캐나다 밴쿠버에서 개최된 CanSecWest 2014의 메인 이벤트 Pwn2Own 대회는 중국 상해 보안연구팀이 마지막 순서에서 Adobe Flash에 대한 공격에 성공하면서 끝이 났다. 이는 동경에서 개최된 PacSec 2013의 이벤트 Mobile Pwn2Own 대회에서 애플 모바일 iOS 시스템에 대한 공격에 성공한 후 해당 대회에서의 2번째 성공인 셈이다.
 
Pwn2Own 대회는 제로데이를 공략하는 전세계적으로 유명한 해킹대회다. 이번 대회에는 그동안 3회에 걸쳐 최고의 성적을 보였던 프랑스 ‘VUPEN’팀을 포함한 유명한 해킹 보안 팀들이 참가했다.
 
또한 마이크로소프트, 구글, 애플, ZeroDay Initiative 등 유명한 소프트웨어 제공업체와 보안 솔루션 제공업체들이 공동으로 후원했으며 우승 상금은 역대 최고인 100만 달러 이상이다. 공격대상은 최신버전의 윈도우 8.1과 Mac OS X 상의 주요 웹 브라우저와 애플리케이션들이다.
 
공격에 성공한 팀은 Google과 ZDI의 직원들인 PWN4FUN, VUPEN, Keen Team, Team509, Siberas 등이다. 이번 대회에 참가한 Keen Team과 Team 509는 중국팀이며, CanSecWest의 Pwn2Own에 참가한 것은 처음이다. 참가팀에 의해 공격에 성공한 대상은 Apple Safari, Internet Explorer, Adobe Reader, Mozilla Firefox, Adobe Flash, Google Chrom의 제로데이 취약점들이다.
 
주목할 부분은 중국 해커들의 참가와 공격 성공이다. Keen Team의 멤버 ‘?良(천량)’은 상해 ‘Keen Team’의 메인 공격멤버이다. Keen Team은 Apple Safari와 Adobe Flash공격에 성공했다. 천량은 상해교통대학교 정보보안학과를 졸업 후 복단대학교에서 연구생 공부를 마쳤으며, 한동안 마이크로소프트에서 직장생활을 했다.
 
이번 대회에서 가장 많은 공격에 성공한 팀은 프랑스의 VUPEN팀으로, Adobe Reader, Internet Explorer, Adobe Flash, Mozilla Firefox, Google Chrome에 대한 공격에 성공했으며, 예정되었던 Java에 대한 공격 차례에는 참가하지 않았다. 국내팀으로는 처음 참가한 ASRT팀은 Internet Explorer 공격에 나섰으나 지정된 공격 시간 30분 안에 성공하지 못해 아쉬움을 남겼다.
 
한편 VUPEN에 의해 공격되었던 Google Chrome의 제로데이 취약점은 대회 후 업데이트 되었다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com