2019-08-22 21:13 (목)
[2019 MOSEC] 모바일 해킹보안 기술력 확보에 집중하고 있는 해외 기업과 해커들
상태바
[2019 MOSEC] 모바일 해킹보안 기술력 확보에 집중하고 있는 해외 기업과 해커들
  • 길민권 기자
  • 승인 2019.06.04 10:54
이 기사를 공유합니다

모바일 해킹, 보안 기술 한 눈에…

▲ 2019 MOSEC 발표 현장(상하이=데일리시큐)
▲ 2019 MOSEC 발표 현장(상하이=데일리시큐)
(중국 상하이=데일리시큐) 한국의 POC시큐리티와 중국의 판구(PANGU)팀이 공동 주최하는 글로벌 모바일 해킹 보안 컨퍼런스 2019 MOSEC(Mobile Security Conference)이 5월 30일부터 31일까지 중국 상하이 메리어트 호텔에서 1천여 명의 중국을 비롯한 전세계 모바일 보안연구가들이 참석한 가운데 성황리에 개최됐다. 모바일 해킹과 보안 기술이 어디까지 와있는지를 한 눈에 볼 수 있는 자리였다.

데일리시큐는 현장에서 iOS 해킹과 보안에서 전세계 독보적인 연구원과 기술력을 확보하고 있는 판구(PANGU)팀 슈하오(Xuhao)를 만나 이번 MOSEC에 대해 대화를 나눴다.

▲ 2019 MOSEC 주최측인 판구팀 슈하오(사진 좌측)
▲ 2019 MOSEC 주최측인 판구팀 슈하오(사진 좌측)
슈하오는 “이번 5회부터 2일 컨퍼런스로 진행하게 됐다. 중요한 발표자들도 늘어나고 중국 내에서도 모바일 시큐리티에 종사하는 사람들이 더 많아졌기 때문에 MOSEC에 대한 관심이 크게 증가한 때문이다. 중국에서 열리는 최고의 모바일 해킹 보안 컨퍼런스로 자리잡은 것”이라며 “최근 중국 해커들은 PC도 물론 연구하지만 모바일 분야에 더 많은 관심을 가지고 연구하고 있다. 안드로이드와 iOS 해킹과 보안 연구에 바로 들어오는 연구가들도 많다. 앞으로도 계속 한국 POC시큐리티와 협력해서 MOSEC을 발전시켜 나가겠다”고 전했다.

한편 판구(PANGU)팀은 현재 100여 명으로 직원이 늘어나는 등 사세 확장이 계속되고 있다. 중국의 유명한 IT/보안기업인 360과 텐센트 등과 경쟁을 하는 것이 아니라 B2B2 즉 기업 대상 비즈니스를 하고 있는 판구팀은 최근 모바일 보안제품을 개발, 생산하는 개발팀, 마케팅팀 등 비즈니스와 관련된 직원들을 늘렸다고 한다. iOS 제일브레이크(Jailbreak/탈옥) 연구만 하는 것이 아니라 모바일 보안 제품 개발과 비즈니스에도 박차를 가하고 있는 것이다. 주로 정부나 법 집행기관들, 기업들이 고객이다.

▲ 2019 MOSEC 발표자와 주최측 기념촬영
▲ 2019 MOSEC 발표자와 주최측 기념촬영
한편 MOSEC은 중국 모바일 보안 관련 대기업들이 적극 후원으로 성공적인 컨퍼런스를 매년 이어나가고 있다. 이번에도 치후360과 화웨이 그리고 제로데이 시장을 주도하고 있는 제로디움, 크라우드펜스 등 12개 기업이 후원기업으로 나섰다.

크라우드펜스 안드레아 CEO는 제로데이 거래와 관련, 최근 이스라엘, 인도, 중국, 브라질, 독일, 스웨덴 해커들이 열정적으로 참여하고 있으며 상대적으로 미국과 일본 등은 폐쇄적인 면이 있다고 전했다. 특히 아시아에서는 인도 해커들이 적극적이고 한국 해커들은 실력은 있지만 어린 친구들이라 시간이 지나면 제로데이 마켓을 이해하고 적극 참여할 것으로 전망했다. 또 최근에는 여성해커들의 성장과 참여가 크게 늘었다고 한다. 제로데이 시장은 더욱 성장할 것으로 내다봤다. 크라우드펜스는 1년에 12개 정도 글로벌 컨퍼런스에 후원을 하고 있다.

