2024-03-28 18:40 (목)
[블랙햇 USA 2018] 블록체인·암호화폐, 해커들 보안검증 시작...우리도 위협모델링 연구 필요해
상태바
[블랙햇 USA 2018] 블록체인·암호화폐, 해커들 보안검증 시작...우리도 위협모델링 연구 필요해
  • 길민권 기자
  • 승인 2018.08.10 06:12
이 기사를 공유합니다

구글 프로젝트 제로 디렉터 "보안사고, 근본적 원인 파악하고 연합해서 대응해야"

▲ 블랙햇 USA 2018 키노트 발표를 진행하고 있는 구글 엔지니어 디렉터이자 구글 프로젝트 제로팀 총괄매니저인 파리사 타브리츠(Parisa Tabriz).
▲ 블랙햇 USA 2018 키노트 발표를 진행하고 있는 구글 엔지니어 디렉터이자 구글 프로젝트 제로팀 총괄매니저인 파리사 타브리츠(Parisa Tabriz).[데일리시큐=라스 베거스]
[데일리시큐=라스베거스] 블랙햇 USA 2018(Black Hat USA)이 8월 4일부터 9일까지 미국 라스 베거스 만다레이 베이 호텔 컨벤션센터에서 열리고 있다.

RSA 컨퍼런스가 보안 산업 트랜드 위주라면 블랙햇은 최신 해킹 보안 기술을 선보이는 자리라고 할 수 있다. 해킹 보안의 최신 기술 트랜드를 한 눈에 볼 수 있는 컨퍼런스이기 때문에 비즈니스맨 뿐만 아니라 전세계 시큐리티 리서처, 해커, 정보보안 전문가들이 대거 참석하고 있다.

▲ 전세계 보안담당자 1만 5천명 이상이 참석한 블랙햇 USA 2018 현장. 트렉 발표를 듣기 위해 이동하고 있는 참관객들.
▲ 전세계 보안담당자 1만 5천명 이상이 참석한 블랙햇 USA 2018 현장. 트렉 발표를 듣기 위해 이동하고 있는 참관객들.
올해 블랙햇 USA 2018은 121개국 1만5천여 명의 해커 및 보안기술자들이 참석했으며 비즈니스 홀에서는 전세계 글로벌 보안기업들이 대거 참가해 최신 정보보안 기술을 선보였다.

또한 앱보안, 암호, 디펜스, 포렌식, 하드웨어, ICS, IoT, 멀웨어, 모바일, 네트워크, 펜테스팅, 리스크, 무선 보안과 해킹 등 100개가 넘는 트레이닝 코스가 열렸다.

▲ 대부분의 글로벌 보안기업들이 블랙햇 USA 2018에 참석해 자사 솔루션을 전세계 보안담당자들에게 선보였다.
▲ 대부분의 글로벌 보안기업들이 블랙햇 USA 2018에 참석해 자사 솔루션을 전세계 보안담당자들에게 선보였다.
다양한 트랙에서는 △Applied Security △Community △Cryptography △Data Forensics/Incident Response △Enterprise △Exploit Development △Hardware/Embedded △Human Factors △Internet of Things △Malware △Mobile △Network Defense △Platform Security △Policy △Reverse Engineering △Security Development Lifecycle △Smart Grid/Industrial Security △Web AppSec 등을 주제로 최신 연구 내용들이 발표되고 있다.

▲ 블랙햇 USA 2018 키노트 자리에서 축사를 하고 있는 제프 모스.[데일리시큐=라스 베거스]
▲ 블랙햇 USA 2018 키노트 자리에서 축사를 하고 있는 제프 모스.[데일리시큐=라스 베거스]
◇키노트 발표자로 나선 구글 프로젝트 제로팀 매니저 "근본원인 파악과 연합대응" 강조

▲ 구글 엔지니어 디렉터이자 구글 프로젝트 제로팀 총괄매니저인 파리사 타브리츠(Parisa Tabriz)[데일리시큐=라스 베거스]
▲ 구글 엔지니어 디렉터이자 구글 프로젝트 제로팀 총괄매니저인 파리사 타브리츠(Parisa Tabriz)[데일리시큐=라스 베거스]
8일 첫 키노트 발표로는 구글 엔지니어 디렉터이자 구글 프로젝트 제로팀 총괄매니저인 파리사 타브리츠(Parisa Tabriz)의 '복잡한 환경에서 보안을 개선하기 위해 우리가 해야 할 일들'이란 주제 발표가 있었다. 보안실무자와 책임자들에게 전하는 조언으로 볼 수 있다.

그는 보안문제가 발생하면 근본원인이 무엇인지 제대로 파악하기 위해 노력하라. 그리고 그 원인에 맞는 본질적 해결책을 제시해야 하고 문제 해결을 위해 혼자가 아닌 연대(연합)해서 대응해야 한다고 강조했다. 그런 가운데 구글 프로젝트 제로팀의 역할과 구글의 'https' 정책 그리고 해커와 연대해 취약점을 개선해 나가는 자신들의 버그바운티의 중요성에 대해 상세히 설명했다.

