제 12회 국제 해킹 보안 컨퍼런스 POC가 지난 11월 9~10일 양일간, 서울 양재동 더케이호텔서울 거문고홀에서 500여 명의 국내외 해킹 보안 전문가들이 참석한 가운데 성황리에 개최됐다. 해외 참가자만해도 30여 개국에 달할 정도로 매년 해외 참가자들의 참석이 늘고 있어 글로벌 컨퍼런스의 면모를 보여주고 있다.

특히 POC2017의 가장 큰 강점은 국내 어디에서도 들을 수 없는 최신 글로벌 이슈가 될 수 있는 해킹 보안 이슈를 한국에서 들을 수 있다는 점이다. 또 해외 유명 해커들과 네트워킹 자리도 국내 전문가들에게는 소중한 자리가 아닐 수 없다.

한편 발표 외에도 국내 유명 해킹보안 커뮤니티 멤버들이 참가해 날로 명성이 높아지고 있는 벨루미나(Belluminar POC) 대회와 유명 대만 여성해커팀과 한국 여성 해커들이 실력을 겨루는 여성해킹대회(Power of XX), 초등학생과 중학생 대상의 키즈 해킹대회 KIDs CTF, 또 최근 해커들이 만든 기업으로 기술력을 인정받고 있는 티오리(Theori. 대표 박세준)가 운영하는 스피드 핵(Speed Hack) 등 다채로운 이벤트들도 진행돼 참관객들의 흥미를 더했다.

◇POC2017 주요 발표내용

익스플로잇 개발 분야에서는 세계적으로 유명한 CTF팀인 PPP팀 멤버이자 보안 회사 티오리(Theori)의 연구원인 앤드류 웨시(Andrew Wesie)가 "1-Day Browser and Kernel Exploitation"이라는 타이틀로 발표했다. 그는 마이크로소프트의 취약점 패치 분석을 통해 빠르게 1-day 익스플로잇을 개발하는 방법에 대해 발표해 큰 호응을 얻었다. 이번 발표는 같은 팀 멤버이자 회사 대표인 박세준 대표가 Zer0Con(제로콘)2017에서 같은 주제로 발표한 이후 공개된 엣지(Edge), 파이어폭스(Firefox) 브라우저 및 윈도우 커널 취약점을 대상으로 익스플로잇 개발 노하우를 공개했다.

Zer0Con2017의 발표자였던 제임스 리(James Lee)는 "Playing with IE11 ActiveX 0days"라는 타이틀로 IE11 액티브X에서 발견된 제로데이들을 가지고 다양한 내용을 발표했다. 그는 단순히 IE11만의 제로데이가 아닌 UMCIDG 우회공격 등에 대해서도 정보를 공유했다.

또 중국 NSfocus에서 방어기법 우회 연구를 담당하고 있는 윤하이 장(Yunhai Zhang)이 오래된 기술인 LoadLibrary를 통해 현재 윈도우10에 활성화된 모든 방어기법들을 모두 우회할 수 있음을 "Make LoadLibrary Great Again"라는 발표에서 설명했다.

한편 최근 많은 주목을 받고 있는 대만 CTF팀 HITCON의 멤버이자 Team T5의 연구원인 Jeff Chao는 "From Zer0 to Persistence: A Complete Exploit Chain against Samsung Galaxy Series"라는 타이틀로 다양한 취약점들을 조합해 삼성 갤럭시 S6의 완전한 루트 권한을 원격에서 획득하는 공격에 대해서 설명했다. 단순히 하나의 버그에 대한 익스플로잇이 아닌 다양한 취약점들을 활용해 최종 목표인 루트를 획득하는 과정을 보여준 것이다.

취약점을 찾는 기술에 대한 발표들도 인기를 끌었다.

