2021-09-22 23:15 (수)
국제 해킹 보안 컨퍼런스 POC2015 11월 5일~6일 개최, 31일 사전등록 마감
상태바
국제 해킹 보안 컨퍼런스 POC2015 11월 5일~6일 개최, 31일 사전등록 마감
  • 길민권
  • 승인 2015.10.30 17:47
이 기사를 공유합니다

국내외 유명 해커들의 최신 해킹기술 시연과 제로데이 취약점 공개
국제 해킹 보안 컨퍼런스인 POC(www.powerofcommunity.net)가 10주년을 맞이했다. 11월 5~6일, 서울 양재동 The-K 호텔(구 서울 교육문화회관)에서 개최될 POC2015는 국내외 유명 해커들의 최신 해킹기술 시연과 더불어 제로데이 취약점 공개와 이벤트들이 진행된다. 그리고 한국을 비롯해 독일, 루마니아, 러시아, 미국, 싱가폴, 아르헨티나, 일본, 중국, 캐나다, 프랑스, 터키 등으로부터 발표자, 스탭, 일반 참가자들이 POC에 참가할 예정이다. 특히 제로데이 구매 및 거액의 버그 바운티 프로그램을 제시한 제로디움(Zerodium) CEO와 연구원들도 참가할 예정이다.
 
이번 POC2015는 10주년에 걸맞게 국내외 최고 해커들의 최신 제로데이 취약점 및 해킹방법 공개와 다양한 이벤트들이 진행된다. 다음은 간략한 발표내용들이다.
 
◇Andrei Costin, “Security of Embedded Devices' Firmware - Fast and Furious at Large Scale”
임베디드 디바이스들의 보안 취약점에 대한 대규모 정적 및 동적 분석 방법을 제시하고, 국내 S사 제품에 대한 시연 예정
 
◇ZDI, “Analyzing Arcane Attack Vectors: Adobe Reader's Logical Way to SYSTEM”
Pwn2Own 해킹 대회 운영자이자 록히드 마틴에서 F-35 전투기 개발 프로그램 참가했던 발표자, 어도비 리더(Adobe Reader) 등에 대한 취약점 찾기와 더불어 새로운 공격 기술 공개
 
◇Celil UNUVER, “Breaking Font Parsers”
Windows 커널 공략을 위한 TTF 버그 찾기 기술과 실제 제로데이 찾기에 사용된 fuzzer 공개
 
◇Florian Grunow & Felix Wilhelm, “Hacking IBM’S GPFS”
슈퍼 컴퓨터 클러스터 파일 시스템인 IBM GPFS 소개 및 원격 루트 권한 획득 취약점 소개
 
◇Huang Lin & Yang Qing, “Low-cost GPS Spoofing by SDR Tools”
GPS 관련 오픈 소스 프로젝트들을 조합하고, USRP, bladeRF, HackRF와 같은 SDR 툴들을 통해 GPS 시그널을 조작하고, GPS 시스템의 원리와 시그널 구조 등 GPS spoofing을 위한 원리들에 대한 소개와 더불어 휴대폰, 자동차, 드론 등에 대한 GPS 스푸핑(spoofing) 공격 시연 예정
 
◇Jeremy Brown, “Hacking Virtual Appliances”
가상 어플라이언스의 실제 취약점들을 찾는 방법과 특정 가상 어플라이언스에 대해 원격 root 권한을 획득하는 방법 소개
 
◇Keen Team, “OS X kernel is as strong as its weakest part”
공개되지 않은 OS X 취약점 공개, 애플(Apple) IOKit driver의 근본적인 취약점에 대한 설명, 좀더 효율적으로 취약점들을 찾는 방법과 공격방법을 제시 예정, Apple의 새로운 보안기술을 우회하여 취약점을 공격하는 방법도 제시
 
◇MJ0011, “Heading beyond the Edge of Windows 10 Security”
윈도우(Windows) 10의 새로운 보안 기능 및 우회 기법 소개, Microsoft의 새로운 Edge 브라우저를 원격으로 완전히 장악할 수 있는 샌드박스(sandbox) escape 제로데이 공개
 
◇Pangu, “Hacking from iOS8 to iOS9”
iOS 8에서 iOS 9까지의 보안 기술의 변화와 새로운 보안 기능, Pangu iOS 9 jailbreak를 만들 때 사용된 커널 취약점 세부 내용, 커널 익스플로잇(exploit) 만드는 방법 등 소개
 
◇KAIST SysSec, “Breaking VoLTE, not VoIP”
VoLTE 구현상의 보안 취약점 설명, 과다요금 유발, DoS 공격, 사용자 스푸핑 등의 공격에 대한 설명
 
◇Yuji Ukai, “Cybercrime targeting financial fraud is increasing worldwide”
자동차 ECU에 대한 공격 코드 실행과 IoT 플랫폼 위협 분석
 
