Earticle

현재 위치 Home

SBOM 기반 취약점 의존성 그래프와 그래프 신경망을 이용한 의료기기 소프트웨어 위험 평가 및 패치 우선순위 결정 기법
SBOM-Based Vulnerability Dependency Graph and Graph Neural Network for Risk Assessment and Patch Prioritization of Medical Device Software

첫 페이지 보기
  • 발행기관
    한국차세대컴퓨팅학회 바로가기
  • 간행물
    한국차세대컴퓨팅학회 논문지 KCI 등재 바로가기
  • 통권
    Vol.22 No.2 (2026.04)바로가기
  • 페이지
    pp.93-106
  • 저자
    백병재, 이호웅
  • 언어
    한국어(KOR)
  • URL
    https://www.earticle.net/Article/A484521

원문정보

초록

영어
Vulnerabilities in medical device software are directly linked to patient safety, and the increasing complexity of software supply chains has amplified the importance of Software Bill of Materials (SBOM)-based vulnerability management. In particular, the U.S. Food and Drug Administration requires SBOM submission and systematic vulnerability management as part of the medical device approval process. However, existing approaches primarily rely on static risk assessment based on the Common Vulnerability Scoring System or vulnerability identification using Software Composition Analysis(SCA), which fail to sufficiently capture dependency relationships among software components and real-world exploitability. To address this limitation, this paper proposes a method for component-level vulnerability risk assessment by constructing a heterogeneous graph from SBOM data and applying Graph Neural Networks(GNNs). The proposed approach integrates CVSS scores, the Known Exploited Vulnerabilities Catalog, and dependency structures to compute risk scores and automatically prioritize patches. Experimental results show that the proposed model outperforms conventional static approaches across key ranking metrics, demonstrating its effectiveness for practical vulnerability prioritization in medical device software.
한국어
의료기기 소프트웨어에서 발생한 취약점은 환자의 안전과 직결되며, 최근 소프트웨어 공급망의 복잡성이 증가함에 따라 Software Bill of Materials(SBOM) 기반 취약점 관리의 중요성이 더욱 강조되고 있다. 특히, U.S. Food and Drug Administration(FDA)은 의료기기 인허가 과정에서의 SBOM 제출 및 체계적인 취약점 관리 체계 구축을 요구하고 있으나, 기존의 취약점 관리 방법은 주로 Common Vulnerability Scoring System(CVSS) 기반 정적 위험 평가 혹은 Software Composition Analysis(SCA) 중심의 취약점 식별에 의존하고 있어, 소프트웨어 구성 요소 간 의존성 관계 및 실제 악용 가능성이 높은 취약점 정보를 충분히 반영하지 못하는 한계가 존재한다. 따라서 본 연구에서는 SBOM 데이터를 기반으로 취약점 간 의존성을 반영하여 이종 그래프(Heterogeneous Graph)를 구축하고, 그래프 신경망(Graph Neural Network, GNN)을 활용하여 컴포넌트 단위의 취약점 위험도를 정량적으로 평가하는 방법을 제안한다. 제안 기법은 CVSS 점수, Known Exploited Vulnerabilities(KEV) Catalog, 그리고 컴포넌트 간 의존성 구조를 통합적으로 반영하여 위험도를 산출하고, 이를 기반으로 패치 우선순위를 자동으로 결정한다. 실험 결과, 제안 모델은 기존의 정적 평가 기반 접근 방식 대비 주요 ranking 성능 지표에서 전반적으로 우수한 성능을 보였으며, 의료기기 소프트웨어의 실질적인 취약점 대응 우선순위 결정에 효과적으로 활용될 수 있음을 확인했다.

목차

요약
Abstract
1. 서론
2. 관련 연구
2.1 의료기기 소프트웨어 공급망 보안과 SBOM
2.2 CVSS, KEV 기반 취약점 우선순위화와 그 한계
2.3 그래프 기반 위험 분석과 이종 그래프 신경망
3. 제안 방법
3.1 SBOM 기반 VDGraph 구성
3.2 패치 우선순위 결정 원리
3.3 컴포넌트 우선순위 산정 기준
3.4 그래프 신경망 기반 패치 우선순위 결정 모델
3.5 패치 우선순위 결정 절차
3.6 제안 방법의 특징
4. 실험 설정 및 결과
4.1 데이터셋 구성
4.2 학습 설정 및 비교 모델
4.3 평가 지표
4.4 비교 실험 결과
4.5 외부 검증 결과
5. 결론
Acknowledgement
참고문헌

저자

  • 백병재 [ Byeongjae Baek | 호서대학교 컴퓨터공학과 ]
  • 이호웅 [ Howoong Lee | 호서대학교 컴퓨터공학과 ] 교신저자

참고문헌

자료제공 : 네이버학술정보

간행물 정보

발행기관

  • 발행기관명
    한국차세대컴퓨팅학회 [Korean Institute of Next Generation Computing]
  • 설립연도
    2005
  • 분야
    공학>컴퓨터학
  • 소개
    본 학회는 차세대 PC 및 그 관련분야의 학술활동을 통하여 차세대 PC의 학문 및 기술발전을 도모하고 산업발전 및 국제협력 증진을 목적으로 한다.

간행물

  • 간행물명
    한국차세대컴퓨팅학회 논문지 [THE JOURNAL OF KOREAN INSTITUTE OF NEXT GENERATION COMPUTING]
  • 간기
    격월간
  • pISSN
    1975-681X
  • 수록기간
    2005~2026
  • 등재여부
    KCI 등재
  • 십진분류
    KDC 566 DDC 004

이 권호 내 다른 논문 / 한국차세대컴퓨팅학회 논문지 Vol.22 No.2

    피인용수 : 0(자료제공 : 네이버학술정보)

    함께 이용한 논문 이 논문을 다운로드한 분들이 이용한 다른 논문입니다.

      페이지 저장