제 7회 Zer0Con(제로콘)이 4월 13~14일, 인터컨티넨탈 서울 코엑스 다이아몬드 홀에서 성황리에 개최됐다. 오프라인으로 운영한 올해 제로콘은 18개국, 120명 이상의 버그 헌터, 취약점 분석가 및 익스플로잇 개발자 등 실무자들이 참석한 가운데 진행되었다.

제로콘 운영사인 POC Security(피오씨시큐리티)는 코로나 이후 첫 오프라인 제로콘이어서 참석 요청이 많아 100명으로 제한했던 인원수를 120명으로 늘렸고, 후원사와 VIP 등을 합치면 그 이상의 인원이 참석했다고 밝혔다. 

또한 역대 제로콘 중 가장 큰 규모로 후원사가 참여하였고, 후원사와 참가자들의 네트워킹이 활발히 이루어졌다. 이번 제로콘 후원사로는 △다이아몬드 후원사에 Dataflow Security(데이터플로우 시큐리티, 이탈리아 오펜시브 보안 기업), △골드 후원사에 BlueFrost(블루프로스트, 독일 오펜시브 보안 기업), Corellium(코렐리움, 미국 오펜시브 보안 기업), PK Security(피케이시큐리티, 한국 오펜시브 보안 기업), △실버 후원사에 Secfence(섹펜스, 인도 오펜시브 보안 기업), Hayyim security(하임시큐리티, 한국 보안 기업), △드링크 후원사에 Cymbiosis(심바이오시스) 등 총 7개사가 참여했다.

POC Security 정진욱 대표는 첫째날 오프닝을 통해 “2017년, 우리 POC Crew는 제로데이 연구와 시장에 대한 고민을 시작했다. 그 결과 취약점 연구와 시장은 결코 어두운 영역에 있으면 안된다고 생각했다. 음지에서 나와 양지로 나와야 연구원과 관련 업계가 정당한 대우를 받을 수 있다고 생각했다.”고 말하며 제로콘의 취지를 설명했다. 

이어 “어느덧 제로콘이 7회를 맞이했고 많은 연구원들이 자신의 능력을 뽐내고, 많은 관련 기업들이 활발히 활동하고 있다. 이것이 제로콘을 운영하는 이유이다.”라고 덧붙였다. 마지막으로 그는 ChatGPT를 통해 제로콘 환영 인사를 진행했고, 이는 많은 참가자들의 호응을 이끌었다.

참가자들의 많은 호응을 받은 또다른 발표는 이탈리아 주요 오펜시브 보안 기업 중 하나인 ‘Dataflow Security(데이터플로우 시큐리티)’의 안기찬(@externalist) 안드로이드 기술 총괄 팀장의 “Mobile Exploitation - The past, present, and the future” 키노트였다. 수십년 간 있었던 모바일 익스플로잇 도메인에서의 공격자와 방어자 간의 싸움을 살펴보고, 원클릭 기반 브라우저 체인에 초점을 맞추어 과거부터 현재까지의 변화 양상과 앞으로는 무엇을 기대할 수 있는지 등을 다루는 내용이었다. 해당 발표는 많은 모바일 관련 연구원들의 주목을 받았고, 발표 종료 후에도 발표자에게 다수 질문이 진행되었다.

키노트 이외 9개 주제 발표도 각 분야를 연구 중인 참가자들의 많은 관심을 받았다. 주요 강연 내용은 다음과 같다.

처음으로 한국을 방문한, IBM X-Force의 취약점 및 익스플로잇 연구원인 발렌티나 팔모티(Valentina Palmiotti, @chompie)는 “SPNEGO for Windows Authentication - A Ubiquitous Attack Surface with No Vulnerabilities?” 주제로 발표했다. 지금까지 보고된 바 없는 SPNEGO negotiation 프로토콜을 발견하고 공격 표면으로 활용하는 방법에 대해 다루었다. 발렌티나가 발견한 메모리 손상 취약점과 익스플로잇에 대해 논의하고, 마이크로소프트가 초기에 해당 버그 영향력을 잘못 평가한 이유, 향후 보안 연구에 통합하는 방법 등에 대해서도 소개했다. 

최근 몇 년 간 실제 공격에 사용되는 제로데이 취약점 동향에 대해 발표를 해왔던 구글 프로젝트 제로의 메디 스톤(Meddie Stone)의 "A Year in Review of 0-days Exploited in-the-wild in 2022" 발표도 있었다. 구글 프로젝트 제로는 제로데이 공격의 위험성을 분석하기 위해 실제 공격(in-the-wild)에 사용되던 취약점들의 목록을 공개하고 해당 결함에 대한 정보 역시 분석하고 있다. 해당 분석 결과를 이용하여 메디스톤은 매년 진행되었던 제로데이 공격에 대해 발표를 진행하는데, 2022년의 분석 결과를 Zer0Con에서 처음으로 발표했다. 그녀는 발표를 통해 2022년에 악용된 38개의 제로데이 취약점의 경향, 교훈, 그리고 새로운 버그와 익스플로잇 방법을 분석했고, 발표 내용에는 2021년과 비교하여 유지되고 있는 부분과 변경되는 내용, 2023년의 예측도 포함됐다.

마찬가지로 한국을 처음 찾는 독립 보안 연구원 Thomas Corley는 "Generic Exploitation of Three Android GPU Kernel Driver Vulnerabilities"라는 발표로 안드로이드 GPU에서 발생할 수 있는 커널 취약점에 대해 설명했다. 2021년과 2022년에 6개의 드라이버 커널 취약점이 안드로이드 GPU에서 발견될 만큼 흥미로운 공격 영역인 안드로이드 GPU는 Adreno, Mali, PwerVR이 시장 점유율의 대부분을 차지한다. 발표자는 3개 벤더사의 GPU 취약점을 제시하고 악용하는 방법을 자세히 분석한 후 데모를 선보였다. 또한 취약점을 이용한 이후 포스트 익스플로잇에 활용할 수 있는 기술 역시 살펴보았다.