화웨이도 올해부터 MOSEC 플래티넘 스폰서 기업으로 후원을 아끼지 않았다. 최근 미-중 무역 분쟁의 중심에 있는 만큼 중국내 입지를 더욱 강화하기 위한 방안들을 내놓고 있다. 컨퍼런스 후원도 중국 해커와 해외 해커 등 연구가들에게 화웨이에 대한 좋은 인식을 심어주기 위한 것으로 볼 수 있다.

이번 MOSEC의 주요 발표자였던 김용대 카이스트 교수는 발표장외 사석에서 화웨이 직원들과 만나 화웨이가 지금까지 NDA(비밀유지협약)를 고수하면서 취약점 비공개 방침을 이어온 것을 지적했다. 취약점과 기술 등을 숨기기 보다는 공개해서 엔지니어와 해커들 사이에서도 인정을 받고 그런 일련의 활동들이 ‘신뢰’ 할 수 있는 기업 이미지로 바뀔 것이라고 강조했다. 신뢰 구축이 필요하다는 것이다. 실제로 이런 대화가 있고 다음날 화웨이는 지금까지 NDA를 철회하고 취약점이 나오면 공개하고 공개적으로 패치를 진행할 것이라고 발표했다.

▲ MOSEC 주최측인 POC시큐리티. 사진 좌측부터 이현재 연구원. 정진욱 CTO, 강수희 팀장.
▲ MOSEC 주최측인 POC시큐리티. 사진 좌측부터 이현재 연구원. 정진욱 CTO, 강수희 팀장.
한편 MOSEC 주최 측인 POC시큐리티 정진욱 연구실장(CTO)과 강수희 국제협력팀장은 이번 MOSEC에 대해 이렇게 평가했다.

한국과 중국 양국의 커뮤니케이션, 각자의 운영 방식 등이 한층 안정적으로 자리를 잡은 느낌이다.

작년까지 1일 컨퍼런스로 운영되었는데 올해부터는 규모를 키워 2일로 운영하게 되었다. 규모가 커지면서 좋은 주제 발표 및 기술 내용도 증가했고, 참가자 수도 양일 합쳐 약 1천명 규모로 늘어났다. 외국인 참가자도 매년 증가하는 추세다. 올해는 미국, 이스라엘, 이탈리아, 싱가폴, 말레이시아, 네덜란드 등에서 참가했다. POC시큐리티는 해외 홍보에 좀더 노력을 기울였고 이를 통한 긍정적인 효과가 나온 것으로 판단하고 있다.

더불어 iOS 연구에서 뛰어난 영향력을 보이고 있는 Luca, Pangu Team의 Guanxing Wen, macOS와 iOS에서 깊이 있는 연구를 진행하고 있는 Google Project Zero팀 Brandon Azad와 360 Vulcan팀의 Qixun Zhao, Rowhammer 버그 연구의 선구자인 Victor van der Veen, 안드로이드 버그 헌팅 및 익스플로잇 연구에 집중하고 있는 360 C0RE Tean(Chi Zhang, Hongli Han) 등 각 분야 최고 연구원들의 발표는 이번 MOSEC이 한번 더 인정받게 된 계기가 되었다.

MOSEC이 한국에서 열리는 컨퍼런스와 조금 다른 점이 있다면, 질문이 꽤 많다는 점이다. 많은 참가자들이 궁금한 점에 대해 자유롭고 적극적으로 질문하는 분위기다. 이에 대한 후-토론도 이루어진다. 같은 맥락에서 중국 전통주 한잔을 마시고 본인이 원하는 주제로 발표할 수 있는 백주콘(BaijiuCon)과 컨퍼런스장 바깥에 설치된 부스들 방문 및 이벤트 참가율도 높았다.

이와 같이 양국 운영팀, POC시큐리티와 판구팀의 시너지 효과, 좋은 주제의 발표자들, 그리고 참가자들의 열정 등이 모여 MOSEC의 영향력은 매년 증가하고 있다고 평가했다.

