 변형하는 과정을 진행한다. 본 논문에서는 회로 구조를 논리식 형태로 이루어진 파스트리로 변형을 진행하는 동시에 같은 신호 흐름을 유지하기 위하여 산업자동화 제어 프로그램을 대상으로 변환 규칙을 설계한다.
해당 논문에서는 opcode에 대한 중간어를 설계하여 변환을 진행하였다. 본 연구에서는 제어 명령어, 수식연산 명령어, 논리 명령어, 네트워크 명령어 등으로 분류하여 중간어를 설계하였다. Software Engineering and Technology labs Infosys Technologies Ltd의 Sravan Kumar R 외 1인은 클라우드 저장소에서의 데이터 무결성 검증 방안을 제안하였다[8].
이를 위하여 다양한 제조사의 산업자동화 제어 프로그램을 중간어로 변환하여 통합적으로 분석하기 위한 방법을 제안한다. 본 연구에서는 중간어로 변환하기 위한 방안으로 산업자동화 제어 프로그램의 바이너리 파일에서 추출한 STL 형식으로 표현된 산업자동화 제어 프로그램 코드를 활용하여 산업자동화 제어 프로그램의 회로구조를 논리식으로 변환하는 방법을 활용한다.
이후 추가적인 수식연산 등을 처리하는 S 社에서 제공하는 기본 함수에 대한 변환 규칙에 대해서 정의한다. 연구 대상인 S 社의 산업자동화 제어 프로그램의 명령어를 논리연산 명령어 집합, 수식연산 명령어 집합, 카운터 명령어 집합, 프로그램 제어 명령어 집합으로 분류하여 중간어를 구성한다. 비트 로직 명령어는 회로의 접점 배치를 의미한다.
따라서 향후 연구로서 코드 커버리지 향상과 LLVM의 프론트 엔드와 실제 동작을 담당하는 백 엔드를 연결하는 미들 엔드를 구현하여 실제 동작 가능한 시뮬레이션 환경을 구축하여 동적 분석에 대한 요구를 충족시킬 필요가 있다. 이를 위하여 S 社의 명령어 매뉴얼에 대한 조사를 필요로 한다. 추가적으로 동적분석 기능 추가를 위한 레지스터, 메모리 구조, LLVM 미들 엔드 외에도 산업 자동화 임베디드기기의 취약점에서 높은 중요도를 가지는 네트워크 프로토콜 및 정보 송수신기능에 대하여 분석이 필요하다.
이러한 문제점을 개선하고 취약점 분석을 효율적으로 진행하기 위하여 다양한 제조사의 산업자동화 제어 프로그램을 통합적으로 분석할 필요가 있다. 이를 위하여 다양한 제조사의 산업자동화 제어 프로그램을 중간어로 변환하여 통합적으로 분석하기 위한 방법을 제안한다. 본 연구에서는 중간어로 변환하기 위한 방안으로 산업자동화 제어 프로그램의 바이너리 파일에서 추출한 STL 형식으로 표현된 산업자동화 제어 프로그램 코드를 활용하여 산업자동화 제어 프로그램의 회로구조를 논리식으로 변환하는 방법을 활용한다.
파스트리 생성 모듈에서는 해당 입력을 명령어와 매개 변수로 이루어진 노드로 파싱한다. 이후 이를 순서대로 읽어들여 파스트리 생성 규칙을 활용하여 Json 형태의 파스트리를 생성한다. 중간어 변환 모듈에서는 해당 파스트리를 입력받아.
따라서 본 연구에서는 중간어 기반 취약점 통합 시스템의 분석 도구로서 다음 분석 기법을 제안하였다. 첫 번째, 데이터 변조에 의한 시스템 오작동 가능성을 탐지하기 위해 기호실행 기반 퍼징 기술을 제안한다. 두 번째, 프로그램 변조를 탐지하기 위하여 프로그램에 대한 해쉬값을 저장하는 데이터베이스를 활용한 탐지 시스템을 제안한다.
University of Victoria의 Shahid Alam 외 2인은 중간어를 활용하여 악성코드 탐지를 진행하였다[7]. 해당 논문에서는 opcode에 대한 중간어를 설계하여 변환을 진행하였다. 본 연구에서는 제어 명령어, 수식연산 명령어, 논리 명령어, 네트워크 명령어 등으로 분류하여 중간어를 설계하였다.
