2019-12-06 04:45 (금)
제로콘, 세계적인 버그헌터들 대거 참석…버그헌팅 기법 공유
상태바
제로콘, 세계적인 버그헌터들 대거 참석…버그헌팅 기법 공유
  • 길민권 기자
  • 승인 2017.04.13 17:29
이 기사를 공유합니다

제로콘 운영자 “국내 오펜시브 연구자들에게 동기부여 및 관련 산업 성장 기대”

▲ 제로콘에서 국내 네트워크 장비를 포함해 다양한 취약점들을 찾아낸 Pierre Barre Kim이 발표를 진행하고 있다.
▲ 제로콘에서 국내 네트워크 장비를 포함해 다양한 취약점들을 찾아낸 Pierre Barre Kim이 발표를 진행하고 있다.
국내 및 글로벌에서도 처음으로 개최되는 버그헌터 및 익스플로잇 개발자 대상 전문 컨퍼런스가 개최됐다.

POC Security는 4월 13일부터 14일까지 더케이호텔 크리스탈볼룸에서 비공개 국제 해킹 컨퍼런스 ‘Zer0Con’(제로콘)을 개최했다. 이 자리에는 국내외 버그헌터 전문가 140여명이 참가했으며 발표자들도 국제적으로 최고의 퀄리티와 인지도를 가진 해커들이 대거 참여했다.

현장에서 만난 운영자는 “제로콘은 취약점 찾기 및 공격방법을 공유하기 위한 전문 컨퍼런스로 버그헌터와 익스플로잇 개발자들이 참석했다. 국내 해커들도 많이 참석했지만 해외 20개국의 전문 버그헌터들도 참석했다. 폴란드, 루마니아, 인도, 이스라엘, 중국, 베트남 등 참관객 국가도 다양하다”며 “올해부터 제로데이 취약점 관련 컨퍼런스를 기획해 향후 매년 4월 둘째주 개최할 계획이다”라고 밝혔다.

또한 “이런 버그헌터 전문 컨퍼런스는 전세계적으로 처음 개최되는 것이다. 제로콘을 통해 국내 버그헌터들과 익스플로잇 개발자들이 기술적으로 더욱 성장해 관련 산업이 성장하고 해외 진출하는데 도움이 되길 바란다”며 “해외 버그헌터들이 어떤 방식으로 취약점을 찾고 있는지를 직접 보면서 국내 오펜시브 연구자들에게 동기부여도 되고 몰랐던 방법들을 알게 되면서 더 좋은 연구결과물들이 나오길 바란다”고 전했다.

zz.jpg
특히 이번 제로콘 발표의 특징은 단순히 어떤 취약점을 찾았는지만 보여주는 것이 아니라 취약점을 찾는 과정을 상세히 설명하고 자신들만의 노하우를 그대로 공유하는데 있다고 할 수 있다.

한 참석자는 “제로콘 등록비가 1000달러 정도로 비싼 컨퍼런스지만 등록비가 하나도 아깝지 않다. 세계적인 해커들이 취약점을 어떻게 찾는지 상세히 알 수 있는 시간이었고 같은 취약점을 찾는데도 나와는 다른 방식으로 찾아내는 과정을 알게 돼 너무 관심있게 듣고 있다. 발표자와 발표내용 퀄리티가 상당히 높다”고 참석소감을 밝혔다.

한편 제로콘 운영자는 “국내에도 오펜시브 연구결과물들이 많이 생산되고 이를 수요할 수 있는 시장이 열리길 바란다. 현재 국내 시장이 너무 작다보니 국내 해커들도 어렵게 찾은 주요한 보안취약점이나 익스플로잇 코드를 해외 버그바운티 전문기업 등에 판매하고 있다”며 “이는 국가적 손실이다. 국내 해커들이 찾은 크리티컬한 취약점이 해외에 판매되면서 결국 손해는 한국이 보고 있다. 실제 사이버전이 발생하면 이런 제로데이 취약점들을 얼마나 많이 가지고 있느냐가 승패를 좌우하게 된다. 특수한 환경에 놓여 있는 한국은 이런 취약점 연구를 장려하고 그 결과물을 제대로된 비용으로 수급할 수 있는 구조를 만드는 것이 시급하다”고 강조했다.

이번 Zer0Con에서 발표되는 내용은 iOS, 윈도우 커널, 안티바이러스 제품들, Apple macOS Sierra, IE, Edge, Chrome 등 주요 브라우저, PS4, Intel SGX, 라우터 등 네트워크 장비, 그리고 안드로이드 디바이스 취약점 등이다.

발표자들은 각 분야에서 세계 최고의 해커들이자 연구자들로 구성됐다. △미국 조지아 공대 김태수 교수 △구글 프로젝트 제로(Project Zero) 소속 이정훈과 △Ian Beer, PPP팀의 리더이자 Theori의 설립자 Brian Pak도 발표자로 나서고 있다.

또 △2016년 주목할만한 주요 취약점들을 ZDI에 신고했던 CloverSec Labs팀의 bee13oy, △iOS 해킹의 최고 팀들의 하나인 Pangu, △윈도우 커널 취약점 연구에 탁월한 Nikita Tarakanov, △국내 네트워크 장비를 포함해 다양한 취약점들을 찾아낸 Pierre Barre Kim, △중국의 세계적인 해킹팀 blue-lotus와 0ops팀 멤버들이 설립한 회사 Chaitin Tech 소속 Slipper도 발표자로 참가한다. Chaitin Tech는 지난 주 CanSecWest에서 열린 Pwn2Own 2017에서도 최종 3위를 차지했다. 또 △Google Android 보안팀의 Dan Austin도 발표자로 참여했으며, 영국에서 공부하고 있는 고등학생 James Lee는 이번 제로콘에서 MSEdge/IE 브라우저에서 발견한 다양한 design bugs를 exploit하는 방법과 Windows path design bug와 logical LPE 버그를 combine해 Kernel을 pwn하는 방법에 대해 데모하고 설명하는 시간을 가졌다.

한편 현장에서 만난 구글 프로젝트제로팀 이정훈(Lokihardt) 연구원은 자신이 폰투오운이나 폰페스트 등 국제 버그바운티 대회에서 사용했던 브라우저 풀체인 익스플로잇과 구글 프로젝트제로팀에서 찾은 취약점 등을 14일 공개할 예정이다.

★정보보안 대표 미디어 데일리시큐!★