Zer0Con2017의 발표자였던 구글 연구원인 단 오스틴(Dan Austin)은 AOSP(안드로이드 오픈소스 프로젝트)에 포함된 툴들을 이용한 안드로이드 퍼징에 대해 설명했다. 그의 발표에서 참가자들은 AOSP에서 제공되는 환경을 통해 더 효율적인 퍼저를 제작하고 취약점들을 관리하는 노하우를 공개했다.

중국 치후(Qihoo) 360 Vulpecker팀은 삼성, 퀀텀, MediaTek, NVIDIA 등 벤더들의 안드로이드 드라이버를 연구하고 퍼징을 통해 다수의 취약점과 공격 지점을 찾아낸 경험을 통해 발전된 퍼징 기술과 소스 오디팅 기술을 설명했다. 또한 그들이 만들어낸 퍼징 툴을 소개하고 툴을 통해 찾아낸 취약점들을 분석하는 과정을 공개했다.

이외에도 한국 해커 신정훈은 “Javascript Fuzzing”이란 주제로 브라우저의 자바스크립트 엔진 퍼징을 통해 취약점을 찾고, 익스플로잇하는 과정을 설명해 큰 관심을 끌었다.

가상화시스템 해킹 분야에서는 텐센트 Qinghao Tang이 "An awesome toolkit for testing the virtualization system"라는 타이틀로 발표를 진행했다. 그는 POC시큐리티가 주최한 PwnFest2016에서 Marvel팀으로 참가해 VMWare Workstation 공격에 성공해 15만달러의 상금을 받은 바 있다. 이번 발표에서는 Qemu, Xen, Docker, VMware등 가상화 시스템에 대한 취약점 연구 결과와 그가 제작한 툴킷을 소개했다. 툴킷을 이용하면 가상화 시스템 취약점 공격, 사이드 채널 공격 등을 손쉽게 진행할 수 있다고 전했다.

네트워크 장비 취약점 분야에서는 러시아 Embedi의 연구원인 George Nosenko가 "How to cook Cisco. The exploit development for Cisco IOS"라는 발표에서 GeekPwn2017에서 사용했던 제로데이를 이용해 시스코 IOS에서 임의코드 실행이 가능한 취약점에 대해서 설명했다.

어플리케이션 취약점 발표로는 미국 보안업체 세이프시큐리티(Shape Security)의 보안 연구원 Iya Nesterov와 페이스북 연구원인 Maxim Goncharov의 “We Can Wipe Your Email!”이 있었다. 해당 발표에서는 사용자의 민감한 정보가 유출될 수 있는 메일 클라이언트 측의 주요 취약점을 공개하고 아이폰을 통해 시연을 진행했다.

또한 중국 텐센트(Tencent) 연구원인 HuiYu Wu는 "Hybrid App Security:Attack and defense"라는 발표를 통해 하이브리드 어플리케이션에서 발생하는 취약점을 설명했다. 그는 하이브리드 앱에서 발생할 수 있는 취약점들과 방어기법을 우회해 원격코드실행, 정보 유출 등을 야기하는 시연을 선보였다.

악성코드 분야에서는 Synack의 Patrick Wardle이 "FruitFly & Friends"라는 타이틀로 2017년 Mac 악성코드들에 대해서 설명했다. 2017년 첫 맥 악성코드인 FruitFly에 대한 정밀 분석을 시작으로 Xagent, Proton 등 2017년 등장한 맥 악성코드들에 대해 설명했다.

사이드 채널 공격에 대해서는 POC2017에서 Flip Feng Shui를 발표했던 Ben Gras가 "MMU Magic in JavaScript: Breaking ASLR from a Sandbox"라는 타이틀로 사이드채널을 이용해 메모리 관리 유닛(MMU)를 공격해 64비트 ASLR을 우회하는 공격을 설명했다.

또한 미국 보안업체 IOActive의 연구원인 Lucas Apa와 Cesar Cerrudo가 “Hacking Robots Before Skynet”라는 타이틀로 발표했다. 이들이 발견한 유명 벤더의 가정, 사업, 산업 분야 로봇이 가진 많은 심각한 취약점에 대한 내용과 그에 대한 시연이 있었다.

