2024-03-29 11:30 (금)
[MOSEC 2016] 중국의 치열한 취약점 버그바운티 경쟁…한국은?
상태바
[MOSEC 2016] 중국의 치열한 취약점 버그바운티 경쟁…한국은?
  • 길민권
  • 승인 2016.07.04 13:46
이 기사를 공유합니다

한국, 스타급 해커에만 의존…연구환경과 기업들 투자 부족해
중국 해커들의 안드로이드와 iOS 해킹 경쟁이 치열하다. 모바일 OS 취약점을 얼마나 많이 찾고 얼마나 크리티컬 한 취약점을 찾는지가 보안기업의 능력을 결정할 정도로 중요하게 여겨지고 있다. 이를 통해 중국은 수많은 모바일 제로데이 취약점을 보유하고 있으며 미국이 주도하는 모바일 세상에 대응하고자 한다. 현재 중국 해커들이 공개하지 않은 제로데이 취약점도 상당수 존재한다. 데일리시큐는 지난 7월 중국 상하이에서 개최된 MOSEC 2016을 현장에서 취재하고 중국 해커들의 치열한 버그바운티 경쟁 열기를 느끼고 돌아왔다. 이 자리에는 중국 해커 및 정부기관, 해외 기업 보안관계자 400여 명이 참석했다.


?MOSEC 2016 현장=상하이
 
중국 해커들이 취약점을 모두 공개하지 않는 이유는 바로 지속적인 해킹이 가능하도록 ‘작은 문’을 계속 열어 두겠다는 의미다. 단순히 이들은 취약점을 악용하려고 하기 보다는 모바일 해킹과 관련해 국제적인 헤게모니를 주도해 나가겠다는 포석이 깔려있다. 보안기업의 비즈니스에도 이용되고 있다. 중국 대표 보안기업인 치후360과 텐센트 등은 고도로 숙련된 해커팀을 꾸리고 전폭적인 지원을 아끼지 않고 모바일 OS 취약점을 찾는데 적극적인 투자를 하고 있다.
 
◇중국 보안기업들, 해커팀에 대한 적극적인 투자
360만해도 국제적으로 유명한 불칸팀과 알파팀을 운영하며 각각 안드로이드와 iOS 취약점만 찾은 팀을 별도로 운영하고 있으며 이들은 365일 모바일 취약점과 컴퓨터 OS의 취약점을 찾는데 열정을 쏟고 있다. 상하이 현장에서 만난 360 관계자도 취약점을 얼마나 찾느냐가 보안기업의 가치를 결정한다고 말할 정도다. 그만큼 유능한 해커를 보유하고 있다는 것을 대외적으로 알림으로써 기업의 네임벨류를 높일 수 있다고 생각하는 것이다. 보안시장의 주도권을 가져올 수 있다고 믿고 있다.
 
7월 1일 상하이에서 개최된 MOSEC 2016에서 360 구앙공(Guang Gong)은 치후360내에서 안드로이드 취약점을 주로 연구하는 알파팀 소속이다. 그는 알파팀에서도 구글 크롬 취약점에 집중하고 있다. 그는 이번에 ‘A Way of Breaking Chrome’s Sandbox in Android’라는 주제로, 새롭게 발견한 안드로이드 시스템 취약점을 이용해 구글 크롬(Chrome) 샌드박스를 우회하는 내용을 발표했다. 또한 360에는 지난해 혼자서 100개 이상의 CVE를 찾아낸 유키챈이란 22살 해커도 근무하고 있다.
 
한편 아이폰 해킹에 국제적으로 이름을 알리고 있는 중국 보안기업 폰젠 소속의 Pangu(판구)팀도 MOSEC 2016(모바일 시큐리티 컨퍼런스)에서 최신 iOS 제로데이 취약점을 공개했다. 이번 발표는 현재 큰 파장을 일으키고 있으며 판구팀의 명성을 다시 한번 확인시킨 발표였다. 또한 판구팀은 iOS 10 베타버전에 대한 제일브레이크(탈옥) 취약점도 이미 보유하고 있을 정도다. 최근 판구팀은 iOS 뿐만 아니라 안드로이드 OS 취약점 연구에도 박차를 가하고 있으며 최근에는 자동차 해킹 등에도 대기업과 협력해 상당한 기술력을 보유하고 있다. 폰젠은 또 안드로이드 전문 해킹보안기업도 인수해 모바일 OS 전반에 대한 연구에 더욱 박차를 가하고 있다. 다른 기업에서 찾지 못한 취약점을 찾는 것은 곧 기업의 명성을 높이고 매출에도 영향을 주기 때문이다.
 
이날 판구팀은 ‘The Lost Land of the Chain of Trust on iOS’라는 주제로 secure boot chain과 코드 확인 매커니즘을 거치지 않고, iOS 10 아이폰의 카메라 보조 프로세서에 조작된 펌웨어를 설치해 임의 코드를 실행시키는데 성공한 연구에 대해 세계 최초로 발표했다. 더불어 커널과 유저 스페이스 애플리케이션 사이의 데이터 공유 채널을 설명하고, 어떻게 그것이 사용자 프라이버시와 데이터 무결성을 해칠 수 있는지에 대해서도 발표해 큰 관심을 끌었다. 또 iOS 10 해킹시연을 현장에서 보여줬으며 400여 명의 해커들로부터 박수로 찬사를 보내고 그 즉시 트위터에 해당 사실이 올라가자 전세계 해커들은 뜨거운 관심과 반응을 보였다.
 
