2020-01-24 08:00 (금)
[POC2016] 세계 최고 수준 해커들, 해킹-보안 기술 정점 선 보일 예정...17개 주제발표 내용 공개
상태바
[POC2016] 세계 최고 수준 해커들, 해킹-보안 기술 정점 선 보일 예정...17개 주제발표 내용 공개
  • 길민권 기자
  • 승인 2016.10.17 19:36
이 기사를 공유합니다

11월 10~11일 양재동 더케이호텔서울서 개최…최신 제로데이 발표 및 해킹기술 시연 등

올해 11회를 맞이하는 국제 해킹 보안 컨퍼런스 POC가 오는 11월 10~11일 서울 양재동 더케이호텔서울에서 열린다. POC2016에서는 국내외 유명 해커들의 최신 해킹기술 시연과 더불어 제로데이(0-day) 취약점 공개, 각종 흥미로운 이벤트들이 진행된다. 그리고 한국, 미국, 중국, 러시아, 인도, 체코, 네덜란드, 독일 등으로부터 발표자, 트레이너, 스탭, 일반 참가자들이 POC에 참가할 예정이다.

다음은 POC2016에서 발표될 주제들의 간략한 내용이다. 총 17개의 주제가 발표되며, 홈페이지에 스케줄표가 공개되어 있다.

◇Ben Gras, “Flip Feng Shui: 
Hammering a Needle in the Software Stack"

하드웨어 레벨에서의 공격 벡터 설명, 실제 클라우드 세팅에서 악성 VM을 통해 다른 VM의 OpenSSH에 인증되지 않은 접속을 할 수 있음을 보일 예정이다.

◇Brian Pak(Cai), 
“Effective Patch Analysis for Microsoft Updates”

마이크로소프트의 보안패치를 이용해 빠른 1-day 익스플로잇 개발이 가능함을 보임으로써 보안 위험성을 인식시키고 이에 대해 효과적인 패치 관리가 가능한 시스템에 대해 소개한다.

◇Chen Yan, Wenyuan Xu, and Jianhao Liu, 
“Can You Trust Autonomous Vehicles: 
Contactless Attacks against Sensors of Self-Driving Vehicles”

자동 주행 자동차에 사용되고 있는 Ultrasonic 센서와 MMW 레이더 등에 대한 스푸핑 및 재밍 공격 시연, 특히 테슬라 S모델에 대한 실제 공격 데모를 선보일 예정이며, 국내 자동차에 대해서도 테스트를 진행 중으로, 국내 자동차에 대한 공격이 가능할 경우 이에 대한 발표도 예정

◇Gleb Gritsai, “The Great Train Cyber Robbery”
실제 철도 자동화 관리 시스템의 관리자 권한을 획득하는 시연과 함께 각종 스카다(SCADA) 시스템의 취약점에 대한 분석

◇Keen Lab, “Hacking Phones from 2013 to 2016”
샌드박스를 탈출하기 위한 브라우저 렌더러(browser renderer) 공격에서부터 권한 상승에 사용될 수 있는 커널 취약점 등으로 구성되는 새로운 취약점에 대한 익스플로잇 체인 설명, 이에 대한 제로데이 발표 및 데모시연.

◇Kevin Borgolte, “Cyber Grand Shellphish: 
Shellphish and the DARPA Cyber Grand Challenge”

CGC에 대한 소개 및 Shellphish가 대회에서 사용한 Mechanical Phish 툴에 대한 설명 및 사용법 소개한다.

◇Maxim Goncharov, "badWPAD"
다양한 환경에 존재하는 WPAD 프로토콜 속 위협 설명, 기존에 공개되지 않은 시연 예정

◇MJ0011 & Yuki Chen, “Escape Plans: 
A Year's Journey with Microsoft Edge Sandbox”

윈도우(Windows)10 RS1에서 추가된 주요 샌드박스 보호기법 분석, OS 커널 API 및 샌드박스/시스템 RPC호출에서 발생할 수 있는 공격 벡터와 각 벡터에서 발견된 실제 취약점 시연 및 퍼징툴 소개

◇Shinjo Park, “White Rabbit in Mobile: 
Effect of Unsecured Clock Source in Smartphone OS and Apps"

스마트폰의 clock 관리 및 이 부분에서 발생할 수 있는 보안 문제 설명, clock스푸핑/원격 서비스 거부공격 등에 대한 분석이 포함됨

◇Pangu, 
“Analysis of iOS 9.3.3 Jailbreak & Security Enhancements of iOS 10”

Pangu9에서 사용된 iOS 9.3.3 취약점 최초 완전 공개 및 익스플로잇 과정 설명, iOS 10 및 아이폰(iPhone)7에서 이루어진 보안 강화 설명

◇Paulo Shakarian, “Scaling to the Adversary: 
Machine Learning Driven Mining of Threat Intel from the Darkweb”

