[논문]북한 서광문서처리체계 분석을 위한 Document Object Model(DOM) 기반 퍼징 기법

박찬주; 강동수

doi:10.3745/ktccs.2019.8.5.119

초록
AI-Helper

자체 개발하여 사용하고 있는 대표적인 소프트웨어는 붉은별(Red Star)과 내부 응용 소프트웨어이다. 하지만 이러한 북한 소프트웨어에 대한 기존 연구는 소프트웨어 설치방법 및 일반적인 실행화면 분석이 대부분이다. 소프트웨어 보안 취약점을 확인하는 방법 중 하나인 파일 퍼징은 보안 취약점을 식별하는 대표적인 방법이며, 본 연구에서는 북한에서 개발하여 사용 중인 소프트웨어 중 서광문서처리체계에 대한 보안 취약점을 분석하기 위해 파일 퍼징을 사용한다. 이때 서광문서처리체계에서 생산되는 Open Document Text(ODT) 파일 분석 및 테스팅 대상을 정하기 위한 Document Object Model(DOM) 기반 노드 추출, 그리고 삽입과 대체를 통한 변이 파일 생성을 제안하며, 이를 통해 동일한 테스팅 시간에 크래시 발견 횟수를 증가시킨다.

Abstract ▼ AI-Helper

Typical software developed and used by North Korea is Red Star and internal application software. However, most of the existing research on the North Korean software is the software installation method and general execution screen analysis. One of the ways to identify software vulnerabilities is fil...

Typical software developed and used by North Korea is Red Star and internal application software. However, most of the existing research on the North Korean software is the software installation method and general execution screen analysis. One of the ways to identify software vulnerabilities is file fuzzing, which is a typical method for identifying security vulnerabilities. In this paper, we use file fuzzing to analyze the security vulnerability of the software used in North Korea's Seogwang Document Processing System. At this time, we propose the analysis of open document text (ODT) file produced by Seogwang Document Processing System, extraction of node based on Document Object Mode (DOM) to determine test target, and generation of mutation file through insertion and substitution, this increases the number of crash detections at the same testing time.

주제어

표/그림 (19)

그림 Fig. 1. Red star's Seogwang Document Processing System 3.0
그림 Fig. 2. ODT File Structure
그림 Fig. 3. Swap
그림 Fig. 4. Bytemut
그림 Fig 5. Wave
그림 Fig. 6. Result of Execution of Target Program by Dump Fuzzing
표 Table 1. Types of Fuzzing
그림 Fig. 7. Proposed ODT File Fuzzing Process
그림 Fig. 8. Preparing to Extract Testing Area
그림 Fig. 9. Extract Testing Area
그림 Fig. 10. Mutation of the Area to be Tested
그림 Fig. 11. Detailed Mutation of A31 and A32
그림 Fig 13. The Mutated Part of the Styles.xml, where the Crash is a Mutation File
그림 Fig. 12. The Basic Process of a Fuzzing Tool Written in Python
표 Table 2. Experiment Environment
그림 Fig. 14. Iteration Cumulative Comparisons in Three Methods
그림 Fig. 15. Crash Cumulative Comparisons in Three Methods
표 Table 3. Iteration Cumulative Counts for Three Methods
표 Table 4. Crash Cumulative Counts for Three Methods

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

이는 프로그래머가 예상할 수 없는 부분에서의 취약점을 탐지할 수 있는 장점이 있으며, 파일 구조 및 변이 방법 등 여러 가지 요소들에 따라 파일 퍼징의 효율성이 달라질 수 있다. 따라서 본 논문에서는 서광문서처리체계의 입력파일인 Open Document Text(ODT) 파일에 적용 가능한 Document Object Model(DOM) 구조 기반 퍼징을 제안하고 붉은별 3.0에 탑재된 서광문서처리체계를 실험한다.
본 논문에서는 ODT 파일을 입력파일로 가지는 북한 서광문서처리체계에 대한 퍼즈 테스트를 위해 DOM 구조 기반의 퍼즈 테스트 기법을 제안하고, 적용 가능성 분석과 기존 기법과의 비교를 통해 평가하였다. 제안한 ODT 변이파일 생성은 3단계로 구성되어 있다.