▲ MOSEC 백주콘에 참가하고 있는 강수희 팀장.
▲ MOSEC 백주콘에 참가하고 있는 강수희 팀장.
한편 POC시큐리티 강수희 국제협력팀장은 MOSEC 마지막 시간에 진행되는 백주콘(BaijiuCon)에 참가했다. 백주콘은 중국 ‘마우타이’주 한 잔을 마시면 5분간 스피치를 할 수 있다. 강 팀장은 2잔을 마시고 약 10분간 MOSEC 참관객들 앞에서 Power of XX(여성해킹대회)에 대해 스피치를 진행해 환호를 받았다.

강 팀장은 “판구팀 연구원들에 의하면 최근 중국에서 보안계 여성 인력을 늘리는 것에 관심이 많다고 한다. 그래서 급작스럽게 제안을 받아 백주콘에서 2011년에 시작한 Power of XX(여성해킹대회)에 대해 짧은 소개를 하게 되었다. 발표 내용은 PoXX를 시작하게 된 배경, 목적, 현재 활동 등이었다. 한국이 가장 먼저 시작한 여성해킹대회가 중국의 비슷한 움직임에 좋은 영향력을 줄 수 있으면 좋겠다는 내용으로 마무리했다”며 “발표 후 네트워킹 파티에서 의외로 많은 외국인, 중국인들이 관심을 가져주어서 놀랐고, 앞으로도 PoXX라는 일종의 커뮤니티가 가진 힘에 대해 좀 더 많은 것을 소개하고 싶다. 그리고 우리 POC Crew팀과 함께 PoXX가 더 깊고 넓은 방향으로 나아갈 수 있도록 만들고 싶다”고 소감을 전했다.

다음은 이번 2019 MOSEC 주요 발표내용이다.

◇JinLi Hao, “The Birdman and Coapas-Sarsat Satellites “

치후 360의 진리 하오(JinLi Hao)는 육해상 공중재난 긴급 구조 시스템(SARSAT) 공격에 대해 설명했다. 그는 L-Band를 이용하는 안테나로 들어오는 신호를 분석하는 과정에서 1544.5MHz로 아날로그 신호가 들어오는 것을 확인했다. 의문점이 생긴 그는 그것이 COSPAS-SARSAT시스템의 신호임을 알게되었고 분석을 진행했다.

해당 시스템은 현재 43개국이 협조해 비콘에서 406mhz의 신호를 보내면 위성이 지정된 지구국으로 구조 신호를 중개하는 방식으로 현재까지 41,000번의 구조에서 35,000 명의 인명을 구조한바 있다.

발표자는 L-Band 안테나를 통해 위성에서 전송되는 메시지를 받고 해석할 수 있음을 설명했다. 또한 SARSAT 시스템은 신호 감지에 중점을 두고 있으므로 민감도를 높여야 하는데, 이에 따라 간섭과 서비스 거부 공격이 가능함도 보였다. 또한 누구나 위성으로 false 신호를 보내고 위성 링크를 훔칠 수 있음을 설명했다.

가장 큰 위험은 위성 중 하나를 공격하면 전체 SARSAT 시스템을 공격 가능하다는 것이다. 공격자는 커스텀한 장비를 통해 위성에 신호를 보내 공격자 자신 만의 모듈화&암호화를 할 수 있고 해당 신호는 공격자만 해석할 수 있으므로 공공 위성을 공격자가 자신의 통신머신으로 사용할 수 있다.

발표자는 직접 L-Band 안테나를 커스텀하고 EpirbPlotter, MULTIPSK를 이용하여 실제 위성 신호 메세지를 해석하는 데모와 SARR DDoS 공격 데모를 시연하여 위험성을 보여주었다.

◇Luca Todesco, "A few JSC tales"

루카 토데스코는 iOS와 Mac OS에서 원격 코드 실행을 위한 취약점들에 대해 발표를 진행했다. 가상의 인물을 설정하여 그가 원격코드 실행을 위해 WebKit에 대한 공격을 시도하는 과정을 보이는 방식으로 과거 취약점부터 현재까지 진행 중인 취약점들에 대해서 설명했다.

