사물인터넷(IoT) 기기들은 수십억 명의 사람들의 일상생활에 깊이 뿌리내리게 되었으며, IoT 기기를 대상으로 하는 보안 위협이 빠르게 대두되고 있다. 이에 따라 IoT 벤더들은 제품을 출시하기 전에 IoT 기기를 점검하기 위한 보안 테스트 프레임워크를 활용해 왔다. 그러나 기존 프레임워크는 새로운 기기와 관련된 입력 형식에 대한 정보가 부족하다는 이유로, 새로운 기기를 지원하기 위해 상당한 수준의 수작업 노력이 필요하므로 자동화된 테스트를 제공하는 데 어려움이 있다. 이러한 문제를 해결하기 위해 본 연구에서는, 특정 IoT 기기에 대해 공개적으로 접근 가능한 API 문서를 기반으로 이를 자동으로 분석하고 각 기능을 호출하는 데 사용되는 유효 입력을 포함한 정보를 추출하도록 설계된 문서 기반 블랙박스 IoT 테스트 프레임워크 FUZZDOCS를 제안한다. 추출된 정보를 바탕으로, FUZZDOCS는 대상 기기에서 쉽게 거부되지 않으면서도 그 내부 깊은 곳에 있는 취약점을 유발할 수 있는 “충분히 유효한” 테스트 입력을 생성한다. 문서 기반 입력 생성 방식은 수작업 없이도 FUZZDOCS가 새로운 기기를 지원할 수 있게 하며, 동시에 효과적인 보안 테스트를 제공한다. 타당성을 입증하기 위해 실제 환경의 IoT 환경에서 FUZZDOCS를 평가하였고, 그 결과 문서 수백 페이지로부터 입력 형식을 93%의 정확도로 추출함을 확인하였다. 또한 FUZZDOCS는 기존 프레임워크에 비해 테스트 커버리지에서 우수한 성능을 보였으며, 다섯 가지의 널리 사용되는 IoT 기기에서 예상치 못한 시스템 실패 2건을 포함하여 35개의 잠재적 취약점을 발견하였다.

*본 초록은 AI를 통해 원문을 번역한 내용입니다. 정확한 내용은 하기 원문에서 확인해주세요.