SECUINSIDE(시큐인사이드) 2015가 7월 16일, 17일 양일간 고려대학교 인촌기념관에서 500여 명의 보안전문가와 국내외 해커들이 참석한 가운데 성황리에 개최됐다. 특히 이번에는 국내 최초로 보안취약점 찾기 대회인 한국형 Pwn2Own ‘Capture The Bugs’(CTB)가 열려 큰 관심을 끌었다. 데일리시큐는 대회 직후 심사위원과 수상자 인터뷰를 진행했다.

 
시큐인사이드 2015 CTB는 국내외 IoT 기기에 대한 보안 취약점을 찾아내는 대회로 대상 제품은 스마트TV, 스마트폰, 스마트워치, 라우터, 홈라우터, CCTV 외 IoT 기기, 모바일 및 네트워크 장비 등이 포함됐다.

 
CTB(Capture The Bug) 심사위원으로는 HARU 운영진인 심준보, 유동훈, 이기택, 이승진, 이정훈, 정구홍과 KISA 관계자 등이 참여했다.
 
심사기준은 해당 취약점의 discoverability(얼마나 쉽게 발견할 수 있는가?), criticality(얼마나 치명적인가?) 등을 종합적으로 평가했으며, 참가자 1명이 다수의 취약점을 발견했을 경우, 각각의 취약점에 대해 포상금은 모두 지급하는 것을 원칙으로 했다. 그러나 등수산정에 있어서는 그중 퀄리티가 높은 것 하나에 대해서만 고려했다.

 
최종 심사결과는 넷가디언스(박세한 연구원)이 NAS 취약점(130만원)과 공유기 취약점 (70만원)을 찾아 1위를 차지했다.
 

2위 신모씨는 CCTV 취약점과 에그취약점, 공유기취약점을 찾아 총 240만원의 상금을 받았다. 또 Hack4Profit팀이 NAS취약점을 찾아 3위를 차지했다.

 
이승진(그레이해쉬 대표, HARU 운영진) 심사위원은 “CTB는 한국에서 열린 최초의 버그바운티 대회로 의미있는 행사였다. KISA 원장상 등 2천만원 정도 상금을 준비했지만 이번에 발표된 취약점은 그 기준에 미치지 못해 다소 낮은 상금이 부여됐다”며 “하지만 기존 해킹대회 이외에도 버그바운티에서도 실력을 발휘할 수 있는 기회를 만들어게 돼 해킹 보안에 관심있는 학생들에게 더 많은 기회를 제공할 수 있어 의미있다고 생각한다. 또 이번에 발표된 취약점만 해도 국내 제품들에 상당한 파급력이 있는 취약점들이다. 이를 찾아 벤더에 제공해 패치할 수 있도록 정보를 제공한다는 점에서 큰 의가 있다”고 소감을 전했다.
 
또 그는 기업들의 버그바운티 참여 유도 방안에 대해 “기업들이 보안취약점을 찾고 이를 패치하는데 있어 능동적 마인드가 필요하다. 보안취약점에 대처할 수 있는 능력을 키우는 것이 중요하다는 인식이 마련되어야 하는데 시큐인사이드 CTB가 앞으로 기여할 것으로 기대한다”며 “이런 버바운티에 기업들이 적극 참여할 수 있도록 보안투자에 앞장서는 기업에 높은 보안등급을 주는 법 제도적 장치가 마련되어야 한다. 기업 보안등급제가 마련되면 기업들의 보안투자도 더 늘어나고 버그바운티와 같은 보안취약점에 대한 적극적인 대응도 커질 것이라고 생각한다”고 강조했다.
 
이번에 발표된 취약점들은 주최기관인 KISA와 국가보안기술연구소에 귀속되며 조만간 벤더사에 전달돼 패치가 이루어질 예정이다.
 
데일리시큐는 이번 1회 CTB에서 1위를 차지한 넷가디언 박세한 연구원과 2위 신씨와 인터뷰를 진행했다.
 
넷가디언 박세한 연구원은 “캐나다 폰투오운과 같은 큰 대회에 항상 참가하고 싶었는데 이번에 국내에서 첫 대회가 열려 참가하게 됐다. 취약점을 찾는 과정과 대회 참여 등 모든 과정이 재미있었다. 총 3건의 취약점을 발표해 좋은 결과가 나온 것 같아 뿌듯하다”며 “취약점을 찾는 기간은 2일정도 소요됐다. 하지만 다른 제품들도 테스트 했기 때문에 전체 시간은 꽤 걸린 것 같다. 해커들이 최근 임베디드 장비에 대해 연구를 많이 하고 있다. 앞으로도 이 분야에 관심을 가지고 계속 연구해 나갈 것”이라고 소감을 밝혔다.
 
2위 수상자는 “CTB는 국내에서 최초로 시도됐다는 점에서 의미가 크다. 취약점에 대한 보상금액도 적절했다고 생각한다. 내년에는 CTB 제품을 좀더 명확하게 해주면 좋겠다. 모든 IoT 디바이스를 대상으로 하는 것은 좀 무리가 따른다. 디바이스도 주최측에서 제공해 주는 방식이 좋을 것 같다”고 말하고 “이번에 발표한 취약점은 대부분 CCTV 공유기와 에그, 홈라우터 등에 적용될 수 있는 취약점이다. 신속히 패치가 되기 바란다. 좀더 연구해 다음 대회도 참여하길 희망한다”고 말했다.
 
시큐인사이드 2015 CTB는 분명 의미있는 대회였다. 해커들에게 해킹대회 이외 또 다른 길을 열어준 것이다. 또 숙제 하나를 남겼다. 글로벌 버그바운티 대회가 기업들이 주축이 돼 이루어진 것에 반해 기관이 주축이 됐다는 점은 다시 한번 생각해 봐야 한다. 김승주 고려대 교수도 이번을 계기로 기업들의 참여가 늘어나야 한다고 강조했다. 기업들이 보다 적극적으로 보안취약점에 대응하려는 자세가 필요하다는 것이다. 이를 위해서는 앞서 언급한 보안등급제 등 기업들이 정보보안에 적극적으로 투자할 수 있는 제도적 장치가 마련되어야 할 것이다.

 
한편 시큐인사이드 2015가 끝나고 뒷풀이 시간에 오는 8월 3일 라스베이거스에서 진행되는 국제 해킹방어대회 데프콘(DEFCON)에 출전하는 한국의 ‘사이버 가디언스(Cyber Guardians)’들을 격려하기 위한 ‘2015 데프콘 출정식’이 이루어졌다.
 
사이버 가디언스는 사회적 소명을 바탕으로 사이버 침해사고 예방을 위해 노력하고 있는 보안전문가로, 화이트해커에 대한 사회적 인식을 개선하고 음성적으로 활동하는 해커들을 사회 제도권 안으로 유도하고자 인터넷진흥원이 지난 5월 처음으로 위촉했다.
 
이날 진행된 출정식에는 한국인터넷진흥원 백기승 원장, 지식정보보안산업협회 심종헌 회장, 국내 화이트 해커 등 50여 명이 참석해 국가대표 화이트 해커들을 격려했다.
 
데프콘에 한국 대표로 출전하는 DEFKOR팀에는 라온시큐어의 이정훈 연구원, CORNDUMP팀에는 그레이해쉬 이승진 대표 등 사이버 가디언스가 주축이 되어 활동하고 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com