◇Fyodore Yarochkin & Vladimir Kropotov, “Pearls of Non-exploitation Based Recon Tactics”
공격 타깃 시스템에 직접 침입을 하지 않고 공격 타깃에 대한 정보를 수집하는 활동과 기술 소개
 
◇GilGil, “Wireless(WPA) Network Based Packet Dissecting”
공공장소에서 사용되는 무선 WPA, WPA2의 패킷 암호화 무력화 기술 소개
 
◇Wenyuan Xu, “Imperfections of Accelerometers Make Smartphones Trackable”
진공가속계 지문 시스템 사용과 클라우드 시스템에서 사용되는 crowd-sourcing 사용이 스마트폰 사용자 추적을 위해 사용될 수 있음을 설명
 
◇SinCity, “What if Fire Sale occurs in Korea?”
영화 다이하드 4에 등장하는 ‘Fire Sale’처럼 우리나라 국가기관망에 대해서도 3단계 공격이 가능함을 보여줄 예정
 
◇Maria Garnaeva & Denis Makrushin, “When the anonymity ends for darknets”
Tor 사용자 추적 관련 기술을 소개할 예정이나, 현재 이 발표에 대해 러시아의 정치적 압력이 있어서 발표가 취소될 수 있으며, 발표가 취소될 경우 백업 발표자 독일 해커가 Windows 10에서 사용자 정보 추적에 대해 발표할 예정
 
또 다양한 이벤트도 개최된다.

◇Belluminar(한국, 중국, 러시아 해커들의 해킹대회)
POC2015에서 처음으로 열리는 해킹대회 Belluminar는 라틴어 Bellum(전쟁)과 seminar를 조합한 신조어로, 둘째날 오전까지 CTF가 열리고, 둘째날 오후부터 참가팀들의 세미나가 열린다. 대회 챌린지는 참가팀들이 각자 새로운 기술들을 적용하여 만들고, 이 챌린지들은 운영진에게 대회 전에 전달되어 대회 서버에 세팅된다. 세미나에서는 각 팀에 만든 챌린지를 다른 팀이 어떻게 해결했는지 토론하고, 챌린지를 만든 팀이 마지막으로 설명을 하는 방식으로 진행된다. 이를 통해 서로의 기술을 공유하고, 서로 커뮤니티를 형성하는 기회를 가지게 된다.
 
POC2015 주최측은 “이번 대회에는 한국에서는 카이스트 GoN, 러시아에서는 Leet Chicken, 그리고 중국에서는 0ops팀이 참가한다”며 “각 팀은 각국에서 단일팀으로는 최고의 실력파들이다. 새로운 해킹 보안 기술을 반영한 챌린지를 제출하는 CFP 방식과 초청으로 참가팀을 선발했으며, 이번 Belluminar를 통해 한, 중, 러 해커들이 서로 기술과 노하우 등을 공유하고, 지속적인 정보 공유를 위한 커뮤니티를 형성할 수 있을 것”이라고 설명했다. Belluminar 우승팀에는 우승기와 다음 Belluminar 참가 기회를 제공한다.
 
◇Power of XX (여성해킹대회)
Power of XX는 숙명여자대학교 정보보호동아리 SISS와 해커스쿨(Hacker school)이 2011년부터 주최해온 여성 해킹대회이다. 본 행사를 통해 해킹과 정보 보안에 관심이 있는 국내외 여성들은 모여서 보안에 대한 지식을 공유하고 해킹 방어 기술을 선보일 수 있다.
 
이 대회의 취지는 여성들이 쉽게 풀면서 배우고, 보안에 대한 자신감을 심어줄 수 있는 대회를 만드는 것이다. 여성인력이 적은 보안 분야에서 여성 참가자들에게 네트워크의 장을 제공하고, 초보자부터 숙련자까지 함께 할 수 있는 대회가 되는 것이 목표이다. Power of XX에서는 전통적인 웹, 시스템 문제부터 암호학, 알고리즘, IT 시사 상식에 관한 퀴즈까지 여러 분야와 난이도의 문제를 제공하여 참가자들이 다양한 문제를 접할 수 있다.
 
◇KIDS CTF (초등학생, 중학생을 위한 해킹대회)
KIDS CTF 또한 숙명여자대학교 정보보호동아리 SISS와 해커스쿨(Hacker school)이 2011년부터 주최해온 전국의 초등학생 및 중학생을 위한 해킹 컨테스트이다. 해킹과 보안이 고도의 전문성을 요구하는 분야인 만큼 어린 학생들이 대회 참여를 통해 지식과 실력을 향상시키고, 훗날 큰 능력을 발휘할 수 있게 하는 것이 취지이다. 또한 해킹은 “나쁜 행위”가 아닌 나와 내 주변의 정보를 보호하는 정의롭고 선의적인 행동임을 깨닫게 하는 것이 이 대회의 또 다른 목적이라 할 수 있다.
 
POC2015 사전등록은 10월 31일까지며, 현장등록은 인원에 따라 제한적으로 가능하다. 기타 문의는 pocadm@gmail.com로 하면 된다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com