중국 저장(Zhejiang) 대학의 Hao Xiong과 Qinming Dai는 "Fuzzing Samsung's closed-source libraries as if on a real device"라는 제목으로 삼성의 맞춤형(customized) 시스템 API에서 발견되는 취약점에 대해 발표했다. 안드로이드 시스템에는 오픈소스 API 이외에도 다양한 업체들이 개발한 맞춤형 시스템 API 역시 존재한다. 2022년 75개의 버그를 발견하여 17개의 CVE를 받아 삼성 모바일 보안 명예의 전당에 추가된 발표자들은 그들의 연구 결과를 바탕으로 삼성 등 각 업체의 클로즈드(closed) 소스 시스템 API에 적용할 수 있는 퍼징 연구와 프레임워크를 제시했다.

Windows Internal, 하이퍼바이저 취약점에 중점을 둔 연구자인 시나 카르반디(Sina Karvandi)의 발표도 있었다. 현재 광주 조선대학교에서 공부 중인 Sina는  "Chasing BugsWith/In Hypervisors"라는 주제로, HyperDbg 개발자 관점에서 하이퍼바이저에서 파생된 솔루션 커널 모드 및 사용자 모드 루틴에서 버그를 찾는 방법과 하이퍼바이저(type1 및 type2)에서 다른 유형의 버그를 찾는 두가지 방법을 선보였다. 참가자들은 해당 발표에서 정적 분석, 동적 분석 및 공격 벡터를 통해 다양한 버그를 찾는 과정과 기술 등 자세한 내용을 들을 수 있었다.

Vigilant Labs 소속 연구원이자 Baseband 취약점에 중점을 둔 연구자인 Amat Cama가 "ASN.1 and Done: A journey of exploiting ASN.1 parsers in the baseband." 관련 주제로 발표했다. Amat Cama는 기간 내에 비자를 받지 못해 온라인으로 발표를 진행했다. 해당 발표에서는 여러 모바일 기기 및 임베디드 시스템의 핵심 구성 요소인 인텔 인피니언 베이스밴드의 ASN.1 파서를 분석하고 발견된 취약점을 익스플로잇하는 과정까지 다루었다. 이 베이스밴드는 과거에도 여러 버전의 iPhone 모델과 테슬라 자동차에서도 사용되어 왔기 때문에 보안 연구원들의 큰 관심을 받아왔다.

Singular Security Lab 보안연구원인 Gengming Liu 와 Zhutian Feng이 “Find and exploit race condition bugs in modern JS engines” 주제로 다시 한번 발표자로 섰다. 작년 Zer0Con 2022에서는 JS fuzzing에 대한 새로운 가이드를 소개 했다면 이번엔 애플에서 개발된 JSC(JavaScript Core)와 Google에서 개발된 V8에서 발견된 2가지 취약점에 대해 소개했다. 두 취약점 모두 2개 이상의 프로세스가 공유 자원을 병행적으로 읽거나 쓰는 상황에서 발생하는 레이스 컨디션(Race Condition) 취약점으로, 자세한 분석과 이를 익스플로잇하는 기술을 다루었다.

중국의 사이버 보안 소프트웨어 선두업체인 360 Vulnerability Research Institute의 보안 연구원 Jun Luo(De4dcr0w)와 Yanfeng Wang이 “Busy2Nice：A New Way to Win the Race for Tiny Windows in the Linux”라는 주제로 발표했다. 연구원들은 해당 발표에서 유저 스레드와 커널의 softirq 핸들러 사이에서 레이스 컨디션이 발생할 때 높은 확률로 성공 시키는 방법인 'Busy2Nice'라는 새로운 기술을 소개하고 시연을 진행했다. 시연에는 버전 5.13.x - 5.15.x에 영향을 미치는 Linux 커널에서 발견한 UAF(Use-After-Free) 취약점과 Ubuntu 20.04 및 22.04에서 루트 권한으로 상승하는 코드가 사용되었다.

독립 보안 연구원인 Arsenii Kostromin가 제로콘에서 첫 발표를 진행했다. “CodeQL + DTrace =  in XNU(How to find multiple memory disclosures in XNU using CodeQL)”라는 주제로, 제로데이가 존재하는 2023년 최신 버전 macOS 소프트웨어 코드 품질에 대해 다루었고 참가자들을 위한 시연도 준비했다.

제로콘 컨퍼런스 직전에는 3개의 트레이닝코스가 진행됐다. 러시아 독립 연구원인 Andrey Konovalov의 “Attacking the Linux Kernel”, 두바이 8KSEC 대표 Prateek Gianchandani의 “iOS internals and Application Security”, InfoSect 이사 Silvio Cesare의 “Code Review” 강의가 있었고, 총 30명 연구원이 수료했다.

피오씨시큐리티이자 제로콘 운영팀인 POC Crew는 마지막 만찬까지 끝난 자리에서 "최고의 발표 내용 외에도 조금 더 재미있는 학회를 위해 항상 노력하고 있다. 한국인과 외국인 모든 참가자들이 즐길 수 있는 시간이 되었으면 했다. 앞으로도 새로운 내용과 즐길 수 있는 분위기를 위해 노력하겠다."라고 소감을 밝혔다.

피오씨시큐리티가 한국에서 운영하는 다음 컨퍼런스는 11월 개최될 POC2023이다. 더 자세한 정보는 트위터 @POC_Crew 계정을 통해 확인할 수 있다.

★정보보안 대표 미디어 데일리시큐!