2021-05-10 10:35 (월)
제로콘2021 개최, 삼성·크롬·맥OS·인텔 등 최신 보안취약점 정보 공유
상태바
제로콘2021 개최, 삼성·크롬·맥OS·인텔 등 최신 보안취약점 정보 공유
  • 길민권 기자
  • 승인 2021.04.12 04:07
이 기사를 공유합니다

13개국 해킹·보안 연구원들 참석…취약점 찾기 접근법과 방법, 실제 취약점 사례, 익스플로잇 방법 등 공유
제로콘2021 온라인 강연 이미지 (출처=POC SECURITY)
제로콘2021 온라인 강연 이미지 (출처=POC SECURITY)

POC Security 주최 제5회 ‘Zer0Con(제로콘)’이 지난 4월 8~9일 양일간 한국을 비롯한 미국, 이스라엘, 러시아, 독일, 프랑스, 이탈리아, 대만, 중국, 인도, 캐나다, 터키, 베트남 등 13개국 130여 명의 해킹・보안 연구원들이 참석한 가운데 온라인으로 개최됐다.

지금까지와 마찬가지로 이번 제로콘도 모든 발표에 취약점을 찾기 위한 접근법과 방법, 실제 취약점 사례, 익스플로잇 방법 등이 포함돼 높은 발표 퀄리티가 유지되었다. 다양한 국가에서 참가한 해킹·보안 연구원들도 온라인 강연에 집중하며 활발한 질의응답이 이루어졌다.

이번 제5회 제로콘 주요 발표 내용은 다음과 같다.

온라인으로 진행된 제로콘2021에 13개국 130여 명의 해킹-보안 연구원들이 참석했다.

첫날 발표에서 두 개의 macOS Big Sur에 대한 새로운 잇스플로잇 기술이 공개되었다. 세계적인 iOS, macOS 연구 그룹 Pangu와 알리바바 Pandora Lab팀이 macOS Big Sur 시스템을 익스플로잇 하는 기술을 데모와 함께 공개했다.

또한, 결함을 악용한 공격으로 이슈가 되었던 마이크로소프트 Sharepoint 관련 발표가 있었다. 버그헌팅에 관심 있는 연구자들이라면 누구나 이름을 들어봤을 Steven Seeley와 Sangfor Lights Lab 연구원인 Zhiniang Peng, cjm00n가 “Exploiting Microsoft Sharepoint”라는 제목으로 발표를 진행했다. 이들은 해당 발표를 통해 Sharepoint 서버의 아키텍처, 공격 표면 및 완화 정책 우회 방법에 대해 중점적으로 다룬 후, 발견한 여러 심각한 취약점들의 상세 정보 및 익스플로잇 방법을 소개했다.

인텔이 적용한 CPU 보안 기술을 우회하여 민감한 정보들이 유출 가능하다는 내용의 발표도 있었다. 바이두 시큐리티 소속인 Kang Li와 Zhaofeng Chen은 인텔 SGX enclave 보안 모델과 악용 가능한 공격 표면에 대해 소개했다. 공격 표면을 줄이기 위한 벤더 측의 노력에도 발생한 취약점 사례들이 공개되었고, 발표자가 직접 발견한 버그를 활용한 익스플로잇 데모도 있었다.

2021년 제로콘의 마지막을 장식한 발표는 Singular Lab 보안 연구원 Gengming과Shan Huang의 크롬 익스플로잇테이션 발표이다. 가장 널리 사용되는 브라우저 중 하나인 크롬은 크로미움 기반의 브라우저이다. 크로미움은 오픈소스 웹브라우저 프로젝트로 구글 크롬, 마이크로소프트 엣지, 오페라를 비롯해 네이버의 웨일, 삼성의 삼성 인터넷 브라우저 등이 크로미움 기반으로 제작되었다. 각 제조사는 크로미움의 코드를 기반으로 하여 자신들의 브라우저를 제작했다. 하나의 프로젝트를 기반으로 했기 때문에 크로미움의 취약점은 모든 브라우저의 잠재적 취약점이 될 수 있고 크로미움의 보안 업데이트가 각 브라우저에 적용되기까지는 시간이 걸릴 수 밖에 없다는 문제가 있다.

발표자들은 크롬 브라우저에서 발견되어 패치가 진행된 취약점이 다른 브라우저들에서는 패치되지 않아 제로데이 취약점이 될 수 있음을 보였다. 우선 크롬에서 발견된 두 개의 취약점(CVE-2020-16040, CVE-2020-16041)을 분석 후 안정적인 익스플로잇 기법을 구현하고 typer 하드닝을 우회하는 새로운 기술을 설명했다. 또한 하나의 경계값 읽기 취약점을 이용해 임의의 로컬 파일을 업로드할 수 있음을 보였다.

발표의 마지막에는 이 익스플로잇 기법을 이용해 삼성의 브라우저인 삼성 인터넷을 익스플로잇해 민감한 정보를 유출하는 데모를 선보였다. 해당 발표는 컨퍼런스 시작 전부터 많은 연구원들의 관심을 받았으며, 운영 측은 이들의 데모 영상을 유튜브에 공개했다.

-데모 영상 보기: 클릭

발표자와 제로콘 운영사인 POC SECURITY는 이 취약점 정보를 삼성에 전달했고, 삼성은 이달 말 정식 업데이트를 통해 해당 취약점에 대한 패치 예정임을 알려왔다.

POC SECURITY 관계자는 “작년 POC2020을 온라인으로 진행한 경험을 바탕으로 Zer0Con2021을 무사히 마무리할 수 있게 돼 기쁘다. 등록자 수가 예상보다 많아 제한 인원 수를 늘렸고, 다양한 국가 연구자들이 참가해 지식을 공유할 수 있어 뜻 깊은 자리였다”고 밝혔다.

이어 “온라인으로도 참가자들과 교류가 가능하지만, 오프라인으로 전세계 해커들이 만나 커뮤니티를 형성하고 정보를 공유하는 것이 큰 즐거움이자 컨퍼런스의 매력이다. 하지만 현재 코로나19로 불가능한 상황이라 매우 아쉬울 따름이다. 부디 내년에는 오프라인으로 진행할 수 있길 기대한다. 그간 국내·외 해킹·보안 컨퍼런스를 진행하며 얻은 노하우와 아이디어들을 활용해 더욱 의미있고 알찬 컨퍼런스를 준비하겠다”고 밝혔다.


■ 상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2021 온라인 개최

-주최: 데일리시큐

-후원: 개인정보보호위원회 · 한국인터넷진흥원

-2021년 4월 28일~29일 온라인

-2일 참가시 14시간 보안교육 이수

-공공·금융·기업 보안실무자 1,500명 이상 참석

-최신 국내·외 보안솔루션 사이버 전시관 개최

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★