As the need of software in our daily life has been increasing, the danger of attacks against software is doomed to be worse. In order to fortify and protect software systems against adversaries, software engineers have devoted research effort to mitigate software vulnerabilities. To discover and eliminate security vulnerabilities from the software with lower cost, vulnerability prediction approaches have been emerged. In the vulnerability prediction approaches, a vulnerability prediction model is constructed based on various software attributes. The constructed prediction model classifies whether a subset of software is vulnerable or not. By allocating human and time resource on the potentially vulnerable subset, development organizations could eliminate vulnerabilities in a cost effective manner. However, vulnerability prediction models based on traditional software attributes have provided disappointing prediction accuracy or low cost effectiveness since the traditional software attributes are unable to reflect vulnerability characteristics sufficiently. To resolve the insufficient reflection problem, software genes that are derived from the CERT-C Secure Coding Standard violation measures are proposed. The software genes are completely dedicated for vulnerability prediction. To evaluate the efficacy of using the proposed genes, the prediction performance of the suggested prediction models and the other traditional models was compared in terms of prediction accuracy and cost effectiveness. The results show that the employment of the suggested genes enables vulnerability prediction models to achieve the improvements in both prediction accuracy and cost effectiveness.

오늘날, 우리의 일상 생활에서 소프트웨어의 필요성이 점점 커짐에 따라, 소프트웨어에 대한 공격으로 인해 발생하는 위험의 수준 또한 심각해 지고 있다. 따라서 공격자로부터 시스템을 보호하고 강화하기 위해, 소프트웨어 공학 분야에서는 소프트웨어에 대한 공격을 가능하게 하는 소프트웨어 취약점을 비용 효율적으로 발견 및 제거하기 위한 연구가 진행되어 왔으며, 이러한 노력의 결과로 취약점 예측 기법이 개발되었다. 취약점 예측 기법은 소프트웨어의 다양한 속성을 입력으로 하는 기계 학습을 이용하여 취약점 예측 모델을 만들게 되며, 취약점 예측 모델은 소스 코드의 복잡도 등과 같은 소프트웨어 속성들을 이용하여 해당 부분에 취약점이 존재하는지를 예측하게 된다. 이와 같이, 취약점 예측 기법을 이용하게 되면, 취약하다고 예측 된 부분에 개발 조직의 인적, 시간적 자원을 효과적으로 배분할 수 있으며, 결과적으로 비용 효율적으로 보안 취약점을 제거할 수 있다. 그러나 소프트웨어 속성을 이용하는 기존의 취약점 모델들은 낮은 정확도를 보이거나, 비용 대비 낮은 효과를 가지는 약점이 있으며, 이러한 문제점은 취약점 예측 모델 생성에 사용하는 소프트웨어 속성들이 보안 취약점의 특징을 충분히 반영하지 못하기 때문에 발생한다. 따라서 본 연구에서는 소프트웨어가 가지는 보안 취약점의 특징을 취약점 예측 모델이 잘 반영할 수 있도록, CERT-C 보안 코딩 표준 위반을 기반으로 한 소프트웨어 측도 이용 방법을 제안하고 있다. 본 연구에서는 제안하는 소프트웨어 속성 사용의 적합성을 평가하기 위하여, 제안하는 속성을 이용하는 취약점 예측 모델들과 이전 연구에서 제안한 속성들을 이용하는 취약점 예측 모델들을 생성하고 각 모델의 취약점 예측 성능 및 비용 효율성을 비교 실험하였다. 실험 결과 본 연구에서 제안하는 소프트웨어 속성의 적용이 취약점 모델의 예측 성능을 향상시킬 수 있음을 확인하였다. 또한, 기존 연구에서 제안한 방법과 결합하여 예측 모델을 생성하였을 때, 제안된 소프트웨어 특성만을 사용한 모델보다 예측 정확도뿐만 아니라 비용 효율 측면에서도 더 나은 성능을 보였으며, 이를 통해 제안하는 소프트웨어 특성을 이용하는 기법의 확장 가능성을 확인하였다.