해당 바이러스는 로컬 네트워크를 통하여 스스로를 전파시키고, C&C(Command and Control) 서버에 접속하여 물리적 조작과 데이터 변조를 수행한다.
Software Engineering and Technology labs Infosys Technologies Ltd의 Sravan Kumar R 외 1인은 클라우드 저장소에서의 데이터 무결성 검증 방안을 제안하였다[8]. 해당 연구에서는 데이터를 블록 단위로 구획하여 해쉬값을 추출하여 데이터 무결성을 검증하였다.
IEEE의 Herbert Prahofer 외 3인은 산업자동화 임베디드 기기 프로그래밍 언어에서의 정적 분석 기술을 제안하였다[4]. 해당 연구에서는 프로그램 구조의 패턴 매칭, 제어 흐름 및 데이터 흐름 분석, 호출 그래프 기술 등을 활용하여 산업자동화 임베디드 기기 산업자동화 제어 프로그램을 분석하였다. G.
이론/모형
Lamperiere-Couffin 외 2인은 산업자동화 임베디드 기기 프로그램에 대한 정형 검증 방법에 대하여 기술하였다[6]. 본 연구에서는 정형 검증을 위하여 산업자동화 임베디드 기기 프로그램의 SFC(Sequential Function Chart)를 활용하였다. 해당 연구의 경우, 임베디드 기기 프로그램에 대한 문법 오류 등에 대한 검증 방안으로 취약점 분석에 활용이 어렵다.
성능/효과
본 연구에서 제안한 산업자동화 제어 프로그램 중간어 변환 기술은 산업 자동화 제어 프로그램의 취약점 통합분석에 활용 가능하다. 산업 자동화 제어 프로그램에 대한 공격은 주로 데이터 및 프로그램 변조를 통하여 이루어진다.
해당 연산 순서는 산업자동화 제어 프로그램의 회로 연산 결과와 동일함을 확인할 수 있다. 본 연구에서는 비트로직 명령어를 모두 구현하여 산업자동화 제어 프로그램의 기본 요소인 직렬, 병렬처리, 접점, 코일의 구현이 완료되었다. 이후 추가적인 수식연산 등을 처리하는 S 社에서 제공하는 기본 함수에 대한 변환 규칙에 대해서 정의한다.
후속연구
또한 본 연구의 결과물은 중간어로 변환함으로서 산업자동화 임베디드 기기에서 동작이 불가능하기 때문에 정적분석에 한정된다는 한계점을 가지고 있다. 따라서 향후 연구로서 코드 커버리지 향상과 LLVM의 프론트 엔드와 실제 동작을 담당하는 백 엔드를 연결하는 미들 엔드를 구현하여 실제 동작 가능한 시뮬레이션 환경을 구축하여 동적 분석에 대한 요구를 충족시킬 필요가 있다. 이를 위하여 S 社의 명령어 매뉴얼에 대한 조사를 필요로 한다.
그러나 현재 버전의 중간어 변환 프로그램은 S 社의 산업자동화 제어 프로그램 명령어에 대한 코드 커버리지를 향상 시킬 필요가 있다. 또한 본 연구의 결과물은 중간어로 변환함으로서 산업자동화 임베디드 기기에서 동작이 불가능하기 때문에 정적분석에 한정된다는 한계점을 가지고 있다. 따라서 향후 연구로서 코드 커버리지 향상과 LLVM의 프론트 엔드와 실제 동작을 담당하는 백 엔드를 연결하는 미들 엔드를 구현하여 실제 동작 가능한 시뮬레이션 환경을 구축하여 동적 분석에 대한 요구를 충족시킬 필요가 있다.
해당 기술을 활용함으로서 각 제조사 별로 상이한 문법과 명령어를 가진 산업자동화 임베디드 기기 프로그램에 대한 통합적인 관리와 분석을 진행할 수 있다. 또한 회로구조로 이루어진 산업자동화 제어 프로그램을 논리식으로 이루어진 중간어로 변환함으로서 프로그램에 대한 정량적 분석을 가능하게 할 수 있을 것으로 예상된다. 일반적인 프로그래밍 언어와 달리 그래픽 기반 언어인 산업자동화 제어 프로그램을 LLVM-IR 형태의 중간어로 변환한 결과는 다양한 형태의 프로그램 언어에 대하 여 LLVM-IR로의 분석이 가능함을 시사한다.
