국제 해킹보안 컨퍼런스 'POC2023', 11월 2~3일 개최…조기등록 접수중

윈도우, 리눅스 등 운영체제, iOS, 안드로이드 등 모바일, 브라우저 취약점 및 익스플로잇 개발 등 다양한 주제로 국내외 해커·보안연구가들 대거 참여 예정

올해 18회째를 맞는 국제 해킹보안 컨퍼런스 ‘POC2023’이 오는 11월 2~3일(목, 금), 서울 광화문에 위치한 포시즌스 호텔에서 개최된다. 9월 1일부터 조기 등록 진행 중이며, 10월 1일부터는 후기 등록이 시작된다.

주최사인 POC Security(피오씨시큐리티)는 매년 POC 컨퍼런스와 Zer0Con(제로콘)을 운영하며 국내외 연구자들과 최고 수준의 해킹 보안 기술 및 연구 내용을 공유, 우리나라 사이버 보안 역량을 높이기 위해 노력하고 있다.

올해 POC2023에서도 주목할 만한 연구 내용을 공유할 발표자들을 섭외하는데 집중하고 있다. 현재까지 선정한 발표 주제에는 윈도우, 리눅스 등 운영체제, iOS, 안드로이드 등 모바일, 브라우저 취약점 및 익스플로잇 개발, ARM, 블록체인 해킹, 오피스 등이 있고, 제출된 CFP와 운영진이 접촉 중인 발표자 중 추가 선정 작업을 진행 중이다.

발표만큼이나 후원에도 많은 관심이 이어지고 있다. 한국의 PK Security와 Theori(티오리), 독일 Blue Frost Security와 Binary Gecko, 미국 META, 스페인 SAFA Team, 이탈리아의 Dataflow Security, 이스라엘 SSD Labs 등이 후원사로 참여를 확정하였으며, 오펜시브 컨퍼런스 운영자를 비롯해 취약점 시장에 관심도가 높은 보안 회사 등도 현장에 참가해 참가자들과 네트워크를 형성할 예정이다.

◆POC2023 주요 강연 확정 내용

현재까지 선정 완료한 10개 발표 내용은 다음과 같고, 순서는 발표자의 이름 알파벳 순이다.

△ SentinelOne의 Antonio Cocomazzi와 개인 연구원인 Andrea Pierini는 "10 years of Windows Privilege Escalation with Potatoes"라는 제목으로 발표를 진행한다. 2014년 이후 DCOM 트리거를 활용한 Potato(포테이토) 익스플로잇이 많이 발견되었음에도 불구하고 마이크로소프트는 WSH(윈도우 서비스 강화)를 보안 경계가 아닌 안전 경계로 간주했다. 그 결과 여전히 많은 포테이토 익스플로잇이 업데이트된 윈도우 시스템에서 작동하고 있으며, 최근에는 특정 유형의 NTLM 리플렉션 공격을 통해 권한이 없는 사용자가 임의 파일 읽기/쓰기 및 권한 상승이 가능한 LocalPotato(CVE-2023-21746)도 발견되었다. 발표자들은 RoguePotato, RemotePotato0, JuicyPotatoNG, LocalPotato 등의 발견 과정, 취약점과 수정 사항 및 수정 사항의 우회에 대해 자세히 살펴볼 것이며, HTTP 프로토콜을 악용하는 새로운 변종 LocalPotato의 데모도 공개한다. 포테이토 익스플로잇에 대해 상세히 알아볼 수 있는 발표가 될 것으로 보인다.

△ 윈도우, 리눅스, IoT, 모바일 등 다양한 아키텍처에서 로우 레벨 보안 연구와 취약점 연구를 진행 중인 Ben Barnea(Akamai)가 “Windows Paths Unveiled: Journey Into Parsing Errors” 제목으로 윈도우 파일 경로에서 발생할 수 있는 취약점들을 살펴본다. 올해 3월 공개된 Microsoft Outlook 취약점 CVE-2023-23397의 근본 원인은 윈도우 파일 경로에 대한 검증 부족이었다. Ben은 이 세션에서 당연하게 여겨지는 윈도우 경로 구성과 구문 분석의 복잡성을 조명하고, 잘 알려지지 않은 몇 가지 함정과 특이한 점을 공개할 것이다. 또한 윈도우 API에서 발견한 두 가지 취약점도 소개할 예정이다.

