공개 펌웨어 수집 및 펌웨어 바이너리 SBOM 생성 기법 연구
A Study on the Collection of Publicly Available Firmware and Techniques for Generating SBOM from Firmware Binaries
- 주제(키워드) 소프트웨어 보안 , 보안 인프라 , 사물 인터넷 , 펌웨어 , SBOM
- 발행기관 고려대학교 정보보호대학원
- 지도교수 박정흠
- 발행년도 2025
- 학위수여년월 2025. 2
- 학위명 석사
- 학과 및 전공 정보보호대학원 정보보호학과
- 원문페이지 36 p
- 실제URI http://www.dcollection.net/handler/korea/000000290806
- UCI I804:11009-000000290806
- DOI 10.23186/korea.000000290806.11009.0001890
- 본문언어 한국어
초록/요약
사물인터넷(Internet of Things, IoT) 기기의 보급이 확산함에 따라 보안 위협 또한 증가하고 있다. IP 카메라 해킹과 같은 사례는 IoT 기기 보안의 중요성을 강조한다. 이러한 보안 문제를 해결하기 위해서는 분석가에게 펌웨어 버전 기반으로 구성 요소의 특성을 정리하고, 버전 간의 차이를 식별하여 잠재적인 취약성을 분석할 수 있는 정보를 제공하는 것이 필수적이다. 본 논문에서는 IoT 기기에 사용되는 13,880개의 공개 펌웨어를 수집하고, 이를 대상으로 펌웨어 내 바이너리의 관계를 고려한 ‘BOM(Bill of Materials)’을 생성하는 방법론을 제안한다. 제안된 방법론을 기반으로 자동화된 펌웨어 정보 추출 도구인 ‘FIRE(Firmware InfoRmation Extractor)’를 개발하였으며, 이는 기존의 ‘SBOM(Software Bill of Materials)’ 개념을 확장하여 펌웨어에 특화된 BOM 정보를 생성한다. 구축된 펌웨어 데이터세트와 제안된 방법론을 통해 공개된 펌웨어의 구성 요소를 검증하고 추가 분석에 필요한 정보를 제공하여 기존보다 안전한 IoT 기기 생산에 기여될 것으로 기대한다.
more초록/요약
The rapid proliferation of Internet of Things (IoT) devices has been accompanied by a corresponding rise in security threats. High-profile incidents, such as IP camera hacking, underscore the critical importance of ensuring IoT device security. Addressing these challenges necessitates providing analysts with comprehensive insights to characterize firmware components by version, identify inter-version differences, and assess potential vulnerabilities. This study introduces a novel methodology for generating a Bill of Materials (BOM) that considers the relationships between binaries within firmware. To support this approach, a dataset comprising 13,880 publicly available firmware samples for IoT devices was collected and analyzed. Furthermore, an automated firmware information extraction tool, FIRE (Firmware InfoRmation Extractor), was developed based on the proposed methodology. FIRE extends the concept of the Software Bill of Materials (SBOM) to generate BOMs tailored specifically for firmware. The constructed firmware dataset and the proposed methodology enable the verification of firmware components and provide actionable insights for subsequent analysis, ultimately contributing to the development of more secure IoT devices.
more목차
초록 1
Abstract 2
목차 3
표 목차 5
그림 목차 6
1. 서론 1
2. 배경지식 및 관련 연구 3
2.1 펌웨어 분석 관련 연구 3
2.2 펌웨어 데이터세트 제작 관련 연구 4
2.3 SBOM 관련 연구 5
3. 공개 펌웨어 수집 및 데이터세트 생성 7
3.1. 수집 대상 선정 7
3.2. 제조사별 펌웨어 자동 수집 방법 7
3.3 펌웨어 데이터세트 9
4. 펌웨어 바이너리 SBOM 생성 11
4.1 제안하는 방법론 개요 11
4.2 내부 파일 분류 11
4.3 개별 바이너리 정보 추출 13
4.4 다중-바이너리 간 종속성 정보 추출 14
4.5 FBOM 생성 결과 저장 15
4.6 구현 17
5. 성능 평가 19
5.1 출력 정보 비교 19
5.2 소요 시간 비교 21
5.3 버전 간 비교 및 차이점 식별에 활용 21
5.4 수집한 펌웨어 대상 도구 적용 23
6. 결 론 24
참고문헌 25