제안 방법

또한 기존 파일을 무작위로 변이시켰을 경우에는 많은 취약점을 발견할 수 있었지만 치명적인 취약점을 발견하기는 어려웠다. 따라서 서광문서처리체계의 퍼징 효율성을 높이기 위해서 ODT 파일 구조를 분석하여 DOM 구조화 후 노드라는 특정 영역을 식별하고, 두 가지의 변이 방법을 사용한다.
본 논문에서 제안하는 변이 파일 생성 기법을 입증하기 위해 기존의 변이 파일 생성 방법 2가지와 반복(Iteration)과 크래시(Crash) 횟수를 비교 분석하였다. 파일 크기가 같다면 Wave 기법은 Test case 생성 수가 Swap과 비교하여 동일하므로, Test case 수가 서로 같아 Wave 기법과의 비교는 생략한다.
DOM에서는 문서내의 모든 것이 노드(Node)라는 계층적 단위에 저장된다. 본 논문에서는 이러한 구조 중 일부를 변이시키더라도 소프트웨어가 파일을 입력 받을시 영향을 받지 않을 것으로 판단되는 문서노드/요소노드 /속성 노드와 같은 내부노드에 집중해서 퍼징을 수행한다[9].
본 장에서는 제안한 퍼징 기법을 적용하고 평가하기 위해 붉은별 운영체계에 퍼징 도구인 Basic Fuzzing Framework(BFF)와 제안된 기법으로 작성된 퍼징 도구를 설치하고 대상파일 및 서광문서처리체계를 사용한다.
5를 선정하였다. 실험 환경 구축 후, 이어서 제안한 변이 기법을 ODT 파일에 적용 및 퍼징을 수행하였으며 발생한 크래시를 확인한다. 이후 기존 기법 2가지와 제안기법에 대하여 시간에 따른 반복(Iteration)과 크래시 수를 비교한다.
또한 기존 각각의 변이 기법에 따라 변이되는 영역 크기, 변이 값 등이 모두 다르기 때문에 발생시킬 수 있는 크래시도 다르다. 이를 해결하기 위해 ODT 파일의 파일 구조를 확인하고 특정 영역을 선택한 뒤 크래시를 발생시킬 확률이 높도록 2가지의 변이 방법을 사용하여 퍼징 기법을 설계한다. 제안하는 ODT 파일 퍼징은 3단계이며, Fig.

대상 데이터

Windows를 사용하는 개인용 컴퓨터를 사용하고, 대상 소프트웨어를 Windows 기반에서 사용하기 위해 VMware Workstation 14 player를 사용하였다. 기존 일반적인 방식으로 퍼징하기 위해 Carnegie Mellon 대학 CERT의 Basic Fuzzing Framework(BFF) Ver 2.5를 선정하였다. 실험 환경 구축 후, 이어서 제안한 변이 기법을 ODT 파일에 적용 및 퍼징을 수행하였으며 발생한 크래시를 확인한다.
제안 기법은 실제 파일의 DOM 내부노드만을 대상으로 Hex 값 삽입(Insert)와 대체(Replace)를 순차적으로 적용한다. 실제파일은 서광문서처리체계에서 기본 제공하는 78개의 템플릿 파일과 링크된 이미지와 표, 여러 글자속성들을 가진 자체 제작한 파일이다.
새로운 퍼징 기법을 수행하기 위한 도구를 제작하였으며, 제안한 퍼징 기법을 증명하기 위해 기존의 대표적인 퍼징 기법인 Swap, Bytemut와 비교하였다. 실험 대상 소프트웨어는 북한의 서광문서처리체계이고 입력파일은 ODT 파일이며, 제안 기법의 단계에 따라 ODT 파일들을 XML DOM 노드로 추출하여 이러한 노드를 바탕으로 무작위 Hex 값 삽입과 노드 대체를 통해 퍼징을 진행하였다.

데이터처리

새로운 퍼징 기법을 수행하기 위한 도구를 제작하였으며, 제안한 퍼징 기법을 증명하기 위해 기존의 대표적인 퍼징 기법인 Swap, Bytemut와 비교하였다. 실험 대상 소프트웨어는 북한의 서광문서처리체계이고 입력파일은 ODT 파일이며, 제안 기법의 단계에 따라 ODT 파일들을 XML DOM 노드로 추출하여 이러한 노드를 바탕으로 무작위 Hex 값 삽입과 노드 대체를 통해 퍼징을 진행하였다.

이론/모형

파일 크기가 같다면 Wave 기법은 Test case 생성 수가 Swap과 비교하여 동일하므로, Test case 수가 서로 같아 Wave 기법과의 비교는 생략한다. 기존 변이 파일 생성 기법 2가지는 실제 파일의 영역 전체를 대상으로 Bytemut와 Swap 기법을 사용한다. 제안 기법은 실제 파일의 DOM 내부노드만을 대상으로 Hex 값 삽입(Insert)와 대체(Replace)를 순차적으로 적용한다.

