POC(www.powerofcommunity.net)는 국내?외 해커들과 보안 전문가들의 자발적 참여에 의해 새로운 해킹 및 보안 기술과 0-day 취약점들이 공개되는 자리로 이미 국내외 보안담당자와 해커들에게는 연중 행사로 자리잡고 있다. 또한 정부기관이나 기업의 자본에 종속되지 않고 국내 보안 발전을 위해 개최되는 순수 비영리 독립 해킹·보안 컨퍼런스로 그 의미가 큰 행사다.

◇국내외 주요 CCTV/DVR 제품 제로데이 취약점 공개=올해도 세간의 관심을 끌만한 중요한 발표들이 진행된다. 이번 POC2013에서는 해외 유명 해커들이 발표하는 주제들 중 흥미로운 주제 2가지가 있다. 먼저 POC2012에서 항공기 관제시스템 공격 방법을 발표했던 Andrei Costin은 이번 POC2013에서는 CCTV의 보안 문제점에 대해 발표할 예정이다.
 
이 발표에서는 인터넷에 연결되어 있는 50만개 이상의 CCTV/DVR 시스템에 대한 정보를 요약, 정리하면서 이 시스템들이 가지고 있는 기존 취약점과 새로운 제로데이 취약점을 공개할 예정이다. 또한 이 취약점들을 공격하는 새로운 방법과 시나리오가 자세하게 공개될 예정이어서 관련 업계와 사용자들의 관심이 클 것으로 보이며 우리의 일상생활과 밀접하게 연결되어 있는 CCTV 시스템의 취약점이라 그 파장이 클 것으로 예상된다.
 
또한 CCTV의 취약점들을 공격하는 새로운 방법들 뿐만 아니라 소규모 DYI BrigBrother 비디오 감시 시스템을 위한 아키텍처가 가능하며, 그것을 어떻게 만드는지 그 방법도 제시할 예정이다.
 
이 발표에서는 국내?외 유명 브랜드의 제품에 대한 데모를 통해 그 제품들이 가진 제로데이 취약점과 다른 브랜드나 장치에도 적용될 수 있는 취약점 발견 테크닉을 제시하며, 알려진 취약점을 공격하는 코드를 공개하고, 펌웨어를 조작하는 방법 등이 공개될 것이다. 뿐만 아니라 국내 유명 S사의 제품의 경우 제품 없이도 그것의 보안성을 분석하는 방법과 운영 웹 엔진의 취약점들을 제시할 예정이다. S사의 제품은 아마존 등에서도 판매되고 있어 이미 외국에서도 많이 사용되고 있는 것으로 알려져 있다.
 
◇국내 기반시설과 관련된 산업관리시스템과 SCADA시스템 해킹 시연=또 하나의 흥미로운 발표는 ICS(산업관리시스템)과 SCADA(스카다) 시스템에 대한 해킹 테크닉이다. 주로 ICS/SCADA 시스템에 대한 보안 문제를 연구해온 러시아의 SCADAStrangeLove팀이 주제 발표를 한다. 이 팀은 25명의 러시아 해커들로 구성되어 있으며, 이번 발표를 위해 3명의 멤버가 POC2013에 투입된다.
 
이번 발표를 통해 러시아 해커들은 ICS 환경에서 모의해킹 경험들을 공유할 것이며, 이 과정에서 공격 툴, 기술, 그리고 실제 사용되고 있는 시스템들의 예들을 보여줄 예정이다. 그리고 SCADAStrangeLove팀은 이 발표와 함께 Choo Choo Pwn 이벤트와 워크숍도 운영한다.

<실제 ICS/SCADA 시스템으로 운영되는 산업시설의 미니어처, Choo Choo Pwn의 실제 공격 대상>
 

길민권 다른기사 보기