2019-11-20 16:47 (수)
[영상] 시큐인사이드 2015 김승주 교수 “취약점을 양지로 끌어 올리는 문화 필요해”
상태바
[영상] 시큐인사이드 2015 김승주 교수 “취약점을 양지로 끌어 올리는 문화 필요해”
  • 장성협
  • 승인 2015.07.16 21:30
이 기사를 공유합니다

국내 처음 시도되는 취약점 찾기 대회 한국형 Pwn2Own ‘CTB’ 개최
김승주 교수 “보안취약점 정보는 공짜가 아니다. 보안리콜 문화 형성 필요”
올해 5회째를 맞는 SECUINSIDE(시큐인사이드) 2015가 7월 16일, 17일 양일간 고려대학교 인촌기념관에서 500여 명의 보안전문가와 해커들이 참석한 가운데 성황리에 열리고 있다. 특히 시큐인사이드 2015는 컨퍼런스와 함께 그동안 한국에서 시도되지 않았던 한국형 Pwn2Own인 ‘Capture The Bugs’(CTB)가 열려 더욱 많은 관심이 몰리고 있다.
 
참고로 Pwn2Own(폰투오운)은 글로벌 보안 컨퍼런스인 캔색웨스트(CanSecWest) 기간에 HP 주최로 개최되는 글로벌 보안 취약점 대회로, 매년 캐나다에서 컴퓨터 기반 프로그램 및 운영체제에 대한 해킹 및 보안 취약점을 주제로 대회를 진행해오고 있는 행사다.
 
시큐인사이드 2015 CTB는 국내외 IoT 기기에 대한 보안 취약점을 찾아내는 대회로 대상 제품은 스마트TV, 스마트폰, 스마트워치, 라우터, 홈라우터, CCTV 외 IoT 기기, 모바일 및 네트워크 장비 등이 포함된다.  특히 유명 인기 제품에 대한 도전을 우선시 하고 있다.
 
참가자는 Capture The Bugs 행사 당일 기준으로, 소프트웨어 버전이 최신 업데이트된 환경에서 시연을 해야 하고 CTB 행사에 제출되는 취약점은 공개되거나 이전에 보고 되지 않은 취약점이어야만 한다. 참가자는 현장에서 심사위원 입회 하에 제한시간 30분 이내로 공격에 성공해야 하고 참가자는 공격에 성공했을 경우, 반드시 보고서 등의 형태로 작성해 운영진에게 제출해야 한다.
 
취약점은 파급력, 기술력, 보고서 등을 기준으로 3등급 포상 규모가 나누어진다. A 등급은 500만원 이상, B 등급은 500만원 미만~100만원 이상, C 등급은 100만원 미만으로 수여되고 이외 최우수상팀에게는 한국인터넷진흥원(KISA) 원장상, 우수상은 고려대학교 정보보호대학원 원장상, 최고 영재상(최연소 수상자)에는 한국정보기술연구원(KITRI) 원장상이 주어진다. 대회 심사위원은 이기택(HARU 운영진), 이승진(그레이해쉬), 정구홍(그레이해쉬), 유동훈(아이넷캅), 심준보(블랙펄시큐리티), 외부 전문가(KISA) 등으로 이루어졌다.
 
한편 컨퍼런스 기간에는 다양한 발표들이 이어졌다. 첫날에는 ‘Go Higher, Look Far and Wide, about security education’ 유준상 원장(KITRI), ‘Beyond the pentesting, Methodolgy and Approach’ Jason Lee (Immunity), ‘핀테크 서비스의 준거성 달성을 위한 최적의 보안아키텍처’ 구태언 대표변호사(테크앤로법률사무소), ‘Android Game Hacking’ 이석하 연구원(SEWORKS), ‘Vulneratbility of CCTV & IP Camera’ 김현우, 하행운, 박민준(NSHC), ‘Welcome to mobile connetected World’ 김재기(고려대학교) / 신정훈(국방과학연구소), ‘Home network hacking’ 정구홍 수석(GRAYHASH), ‘Is there an EFI monster inside your apple?’ Pedro Vilaça (osxreverser), ‘Backdooring MS Office documents with secret master keys’ Yoshinori Takesako(SECCON) 등의 발표가 이루어졌다.
 
