2024-03-29 17:45 (금)
제로콘2023, 4월 13~14일 개최...최신 버그 헌팅·취약점 분석 국내·외 최고 전문가 강연 
상태바
제로콘2023, 4월 13~14일 개최...최신 버그 헌팅·취약점 분석 국내·외 최고 전문가 강연 
  • 길민권 기자
  • 승인 2023.03.29 15:30
이 기사를 공유합니다

올해 제 7회를 맞이한 Zer0Con(제로콘)이 오는 4월 13~14일, 인터컨티넨탈 서울 코엑스 다이아몬드 홀에서 개최된다. 제로콘은 버그 헌팅, 취약점 분석 및 익스플로잇 개발에 관심 있는 연구원들을 대상으로 하는 비공개 컨퍼런스로, 전 세계 주요 오펜시브 학회 연합을 주도하고 있다. 

주최사인 POC Security는 현재 제로콘 등록 진행 중이며, 키노트를 포함해 10개 주제 선발을 완료했다고 밝혔다. 미국, 캐나다, 이스라엘, 독일, 영국, 스위스, 이탈리아, 덴마크, 스웨덴, 아랍에미레이트, 중국, 싱가폴, 러시아, 베트남 등 15개국 이상 연구원들이 참가 예정이고, 다양한 국가의 연구원들이 참여하는 만큼 자연스러운 네트워킹이 이루어질 수 있도록 준비할 예정이다.

올해 키노트는 이탈리아 주요 오펜시브 보안 기업 중 하나인 ‘Dataflow Security(데이터플로우 시큐리티)’의 안기찬(@externalist) 안드로이드 기술 총괄 팀장을 초청하여 진행한다. “Mobile Exploitation - The past, present, and the future”라는 주제로 수십년 간 있었던 모바일 익스플로잇 도메인에서의 공격자와 방어자 간의 싸움을 살펴본다. 주로 원클릭 기반 브라우저 체인에 초점을 맞추어 과거부터 현재까지의 변화 양상과 앞으로는 무엇을 기대할 수 있는지 등을 깊이 있게 다룰 예정이다.

IBM X-Force의 취약점 및 익스플로잇 연구원인 발렌티나 팔모티(Valentina Palmiotti, @chompie)가 처음으로 한국을 방문한다. 최근 주목받는 연구원 중 하나인 발렌티나는 “SPNEGO for Windows Authentication - A Ubiquitous Attack Surface with No Vulnerabilities?” 주제로 발표한다. 이 발표는 지금까지 보고된 바 없는 SPNEGO negotiation 프로토콜을 발견하고 공격 표면으로 활용하는 방법에 대해 다룬다. 연구원이 발견한 메모리 손상 취약점과 익스플로잇에 대해 논의하고, 마이크로소프트가 초기에 해당 버그 영향력을 잘못 평가한 이유, 향후 보안 연구에 통합하는 방법 등에 대해서도 소개한다. 

최근 몇 년 간 실제 공격에 사용되는 제로데이 취약점 동향에 대해 발표를 해왔던 구글 프로젝트 제로의 메디 스톤(Meddie Stone)이 "A Year in Review of 0-days Exploited in-the-wild in 2022"라는 발표로 한국을 찾는다. 구글 프로젝트 제로는 제로데이 공격의 위험성을 분석하기 위해 실제 공격(in-the-wild)에 사용되던 취약점들의 목록을 공개하고 해당 결함에 대한 정보 역시 분석하고 있다. 해당 분석 결과를 이용하여 메디스톤은 매년 진행되었던 제로데이 공격에 대해 발표를 진행하는데, 2022년의 분석 결과를 Zer0Con에서 처음으로 발표한다. 그녀는 발표를 통해 2022년에 악용된 38개의 제로데이 취약점의 경향, 교훈, 그리고 새로운 버그와 익스플로잇 방법을 분석한다. 또한 2021년과 비교하여 유지되고 있는 부분과 변경되는 내용을 파악하고 2023년의 경향에 대해 예측할 예정이다.

마찬가지로 한국을 처음 찾는 독립 보안 연구원 Thomas Corley는 "Generic Exploitation of Three Android GPU Kernel Driver Vulnerabilities"라는 발표로 안드로이드 GPU에서 발생할 수 있는 커널 취약점에 대해 설명한다. 2021년과 2022년에 6개의 드라이버 커널 취약점이 안드로이드 GPU에서 발견될 만큼 흥미로운 공격 영역인 안드로이드 GPU는 Adreno, Mali, PwerVR이 시장 점유율의 대부분을 차지한다. 발표자는 3개 벤더사의 GPU 취약점을 제시하고 악용하는 방법을 자세히 분석한 후 데모를 선보일 예정이다. 또한 그는 취약점을 이용한 이후 포스트 익스플로잇에 활용할 수 있는 기술 역시 살펴볼 예정이다.

