세계적으로 유명한 해커팀 쉘피쉬(Shellphish) 멤버인 케빈 보골트(Kevin Borgolte, 이하 케빈)은 이번 POC2016에서 “Cyber Grand Shellphish: 

Shellphish and the DARPA Cyber Grand Challenge”란 주제로 발표를 진행했다.

이번에 그는 CGC(Cyber Grand Challenge)에 대한 소개 및 Shellphish가 CGC 대회에서 사용한 ‘Mechanical Phish’ 툴에 대한 설명과 사용법을 소개해 눈길을 끌었다.  

현장에서 만난 케빈은 쉘피쉬팀에 대해 “2004년 만들어졌고 캘리포이나 산타바바라 대학 졸업자들 중심으로 팀원이 구성됐다. 주로 CTF 해킹대회에 출전하고 있고 데프콘 대회에서도 우승을 차지한 바 있다. 멤버들은 유럽이나 아시아 보안기업 등으로 진출하고있으며 총 15명 정도로 구성돼 있다”고 설명했다.

특히 지난 8월 미국 DARPA에서 주최한 인공지능 보안시스템 대회 ‘2016 DARPA Cyber Grand Challenge’에 참가한 Shellphish는 자체 개발한 ‘Mechanical Phish’툴을 활용해 대회 3위를 차지한 바 있다.

케빈은 “취약점 자동분석시스템은 아직 초기 단계다. 예를 들어 버퍼오버플로우 같은 취약점은 30초 안에 찾아 낼 수 있지만 설정이 안돼 있는 취약점은 찾을 수 없다. 또 아직까지는 엄청난 컴퓨팅 파워가 수반되어야 시스템 운영이 가능하다”며 “하지만 발전은 시간문제다. 시간이 좀 걸리겠지만 자동화툴은 계속해서 발전해 나갈 것”이라고 밝혔다.

그는 현재 바둑에서 알파고 수준까지 CGC 모델이 발전하려면 상당한 시간이 걸릴 것이라고 말했다. 그때까지 해커들의 할 일은 여전히 많을 것이라고 덧붙였다. 특히 알파고는 게임 수준이지만 취약점을 찾는 과정은 그 선을 넘어서는 세계다. 취약점을 찾고 공격하는 과정 등은 아직 인간을 넘어서기 힘든 상황이라고 자신의 생각을 전했다.

특히 케빈은 “쉘피쉬도 CGC 모델을 상업화활 생각은 없다. 연구목적으로 공개했으며 DARPA에서도 CGC를 아직까지는 연구목적 정도로 활용하고 있는 것으로 알고 있다”고 밝히고 “CGC를 구현하는데 대략 2년 정도 시간이 걸렸다”고 말했다.

한편 해킹보안에 관심을 갖고 있는 학생들에게 “CTF 대회에 많이 참가하는 것이 도움이 된다. 워게임도 많이 풀어보면 좋다. 자신의 관심 분야든 다른 분야든 문서도 다양하게 봐야 한다. 특히 OS에 대한 이론적인 지식을 많이 쌓길 바란다”고 전했다.

★정보보안 대표 미디어 데일리시큐!★