또 17일에는 ‘Cyber Security and International Cooperation’ 임종인 특보(청와대), ‘How do we live in Korea without ActiveX?’ 김기영 대표(FlyHigh), ‘Breaking and Fixing Korean Fintech’ 김용대 교수 (KAIST), ‘Construction of simple but robust covert channels to bridge air-gapped systems’ 윤지원 교수(고려대학교), ‘NK vs Us’ 최상명(이슈메이커스랩) / 김태형(이슈메이커스랩), ‘스카이넷은 이런 모듈을 가지고 있지 않았을까-취약점 찾기 자동화 어디까지 해봤니?’ 심준보 이사(블랙펄시큐리티), ‘Hacking mobile network via SS7: interception, shadowing etc’ Dmitry Kurbatov (PTSECURITY),   ‘Global financial malware threats’ Michael Sandee 등이 발표된다.
 
행사 종료후에는 네트워킹 파티가 열린다. 행사 운영진들과 해커 및 보안전문가들이 한데 어울려 흥겹게 소통하는 자리가 마련돼 있다. 특히 시큐인사이드 2015 네트워킹 파티에는 행사 초반 의전에만 참석하던 공무원 및 기관장들도 해커들과 함께하는 시간을 가질 예정이다.

 
 
데일리시큐는 시큐인사이드 2015 현장에서 김승주 고려대학교 정보보호대학원 교수를 만나 5회째를 맞는 소감과 함께 CTB를 개최한 이유 등에 대해 영상 인터뷰를 진행했다.
 
김승주 교수는 “우리나라는 제약이 많아 해킹 연구를 하기 좋은 환경은 아니다. 몇 년 전부터 폰투오운을 준비해 왔다. 올해 KISA와 국보연 후원으로 취약점 찾기 대회인 CTB를 개최할 수 있었다. 첫 대회인데도 불구하고 꽤 수준 높은 취약점들이 나왔다. 향후 대회 규모는 더욱 커질 것”이라며 “이번에 이슈가 되고 있는 ‘해킹팀’사건처럼 취약점들이 나쁘게 사용되지 않도록 양지로 끌어올리는데 CTB가 좋은 영향을 줄 것으로 기대한다. 그리고 국내 대기업들의 적극적인 참여를 바란다. 취약점 정보는 공짜가 아니다. 기업들은 정상적으로 취약점이 양지로 올라올 수 있도록 문화를 만드는데 동참할 필요가 있다”고 전했다.
 
또 “HARU 운영진들에게 항상 감사한다. 예전에는 해커 커뮤니티였는데 이제는 어엿한 기업들로 성장했다. 그레이해쉬, 블랙펄시큐리티, 에스이웍스, NSHC, 씨엔시큐리티 등 모두 감사하고 더욱 성장해 나가길 바란다. 그리고 향후 HARU를 법인화 시킬 계획이다. 더욱 다양한 활동을 기대해 본다”고 전했다. 보다 자세한 인터뷰 내용은 영상 인터뷰에 공개한다.
 
 

 
이번 행사는 한국인터넷진흥원(KISA), 한국정보기술연구원(KITRI), 국가보안기술연구소(NSR) 에서 공동 주최하고 고려대학교 정보보호대학원이 주관하며, 해커연합 HARU에서 운영한다. 그리고 한국정보기술연구원 BOB, CM, 이뮤니티(IMMUNITY), 멀웨어스닷컴(MALWARES.COM), 에스이웍스(SEWORKS), 타이거팀(TIGERTEAM)에서 공동후원한다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com