중국 저장(Zhejiang) 대학의 Hao Xiong과 Qinming Dai는 "Fuzzing Samsung's closed-source libraries as if on a real device"라는 제목으로 삼성의 맞춤형(customized) 시스템 API에서 발견되는 취약점에 대해 발표한다. 안드로이드 시스템에는 오픈소스 API 이외에도 다양한 업체들이 개발한 맞춤형 시스템 API 역시 존재한다. 2022년 75개의 버그를 발견하여 17개의 CVE를 받아 삼성 모바일 보안 명예의 전당에 추가된 발표자들은 그들의 연구 결과를 바탕으로 삼성 등 각 업체의 클로즈드(closed) 소스 시스템 API에 적용할 수 있는 퍼징 연구와 프레임워크를 제시한다. 발표를 통해 참가자들은 안드로이드 시스템의 취약점을 발견할 수 있는 새로운 영감을 얻을 수 있을 것이다.

하이퍼바이저는 현대 소프트웨어 시스템의 필수 구성 요소이다.  Windows Internal, 하이퍼바이저 취약점에 중점을 둔 연구자인 시나 카르반디(Sina Karvandi)가 "Chasing BugsWith/In Hypervisors"라는 주제로 발표한다. Sina는 HyperDbg 개발자 관점으로 하이퍼바이저에서 파생된 솔루션 커널 모드 및 사용자 모드 루틴에서 버그를 찾는 방법과 하이퍼바이저(type1 및 type2)에서 다른 유형의 버그를 찾는 두가지 방법을 선보일 예정이다. 이 발표에서는 정적 분석, 동적 분석 및 공격 벡터를 통해 다양한 버그를 찾는 과정과 기술 등 자세한 내용을 들을 수 있다.

Vigilant Labs 소속 연구원이자 Baseband 취약점에 중점을 둔 연구자인 Amat Cama가 "ASN.1 and Done: A journey of exploiting ASN.1 parsers in the baseband." 관련 주제로 한국에서 처음 발표한다. 해당 발표에서는 여러 모바일 기기 및 임베디드 시스템의 핵심 구성 요소인 인텔 인피니언 베이스밴드의 ASN.1 파서를 분석하고 발견된 취약점을 익스플로잇하는 과정까지 낱낱이 파헤칠 예정이다. 이 베이스밴드는 과거에도 여러 버전의 iPhone 모델과 테슬라 자동차에서도 사용되어 왔기 때문에 보안 연구원들의 큰 관심을 받아왔다.

코로나의 여파로 작년 한국을 찾지 못했던 Singular Security Lab 보안연구원인 Gengming Liu 와 Zhutian Feng이 올해 “Find and exploit race condition bugs in modern JS engines” 주제로 발표 진행을 위해 한국을 찾는다. 작년 Zer0Con 2022에서는 JS fuzzing에 대한 새로운 가이드를 소개 했다면 이번엔 애플에서 개발된 JSC(JavaScript Core)와 Google에서 개발된 V8에서 발견된 2가지 취약점에 대해 소개한다. 두 취약점 모두 2개 이상의 프로세스가 공유 자원을 병행적으로 읽거나 쓰는 상황에서 발생하는 레이스 컨디션(Race Condition) 취약점으로 자세한 분석과 이를 익스플로잇하는 기술에 대해 발표할 예정이다.

중국의 사이버 보안 소프트웨어 선두업체인 360 Vulnerability Research Institute의 보안 연구원인 Jun Luo(De4dcr0w)와 Yanfeng Wang이 “Busy2Nice:A New Way to Win the Race for Tiny Windows in the Linux”라는 주제로 발표한다. 해당 발표는 유저 스레드와 커널의 softirq 핸들러 사이에서 레이스 컨디션이 발생할 때 높은 확률로 성공 시키는 방법인 'Busy2Nice'라는 새로운 기술을 제시한다. 이 기술을 시연하기 위해 버전 5.13.x - 5.15.x에 영향을 미치는 Linux 커널에서 발견한 UAF(Use-After-Free) 취약점이 사용되며 Ubuntu 20.04 및 22.04에서 루트 권한으로 상승하는 코드 또한 보여질 예정이다.

독립 보안 연구원인 Nikita Tarakanov와 Arsenii Kostromin가 다시 한번 제로콘에서 발표를 진행한다. “DEP/NX, ASLR, SMEP/PXN, SMAP/PAN, CFG/XFG/PAC, CET... Security technology/mitigation A, B, C. Secure SDLC! Aga, hold my beer bro...”라는 주제로, 제로데이가 존재하는 2023년 최신 버전 윈도우 및 macOS 소프트웨어 코드 품질에 대한 현실을 밝힌다.

제로콘은 높은 수준의 비공개 기술 컨퍼런스 특성상 참가자를 제한하고 있으며, 참가자가 등록 페이지를 통해 등록하면 운영진 측에서 주제 이해 가능 여부를 확인 후 등록 결제 링크를 발송해주는 방식이다. 등록 관련 정보는 다음과 같다.

[Zer0Con2023 등록]

-등록 페이지: 클릭

-등록: ~ 4월 5일

-후원 및 기타 문의: zer0con@pocsec.com

-각종 공지: 클릭

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★