SBOM 기반 취약점 의존성 그래프와 그래프 신경망을 이용한 의료기기 소프트웨어 위험 평가 및 패치 우선순위 결정 기법
SBOM-Based Vulnerability Dependency Graph and Graph Neural Network for Risk Assessment and Patch Prioritization of Medical Device Software
Vulnerabilities in medical device software are directly linked to patient safety, and the increasing complexity of software supply chains has amplified the importance of Software Bill of Materials (SBOM)-based vulnerability management. In particular, the U.S. Food and Drug Administration requires SBOM submission and systematic vulnerability management as part of the medical device approval process. However, existing approaches primarily rely on static risk assessment based on the Common Vulnerability Scoring System or vulnerability identification using Software Composition Analysis(SCA), which fail to sufficiently capture dependency relationships among software components and real-world exploitability. To address this limitation, this paper proposes a method for component-level vulnerability risk assessment by constructing a heterogeneous graph from SBOM data and applying Graph Neural Networks(GNNs). The proposed approach integrates CVSS scores, the Known Exploited Vulnerabilities Catalog, and dependency structures to compute risk scores and automatically prioritize patches. Experimental results show that the proposed model outperforms conventional static approaches across key ranking metrics, demonstrating its effectiveness for practical vulnerability prioritization in medical device software.
한국어
의료기기 소프트웨어에서 발생한 취약점은 환자의 안전과 직결되며, 최근 소프트웨어 공급망의 복잡성이 증가함에 따라 Software Bill of Materials(SBOM) 기반 취약점 관리의 중요성이 더욱 강조되고 있다. 특히, U.S. Food and Drug Administration(FDA)은 의료기기 인허가 과정에서의 SBOM 제출 및 체계적인 취약점 관리 체계 구축을 요구하고 있으나, 기존의 취약점 관리 방법은 주로 Common Vulnerability Scoring System(CVSS) 기반 정적 위험 평가 혹은 Software Composition Analysis(SCA) 중심의 취약점 식별에 의존하고 있어, 소프트웨어 구성 요소 간 의존성 관계 및 실제 악용 가능성이 높은 취약점 정보를 충분히 반영하지 못하는 한계가 존재한다. 따라서 본 연구에서는 SBOM 데이터를 기반으로 취약점 간 의존성을 반영하여 이종 그래프(Heterogeneous Graph)를 구축하고, 그래프 신경망(Graph Neural Network, GNN)을 활용하여 컴포넌트 단위의 취약점 위험도를 정량적으로 평가하는 방법을 제안한다. 제안 기법은 CVSS 점수, Known Exploited Vulnerabilities(KEV) Catalog, 그리고 컴포넌트 간 의존성 구조를 통합적으로 반영하여 위험도를 산출하고, 이를 기반으로 패치 우선순위를 자동으로 결정한다. 실험 결과, 제안 모델은 기존의 정적 평가 기반 접근 방식 대비 주요 ranking 성능 지표에서 전반적으로 우수한 성능을 보였으며, 의료기기 소프트웨어의 실질적인 취약점 대응 우선순위 결정에 효과적으로 활용될 수 있음을 확인했다.
목차
요약 Abstract 1. 서론 2. 관련 연구 2.1 의료기기 소프트웨어 공급망 보안과 SBOM 2.2 CVSS, KEV 기반 취약점 우선순위화와 그 한계 2.3 그래프 기반 위험 분석과 이종 그래프 신경망 3. 제안 방법 3.1 SBOM 기반 VDGraph 구성 3.2 패치 우선순위 결정 원리 3.3 컴포넌트 우선순위 산정 기준 3.4 그래프 신경망 기반 패치 우선순위 결정 모델 3.5 패치 우선순위 결정 절차 3.6 제안 방법의 특징 4. 실험 설정 및 결과 4.1 데이터셋 구성 4.2 학습 설정 및 비교 모델 4.3 평가 지표 4.4 비교 실험 결과 4.5 외부 검증 결과 5. 결론 Acknowledgement 참고문헌