Page 2 - KAIST GSIS 2023 Vol.09
P. 2
학과소식
학과소식 1
위성일 박사 (지도교수 손수엘)
UNIST 컴퓨터공학과 조교수 임용
KAIST 전산학부 정보보호대학원을 졸업한 위성일 박사가 2023년 8
월부로 UNIST 컴퓨터공학과에 조교수로 임용되었다. 위성일 박사는 손
수엘 교수의 지도하에 2023년 8월에 박사학위를 받았다. 학위과정 동안
위성일 박사는 웹 애플리케이션 및 플랫폼에 존재하는 보안 결함을 자
동적으로 찾아내는 연구를 진행하였으며, NDSS (2020, 2023), WWW
(2022), MobiSys (2022)등 컴퓨터 보안 및 웹 분야의 국제 최고 권위
학회에 연구 성과를 발표 해 왔다. 위성일 박사는 UNIST에서 모의침
투테스팅 (penetration testing), 퍼즈 테스팅 (fuzz testing), 클론 탐지
(clone detection) 등의 기술을 활용하여 웹 보안을 증진시키기 위한 일
련의 연구를 계속 진행 할 예정이다. 위성일 박사에 대한 자세한 소개는
https://seongil-wi.github.io/ 에서 확인할 수 있다.
학과소식 2
권승완 석사과정, 강우석 졸업생, 허기홍 교수
발전기금 500만원 기부
KAIST 정보보호대학원 허기홍 교수 연구실의 권승완 석사과정, 강우
석 (석사) 졸업생, 허기홍 교수가 크롬 웹 브라우저 취약점 제보로 Google
로부터 받은 포상금 500만원을 정보보호대학원에 기부하였다. 허기홍 교
수 연구팀은 1년 넘게 Google 크롬 브라우저의 자바스크립트 엔진인 V8
엔진의 안전성 검증을 위한 연구를 진행해 오고 있다. 강우석 졸업생과 권
승완 석사과정은 1년 반 동안 진행된 연구 과정에서 V8 엔진의 심각한 취
약점을 발견하고 이를 구글에 제보하였다. 구글은 해당 취약점의 중요도
와 심각성을 인지하여 허기홍 교수 연구팀에 포상금을 지급하였다. 연구
팀이 발견한 취약점은 빠른 자바스크립트 코드 실행을 위해 V8 엔진이 코
드를 최적화하는 과정에서 발생한다. V8 엔진은 코드에서 분기문의 결과
를 추론하여 분기문 내의 코드를 미리 실행하는 기능이 있다. 예를 들어
엔진이 x라는 변수의 값이 항상 음수라고 추론했다면, x > 0이라는 분기문
은 false 라는 상숫값으로 치환될 수 있다. 하지만 엔진의 추론 과정에는
그림 1 ▶ 사진상 왼쪽부터 권승완 석사과정, 강우석 졸업생, 허기홍 교수
버그가 존재하여 x가 양수일 수 있음에도 항상 음수로 추론될 수 있는 상
황이 발생할 가능성이 있었다. 공격자는 이러한 버그를 악용하여 사용자
의 브라우저에 대해 임의 코드 실행 공격 등을 할 수 있다.
강우석 졸업생과 권승완 석사과정은 KAIST 정보보호대학원에서 많은
것을 배웠고, 대학원의 좋은 환경 덕분에 이번 취약점을 찾는 연구도 가
능했다고 말하며, 구글로부터 받은 포상금의 일부를 정보보호대학원
에 기증하였다.
02 Graduate School Of Information Security 03