그의 이번 키노트 주요 내용은 △Tackle the root cause △Pick Milestones& Celebrate △Bild out your coalition으로 요약된다.

◇김승주 교수 "여성 보안임원 늘길...블록체인, 암호화폐에 대한 해커들의 보안검증 시작돼"

▲ 블랙햇 USA 2018 현장에서 만난 김승주 고려대 교수.
▲ 블랙햇 USA 2018 현장에서 만난 김승주 고려대 교수.
키노트 이후 데일리시큐는 블랙햇 USA 현장에서 키노트 발표를 지켜본 김승주 고려대 교수와 인터뷰를 진행했다.

그는 "키노트 내용은 문제의 근본 원인을 파악하는데 집중하고 연합해서 대응하라는 메시지였다"며 "그의 메시지는 크게 주목할만한 내용은 아니었다. 그 보다도 전세계에서 가장 큰 보안 컨퍼런스에서 1만명 이상이 운집한 키노트 발표 시간에 여성 발표자가 강연대에 섰다는 점이 인상적이었다. 반면 우리나라를 비춰보면 보안분야에서도 '유리천장'이 존재하지 않나 생각해 본다. 한국에서도 차별없이 보안분야에 두각을 나타내는 여성 임원들이 많아지길 바란다"고 전했다.

BH-7.jpg
또 김 교수는 "2013년부터 블랙햇에 계속 참가해 왔다. 올해는 블록체인과 암호화폐 보안이슈에 대한 발표가 늘어났다. 그 이유는 이 분야 산업이 커지면서 해커들이 집중적으로 연구하고 있기 때문"이라며 "블록체인이나 암호화폐의 문제는 아직 객관적 검증이 부족하다는 점이다. 엄격한 검증이 필요하다. 해커들이 검증에 나서기 시작하면 다양한 취약점과 문제점들이 나오기 시작할 것이다. 이번 블랙햇에서도 하드웨어 월렛 보안장치를 사용해도 그 내부의 소프트웨어가 제대로 구현되지 않으면 위험하다는 발표가 있었다. 블록체인, 암호화폐 기업들이 버그바운티에 적극 참여하고 철저한 코드 검증을 받아야 한다. 그래야 보안성을 높일 수 있다"고 강조했다.

그는 또 이번 블랙햇에서 SDL(Security Development Lifecycle) 분야에 관심을 가지고 발표를 듣고 있다.

"위협모델링, 선진국은 상당히 발전...한국도 중요성 인식하고 연구해야"

김 교수는 "미 국방부와 마이크로소프트 등 대기업 들은 2000년대 초반에 이미 모의해킹만으로는 안전한 제품을 만들수 없다고 인식하기 시작했다. 모의해킹은 해커의 개인 역량에 전적으로 의존하고 있기 때문에 해커가 어떤 제품에서 취약점을 찾지 못했다는 것이 그 제품이 안전하다는 것을 의미할 수는 없기 때문이다. 그러므로 개발하려는 제품에 어떤 공격 백터들이 존재하는지 뽑아낼 수 있는 위협모델링 기법부터 설계 및 구현 무결성 검증 방법론, 유지보수 체계들이 종합적으로 갖추어지고 운영돼야 안전한 제품을 개발할 수 있다. 이를 SDL이라고 하며 최근 블랙햇에서는 이와 관련한 발표와 트레이닝이 꽤 늘고있다. 그러나 한국 기업들은 아직 부족하다. 이 분야에 대한 보안기업들의 연구와 기업들의 SDL 도입이 필요하다"고 말했다.

"데프콘, CTF 해킹대회는 많은 대회 중 하나에 불과해...순위보다는 즐겨야"

한편 블랙햇에 이어 개최되는 데프콘과 관련해 이야기가 이어졌다. 김 교수는 "한국은 데프콘에서 CTF 해킹대회만 관심을 가진다. 데프콘은 해킹 대회 이외에도 다양한 대회들이 열린다. 이번에 NSHC(허영일 대표)에서 데프콘 기간에 개최하는 산업제어시스템 해킹 대회 등 국내 해커들이 좀 다양한 분야에 관심을 가지고 참여하길 바란다"며 "그리고 데프콘 CTF는 본선 참가 자체만으로도 대단한 것이다. 그런데 우리는 어느때부턴가 상위권에 들지않으면 문제점을 찾는 등 너무 순위에 신경을 쓰고 있다. 그래서 대회 참가하는 해커들이 부담감을 갖게됐다. 본선에 나가서 즐길 수 있는 분위기를 만들어 주는 것이 필요하다"고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★