방송통신위원회가 주최하고 한국인터넷진흥원이 주관하는 2011년 제10회 정보보호 대상 시상식이 19일 상공회의소 국제회의장에서 개최됐다. 이 자리에서 제3회 사이버공격 시나리오 공모전 시상식도 함께 열렸다.
 
이번 시나리오 공모전에서는 김호빈(이스트소프트 알약 분석팀/숭실대 3학년 컴퓨터학부 / 보안동아리 ACK)연구원이 제출한 ‘미디어 플레이어 취약점을 이용한 국가 사이버 위협 시나리오’가 최우수상을 수상했다.
 
김호빈 연구원은 “국내에서 많이 사용하는 미디어 플레이어 취약점을 이용해 악성코드를 유포하고 이를 통해 좀비 PC를 확보해 DDoS 공격과 같은 2차 공격을 가할 수 있다는 내용으로 시나리오를 작성했다”고 설명했다.
 
그는 “국내에서는 자막이나 가사 지원 기능 때문에 우리나라에 특화된 국산 미디어 플레이어들을 많이 사용한다. 때문에 공격자가 국내에서 많은 사람들이 사용하는 미디어 플레이어의 취약점을 찾아 내고 이를 악용해 이슈가 되는 동영상 파일에 악성코드를 심어 유포하면 쉽게 이용자들을 감염시킬 수 있다”고 설명하고 “특히 오늘과 같은 김정일 사망 관련 동영상이나 아이돌 음악파일 등에 악성코드를 유포하면 쉽게 좀비 PC를 확보할 수 있는 상황”이라고 덧붙였다.
 
또 “미디어 파일 포맷 종류가 많기 때문에 백신들이 대응하기도 힘든 상황이다. 핫 토픽을 잡아서 미디어 플레이어의 취약점을 이용해 공격을 한다면 많은 PC에 악성코드를 빠르게 유포할 수 있다”며 “미디어 플레이어들도 여러 포맷을 지원해야 하기 때문에 취약점을 패치하기가 쉽지 않은 상황”이라고 설명했다.
 
그는 수상 소감에 대해 “최우수상을 받을 수준은 아니었는데 앞으로 더 열심히 공부하고 연구하라는 의미로 감사히 받겠다”며 “현재 이스트소프트 알약 분석팀에 일하면서 많은 위협 상황을 봐 왔다. 특히 미디어 플레이어를 이용한 악성코드 유포 공격은 심각할 수 있다는 생각을 평소에 해 왔고 이를 이번 공모전에 시나리오 주제로 잡아 출품하게 됐다”고 소감을 밝혔다.
 
김 연구원은 이번에 받은 500만원 상금을 대학 복학 등록금으로 사용할 것이라고 전했다.
 
한편 박종섭(큐브피아)씨는 ‘한글2010 제로데이’ 시나리오로 우수상을 차지했고 최성의 등 4명(서울여자대학교)은 ‘안드로이드 취약점을 이용한 자동 스팸 발신 공격 시나리오’를 출품해 장려상을 수상했다. 또 김준섭 외 5명(순천향대학교)은 ‘악의적인 휴대용 핫스팟을 이용한 사이버공격 시나리오’를 출품해 일반부분 장려상을 수상했다.
 
이번 공모전은 KISA 내부 보안전문가 6인이 평가해 12개 응모작을 선정한 후, 2차 심사에서 외부 보안전문가 6인이 최종 수상작을 선정했다. 심사위원들은 “이번 응모작 내용 중 신규 취약점이 포함되는 등 기존 대회보다 수준이 향상됐다”고 평했다.
[데일리시큐=길민권 기자]