ATTAIN: 트레이스 기반 차이 분석을 통한 자동화된 익스플로잇 실패 분석

익스플로잇 (Exploits)은 라이브러리 취약점이 서로 다른 버전에서 나타나는지 확인하고 영향을 받는 버전 범위를 표시하는 데 널리 사용됩니다. 익스플로잇 기반 점검은 API 또는 환경 변화 이후 많은 버전에서 익스플로잇 실행이 중단되기 때문에 때때로 실패합니다. SZZ 스타일 분석과 같은 커밋 기반 (Commit-based) 방법은 적절한 도입 커밋 (introduce commits)을 놓치거나 긴 버전 체인을 따라 라벨을 잘못 전파하는 경우가 있습니다. 이러한 문제로 인해 많은 영향을 받는 버전들이 라벨이 지정되지 않거나 잘못 지정되며, 수동 익스플로잇 실패 분석은 비용이 매우 많이 들고 대규모로 수행하기에는 비실용적입니다. 우리는 진화하는 라이브러리 버전에 걸쳐 취약점 존재 여부를 평가하기 위해 세 가지 모듈을 갖춘 트레이스 기반 차이 분석 (trace-driven diff analysis) 프레임워크인 ATTAIN을 제안합니다. 모듈은 트레이스 구축 (trace construction), 차이 탐색 (diff exploration), 그리고 영향 받는 버전 판단 (affected-version judgment)입니다. 트레이스 구축 모듈은 과거 라이브러리 버전들에 대해 익스플로잇을 실행하고 그 동작을 비교하여 버전 간 실행 차이 (cross-version execution divergences)를 포착합니다. 이러한 차이를 사용하여, 차이 탐색 모듈은 유한 상태 도구 루프 (finite-state tool loop)를 통해 LLM (Large Language Model)을 안내하여 버전 변화를 자율적으로 검색하고 취약점 관련 차이 허크 (diff hunks)를 수집합니다. 영향 받는 버전 판단 모듈은 수집된 증거를 바탕으로 추론하여 각 버전에 취약점이 존재하는지 결정하고 영향을 받는 버전 범위를 출력합니다. 우리는 128개 라이브러리에 걸친 224개의 CVE와 25,943개의 라이브러리 버전으로 구성된 광범위한 데이터셋에서 ATTAIN을 평가합니다. ATTAIN은 93.24%의 F1-score를 달성하였으며, 이는 커밋 기반 방법인 V-SZZ 및 LLM4SZZ보다 각각 116.28% 및 33.30% 뛰어난 성능입니다. ATTAIN은 짧은 도구 유도 프롬프트 (tool-guided prompts)와 고정된 반복 횟수를 사용하여 토큰 사용량을 낮게 유지합니다. ATTAIN은 익스플로잇이 취약점이 아닌 이유로 실행에 실패하거나 커밋 메시지가 영향을 받는 버전을 명확하게 구분하지 못하는 경우를 포함하여, 빈번한 CWE 유형에서 기존 방법들과 대등하거나 이를 능가하는 성능을 보여줍니다.