check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[POC2017] 신정훈 “유부남 해커중 버그헌팅 제일 잘하는 해커가 될 것”

“해커 채용 조직들, 정말 필요한지 내부 공감대 형성과 맡길 업무계획부터 수립해야”

길민권 기자 mkgil@dailysecu.com 2017년 11월 13일 월요일

▲ 해커 신정훈. POC2017
▲ 해커 신정훈. POC2017
국제 해킹보안컨퍼런스 POC2017이 지난 9일부터 10일까지 양재동 더케이호텔서울 거문고홀에서 국내외 해킹 보안전문가 500여 명이 참석한 가운데 성황리에 개최됐다.

이 자리에서 신정훈(Yejoon’s papa. 예준 아빠) 해커는 “Javascript Fuzzing”을 주제로 발표를 진행해 참관객들의 큰 관심을 끌었다. 다음은 발표후 그와의 인터뷰 내용이다.

-POC2017에서 발표한 내용을 요약한다면

웹브라우저를 공격하기 위해 자바스크립트 취약점을 찾아 공격하는 방법을 공개했다. 자바스크립트 취약점을 찾는 방법 특히 퍼징 방법을 이용해 취약점을 찾는데 초점을 맞췄다. 엣지와 크롬, 사파리에서 퍼징 기술을 사용해 취약점을 찾고 공격하는 기술을 선보였다.

퍼징 기술은 대부분의 해커들이 사용하고 있다. 하지만 컴퓨터의 수가 많아야 가능하다. 이번에 공개한 기술은 집에 있는 PC 1대와 아마존 클라우드 서비스로 4대, 총 5대를 활용해 사파리 3개, 엣지 1개의 자바스크립트 취약점을 찾아 공격할 수 있다는 내용이었다. 퍼징을 위해 컴퓨터 여러대를 한번에 제어할 수 있는 플랫폼을 만들어 분석했다는 것이 특징이다. 특히 퍼저를 어떻게 만들면 효율적으로 만들 수 있는지 그 노하우를 공유하는 자리였다. 퍼저를 만들 때 문법을 패턴화시켜 자동화시키는 방법을 연구해 직접 개발했다. 또 클라우드 서비스를 활용해 대용량의 분석을 처리할 수 있는 방법을 활용한 것이 특징이다.

-이런 공격은 어떤 위협을 가할 수 있나

퍼징을 통해 해커가 취약점을 찾고 익스플로잇을 만들어 취약한 웹사이트의 특정 페이지나 배너광고에 자바스크립트 공격코드를 삽입하고 사용자를 악성코드에 감염시킬 수 있다. 이렇게 되면 사용자는 자신도 모르게 웹사이트에 접속만해도 악성코드에 감염되고 공격자는 원격에서 다양한 공격을 수행할 수 있게 된다.

익스플로잇이 되는 취약점은 블랙마켓에서도 고가에 거래된다. 제대로 된 공격을 수행할 수 있는 익스플로잇은 몇 억원에 거래되는 경우도 흔치 않다. 그 정도로 위험하다고 할 수 있다.

-최근 떠오르는 스타트업 시큐리티 기업인 티오리(Theori)로 이직하는 걸로 알고 있는데

국내외 다양한 해킹대회에 참가도 했고 미국 데프콘 본선에 3번까지 올라가 봤다. 또 ADD(국방과학연구소)에도 근무했다. 하지만 갈증이 있었다. 보다 해커지향적인 조직에서 근무하면서 다양한 연구들을 해보고 싶은 욕심이 컸다. 최고의 해커들이 모인 회사인 만큼 배울 점도 많고 시야를 넓힐 수 있는 최적의 자리라고 생각했다. 앞으로도 계속 취약점을 찾는 연구에 집중하고 싶다.

-해커 입장에서, 우리 사회가 해커를 잘 활용하고 있다고 생각하나

진정으로 필요에 의해 해커를 뽑았으면 하는 바람이다. 뽑기만 하고 어떻게 활용할지 계획도 없고 운영방법도 세워두지 않은 상황에서 해커를 고용한다는 것은 서로에게 피해를 줄 뿐이다. 해커를 양성하는 것은 좋지만 양성된 해커들이 적재적소에서 자신들이 가장 잘 할 수 있는 일을 할 수 있도록 사후관리도 중요한 부분이다. 특별한 재능을 가진 해커지만 특정 분야를 잘 하는 것이지 다른 분야에서는 부족한 부분이 있을 것이다. 그 부분을 인정하고 정말 잘 할 수 있는 분야에 그들을 활용하는 것이 필요하다고 생각한다.

-후배들에게 전하고 싶은 말과 앞으로 계획은

해킹 보안 공부를 하기 전에 목표를 정하고 달성할 때까지 끝까지 가보길 바란다. 시간과 열정을 투자한 만큼 그 과정에서 얻는 것이 분명히 있다는 것을 말해 주고 싶다. 그리고 12월초에 새롭게 합류하게 될 티오리에서 제대로 해볼 생각이다. 또 한가지 유부남 해커중 버그헌팅을 제일 잘하는 해커가 되고 싶다.(웃음)

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록