2022-06-27 07:50 (월)
[Zer0Con2022] 국내·외 15개국 최고 버그헌터들 온·오프라인 참석...성공적 개최
상태바
[Zer0Con2022] 국내·외 15개국 최고 버그헌터들 온·오프라인 참석...성공적 개최
  • 길민권 기자
  • 승인 2022.04.25 02:00
이 기사를 공유합니다

15개국 유명 버그헌팅·취약점분석·익스플로잇 전문 연구원들 참석
해외 분석가 20여 명 등 오프라인 70여 명 참석...최신 기술 정보 공유
제로콘2022가 지난 4월 21일~22일 양일간 오프라인 70여 명, 온라인 50여 명이 참석한 가운데 개최됐다. 참가국가는 15개국이며 구글, 애플 등 글로벌 기업들과 주요 제로데이 취약점 거래 기업, 공격도구 개발 및 판매 기업 등이 참석했다.
제로콘2022가 지난 4월 21일~22일 양일간 오프라인 70여 명, 온라인 50여 명이 참석한 가운데 개최됐다. 참가국가는 15개국이며 구글, 애플 등 글로벌 기업들과 주요 제로데이 취약점 거래 기업, 공격도구 개발 및 판매 기업 등이 참석했다.

POC Security가 주최하는 버그 헌팅, 취약점 분석 및 익스플로잇 개발 관련 글로벌 컨퍼런스 Zer0Con(이하 제로콘)이 지난 4월 21~22일 더케이호텔서울에서 온라인, 오프라인 동시로 15개국 120여 명의 보안연구가들이 참석한 가운데 성공적으로 개최됐다.  

이번 제로콘은 코로나19 팬데믹 이후 3년만에 오프라인으로 개최됐다. 발표자 대부분은 해외 유명 연구원들로 구성됐으며, 참석자들도 미국, 인도, 중국, 이탈리아, 이스라엘, 독일, 러시아, 프랑스, 한국 등 다양했다. 

특히 오프라인 참관객 중에는 구글과 애플을 비롯해 프랑스 취약점 연구기업, 제로데이 거래기업인 크라우드펜스 대표, 취약점 및 오펜시스 공격기술을 연구하는 데이터플로우 등 다양한 기업 보안연구원들이 참석해 눈길을 끌었다. 또 다수 해외 기업들의 컨퍼런스 후원도 매년 이어가고 있어, 그만큼 제로콘에 대한 글로벌 기업들의 관심이 커지고 있다고 볼 수 있다. 

주최측 POC Security는 “크라우드펜스 발표에 따르면 제로데이 거래 시장에서 판매된 제로데이 공격도구들은 실제로 5% 정도 실전 사이버전장에서 사용되고 있을 정도다. 그만큼 취약점 연구와 공격도구 개발 등에 대한 연구는 중요한 현안”이라며 “하지만 국내 우수한 버그헌팅 연구원들이 해외로 나가고 있다. 연구환경, 적절한 보상 등 해외기업들이 좋은 조건을 제시하기 때문이다. 한국도 우수한 연구원들을 붙잡기 위한 노력을 기울여야 한다”고 강조했다.    

이번 제로콘2022, 주요 강연 내용은 다음과 같다. 

먼저, 중국 Singular Security Lab 보안연구원인 Andrea Possemato가 “Android JNI Fuzzing” 제목으로 발표를 진행했다. Andrea는 이 발표를 통해 안드로이드 애플리케이션이 JNI를 사용하는 방법, 이러한 구성 요소가 숨길 수 있는 취약점, 수년간 이루어진 분석 방법 등을 설명하고, 이후 다양한 범주의 버그를 찾는 방법과 테스트되지 않은 구성 요소에 대한 하네스(Harness)를 작성하는 방법을 소개했다.

Exodus Intelligence 소속 연구원이자 N-day 취약점에 중점을 둔 연구자인 Arav Garg는 “Data-only Exploits for Windows Kernel Bug”라는 주제로 발표했다. 그는 지난 7개월 간 윈도우 커널에서 7개 CVE(CVE-2022-22000, CVE-2021-40443, CVE-2021-36955, CVE-2021-40466, CVE-2021-31954, CVE-2021-43229, CVE-2021-31956)에 대한 안정적인 LPE 익스플로잇을 작성했다. 그는 이 연구 경험을 바탕으로 힙 grooming과 corruption에 적합한 개체, 관련 힙 내부 분석부터 각 경우에 맞춘 객체 사용 방법, 익스플로잇 프리미티브 개선, 안정성 향상 기술, 최종 LPE 달성까지의 과정과 기술을 상세하게 소개했다.

Offensive Security의 Csaba Fitzl도 Zer0Con2022 발표자로 참가했다. hack.lu, Troopers, Black Hat USA 등 다양한 학회 발표 경험이 있는 그는 “macOS Vulnerabilities Hiding in Plain Sight”라는 주제로 발표했다. Csaba는 Pwn2Own 2020에서 사용된 macOS 익스플로잇 체인에는 기본 설정 데몬 관련 취약점이 있었고, 이에 대한 패치를 약 20번 이상 읽는 과정에서 새로운 권한 상승 가능성을 발견했다. 또한 그는 TCC 제로데이 우회 패치 및 새로운 우회에 대한 분석을 읽으면서, 이 새로운 패치 또한 우회할 수 있고 TCC 프레임워크에 근본적 문제가 있다는 사실도 깨달았다. 그는 이와 같이 다른 취약점에 대한 라이트업을 읽는 동안 발견한 두가지 macOS 취약점에 대해 공유했다. 