그는 역사적으로 유행한 공격에 따라 FastMalloc 시대, 5aelo 시대, RWX JIT 시대로 나누어 각 시대의 공격에 대해 설명하고 이에 대해 Ivan Kristic가 선보인 보호기법으로 RWX JIT 시대가 막을 내리고, Filip Pizlo 보호기법으로 5aelo 시대가 막을 내렸고, 다시 Filip Pizlo에 의해 DOM에서 발생하는 레퍼런스 카운트에 의한 UAF 버그 클래스가 끝났다고 설명했다.

이러한 상황에서 그는 순수한JS 엔진인 JavaScriptCore 취약점으로 전략적으로 돌아가보는 방법을 선택했다. DFG JIT 컴파일러에서 취약점을 찾아냈고 이를 익스플로잇 하는 과정을 단계적으로 설명하였다. 중간중간 이미 위에서 사용이 불가능하게 보이는 공격을 시행해야하는 상황들이 발생하지만 그는 해결가능한 아이디어를 찾고 우회하는 상황을 선보인다.

하나의 가상의 인물이 iOS/Mac OS에서 원격코드 실행을 위해 취약점을 익스플로잇 하는 과정을 자세히 보여줌으로써 취약점을 연구하는 해커는 다양한 보호기법으로 공격이 어려운 상황에서도 여전히 취약점을 공격 가능하다는 마음가짐을 가져야함을 배울 수 있는 발표였다.

◇Brandon Azad, “A Study in PAC”

메모리 공격에 있어서 포인터는 좋은 타겟이다. 애플은 포인터 인증을 위해 PAC(Pointer Authenticatin Codes)라는 보호기법을 도입했다. 구글 프로젝트 제로의 브랜돈 아자드(Brandon Azad)는 PAC의 우회가 가능하다는 발표를 진행했다.

그는 애플 A12 칩에서 제한된 커널 함수콜이 여전히 가능하다는 문제에서 발생하는AUTIA → PACIZA gadgets, 패치는 되었지만 2^24번의 무차별 대입 공격(Brute Forcing)으로 공격 가능하다는AUTIA → PACIZA bruteforcing, 쓰기 가능한 메모리에 있는 보호 되지 않은 코드 포인터에 대한 thread->recover와 switch optimization, 보호되지 않은 시그니처 생성에 대한Insecure signatures의 다섯 가지 우회 방법에 대해 자세히 설명하고 데모 역시 선보였다.

비록 그가 우회 기법을 선보이기는 했지만, 브랜돈은 애플의 PAC 가 좋은 보호기법이고 점점 우회하기 어려워질 것이라고 덧붙이며 애플의 개선에 대해 긍정적인 평가를 했다.

◇Chi Zhang&Hongli Han, “A new way to execute shellcode in Android user space”

취 장(Chi Zhang)과 홍리 한(Hongli Han)은 안드로이드 사용자 공간에서 쉘코드를 실행하는 새로운 방법을 제시했다.

최근 안드로이드의 사용자 공간에서 쉘코드 실행하기 어려워지고 있고 구글은 계속해서 보호기법을 늘려왔다. 발표자들은 이에 대해 유저공간에서 쉘코드를 실행 가능한 새로운 방법을 제시한다.

그들은 우선 PC 컨트롤이 가능한 하나의 취약점을 찾았다. Class BpBinder 객체가 만들어지고 해제될 때 레이스컨디션을 이용하여 레퍼런스 카운터를 손상시키는 취약점이 존재한다.

이를 이용하여 PC를 컨트롤 가능하나 안드로이드에서는 이제 쉘코드 실행을 위한 ROP 과정에서 mmap과 mprotect 쉘코드가 동작하지 않게 되었다.

발표자들은 data와 code를 결합하는 이전 ROP 기술 대신 bytecode와 Dalvik interpreter 를 결합하는 새로운 ROP로 바꾸는 기술을 선보였다. 타겟 메모리에 bytecode를 준비하고 ROP를 위해 Dalvik interpreter 엔트리의 ExecuteSwitchImpl 함수에 넣을 파라미터를 준비한 후 실행하는 방식으로 공격이 이루어진다.

이 새로운 기법은 실행가능한 메모리에 의존하지 않고 ROP 체인을 쉽게 만들 수 있다는 장점이 있지만 로컬 애플리케이션 정보 누출이 필요하다는 제한점이 존재한다.

