캔섹웨스트(CanSecWest)가 진행하는 Pwn2Own 운영자였던 아론 포트노이(Aaron Portnoy)가 한국에 왔다. POC에서 운영하는 트레이닝 코스 강의를 위해 이번주 한국을 방문한 아론과 그의 동료 제프(zef)를 데일리시큐가 직접 만나봤다. 그들의 숙소가 있는 선릉역 근처 족발집에서 만나 족발과 소맥으로 허기를 채우며 이런저런 대화를 나누었다.(통역은 HNS에서 협조)  
 
아론은 현재 엑소더스인텔리전스(www.exodusintel.com)라는 회사를 설립해 제로데이 취약점 연구에 전념하고 있는 유명 해커다. 그는 7월 24일부터 26일까지 이어지는 POC 트레이닝 코스에서 ‘Breaking Binary Application’이란 제목으로 강연을 하고 있다.
 
아론은 이번 강의에서 취약점 연구를 위한 도구와 취약점 찾기에서 주목해야 할 부분, 그동안 발견된 제로데이 취약점을 찾는 기술과 과정 그리고 강의 참가자들이 발견한 취약점에 대해 공격코드 작성, 공격 방어 정책을 우회하는 기술 등에 대해 강연한다. 그의 이번 강의는 미국 정보기관 NSA 연구원들을 대상으로 실시되기도 했다.

 
-엑소더스인텔리젼스 회사 소개를 부탁한다.
회사 설립한지 약 1년 됐다. 제로데이 취약점을 찾고 보안우회할 수 있는 새로운 공격기법들을 연구하는 회사다. 현재 5명이 근무하고 있다. 최신 공격들을 찾아내고 연구하면서 이런 정보들을 고객들에게 전달해 고객들이 새로운 공격에 대비할 수 있도록 지원하고 있다. 현재 한국 모기업에서도 우리 서비스에 관심을 가지고 있다.
 
-제로데이 시장 상황은 어떤가?
일반적으로 제로데이 구매는 누가 하는지 알리지 않는 것이 통상적이다. 그리고 한 나라의 정부가 필요한 경우는 보통 중간 브로커를 통해 구매하는 경우가 많다고 한다. 제로데이 마켓은 투명하지 않아서 정확하게 말하기는 뭐하지만, 제로데이 거래는 판매자와 구매자간 신뢰관계가 형성되어야 가능한 것은 확실하다. 왜냐하면 제로데이를 판매했는데 이를 다른 곳에 다시 판매하는 자들이 있기도 하다. 그러면 신뢰가 깨지고 다시는 거래가 이루어지지 않게 된다. 그래서 신뢰가 중요하다. 그리고 미국에서는 현재 제로데이 취약점이 사이버공격 무기로 악용될 수 있기 때문에 법으로 판매하는 것을 막으려는 움직임도 있다. 경쟁국가에 판매되면 곤란하기 때문일 것이다.
 
-제로데이 취약점은 벤더에게는 제공되지 않나?
물론 벤더에게는 무료로 제공한다. 패치가 될 수 있도록 지원하고 있다. 돈을 주고 구매하는 고객들은 벤더에서 패치가 나오기 전까지 제로데이 취약점에 대한 정보를 확보하고 있기 때문에 대응할 수 있어 안전을 보장받게 되는 것이다.
 
-왜 제로데이 취약점 연구에 관심을 가지게 됐나?
제로데이 취약점은 모든 공격이 가능하기 때문이다. 확실한 제로데이 취약점은 모든 방어를 무너뜨릴 수 있다. 그래서 관심을 가지고 연구하고 있다. 우리가 제공하는 서비스는 미래의 위협을 알려주는 것이다. 미리 위협 정보를 가지고 있다는 것은 중요한 것이다. 해커들의 공격 기법을 미리 알고 대응할 수 있다면 보안수준은 높아질 것이다.
 
-주로 찾는 제로데이 취약점은 어떤 것들인가?
어떤 것이든 공격이 가능하고 동작이 확실하게 보장되는 제로데이 취약점만 취급한다. 공격가능성이 100%에 달해야 한다. 우리가 서비스 하고 있는 제로데이 취약점들 중 70%는 직접 찾아낸 취약점들이고 30%는 우리도 구매해서 고객들에게 제공하고 있다.
 
-최근 찾은 취약점을 소개해 줄 수 있나?
최근에는 어도비리더 샌드박스를 우회하는 기법과 IE에 대한 제로데이 취약점도 많이 가지고 있다. 한국이 IE 사용율이 높은 것으로 알고 있다. 또 VoIP 취약점 등 다양하다. 현재 제로데이 취약점으로 1천명 이상 회사의 네트워크를 장악하는 일은 간단할 정도다. 모두 공격이 가능한 취약점들이기 때문이다.
 
-새로운 서비스 계획이 있나? 그리고 제로데이 찾는 노하우를 공개해 준다면?
한달 정도 후부터 새로운 서비스를 런칭한다. 제로데이 취약점을 이용해 실제 APT 공격을 서비스할 예정이다. CEO나 C레벨에서 직접 컨트롤 하고 실제 회사 내부를 공격해서 어느 부분에 보안취약점이 있는지 알아내 주는 보안점검 서비스를 할 예정이다.
 
그리고 제로데이 취약점을 찾는 노하우는 특별히 없다. 꾸준히 열정을 가지고 공부하는 것이 중요하다. 특히 정보 공유를 많이 해야 하고 많은 정보들을 접해야 한다. 많은 자료를 읽고 공부하는 것이 중요하다.
 
-이번 트레이닝 코스에서 어떤 내용을 강연하나?
강연 3일 동안, 취약점을 찾으려고 하는데 어디서부터 시작해야 할지 모르는 분들에게 막연하게 생각됐던 취약점 찾는 방법에 대해 연구한 부분을 공개할 것이다. 모든 내용은 경험에서 나온 것이다. 스스로 찾을 수 있게 능력을 갖추도록 하는 것이 이번 트레이닝 코스의 목표다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com