성능/효과

그 결과 기존 파일 퍼즈 테스트 기반 기법과 비교하여 같은 시간대를 살펴보면, 반복 횟수는 각각 74.4%와 75.7%가 감소하였으며, 크래시 발견 횟수는 각각 20개, 14개가 증가하였다. 이를 통해 제안된 기법은 퍼즈 테스트 수행 시 적은 노력으로 더 많은 크래시(Crash)를 확인할 수 있었다.
이를 통해 ODT 파일을 입력값으로 하는 서광문서처리체계의 보안 취약점을 확인할 시 제안기법으로 수행 시 변이파일을 적게 생성하더라도 즉, 보안취약점을 확인하려는 테스터가 적은 노력으로도 기존 기법 대비 더 많은 크래시(Crash)를 발견할 수 있으며, 이 결과로 볼 때 퍼징에 대한 효율성을 증가시킬 수 있다.

후속연구

특히 서광문서처리체계는 소스코드가 공개되어 있지 않기 때문에 화이트박스 테스트는 제한된다. 대신 입력으로 ODT라는 문서 파일의 구조를 분석할 수 있으며 이에 따라 서광문서처리체계 자체를 분석하는 것이 아닌 입력 파일을 분석, 변이, 주입하여 테스트를 수행함으로서 대상 소프트웨어 퍼징을 효율적으로 수행할 수 있을 것이다. 이때 어떤 규칙에 따라 여러 변이 기법이 있을 수 있으며, 대표적인 변이 기법으로 Swap 기법과 Bytemut 기법, Wave 기법이 있다[13].
향후 제안 기법의 구현을 통해 발견한 크래시를 분석한 후 서광문서처리체계의 실제 취약점을 발견하는 연구를 통해 제안 기법을 보완해 나갈 예정이며, 실제 취약점을 발견할시 유사 소프트웨어의 보안 취약점에 대한 공격을 방어하는데 도움이 될 것으로 보인다. 또한 연구에서 제안된 도구는 ODT 파일을 지원하는 한컴 Office와 MS Word에도 동일하게 테스트 가능할 것으로 기대하고, 알려진 취약점을 판단할 수 있는 취약점 스캐너로서 활용이 될 것으로 기대한다.
이를 통해 제안된 기법은 퍼즈 테스트 수행 시 적은 노력으로 더 많은 크래시(Crash)를 확인할 수 있었다. 향후 제안 기법의 구현을 통해 발견한 크래시를 분석한 후 서광문서처리체계의 실제 취약점을 발견하는 연구를 통해 제안 기법을 보완해 나갈 예정이며, 실제 취약점을 발견할시 유사 소프트웨어의 보안 취약점에 대한 공격을 방어하는데 도움이 될 것으로 보인다. 또한 연구에서 제안된 도구는 ODT 파일을 지원하는 한컴 Office와 MS Word에도 동일하게 테스트 가능할 것으로 기대하고, 알려진 취약점을 판단할 수 있는 취약점 스캐너로서 활용이 될 것으로 기대한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	퍼징이란?	소프트웨어 보안 취약점을 확인하는 방법인 퍼징은 유효하지 않은 데이터를 대상 소프트웨어에 입력해 크래시를 발생시켜 취약점 유무를 확인하는 소프트웨어 보안 테스트 기법이다[5]. 이는 프로그래머가 예상할 수 없는 부분에서의 취약점을 탐지할 수 있는 장점이 있으며, 파일 구조 및 변이 방법 등 여러 가지 요소들에 따라 파일 퍼징의 효율성이 달라질 수 있다.
	Document Object Model이란?	XML은 IEEE에서 정의된 표준화된 문법에 따라 모든 데이터를 태그로 저장하여 사용되며, 텍스트를 추출하거나 태그를 분리해 내는 과정에서는 주로 Document Object Model(DOM)를 활용하여 문서를 접근한다. DOM은 XML 문서를 계층화된 구조로 메모리에 표현하여 문서에 포함된 정보를 공유할 수 있도록 하는 표준화된 방법이다. 즉, DOM은 외부 프로그램에서 XML 문서의 요소(Element), 속성(Attribute), 속성 값(Attribute Value), 텍스트 등을 추출하기 위한 접근 방법 설명과 인터페이스를 제공한다.
	퍼징의 장점은?	소프트웨어 보안 취약점을 확인하는 방법인 퍼징은 유효하지 않은 데이터를 대상 소프트웨어에 입력해 크래시를 발생시켜 취약점 유무를 확인하는 소프트웨어 보안 테스트 기법이다[5]. 이는 프로그래머가 예상할 수 없는 부분에서의 취약점을 탐지할 수 있는 장점이 있으며, 파일 구조 및 변이 방법 등 여러 가지 요소들에 따라 파일 퍼징의 효율성이 달라질 수 있다. 따라서 본 논문에서는 서광문서처리체계의 입력파일인 Open Document Text(ODT) 파일에 적용 가능한 Document Object Model(DOM) 구조 기반 퍼징을 제안하고 붉은별 3.

