20여 개국 400여 명의 글로벌 해킹·보안 연구가들이 한국에 모였다. POC Security(피오씨시큐리티) 주최로 한국에서 개최되는 국제 해킹·보안 컨퍼런스 ‘POC2022’는 이제 세계적인 해커 및 보안연구원들의 퀄리티 높은 기술 발표 뿐만 아니라 꼭 참석해야만 하는 네트워킹 행사로 인식되고 있다.
코로나19 팬데믹으로 인해 지난 2년간 온라인으로 진행됐던 ‘POC2022’가 11월 10~11일 양일간 서울 양재동 더케이호텔서울 거문고홀에서 성황리에 개최됐다.
참석자 국가별로 보면, 한국을 비롯해 미국, 이스라엘, 중국, 대만, 인도, 러시아, 튀르키예(터키), 이탈리아, 슬로베니아, 캐냐, 프랑스, 독일, 영국, 벨기에, 호주, 베트남, 일본, 싱가포르, 말레이시아, 아르헨티나 등 전세계 다양한 국가에서 참석했다.
이렇게 오랜만에 POC에서 만난 20여 개 다국적 해커들은 서로 행사장 곳곳에 모여서 대화하고 연구 정보들을 공유하고 이틀 내내 그동안의 회포를 푸는 시간을 가졌다. 컨퍼런스 발표장에서는 진지하고 로비에서는 맥주를 마시며 즐겁게 대화하고 연락처를 나누고 뒷풀이 장에서는 술잔을 기울이며 못다한 이야기를 나누는 시간을 가졌다. ‘Power of community’. 바로 POC의 정신이 이번에 제대로 발현된 것이다.
특히 POC의 강점은 전세계 어떤 해킹·보안 컨퍼런스 보다도 강연의 질적인 면에서 발군이라는 점이다.
올해 POC2022에서는 macOS, 윈도우, 리눅스 등 운영체제와 iOS, 안드로이드 등 모바일, 브라우저, 라우터 OS 취약점 및 익스플로잇 개발 뿐만 아니라 차량 해킹, 블록체인 해킹, 블록체인 범죄 케이스 추적, 패턴 기반 멀웨어 탐지 등 다양한 주제 발표가 이루어졌다.
발표 주요 내용은 다음과 같다.
▶Sea Ltd Security 팀의 Bien Pham은 “Exploiting cross table object reference in Linux Netfilter table module"라는 제목으로 발표를 진행했다. 그는 리눅스 커널에서 제공하는 Netfilter의 작동 방식과 Netlink를 이용해 nf_tables 모듈과 통신하는 방법, 그리고 캐나다 벤쿠버에서 열린 Pwn2Own 2022에 출전하여 상금을 획득한 취약점의 발견, 익스플로잇하는 과정과 패치까지 보여줬다. 최근 많이 발견되고 있는 Netfilter 관련 취약점에 관해 더 많은 것을 알아볼 수 있는 발표가 됐다.
▶20여 년의 경력을 가진 보안 연구원이자 BOB 멘토로 활동하고 있는 이창선은 “Blockchain events and accidents”라는 제목으로 블록체인 세상에서 발생하는 사고에 관해 설명했다. 가상화폐를 목적으로 하는 다양한 사고, 피해 규모, 사고가 발생했던 이유와 기법을 설명한 후 사고 발생 시 탐지에 관해 전했다. 실제로 발표자가 현업에서 사용했던 방법이므로 참가자들에게 더욱 도움이 됐다.
▶차량에 다양한 기능이 추가되면서 지능형 차량 보안에 대한 관심은 꾸준히 높아지고 있다. 그러나 차량의 BUS 네트워크는 수동 작업으로 취약점을 찾기 매우 어렵다. Zeekr Zero Research LABS의 연구원들인 Chen Nan, Chongyang Bao, Jiaming Tao는 "Explore ’BUS’ Mysteries via Automotive fuzzing" 발표에서 차량 네트워크의 공격 표면, 네트워크 프로토콜에 대한 분석과 그것을 바탕으로 그들이 제작한 퍼저의 개념과 사례를 설명한다. 그리고 발표 이후 퍼저의 소스 코드를 공개해 관심을 끌었다.
▶MSRC top 연구원 중 한명이자 Pwn2Own 2022에서 좋은 결과를 낸 Hector Peralta는 Electron 프레임워크에서의 공격 표면에 관해 설명했다. “Expanding attack surface to bypass security in Electron framework”라는 제목으로 그는 플랫폼 간 소프트웨어 구축 프레임워크인 Electron에서 애플리케이션의 논리 버그 등 다른 애플리케이션에서 악용될 수 있는 잘못된 구성을 찾는 방법을 보여줬다. 웹 기술을 사용해 애플리케이션 제작에 널리 활용되는 프레임워크인 만큼 그의 발표는 많은 관심을 받았다.