◇Zhenyu Ning& Fengwei Zhang), “Nailgun: Breaking the Privilege Isolation on ARM”

웨인주립대(Wayne State University)의 젠유 닝(Zhenyu Ning)과 펭웨이 장(Fengwei Zhang)은 ARM 기기에서 디버깅 기능을 이용하여 권한 고립을 깨는 기술에 대해 설명했다.

현대 프로세서들은 JTAG 등 인터페이스를 통한 하드웨어 기반 디버깅 기능을 탑재하고 있다. 이에 대한 보안으로 물리적 접근이 가능해야한다는 것과 디버깅 인증을 사용하고 있는데, 두 문제는 모두 우회가 가능하다.

발표자들은 이를 이용하여 낮은 권한만을 지니고 있는 호스트가 타겟에게 디버깅 상태를 요청하고 원래 낮은 권한이였던 타겟이 디버깅 상태로 들어갔을 때 높은 권한 리소스에 접근 가능한 것을 이용하여 호스트 역시 높은 권한의 리소스들에 접근하는 방식을 이용하는 기법을 선보이고 이를 네일건 공격(Nailgun Attack)이라고 명명했다.

공격에 대한 세부설명 이후 그들은 스마트폰 내에 저장되어 있는 지문 추출 데모를 선보였다.

◇Guanxing Wen, “EL3 Tour: Get The Ultimate Privilege of Android Phone”

판구팀의 구앙싱 웬(Guanxing Wen)은 ARM 트러스트 존 기술에서 가장 높은 권한을 지닌 EL3 영역에 대한 공격을 선보였다.

ARM 트러스트존(TrustZone) 기술은 권한을 EL0~EL3까지 4개의 레벨, 그리고 보안(secure)과 비보안(nonsecure)의 2개의 월드로 나눈다. 일반적으로 과거 연구들은 EL0/EL1 정도의 권한에 그쳤을 뿐 EL3영역에 대한 연구는 찾아보기 힘들었다. 발표자는 EL1~EL3까지의 구현에 대해 설명하고 화웨이 P20의 EL3 영역에서 쉘코드를 실행하는 공격을 선보였다.

그는 코드 분석을 통해 0xC600FF04 핸들러를 이용해 PC와 X0를 컨트롤 가능함을 확인하고 커널 모듈을 이용해 PC, X0를 컨트롤하는 과정을 익스플로잇을 설명했다. 또한 페이지 디스크립터 수정을 이용한 쉘코드 실행까지 설명한 후 이 공격과정을 이용하여 FaceID를 조작하는 데모를 공개했다.

◇Victor van der Veen, “DrammerQueen”

2014년 DRAM 메모리 상에서 비트를 바꿔버릴 수 있는 하드웨어 취약점인 rowhammer 취약점이 공개된 후 해당 취약점을 이용한 다양한 공격들이 발표되었다. 모바일에서 로우해머 공격을 진행하는 Drammer 등 이 분야에서 많은 연구를 해온 빅터 반 데르 빈(Victor van der Veen)은 과거 자신의 연구 결과들을 종합한 DrammerQueen이라는 발표를 진행했다.

그는 로우해머 취약점을 페이지테이블에 이용하여 버디 메모리 할당(buddy memory allocation)에 대해 Phys Feng Shui 공격을 진행하는 과정을 설명하였다.

현재는 해당 취약점을 연구하고 있지 않지만, 앞으로도 해당 취약점은 다시 등장할 가능성이 있다고 그는 발표를 마무리 하였다.

◇Zhao Qixun, "Reference Counting Issues in XNU"

자오 치신(Zhao Qixun)은 중국에서 열린 해킹 버그바운티 대회인 티안푸컵(TianfuCup)에서 아이폰 X 탈옥과 에지/크롬/사파리 브라우저 RCE를 성공시켜 “Best Solo Pwning”상을 받은 실력있는 연구원으로 AAPL 커널 취약점에서 탈옥까지의 과정을 설명하는 발표를 진행했다.