0Kee Team 멤버들은 가정용 네트워크 장비를 이용해 초당 2TB 규모의 Reflection DDoS 공격을 실행할 수 있는 기술을 “Deluge – How to generate 2TB/s reflection DDoS data flow via a family network”라는 타이틀로 공개했다. 가정에서 사용되는 작은 네트워크 장비가 대규모 공격에 활용될 수 있음을 공개하고 경각심을 불러일으켰다.

러시아 포지티브 테크놀로지스(Positive Technologies) Tim Yunusov와 Yar Babin은 "7 sins of ATM protection against logical1 attacks"라는 타이틀로 ATM 기기의 방어기법을 우회하는 기술들에 대해서 설명했다. 한국에서도 문제가 되고 있는 ATM 기기에 대한 위협의 실체를 확인할 수 있는 시간이었다.

이외에도 오리건 주립대학 장영진 교수는 "Tampering with Encrypted Memory Blocks of Trusted Execution Environment"라는 타이틀로 발표했고, 텐센트 킨랩 연구원 리앙첸은 현장에서 애플 iOS 11.1.1 최진 버전에서 탈옥(jailbreak)에 성공하는 시연을 보여 참관객들을 놀라게 했다.

◇최고 퀄리티의 트레이닝 코스도 열려

또한 4개의 트레이닝 코스도 열렸다. 지난해와 달리 모든 코스는 3일 과정으로 진행됐다. 리처드 존슨(Richard Johnson)이 “Vulnerability Discovery and Triage Automation Training” 코스를 진행했고 Pangu팀은 “Advanced 64-bit iOS Kernel Exploitation”으로 트레이닝 코스를 진행했다. 또 IoT 해킹에 대한 트레이닝 코스인 Aditya Gupta “Offensive IoT Exploitation”과 윈도우 운영체제의 커널 익스플로잇에 대한 트레이닝 코스인 Ashfaq Ansari "Windows Kernel Exploitation”도 진행됐다.

◇POC2017의 다양한 이벤트

POC 대표 해킹대회인 벨루미나(Belluminar) POC는 여타의 CTF 대회와는 달리 참가팀이 2문제씩을 내고 서로 문제를 풀고 자신들이 출제한 문제에 대해 공개 세미나 시간을 거쳐 최종 점수가 확정된다. 이 점수로 우승팀이 결정되는 것이다. 참가팀들은 문제를 출제하면서 많은 공부를 할 수 있고 일반 CTF 대회보다 보다 다양하고 퀄리티 있는 문제를 접해볼 수 있다는 장점이 있다. 이번 대회는 4회째로 고려대학교 CyKor, 카이스트 GoN, LeaveCAT, Koreangang, 재기야결혼축하해?, GYG, It’s Jaws 등 총 7개팀이 참가했다. 이번 대회 우승은 ‘LeaveCAT’팀이 차지했다.

POC시큐리티 정진욱 연구원은 “벨루미나 대회 운영은 POC와 데몬팀이 함께 준비했다. 데몬팀에 감사를 전한다. 벨루미나는 문제를 푸는 능력과 함께 문제를 출제하는 능력을 같이 평가하는 대회로 유일하다. 참가팀은 각 2문제를 사전에 운영진에 전달한다. 1문제는 리눅스, 또 한 문제는 자유문제로 출제 가이드를 정했다. 자유문제에는 윈도우 커널, OSX커널, 리눅스 커널 공격 문제들이 많이 출제 됐다”며 “벨루미나는 경쟁보다는 실수를 두려워하지 않고 도전해보자는 목적이 크다. 또 여타의 CTF 대회는 문제출제를 한 곳에서만 하기 때문에 편향될 수 있지만 벨루미나는 정말 다양하고 퀄리티있는 문제들을 접할 수 있다는 것이 특징이다. 문제를 출제하면서 많은 공부를 하게 된다. 상금은 없지만 해커들끼리 문제를 내고 도전하고 즐기는 진정으로 해커스러운 대회로 자리잡고 있다”고 말했다.