▶구글 프로젝트 제로의 Ivan Fratric은 “Hacking Zoom and other XMPP applications: More Adventures with XMPP Stanza Smuggling” 발표에서 비디오 회의 툴인 Zoom 등에서 사용되는 XMPP 프로토콜 취약점을 설명했다. XMPP 프로토콜과 그것을 사용하는 클라이언트들에서 발생하는 XMPP stanza smuggling 기법을 설명하고 Zoom 클라이언트에서 발생하는 원격코드 실행 취약점 시연을 진행했다. 2022년 Blackhat USA에서 이미 진행되었던 발표의 업데이트본으로 몇몇 버그 및 기술들을 추가하여 참가자들에게 다양한 정보를 제공한 것이다.
▶브라우저 분야에서 우수한 연구 결과를 공개하는 것으로 유명한 Man Yue Mo는 "Controlled chaos: Predicting object addresses in Chrome (without breaking a sweat)"에서 V8의 객체 주소 예측에 대해 설명했다. out-of-bound나 별도의 정보 유출 버그가 없을 때 V8의 객체간 오프셋은 계산이 쉽지 않다. Man Yue Mo는 V8 힙 초기화와 관련된 임의성에 대한 조사를 통해 V8에서 객체 주소의 예측을 쉽게하는 방법을 설명했다. 해당 연구가 크롬 취약점 연구원들에게 좋은 자극이 됐다.
▶트렌드마이크로 소속 연구원인 Mickey Jin은 "Package Disaster: Diving Deep into macOS PackageKit and Discovering 15+ New SIP-Bypass Vulnerabilities"에서 애플 macOS 운영체제의 PackageKit 프레임워크에서 발견한 새로운 공격 표면과 이를 이용해 발견한 macOS의 SIP 보안 기능을 우회하는 15개 이상의 취약점을 설명했다. 취약점 원인과 익스플로잇 방법 그리고 애플의 대응에 대해 공개한 후 취약점 악용 시연까지 선보였다.
▶Mohamed Ghannam은 "Attacking Apple's Neural Engine(ANE)"라는 발표에서 애플의 기계학습 엔진인 애플 뉴럴 엔진(ANE)에서 발생하는 취약점을 설명했다. ANE의 하위 시스템은 복잡성으로 인해 문서화가 되어 있지 않지만, 발표자는 해당 시스템을 분석하여 공격 표면을 확인했고, 15개 이상의 취약점을 찾아냈다. 그의 발표를 통해 참가자는 ANE 아키텍처와 작동 방식, 구성 요소 리버스 엔지니어링에 대해 익히고, 그가 찾아낸 취약점들을 어떻게 임의 커널 r/w로 연결할 수 있는지도 확인할 수 있는 시간이었다.
▶StarLabs의 Nguyễn Hoàng Thạch는 Netatalk 관련 발표를 진행한다. Netatalk는 애플 네트워킹 프로토콜인 appletalk를 리눅스에서 구현한 오픈소스 프로젝트이다. 해당 프로그램을 통해 유닉스, 리눅스 등에서 애플 파일 서버 역할을 할 수 있다. 그는 Netatalk에서 많은 버그를 발견했고 Pwn2Own Austin 2022에서 3개의 NAS 장치 해킹에 성공했다. 또 Netatalk에서 발견한 공격 표면들이 취약점 연구의 새로운 패러다임이 될 수 있음을 설명하고, 발견한 취약점들을 이용한 다양한 악용 방법을 공유했다.
▶Near 프로토콜 기반 블록체인인 Aurora에서 치명적인 취약점을 찾아 600만 달러의 버그바운티를 받은 것으로 유명한 PwningEth는 이더리움, Aurora및 Near 프로토콜을 연결하는 공식 브릿지인 Rainbow Bridge에서 찾은 취약점과 익스플로잇을 공유했다. 그의 경험을 바탕으로한 발표를 통해 참가자들의 블록체인 세계에서 발생할 수 있는 취약점에 대한 시야가 넓어졌다.