이를 위하여 S 社의 명령어 매뉴얼에 대한 조사를 필요로 한다. 추가적으로 동적분석 기능 추가를 위한 레지스터, 메모리 구조, LLVM 미들 엔드 외에도 산업 자동화 임베디드기기의 취약점에서 높은 중요도를 가지는 네트워크 프로토콜 및 정보 송수신기능에 대하여 분석이 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
기기 자동화 시스템이 활용되는 곳은 어디인가?
오늘날 산업계에서는 기기 자동화 시스템이 일반화 되어 기업의 공정, 원전 등의 산업시설 뿐만 아니라 대중교통과 같은 사회기간 시설에서도 널리 활용되고 있다. 임베디드 기기는 논리회로와 논리연산, 수치연산으로 구성된 산업자동화 제어 프로그램이라는 언어로 설계된 프로그램에 따라 공장의 자동화 과정 제어에 활용된다.
산업자동화 제어 프로그램을 구성하는 기본 요소는 무엇인가?
그러나 산업자동화 제어 프로그램은 일반적인 프로그래밍 언어와 달리 회로의 구성 방식을 표현하기 위하여 설계되었다. 산업자동화 제어 프로그램을 구성하는 기본 요소는 회로, 접점, 코일이다. 회로는 입력된 신호가 지나가는 흐름을 의미하며, 전기 회로의 직렬, 병렬 개념과 상응한다.
산업자동화 임베디드 기기의 중간어 변환 프로그램은 무엇으로 구성되어 있는가?
중간어 변환 프로그램은 산업자동화 임베디드 기기 프로그램을 입력 받아 논리식으로 이루어진 파스트리 형태로 재구성하는 과정과 파스트리를 입력받아 중간어로 변환하는 과정을 수행한다. 프로그램은 Interface 모듈, Mapper 모듈, Converter 모듈로 구성된다. Interface 모듈은 중간어 변환 프로그램의 메인 루틴이다.
참고문헌 (9)
Kushner, David. "The real story of stuxnet." ieee Spectrum 50.3, pp. 48-53, 2013.
Spenneberg, Ralf, Maik Bruggemann, and Hendrik Schwartke. "PLC-blaster: A worm living solely in the PLC." Black Hat Asia, Marina Bay Sands, Singapore, 2016.
Lattner, Chris, and Vikram Adve. "LLVM: A compilation framework for lifelong program analysis & transformation." Proceedings of the international symposium on Code generation and optimization: feedback-directed and runtime optimization. IEEE Computer Society, 2004.
Prahofer, Herbert, Florian Angerer and Rudolf Ramler. "Static code analysis of IEC 61131-3 programs: Comprehensive tool support and experiences from large-scale industrial application." IEEE Transactions on Industrial Informatics, vol. 13, no. 1 , pp. 37-47, 2017.
Sandaruwan, G. P. H., P. S. Ranaweera, and Vladimir A. Oleshchuk. "PLC security and critical infrastructure protection." Industrial and Information Systems (ICIIS), 2013 8th IEEE International Conference on. IEEE, 2013.
Lamperiere-Couffin, Sandrine, O. Rossil,J.-M Roussel and J.-J Lesage, "Formal validation of PLC programs: a survey." Control Conference (ECC), 1999 European. IEEE, 1999.
Alam, Shahid, R. Nigel Horspool, and Issa Traore. "MAIL: Malware Analysis Intermediate Language: a step towards automating and optimizing malware detection." Proceedings of the 6th International Conference on Security of Information and Networks. ACM, 2013.
Kumar, R. Sravan, and Ashutosh Saxena. "Data integrity proofs in cloud storage." Communication Systems and Networks (COMSNETS), 2011 Third International Conference on. IEEE, 2011.
SIEMENS. SIMATIC Statement List(STL) for S7-300 and S7-400 Programming. reference Manual
※ AI-Helper는 부적절한 답변을 할 수 있습니다.