△ Cloudflare의 시스템 엔지니어인 Ignat Korchagin의 "Linux user namespaces: a blessing and a curse"는 보안 커뮤니티, 리눅스 커널 커뮤니티 및 소프트웨어 엔지니어링 전반에서 다소 논란이 되고 있는 리눅스 사용자 네임스페이스에 대한 발표이다. 이 발표에서는 사용자 네임스페이스가 샌드박스에 적용된 보안 애플리케이션을 구축하는데 어떻게 도움이 될 수 있는지, 그리고 최근 발견된 리눅스 커널 버그가 시스템에서 사용자 네임스페이스를 사용할 수 있다는 이유만으로 어떻게 보안 취약점이 되었는지 살펴본다. 또한 Ignat은 사용자 네임스페이스를 활용해 보안을 강화하는 동시에 악의적 사용자나 코드에 대해 해당 기능을 차단하는 방법도 공유한다.

△ 구글 프로젝트 제로 연구원이자 MSRC 1위, Pwn2Own 및 Microsoft 버그바운티 수상 등 다양한 수식어를 가진 James Forshaw가 “Building More Windows RPC Tooling for Security Research”라는 주제로 다시 한번 POC를 찾는다. 최근 윈도우 보안 취약점의 주요 타깃 중 하나는 안전하지 않은 RPC 서비스였다. James는 분석 테스트와 퍼징에 사용할 수 있는, 윈도우의 임의의 로컬 RPC 서비스를 추출하고 호출하는 .NET 기반 툴을 만들었고 더 다양한 프로토콜과 기능 제공을 위해 개선해왔다. 해당 발표에서 그는 툴을 개선하고 발전시킨 과정, 발견한 몇 가지 문제와 흥미로운 공격 표면에 대해서 논의할 예정이다. 모든 새로운 도구는 컨퍼런스 전에 공개되므로 관심 있는 참가자들은 사용해볼 수 있을 것이다.

△ 구글 프로젝트 제로의 또다른 연구원 Mark Brand의 “MTE as Tested” 발표도 준비되어 있다. Mark는 연구자 관점에서 프리 프로덕션 MTE 하드웨어 연구 과정과 테스트 중에 직면한 기술적 장애, 최신 CPU 동작 테스트의 한계점 등을 공유한 후, 보안 목적으로 사용될 때 MTE의 몇 가지 한계에 대해 자세히 살펴볼 계획이다.

△ 애플 플랫폼에 초점을 맞춰 연구를 진행 중인 개인 연구원 Nikita Pupyshev는 "Evolution of Safari mitigations and bypasses in 2022"라는 주제로 발표를 준비한다. iOS 14와 15에는 사파리 브라우저에서 점진적으로 우회할 수 있는 새로운 완화 기능이 많이 추가되었다. 이 세션에서는 PAC, APRR 등을 우회하고 최종적으로 JIT 영역에서 사용자 지정 코드를 실행하는 데 사용할 수 있는 다양한 방법과 이러한 방법이 애플의 변화에 따라 어떻게 진화했는지에 대해 살펴본 후, 이러한 우회를 찾는 방법과 일반적인 구조에 대해서도 설명할 예정이다. 해당 연구가 iOS 및 사파리 브라우저 취약점 연구원들에게 좋은 자극이 될 것으로 기대한다.

△ 구글 프로젝트 제로 팀에서 Linux 커널 제로데이 연구에 집중하며 다양한 아키텍처, 운영 체제, 소프트웨어를 다루며 취약점을 찾고 익스플로잇 작성을 즐기는 Seth Jenkins 연구원이 “Exploiting null-derefs: Doing the impossible in the Linux kernel”를 발표한다. Seth는 해당 발표에서 권한 상승이 가능한 null-dereference 취약점 익스플로잇 기법을 공유할 예정이다. 최초 취약점 발견과 설명 없는 공개 보고, 익스플로잇 기술 발견까지 단계별 아이디어를 설명하고 권한 상승을 완료할 수 있는 프리미티브를 구축, 이 기법을 방지하기 위해 리눅스 커널에 도입된 후속 완화 조치에 대해 논의한 후 익스플로잇까지 시연할 예정이다.