머신러닝과 데이터 마이닝을 통해 Tor 네트워크에 존재하는 다크웹에서 데이터를 수집, 분석하는 방법 설명 및 프레임워크 소개, 이를 통한 해킹 커뮤니티 분석 설명

◇Petr Švenda, 
“The Million-Key Question – How RSA Public Key Leaks Its Origin”

다양한 라이브러리를 통해 6천만개의 RSA 공개키를 만들어내어 분석해본 결과 13가지 종류로 분류해 공격대상의 익명성을 줄일 수 있음을 보임, 미공개 내용 추가 발표 예정

◇Wanqiao Zhang, Lin Huang, 
“Forcing LTE Cellphone into Unsafe Network”

트래킹 영역 업데이트 절차에서의 취약점을 익스플로잇해, 가짜 네트워크에 연결시키는 등의 LTE네트워크에 대한 공격과정 설명 및 데모, 데프콘 등 이전 발표 이후 연구 결과 추가됨

◇Wei Xiao, Qinghao Tang, 
“qemu+kvm & xen pwn: virtual machine escape from 'Dark Portal'”
QEMU+KVM, Xen 환경에서 발생할 수 있는 가상머신 탈출 공격에 대해 알아보고 Marvel팀이 찾아낸 CVE-2016-3710에 대한 설명 및 시연

◇Xpl017Elz, 
“New Reliable Android Application Exploitation Techniques”

이전의 PXN 우회 기술보다 쉬운, 취약점 타입에 따라 ROP/JOP기술의 활용없이 공격 가능하고 리눅스 커널기반의 플랫폼 관계없이 모든 장치에서 악용 가능한 새로운 공격 기술 소개 및 제로데이 시연

◇Yannay Livneh, “Exploiting PHP-7: teaching a new dog old tricks”
PHP7의 새로운 내부 메모리에 대해 알아보고, 여기서 발생하는 취약점들 소개 및 예전 기법에 대한 재사용이 가능함을 보임

이외에도 SSLab의 발표가 있을 예정이며 더 자세한 발표내용 소개는 홈페이지를 참조하면 된다.

또한 국내외 해커들의 관심이 집중될 수 있는 다양한 이벤트도 진행된다.

◇Belluminar(벨루미나) POC
POC2015에서 처음 시도된 벨루미나가 올해도 개최된다. 6월 중국 베이징에서 열렸던 벨루미나 베이징과 달리 벨루미나 POC는 국내팀만 참여할 수 있고, 1~2위 팀에게는 다음 벨루미나 베이징 진출권이 주어진다. 현재 고려대 사이버국방학과의 CyKor, DCUA, KAIST 해킹보안동아리 GoN, HackCat, LeaveRet, Teamdod 총 6개 참가팀이 확정되었다. 보다 자세한 내용은 홈페이지(http://belluminar.org)를 참고하면 된다.

◇Pwnfest 2016: 18억 상금걸고 열리는 제로데이 취약점 버그바운티
POC2016에서는 세계 최대 규모의 제로데이 취약점 버그바운티 이벤트 ‘Pwnfest 2016’을 개최한다. 대회 총 상금은 170만달러(한화 약 18억) 규모이며, 각 타깃에 대한 기본 상금은 해외 기존 유사 대회의 약 2배에 달한다. 또한 타깃 공략 후 시스템/루트/커널 권한을 획득한 참가자는 추가 상금을 받게 된다. 대회 등록 기간은 한국 시각으로 오는 11월 5일 24:00까지이며, 자세한 내용은 홈페이지(http://pwnfest.org)를 참조하면 된다.

◇Power of XX (여성해킹대회)
Power of XX는 숙명여자대학교 정보보호동아리 SISS와 해커스쿨이 2011년부터 주최해온 여성해킹대회이다. 지난 10월 9일 열린 예선을 통해 8개의 본선 진출팀(1위 충남대 Argos, 2위 순천향대 SecurityFirst, 3위 경기대 Kknock, 4위 가톨릭대 CatKey, 5위 카이스트 0xe7954fd0, 6위 부경대 L4DY_BUG, 7위 UNIST HeXXA, 8위 블랙펄시큐리티 BPSEC)이 결정되었다. 대회 본선은 11월 10일에 개최되며, 장소는 The-K 호텔 3층 대금홀이다.

POC2016 사전등록은 10월 31일까지며, 현장등록은 인원에 따라 제한적으로 가능하다. 기타 문의는 pocadm@gmail.com로 하면 된다.

★POC2016 컨퍼런스 등록★
-등록 관련 페이지: www.powerofcommunity.net/register.htm
-조기등록: 9월 1일~10월 4일
-후기등록: 10월 5~31일
-현장등록: 11월 10~11일
-기타 문의: pocadm@gmail.com

★정보보안 & IT 대표 미디어 데일리시큐!★