2024-03-19 13:45 (화)
[POC2016 종합] 해킹보안 글로벌 트렌드부터 세계 최대 버그바운티 대회까지
상태바
[POC2016 종합] 해킹보안 글로벌 트렌드부터 세계 최대 버그바운티 대회까지
  • 길민권 기자
  • 승인 2016.11.13 23:44
이 기사를 공유합니다

세계적인 해커들의 기술 트렌드를 한국에서 직접 들을 수 있는 기회 제공해

지난 11월 10일부터 11일 양일간 POC2016 국제 해킹보안 컨퍼런스가 500여 명의 국내외 해킹 보안 전문가들이 참석한 가운데 성황리에 막을 내렸다. 총 17개의 최신 해킹 기법 시연 및 최신 글로벌 트렌드의 해킹 보안 동향 등에 대한 발표가 진행됐다.

발표내용들은 글로벌에서 이슈가 되고 있는 인공지능 보안시스템 CGC를 비롯해 자동차 해킹, RSA 공개키, 보안패치 분석 공격, 가상머신 공격, iOS, Android 해킹, 리눅스 커널 공격, 샌드박스 우회 공격 등 다양한 주제 발표들이 국내외 주요 해커들에 의해 발표됐다.

특히 POC 컨퍼런스는 해외에서 발표된 주요 해킹 보안 컨퍼런스의 핵심내용들을 보다 업그레이드된 버전으로 한국에서 들을 수 있는 기회를 한국 전문가들에게 제공해 주고 있다는 평가를 받고 있다.

트레이닝 코스도 열렸다. 세계적으로 유명한 iOS 해킹 전문 그룹 Pangu Team(판구팀)이 ‘Pangu9 Kernel Exploits Development’를 주제로 교육을 진행했고 Michael Ossmann(마이클 오스만)이 ‘Software Defined Radio’를 주제로 교육을 진행했다. 그도 이 분야 세계 최고의 전문가로 손꼽히고 있다. Ashfaq Ansari는 ‘Windows Kernel Exploitation’을 주제로 교육을 진행했다. 모두 등록시작 후 바로 등록마감을 해야 할 정도로 관심이 뜨거웠다.

POC 2016 이벤트들도 컨퍼런스 만큼이나 큰 관심을 끌었다. 우선 신개념 해킹대회인 벨루미나 (BELLUMINAR) 2016은 6개 한국팀이 출전했으며 고려대학교 사이버국방학과 CyKor팀이 1090점을 획득해 1위로 내년 중국 베이징에서 개최되는 벨루미나 대회에 자동 출전권을 획득했다. 2위는 GoN팀으로 805점을 획득해 마찬가지로 내년 중국 베이징 벨루미나 자동 출전권을 획득했다. 참가팀들이 각각 2문제씩을 출제해 서로 상대팀들이 출제한 문제를 푸는 형식으로 진행된다. 대회 종료후 서로 문제를 설명하는 시간도 갖게 된다. 순위는 문제를 푼 점수와 세미나 점수 그리고 기타 사항 등을 종합해 순위를 결정한다.

특히 이번 POC 2016에서 가장 관심을 끈 이벤트는 단연 ‘PWNFEST’(폰페스트)였다. 캐나다서 열리는 캔섹웨스트(CanSecWest) 폰투오운(Pwn2Own) 보다 상금이 2배 이상 많은 총 18억원으로 세계 최대 규모의 대회로 치러졌기 때문이다. 전세계 해킹대회와 버그바운티 대회를 통틀어 가장 많은 상금 규모를 자랑하는 대회였다.

타깃은 △Microsoft Edge △VMware Workstation △Adobe Flash △Apple Safari △Google Pixel 등이었다.

중국 360Vulcan, 360Alpha, 360Marvel팀이 Microsoft Edge, VMware Workstation, Adobe Flash, Google Pixel 해킹공격을 통한 시스템 장악까지 성공해 총 53만 달러(한화 약 6억1천850만원)를 상금으로 획득했다. 종합 우승을 차지한 360팀에는 4천달러에 달하는 순금 기념매달도 증정됐다.

또 한국의 세계적인 해커 이정훈(Lokihardt)은 단독 출전해 Microsoft Edge, VMware Workstation을 타깃으로 해킹과 시스템 장악에 성공해 29만 달러(한화 약 3억3천840만원)의 상금을 획득했다. (또 중국 판구팀과 공동으로 참여한 애플 사파리 해킹에 50%의 지분을 갖고 있어 비공식적으로는 5만 달러(한화 약 5천830만원)를 추가적으로 획득한 것으로 볼 수 있다.)

판구팀은 이정훈과 함께 Apple Safari 해킹에 성공해 10만 달러(한화 약 1억1천670만원)를 획득했다.

더불어 POC에서 개최되는 여성해킹대회 ‘Power of XX’는 숙명여자대학교 정보보호동아리 SISS와 해커스쿨이 2011년부터 주최해온 대회다. 지난 10월 9일 열린 예선을 통해 8개의 본선 진출팀이 이번 본선에 올라와 경합을 펼쳤다.

본선에 올라온 팀은 충남대 Argos, 순천향대 SecurityFirst, 경기대 Kknock, 가톨릭대 CatKey, 카이스트 0xe7954fd0, 부경대 L4DY_BUG, UNIST HeXXA, 블랙펄시큐리티 BPSEC 등이 참가했다.

본선 최종결과는 충남대 Argos팀이 850점을 획득해 1위를 차지했고 2위는 가톨릭대 Cat Key팀, 3위는 경기대 Kknock팀이 차지했다. 이들 팀에는 소정의 상금이 수여됐다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★