참고문헌 (19)

Ministry of National Defense, "2016 Defense white paper," pp.20-25, 2016.
Guyeon Jeong and Gitae Lee, "Science technology development and new threats from North Korea : Cyber threat and UAV Penetration," KINU Research Series 16-04, pp.69-72, 2016.
Kihun Park and Dongsu Kang, "A security vulnerability analysis of North Korea OS Red Star," in Proceedings of Korea Software Congress, pp.146-148, 2017.
Jongseon Kim and Lee Choongeun, "Analysis and cooperation of North Korea's IT technology in uniform preparation," Science and Technology Policy Institute, 2014.
P. Oehlert, "Violating assumptions with fuzzing," in Proc. the IEEE Security & Privacy(S&P), Vol.3, No.2, pp.58-62, 2005.
ISO/IEC 26300:2006 Information technology - Open Document Format for Office Applications [Internet], https://www.iso.org/standard/43485.html.
Byungjoon Jung, Jaehyeok Han, and Sangjin Lee, "A method of recovery for damaged ZIP files," Journal of The Korea Institute of Information Security & Crypto logy, Vol.27, No.5, pp.1099-1106, 2017.
Chanju Park and Dongsu Kang, "Analysis of file structure about Red Star's SeoKwang Document Processing System for security vulnerability analysis," in Proceedings of the Korea Information Processing Society, Vol.25, No.1, pp.110-112, 2018.
G. Wang, "Improving data transmission in web applications via the translation between xml and json," Communications and Mobile Computing(CMC) 2011 Third International Conference, pp.182-185, 2011.
R.shirey, "RFC 2828-Internet Security Glossary," 2007.
Sangsu Kim and Dongsu Kang, "Software Vulnerability Analysis using File Fuzzing," in Proceedings of the Korean Society of Computer Information Conference, Vol.25, No.2, pp.29-32, 2017.
Michael Sutton, "FUZZING: Brute Force Vulnerability Discovery," United States of America: Addison-Wesley, 2007.
Jaeseo Lee, Jongmyung Kim, Suyong Kim, Youngtae Yun, Yongmin Kim and Bongnam Noh, "A length-based file fuzzing test suite reduction algorithm for evaluation of software vulnerability," Journal of the Korea Institute of Information Security & Cryptology, Vol.23, No.2, pp.231-242, 2013.

원문보기 상세보기
Colleen Lewis, Barret Rhoden and Cynthia Sturton, "Using structured random data to precisely fuzz media players," Project Report, 2007.
Hanyang University, "Study on systematic approach for finding vulnerabilities in multimedia data and players for Microsoft Windows systems," KISA, 2009.
Sangsu Kim and Dongsu Kang, "Fuzzing-based test case generation technique for multimedia file vulnerability analysis," Journal of Security Engineering, Vol.14, No.6, pp.441-458, 2017.

상세보기
Sunghwan Ahn, "A novel fuzzing approach for discovering potential vulnerabilities in Hangul Word Processor," Thesis, Sungkyunkwan University, Seoul, Korea, 2014.
CVE Details, Vulnerability Details : CVE-2012-2665 [Internet], https://www.cvedetails.com/cve/CVE-2012-2665.
CISCO, Multiple Products XML Manifest Encryption Handling Arbitrary Code Execution Vulnerability [Internet], https://tools.cisco.com/security/center/viewAlert.x?alertId26540.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

북한 서광문서처리체계 분석을 위한 Document Object Model(DOM) 기반 퍼징 기법
A DOM-Based Fuzzing Method for Analyzing Seogwang Document Processing System in North Korea 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

표/그림 (19)

표/그림 (19)

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

데이터처리

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (19)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

북한 서광문서처리체계 분석을 위한 Document Object Model(DOM) 기반 퍼징 기법 A DOM-Based Fuzzing Method for Analyzing Seogwang Document Processing System in North Korea 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

표/그림 (19) 모든 표/그림 보기

표/그림 (19) 슬라이드로 보기

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

데이터처리

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (19)

이 논문을 인용한 문헌

저자의 다른 논문 :

강동수 (8)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

북한 서광문서처리체계 분석을 위한 Document Object Model(DOM) 기반 퍼징 기법
A DOM-Based Fuzzing Method for Analyzing Seogwang Document Processing System in North Korea 원문보기

초록
AI-Helper

표/그림 (19)

표/그림 (19)

AI 본문요약
AI-Helper