△ Sangfor의 wh1tc, Zhiniang Peng 연구원은 “OLE object are still dangerous today — Exploiting Microsoft Office“에서 공격 표면으로 활용될 수 있는 OLE 객체에 대해 발표한다. 이전에도 좋은 주제로 POC 발표 경험이 있는 이들은 공격자가 MS 오피스에서 원격 코드 실행을 위해 쉽게 악용할 수 있는 두 가지 중요한 취약점을 포함해 10가지 이상의 새로운 취약점을 발견했으며, 이 강연에서는 이들 취약점 세부 사항과 악용 방법을 공유하고 효과적인 수정 및 보호 조치를 제안한다.

△ Alibaba Cloud Pandora Lab의 Yong Wang은 “Simple bug but not easy exploit: Rooting Android devices in one shot” 주제로 발표를 진행한다. 발표자는 저품질 버그를 익스플로잇하기 위해 KASLR 완화를 부분적으로 우회하는 아이디어를 설명하고 공격자가 제어하는 커널 객체의 주소를 예측하는 실용적인 방법을 소개할 예정이다. 임의의 물리적 메모리 읽기/쓰기 기능을 한 번에 얻는 방법, 디바이스의 맞춤형 완화 기능을 우회하여 루트 권한을 획득하는 방법도 자세히 설명한 후 영향받는 안드로이드 기기를 루팅하는 시연까지 이어질 예정이므로 많은 관련 연구자들에게 흥미를 줄 것으로 기대된다.

△ Aptos, Sui 등 Move 언어 기반 블록체인에서 발견된 심각한 취약점들에 대한발표, “Attack Move Verifiers: Our Experiences of Exploiting and Enhancing Move-based Blockchain”도 있다. 해당 발표는 CertiK의 Zhaofeng Chen이 진행한다. Move 기반 생태계는 온체인 바이트 코드 검증기와 잘못된 바이트코드로부터 보호하는 메모리 안전 가상머신 구현 덕분에 이전보다 안전한 것으로 간주되고 있다. 하지만 공격자는 변조된 작은 페이로드를 통해 type-safety 검사기를 우회하여 임의의 디지털 자산을 조작하거나 전체 네트워크가 새로운 트랜잭션을 처리할 수 없게 만들 수 있다. 발표자는 시스템에 치명적인 영향을 미칠 수 있는 로컬 블록체인 테스트넷의 세가지 취약점과 그 원인, 영향 등을 공유할 예정이므로, 참가자들의 블록체인 세계에서 발생할 수 있는 취약점에 대한 시야가 넓어질 것으로 기대된다.

운영진에 따르면 다음달까지 10개 내외의 주제가 추가로 선발될 예정이므로 어떤 좋은 연구원과 발표가 추가될지 기다려진다.

◆POC2023 트레이닝코스와 다양한 이벤트

발표 외에 2개 트레이닝코스도 진행된다.

Dinesh와 Prateek의 “Mobile Security Masterclass: Platform Internals and InSecurity”, Dawid Czagan의 “Black Belt Pentesting / Bug Hunting Millionaire: Mastering Web Attacks with Full-Stack Exploitation (100% Hands-On, Extended Edition)” 강의가 4일 과정으로 준비되어 있다.

참가자들의 활발한 네트워킹을 위해 다채로운 이벤트도 준비할 예정이다. 올해는 국제 해킹대회인 벨루미나와 국내 대표 여성해킹대회인 ‘Power of XX’는 운영하지 않지만, 국내 보안 업체 또는 커뮤니티가 소규모 이벤트를 운영하므로 참가자들이 발표 외에도 이벤트에 참여하며 컨퍼런스를 즐길 수 있다.

추가로 공개될 발표 내용이나 상세 이벤트 내용은 홈페이지를 통해 지속적으로 업데이트될 예정이다.