▶중국 Qi-AnXin 그룹의 선인 보안 연구원인 Qian Chen은 "MikroTik RouterOS Security: The Forgotten IPC Message" 발표에서 MikroTik RouterOS의 IPC 매커니즘에서의 취약점 발견에 대해 설명했다. MikroTik에서 제조한 라우터용 리눅스 기반 운영체제인 MikroTik RouterOS는 전 세계적으로 널리 사용되고 있어, 공격자들에게 중요한 타깃이 되고 있다. 발표자는 해당 운영체제에 대한 기존의 연구에서 영감을 받아 IPC 메커니즘을 타깃으로 하는 퍼저를 제작했고 이를 통해 60여개의 취약점을 찾았다. 이중 특히 FoisHandler 취약점에 대해 상세히 다루고, 최신 7.4 버전에서의 탈옥을 위한 취약점도 보여줬다.
▶구글 플레이 보상 프로그램 참가자 중 1위로 알려진 Sergey Toshin이 발표자로 한국을 찾는다. 그는 "Discovering vendor-specific vulnerabilities in Android" 발표에서 안드로이드를 바탕으로 구글, 삼성 등 제조사가 커스텀 한 기기에서 취약점이 발견될 수 있음을 주목했다. 그는 시스템 관리자, 시스템 AIDLs, 프레임워크에서 구글과 삼성의 차이를 발견했고, 이 부분에서 100여 개가 넘는 취약점을 발견했다. 발표자는 자신이 분석한 구글과 삼성의 차이와 흥미로운 취약점에 관해 설명했다.
▶세계는 이미 LTE에서 5G 시대로 변화하고 있다. 이에 따라 모바일 네트워크는 기존 폐쇄형 인터페이스에서 개방형 인터페이스로 이동한다. Shinjo Park과 Altaf Shaik는 개방형 인터페이스에 따른 잠재적 보안 위협 노출에 주목했다. 그들은 "API wars in 5G networks"라는 발표에서 10개 상용 서비스 제공 업체의 API에 대한 보안 조사를 통해 원격 공격자가 네트워크 내부에서 임의 코드를 실행하고 기본 IoT 인프라를 탈취할 수 있음을 보여줬다. 또한 SIM 정보를 추출하고 네트워크 임의의 장치에 악성 페이로드를 보낼 수 있는 위협도 시연했다.
▶POC 및 Zer0Con(제로콘)에서 다수 발표를 진행한 Sangfor의 Xuefeng Li와 Zhiniang Peng이 다시 한번 윈도우 관련 주제로 POC를 찾는다. "Exploiting Errors in Windows Error Reporting Service in 2022" 제목으로 WER(윈도우 오류 보고) 기능을 소개, 최근 몇 년 간 WER에서 많이 발견된 논리 버그들을 다룬 후, 발표자들이 새롭게 발견한 버그 및 익스플로잇에 대해 공유하는 시간을 가졌다.
▶멀웨어 관련 발표도 있었다. Palo Alto Networks(팔로알토네트웍스)의 Zhanglin He, Royce Lu 연구원이 “DiDe - Build a pattern-based detection module from scratch” 발표를 통해 기존 패턴 기반 멀웨어 탐지 시스템이 가진 문제를 해결한 DiDe를 소개했다. 발표자들에 따르면 DiDe는 바이러스 토탈을 기반으로 고품질의 샘플을 규모에 맞게 클러스터링할 수 있고, 시그니처 생성 후 비교를 통해 품질 향상을 기대할 수 있으므로 멀웨어 관련 연구원들은 기존과 비교하여 어떤 참신한 부분이 있는지 확인할 수 있었다.
▶StarLabs의 또 다른 발표자인 Zhenpeng Pan은 "The Journey To Hybrid Apple Driver Fuzzing" 제목으로 본인이 만든 하이브리드 퍼저와 해당 퍼저가 발견한 공개되지 않은 macOS 버그에 대해 공개했다. 애플 기기에 점점 더 많은 완화 기법이 도입돼 UAF, Type Confusion 등 XNU 커널의 많은 버그를 이용할 수 없게 되어 오펜시브 연구원들의 타깃이 드라이버로 이동함에 따라, 이 발표는 많은 관련 연구자들에게 흥미를 끌었다.
발표 외에 3개 트레이닝코스도 진행됐다.
Patrick Ventuzelo의 “Pratical Web Browser Fuzzing”, Dinesh와 Prateek의 “Offensive Mobile Reversing and Exploitation”, Andrey Konovalov의 “Attacking the Linux Kernel” 강의가 이루어졌고, 웹 브라우저 퍼징 외 2개 강의도 이루어졌다.
강연 이외에, 참가자들이 즐길 수 있는 다채로운 이벤트도 열렸다. 국내 대표 여성해킹대회인 ‘Power of XX’는 숙명여자대학교 ‘SISS’와 피오씨시큐리티가 후원하는 ‘Demon’팀이 문제 출제 및 운영을 맡았다.
