2019-10-19 02:29 (토)
글로벌 버그바운티 대회 Pwn2Own 2016 총정리…이정훈, 올해도 상금액 1위
상태바
글로벌 버그바운티 대회 Pwn2Own 2016 총정리…이정훈, 올해도 상금액 1위
  • 길민권
  • 승인 2016.03.18 16:48
이 기사를 공유합니다

해커 이정훈 참가자, 지난해 이어 올해도 가장 많은 상금 수여자로 이름 올려
현지 시각 17일 오후, 캐나다 벤쿠버에서 열린 캔섹웨스트(CanSecWest)의 이벤트 폰투오운(Pwn2Own)이 막을 내렸다. 올해도 지난해 이어 이정훈 참가자가 총 14만 5천달러(한화 약 1억 6천 8백만원)의 상금을 받아 가장 많은 상금을 탄 참가자에 이름을 올렸다.  
 
Pwn2Own은 HP, 트렌드마이크로(TrendMicro), ZDI(Zero Day Initiative)가 운영 및 후원하는 세계 최대 글로벌 버그바운티 대회다. 참가자들은 구글 크롬, MS Edge, 애플 Safari, 어도비 플래시 등 주어진 타깃의 제로데이 취약점을 찾아 익스플로잇에 성공하면 상금을 받을 수 있다. 2015년 Pwn2Own에서 한국의 이정훈씨가 구글 크롬, MS IE, 애플 Safari 등의 보안 취약점을 찾아내 총 22만 5천달러(한화 약 2억 5,300만원)의 상금을 받아 이슈된 바 있다.


Pwn2Own 2016에 참가한 이정훈. (이미지 출처. ZDI 트위터)
 
올해 대부분 대회진행 규정은 작년과 같았지만, 모든 윈도우 기반 타깃들은 VMware 워크스테이션 가상머신에서 실행된다는 점이 달라졌다. 또한 ‘Master of Pwn’ 상이 추가되었다. 공지된 점수표에 따라 성공적인 익스플로잇에 점수를 매기는 방식으로, 대회 종료까지 가장 높은 점수를 받은 팀은 Master of Pwn상과 ZDI 리워드 점수 65,000점(상금 2만5천달러에 해당)을 추가로 얻게 된다.
 
이번 Pwn2Own에는 360Vulcan팀, 이정훈(lokihardt), Tencent Security Team Sniper, Tencent Security Team Shield, Tencent Xuanwu팀으로 총 5개팀이 참가했다.  
 
첫째날에는 총 6번의 시도(Attempt)가 있었다. △360Vulcan팀이 Master of Pwn 점수 25점, 상금 $132,500, △이정훈이 Master of Pwn 10점, 상금 $60,000, △Tencent Security Team Sniper팀이 Master of Pwn 점수 13점, 상금 $50,000, △Tencent Security Team Shield팀이 Master of Pwn 점수 10점, 상금 $40,000, △Tencent Xuanwu팀이 Master of Pwn 점수 0점, 상금 $0으로 첫째날이 마무리되었다. 첫번째 순서였던 이정훈은 사파리(Safari) 브라우저의 UAF 취약점과 추가적인 3개 취약점을 이용해 공격, 코드 실행과 루트 권한 상승에 성공했다.


상금순위표(이미지 출처. ZDI 트위터)
 
둘째날에는 이정훈, Tencent Security Team Sniper, Tencent Security Team Shield의 시도가 총 5번 있었다. 이정훈은 MS Edge 공격에는 성공했으나 크롬 공격에는 실패했다. 둘째날은 △Tencent Security Team Sniper팀이 Master of Pwn 점수 38점, 상금 $142,500, △이정훈이 Master of Pwn 25점, 상금 $145,000, △360Vulcan팀이 Master of Pwn 점수 25점, 상금 $132,500, △Tencent Security Team Shield팀이 Master of Pwn 점수 10점, 상금 $40,000, △Tencent Xuanwu팀이 Master of Pwn 점수 0점, 상금 $0으로 마무리되었다.


Master of Pwn 중국 텐센트 시큐리티 스나이퍼팀(이미지 출처. ZDI 트위터)
 
올해 참가팀들이 받을 상금은 총 46만달러(한화 약 5억 3천 4백만원)이다. Master of Pwn은 중국 텐센트 시큐리티 스나이퍼(Tencent Security Team Sniper)가 수상하였다. 이 팀은 첫째날과 둘째날 있었던 모든 시도에서 성공하였다. 가장 많은 상금을 탄 참가자는 한국의 이정훈으로, 총 14만 5천달러(한화 약 1억 6천 8백만원)의 상금을 받았다.
 
 ★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 HSK 기자> mkgil@dailysecu.com