한편 2011년부터 개최하고 있는 여성해킹대회(Power of XX)는 최근 DEFCON 등 세계 주요 해킹대회에서 좋은 성적을 거둬 주목받고 있는 대만 HITCON팀이 초청되었다. 예선을 통해 총 8개팀이 본선에 진출했다. HITCON Girls까지 총 9개팀이 본선에서 실력을 겨룬 것이다. 이 대회는 숙명여자대학교 정보보안 동아리 SISS에서 운영했다. 이번 대회 우승은 순천향대학교 여성해킹팀으로 구성된 ‘시큐리티퍼스트’팀이 차지했다. 또 온라인으로 진행된 KIDS CTF는 초등학생, 중학생이 참가 대상이었다. 이번 대회 우승은 상계중학교 이든솔 학생이 차지했다.

티오리(Theori)에서도 ‘Speed Hack’이라는 흥미로운 이벤트를 진행했다. 참가자는 분야별 총 3개 문제(웹 해킹, ARM 시스템 해킹, x86-64 시스템 해킹)를 25분의 제한된 시간 내에 풀어야 하고, 참가 기회는 1번뿐이다. 문제별 최단 클리어 시간과 클리어 갯수 별 최단 기록을 체크해 최고 기록자들에게 소정의 상품을 지급했다. 총 30여 명이 참가해 자신의 해킹실력을 테스트해 보는 시간을 가졌다. 티오리 측은 이번 문제를 티오리 홈페이지에 공개하고 있다.

또 BoB 6기 GoHOST팀이 POC2017 현장에서 운영한 이벤트는 스마트폰이나 노트북과 같은 와이파이를 사용하는 디바이스에서 주기적으로 송수신 되는 패킷을 모니터모드에서 캡쳐해서 저장하는 방식으로 진행됐다. 여기에 사용된 프로그램은 GoHOST팀이 개발한 ‘와이어리스 풋프린트(WIRELESS FOOTPRINT)’다. GoHOST팀 멤버는 이 프로그램을 통해 근태관리나 유니크한 맥주소로 집회 참가자 수, 알리바이 증명 등에 활용할 수 있다고 설명했다. 디바이스에서 나오는 고유 맥어드레스를 모니터 모드로 수집하면 다양한 통계 및 기업 근태관리 등으로 사용할 수 있다는 것이다.

POC2017은 10일 6시 종료 이후 진짜 POC 시간을 가진다. 운영진, 스탭, 발표자, 참관객들이 모두 모여 식사를 하고 술자리를 가지며 진정한 POC만의 시간도 가졌다. 이후 호텔에서도 이어지는 ‘드링킹헬(Drinking Hell)’은 해외 발표자 및 참가자들이 가장 좋아하는 시간으로 국내 해커들과 제대로 된 네트워킹을 할 수 있는 의미있는 시간이었다.

POC2017 운영자는 “POC는 내년에도 11월 둘째주에 더 새롭고 발전된 내용으로 개최될 것이다. 매년 이 힘든 컨퍼런스 준비를 왜 하고 있을까 생각하면서 힘겹게 준비하지만 이렇게 마치고 나면 정말 뿌듯하고 보람된 일을 우리가 해냈구나란 생각이 든다. POC시큐리티 가족, 해킹대회와 이벤트 진행을 맡아 주신 많은 분들, 바쁜 시간을 내 POC에 참석한 참관객들, 멀리 해외에서 POC에 참석하기 위해 달려온 해외 해커들 모두에게 감사의 인사를 전한다”고 소감을 밝혔다.

★정보보안 대표 미디어 데일리시큐!★