텐센트 킨랩(Tencent Keen Lab)팀도 ‘Talk is cheap, show me the code - How we rooted 10 million phones with one exploit again’이라는 발표를 진행했다. 이들이 가장 처음 익스플로잇에 성공한 취약점(CVE-2015-1805) 설명과 모든 연구 과정에 대해 발표하는 시간을 가졌다. 텐센트 시큐리티팀 스나이퍼는 지난 3월 개최된 글로벌 버그바운티 폰투오운(Pwn2Own)에서 가장 많은 상금을 획득한 팀이기도 하다.
 
텐센트도 360, 폰젠, 알리바바, 바이두 등과 치열한 취약점 버그바운티 경쟁을 하고 있으며 이들 기업들은 취약점을 찾는 전문 해커를 영입하는데 자금 투자를 아끼지 않고 있다. 중국의 풍부한 인력과 보안기업들의 적극적인 투자가 결합해 중국은 세계 취약점 분야에서 주도적인 역할을 하고 있다.
 
◇한국, 스타급 해커에만 의존…연구환경과 기업들 투자 부족해
한편 한국은 이 분야에서 몇몇 특출 난 해커에만 의존하고 있다. 박태환, 김연아 급의 해커 몇 명만 글로벌 버그바운티에 이름을 올리고 있다. 기관이나 기업은 이들의 이름을 활용하는데만 급급하다. 저변확대나 실질적인 투자는 없다. 또 KISA에서 운영하는 버그바운티는 한국에서만 사용하는 프로그램에 국한되어 있는 수준이다. 금액도 아직 어디 내 놓고 발표하기는 부족한 상황이다.(물론 안 하는 것보다는 좋지만) 국내 보안기업 중 매출 1000억이 넘는 기업들도 마찬가지다. 전문 해커팀을 구축, 운영하지 못하고 있는 실정이다. 국내용 보안솔루션만 만들면서 글로벌 기업을 지향한다고 목소리는 높이고 있다. 글로벌 시장에서 어떤 방식으로 자신들의 가치를 높일지는 감을 못 잡고 있다. 현재 국내는 몇 안되는 중소 보안기업 몇 개와 해커들이 모여서 만든 몇 개 기업이 해커팀을 꾸려가고 있다. 하지만 기업을 유지해야 하고 관리 업무에 치여 정작 중요한 연구활동 시간은 줄어들고 있는 현실에 부딪히고 있다. 격차가 벌어질 수밖에 없는 상황이다.
 
또한 중국 해커는 “중국에서는 어떤 사이트든 사전에 통보하지 않아도 보안체크 의도라면 해킹을 시도하더라도 불법이 아니다. 다만 500명 이상의 자료만 다운로드 하지 않으면 된다. 원격 컨트롤 프로그램을 설치해도 20명 이하는 불법이 아니다. 아주 민감한 것이라도 데이터 다운로드만 하지 않으면 불법이 아니다. 보안점검 목적으로 이루어진 해킹은 데이터를 가져 가지 않는 한 불법이 아니다”라고 말한다. 이런 중국 법이 옳다고는 볼 수 없지만 한국의 정보통신망법은 너무 팍팍하다. 어떤 것을 시도해도 불법에 해당되고 경찰에 연행될 수 있다. 좀더 실리적인 방향으로 국내 법의 변화도 필요할 듯 하다.
 
MOSEC 2016에서는 모바일 취약점 이외에도 다양한 주제 발표가 있었다. Michael Elizarov와 Sergey Kononenko는 근래 많은 이슈가 되고 있는 자동차 해킹에 대해 “Hacking cars: CAN protocols reverse engineering” 주제로 발표했다. 각 자동차는 ECU(Electronic Control Unit: 엔진, 자동변속기, ABS 등을 제어하는 전자제어 장치)와 센서간의 통신을 위한 CAN 네트워크를 가지고 있다. 이들은 CAN 네트워크를 리버스 엔지니어링하기 위한 오픈소스 프레임워크인 ‘CANToolz’를 개발했으며, 이를 통해 통신을 제어하는데 성공한 결과를 공유했다.
 
또 HackRF의 창시자로 알려진 마이클 오스만은 “Rapid Radio Reversing” 주제로, 무선 신호 리버스 엔지니어링 툴인 Software Defined Radio(SDR)와 non-SDR를 혼합한 효율적인 하이브리드적 접근에 대해 발표해 큰 관심을 끌었다.
 
MOSEC 컨퍼런스는 한국의 글로벌 해킹보안 컨퍼런스 POC와 중국 최고 해킹팀 중 하나인 Pangu(판구)팀이 공동주최하고 있다. 매년 7월 상하이에서 개최된다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<중국 상하이=데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★