그는 참조 카운트에서 취약점이 발생할 가능성이 높다고 생각한 그는 해당분야 연구를 진행했고 티안푸컵 원격 탈옥의 스테이지 2에서 사용했던 취약점인 CVE-2019-6225를 찾아내었다. 해당 취약점은 |ipc_voucher|에서 발생하는 UaF 문제로 커널 개발자들이 MIG 카운팅 메커니즘을 잘 이해하지 못해 발생하는 문제라고 설명했다. 그는 이 취약점을 익스플로잇 하여 탈옥하는 과정까지 자세하게 설명했다.

추가로 CVE-2019-8528 취약점을 보임으로써 그는 카운팅 이슈가 계속해서 발생할 수 있다고 덧붙였다.

◇Zhang Xiangqian&Liu Huiming, “Billion-users' file at risk: a comprehensive research and exploit of nearby file transfer apps”

장 시앙치안(Zhang Xiangqian)과 리우 휘밍(Liu Huiming)은 최근 많이 사용되는 근접 파일 전송 기술에서 발생할 수 있는 취약점들에 대한 발표를 진행했다.

파일 전송 과정에서 대해서 분석한 후 발생 가능한 취약점인 스니핑 공격, 중간자(Man-in-the-middle) 공격, 로직 취약점에 대해 각각 설명 및 데모를 선보였다.

발표의 마지막에 그들은 아직 파일 전송 기술은 제대로된 보안이 적용되지 않았다며 자신들이 생각하는 안전한 설계를 덧붙였다.

◇Guy, "Burned in Ashes: Baseband Fairy Tale Stories"

프리랜서 연구원인 가이(Guy)는 보고되어 패치된 취약점들과 리버싱을 통해 베이스 밴드 분석을 진행했다. 베이스밴드는 접근성 문제로 분석이 어려운 타겟이다. 발표자는 그렇지만 베이스밴드는 파서들의 집합일 뿐 로켓같은 고난이도 과학은 아니라며 방법의 변화로 연구가 가능하다고 설명한다. 그는Infineon 베이스밴드 원격 공격을 타겟으로 하여 자신이 진행했던 연구 방법, 거기서 나온 결과, 퍼징에 대한 시도 등을 공유했다.

Guy는 베이스밴드 연구를 자신의 타겟으로 정하고 연구를 진행한 과정을 함께 함으로써 참가자들은 베이스 밴드 연구의 실마리를 찾을 수 있었다. 그는 앞으로 좀 더 심각한 취약점을 찾을 수 있을 것이라며 발표를 끝맺었다.

◇Marco Grassi, “The New Rise of Mobile Network and Baseband”

킨랩의 마르코 크라시(Marco Grassi)는 5G 시대가 다가옴에 따라 중요해지는 모바일 네트워크와 베이스밴드 공격에 대한 발표를 진행했다.

베이스밴드 분석은 코드가 공개되지 않은 점, 디버깅이 가능하지 않다는 점, 스펙에 대한 정보가 부족하다는 점등의 이유로 어려움이 많다. 발표자는 인텔 베이스밴드와 화웨이 p30 베이스 밴드를 분석한 결과와 과정에 대해 설명했다. 분석 과정에 대한 내용을 통해 참가자들은 베이스 밴드 분석을 진행할 수 있는 토대를 마련할 수 있었다.

◇김용대, “Fuzzing Cellular Networks for fun and profit - if allowed”

카이스트 김용대 교수는 자신의 연구실에서 8년 동안 셀룰러 네트워크에 대해서 연구한 결과를 종합한 발표를 진행했다. 특히 메모리 커럽션 같은 문제가 아닌 이동통신 정책이나 설정 등으로 발생하는 가볍지만 심각한 문제들을 보여줌으로써 이동통신 표준, 디바이스 밴더들의 실수, ISP 업체들의 실수 등에 많은 문제가 있음을 설명했다.

그의 연구실에서 찾아낸 수많은 취약점들은 다가오는 5G 시대에 보안에 대해서도 다시 생각해봐야 함을 일깨워 주었다.

MOSEC은 해외 해커들이 얼마나 치열하고 깊이 있게 모바일 기술을 연구하고 있으며 이 기술들이 앞으로 모바일 시대에 어떤 영향을 미칠지 알 수 있는 자리였다. 한국의 모바일 해킹 보안 기술력이 어디까지 와있는지 생각해 보고 좀 더 분발해야 하지 않을까 생각해 본다.

★정보보안 대표 미디어 데일리시큐!★


Tag
#MOSEC