브라우저 연구에서 뛰어난 두각을 나타내고 있는 Singular Security Lab의Gengming Liu도 다시 한번 제로콘을 찾았다. 자바스크립트는 항상 많은 보안 연구원들의 관심 및 연구 대상이 되어왔다. Gengming 또한 같은 팀원인 Zhutian Feng, Haojie He와 함께 v8에 대한 새로운 연구를 진행했다. 해당 발표에서는 최신 JS 퍼저를 간단히 살펴 본 후, JS 퍼징에 대한 새로운 가이드를 소개했다. 이후 그들이 만든 퍼저에서 발견된 이슈와 단계적 익스플로잇에 대해 설명하고, 발견한 취약점에 대한 상세 분석을 진행했다.

macOS, iOS 운영 체제, 특히 커널 취약점을 찾아 익스플로잇 하는 것은 오랫동안 연구원들의 뜨거운 관심사였다. 하지만 발견된 많은 취약점과 익스플로잇 기술에 대한 실제 세부 정보는 패치 후 대부분 공개되지 않는다. 개인 연구원으로 활발히 iOS, macOS 관련 연구를 진행 중인 John Aakerblom은 “Tales from the iOS/macOS Kernel Trenches” 주제를 통해, 주목받지 못한 iOS 및 macOS 커널의 패치된 최신 취약점과 익스플로잇 세부 사항에 대해 자세하게 발표했다. 

구글 프로젝트 제로의 Ned Williamson도 제로콘 발표자로 다시 한번 한국을 방문했다. SockPuppet을 발견한 XNU 커널 퍼저인 SockFuzzer는 1년 전에 출시되었고, 1년 간의 브레인스토밍과 몇 개월의 개발 과정을 거쳐 다음 배포는 퍼징을 사용해 동시성 버그를 발견하는 기능을 지원한다. Ned는 “SockFuzzer 2.0” 발표에서 이러한 새로운 기능을 가능하게 하는 접근 방식과 방법론에 대해 공유했다. 

최근 트위터, Reddit 등을 살펴보면 베트남 해킹 보안 연구자들이 활발한 취약점연구를 진행하고 있다는 것을 알 수 있다. Star Labs의 연구원인 Peter Nguyễn Vũ Hoàng은 “A journey of hunting macOS kernel vulnerability”라는 주제로 발표를 진행했다. Peter는 macOS, iOS 버그 헌팅 및 익스플로잇을 주로 연구하고, CVE-2022-22593, CVE-2021-30868, CVE-2021-30745 등 취약점을 발견한 바 있다. 이 발표를 통해 참가자들은 Peter가 발견한 SMBFS 버그와 개발자가 저지르는 일반적인 실수, 발표자가 직접 개발한 퍼저 및 사용한 새로운 트릭 등에 대해 자세히 설명했다. 

중국 보안 회사 Cyber Kunlun의 가상화 보안 연구원 VitorV는 “Old School, New Story---Escape from Hyper-V by Path Traversal” 주제 발표자로 참가했다. Hyper-V는 익스플로잇이 어려운 대상 중 하나이다. 구성 요소가 적고 복잡하며, 특수한 아키텍처로 인해 성공적인 익스플로잇 사례가 거의 없다. VitorV는 이 발표에서 Hyper-V 아키텍처에서 RDP가 어떻게 사용되는지와 잠재적인 공격 표면을 소개하고, 2021년 12월 패치에서 수정된 버그를 포함해 확장 모드에서 이스케이프하는 몇가지 사례를 보여줬다. 

Zer0Con2019, POC2020에 발표자로 참석했던 Alibaba Security의 Wang Yong이 “A bug collision tale: Building universal Android 11 rooting solution with a UAF vulnerability” 주제로 다시 한번 제로콘을 찾았다. Wang은 Use-After-Free 버그, 특히 프로젝트 제로의 블로그에서 다루지 않은 부분에 초점을 맞추어 분석하고, 서로 다른 안드로이드 커널 분기에서 익스플로잇 단계에 영향을 미치는 주요 코드 변경 사항을 자세히 설명했다. 그 후 다른 커널 분기에서 버그를 악용하는 방법과 성공률을 높이기 위해 발표자가 찾은 새로운 익스플로잇 기법, 안드로이드 11의 일반적인 완화 기법을 우회하는 방법에 대해서도 소개했다. 해당 발표에는 안드로이드 11 플래그십 기기를 루팅하는 익스플로잇 데모도 보여줬다. 

지난해 ProxyLogon 등 프록시 시리즈 취약점이 전 세계에 영향을 미쳤다. 이에 마이크로소프트는 사용자를 보호하기 위해 익스체인지 서버에 많은 패치를 게시해 익스플로잇을 더욱 어렵게 만들었다. Sangfor 연구원 Yuhao Weng, Zhiniang Peng은 “Exploit Exchange in new ways” 발표를 통해 그들이 발견한 취약점과 익스플로잇 방법을 공개했다. 또한 익스체인지 서버를 보호하기 위한 탐지 및 방어 방법을 제안했다.

한편 발표 외에 POC Security 측은 새로운 이벤트도 준비했다. 제로콘은 취약점 연구에 초점을 둔 컨퍼런스라는 점에서 제로데이 시장과 밀접한 연관성이 있다. 특히 제로데이가 적극적으로 공격에 사용되고 있는 현실에서 제로데이 시장에 대한 논의가 양지에서 이루어질 필요가 있다. 따라서 주최측은 제로데이 시장에 대해 좀 더 적극적으로 접근해 보고자 관련 논의가 가능한 공간도 마련해 참석자들간 활발한 논의가 이루어질 수 있는 의미있는 자리도 마련했다.  

제로콘은 내년부터 다시 정상적으로 비공개 오프라인으로 개최될 예정이다. 더 많은 글로벌 취약점 분석가들이 참석할 수 있을 것이다. 

★정보보안 대표 미디어 데일리시큐!★