각 팀장들은 보안계에 진입하거나 이미 이 분야에 있는 여성 사이버 보안 인력들을 위한 커뮤니티를 형성하는 것이 목표인만큼 실력 향상과 재미, 두 마리 토끼를 모두 잡을 수 있도록 준비해 개최한 것이다.
‘Demon’팀 정상수 팀장은 “이번 Power of XX는 예선전에 48개팀이 참가했고 팀당 4명씩 참여했다. 대부분 대학생 및 동아리 맴버들이었으며, 최종 본선에는 11개팀이 올라왔다”며 “문제는 웹 해킹, 시스템 해킹, 리버싱, 암호화, 포렌식 등 다양한 문제가 출제됐다. 특히 최근 보안위협이 되고 있는 피싱과 관련 실무적인 문제도 출제했다. 본선은 1위와 2위 점수차가 얼마 나지 않을 정도로 치열하게 전개됐다. 갈수록 여성 보안 인력들이 증가하고 있으며 사회에서 활동도 활발해 지고 있어 꾸준히 성장하고 있다는 것을 느낀다”고 전했다.
Power of XX 순위는 1위 마라탕, 2위 BBOBB, 3위 R2P2 팀이 차지했다.
또 ENKI(엔키)의 ‘BUGCAMP(버그캠프) 미니 버그바운티’, 중부대학교 정보보안 동아리 S.C.P의 ‘Maze Escape(자율주행 미니카로 미로 탈출하기)’가 이벤트 홀에서 진행돼 흥미를 끌었다.
한편 올해 POC2022에는 예전에 비해 글로벌 기업들의 후원도 늘었다. 이탈리아의 Dataflow Security, 독일 Bluefrost, 튀르키예 ParseDefense, 호주 Azimuth Security와 Crowdfense, 말레이시아 CYMBIOSIS, 한국의 하임 시큐리티 등이 후원사로 참여했다. 또 독일 해킹 보안 컨퍼런스 OffensiveCon 운영자, 튀르키예 NOPCon 운영자 등도 현장에 참가해 참가자들과 네트워크를 형성했다.
POC Security(피오씨시큐리티) 관계자는 “올해는 블록체인 취약점 및 사고 그리고 사고대응 관련 강연들이 많았다. 최근 해커들의 관심이 어느 분야란 것을 말해주고 있다고 생각한다. 그리고 POC의 영향력이 글로벌에서도 높아져 해외 기업들의 후원도 늘었고 80여 명이 넘는 해외 연구원들이 POC에 참석했다”며 “올해는 특히 네트워킹이 잘 이루어질 수 있도록 동선과 음료 배치 등에 신경을 많이 쓴 결과 여느때 보다도 활발한 네트워킹과 커뮤니티가 이루어져 뿌듯하다. 해외 해커들과의 활발한 소통이 결국 국내 해킹·보안 기술의 발전에도 영향을 미치기 때문에 앞으로도 이 부분에 더욱 신경을 써 나갈 것”이라고 전했다.
이어 “POC는 이제 더욱 젊어지고 있고 글로벌 해킹·보안 커뮤니티의 중심에 서 있다고 자부한다. 이번에 POC2022에서 프랑스 핵사콘, 독일 오펜시브콘, 아르헨티나 에코파티 등 해외 해커 커뮤니티 운영자들과 만나 글로벌 대형 컨퍼런스를 협력해서 운영해 보자는 의견도 나눴다. 이번에 한국 POC에서 처음 이야기가 시작됐으니 점차 현실화될 수 있을 것이라고 생각한다. 이처럼 POC는 한국을 넘어 글로벌 해킹·보안 연구원들의 네트워킹 연결고리 역할을 하고 있다. 이는 더욱 강화되고 확대될 것”이라고 강조했다.
◆사이버위협 대응 인공지능 정보보호 컨퍼런스 ‘AIS 2022’ 개최(보안교육 7시간 이수)
-주최: 데일리시큐
-대상: 정부, 공공, 기업, 금융, 교육, 의료 등 전분야 CISO, CPO, 정보보안 실무자 600여 명
-일시: 2022년 11월 15일(화) 오전9시~오후5시
-장소: 더케이호텔서울 2층 가야금홀
-교육이수: 공무원 정보보호 및 개인정보보호 교육 이수 7시간 인정(CPPG/CISSP 등 자격증 7시간 인정)
-점심/주차: 점심식사는 제공하지 않습니다. 주차권은 1일 무료주차권을 드립니다.
-참석확인증: 행사 종료후 설문지를 제출해 주신 참관객에게 메일로 일괄 발송
-등록마감: 2022년 11월 14일 오후 5시
-전시회: 국내·외 최신 개인정보보호/정보보안 솔루션 소개
-문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★
