미래창조과학부(장관 최양희)와 한국정보기술연구원(원장 유준상)은 3월 12일(목) 삼정호텔(서울 강남)에서 화이트해커를 양성하는 ‘차세대 보안리더 양성프로그램(Best of the Best, 이하 BoB) 3기 인증식’을 갖고 BEST10선정자 발표와 시상식을 개최했다.

 
3기 베스트 10에 오른 교육생은 김윤호(23, 한양대학교), 김준기(18, 선린인터넷고등학교), 김현우(24, 영남대학교), 박민준(22, KAIST), 박선주(18, 선린인터넷고등학교), 이대진(21, 고려대학교), 이슬기(28, 동국대학교), 이준희(21, 동국대학교 대학원), 이호진(25, 고려대학교 대학원), 진용휘(19, 고려대학교) 등이다.
 
또 BoB3기 최종 경연단계 진출자들의 8개팀 프로젝트 고도화 내용을 살펴보면, 1조는 국가기반시설 취약점 도출 및 보안대책수립이란 주제로 국내 기반시설 제어시스템 관리기관 제어망 및 벤더사 취약점 도출 등)을 기반으로 SCADA 대상 사이버공격 사전대응을 위한 기술성 향상과 관련 전문인력 양성·활용 방안 등을 제안했다.
 
2조는 안드로이드 악성앱 분석 및 수사지원도구 제작 이라는 주제로 안드로이드 악성 앱을 자동으로 분석해 정보를 제공하는 분석도구, 수사관들을 위한 안드로이드 악성 앱 분석 가이드라인 등을 제시했다.
 
3조는 셋톱박스 취약점 분석이라는 주제로 셋톱박스에 존재 할 수 있는 취약점에 대해서 분석하고 취약점으로부터 발생할 수 있는 보안 위협에 대한 시나리오를 작성한 뒤 시나리오 수행을 하였다. 그리고 취약점에 대한 보안방안을 제시하는 것을 목표로 프로젝트를 진행했다.
 
4조는 사회공학 취약점 진단 자동화도구라는 주제로 사회공학 취약점 진단 프로세스 수립을 통한 진단 가이드북 개발, 사용자 편의성 증대와 다양한 분석이 가능하도록 자동화도구 고도화 및 사회공학 인식 제고 및 사회기여를 위한 보안 교육제안을 수행했다.
 
5조는 불법사설 게임서버 취약점 분석 및 활용이라는 주제로 온라인 게임의 불법 사설서버로 인한 기업의 수익 감소, 신뢰도 하락 등의 악영향을 해결하기 위해 상용 게임서버에도 존재할 수 취약점을 분석해 제공함으로 사설서버 근절을 위한 솔루션을 제안했다.
 
6조는 POS기기 취약점 분석이라는 주제로 POS기와 VAN사를 대상으로 작동원리 분석과 취약점 점검하여 취약점과 원격지에서 Remote Exploit할 수 있는 취약점을 연구하는 프로젝트를 수행했다.
 
7조는 HFS+파일시스템 저널분석도구라는 주제로 세계적으로 증가하고 있는 OS X의 점유율에 맞추어 OS X에서 포렌식을 가능한 도구의 필요성이 증가 하고 있다. OS X에서 사용하는 HFS+ 파일 시스템 내 복구 로그인‘저널’을 분석하고, 이에 대한 내용을 바탕으로 사용자의 명령어에 따른‘저널’의 변화를 찾아 이를 패턴화해 자동화된 포렌식 도구를 제공하는데 그 목적이 있다.
 
8조는 P2P 익명성 소프트웨어 취약점 분석이라는 주제로 최근 이슈화 되고 있는 Tor, BitTorrent 소프트웨어 네트워크에서 생길 수 있는 취약성을 찾아내어 보완시키는 것을 목표로 Tor에서 동작하는 여러 역할에 대한 소스코드 오디팅을 진행했으며, Tor네트워크를 이용하기 위해 꼭 거쳐야 하는 중앙 서버, Authority 서버에 영향을 주는 취약성을 찾는 프로젝트를 수행했다.
 
지난 2012년 시작한 차세대보안리더양성프로그램은 3기 모집에 총 1,080명의 지원자가 응시했으며 지원자 중 2차에 걸친 선수지식 시험 및 심층면접, 포트폴리오 심사를 통해 130명을 제3기 ‘차세대 보안리더 양성프로그램“ 교육생으로 선발했다.
 
이날 시상식에는 미래창조과학부 최재유 2차관, 정세균 의원, 이주영 의원, 홍문종 미방위 위원장, 정두언 의원, 권은희 의원, 이운룡 의원, 청와대 임종인 안보특보, 한국인터넷진흥원 백기승 원장, 한국정보보호학회 박춘식 회장, 지식정보보안산업협회 심종헌 회장, MBN조현재 대표, 나도성 한성대학교 원장, 이경봉 소프트포럼 대표, 안랩 방인구 본부장 등이 참석했다.
 
한국정보기술연구원 유준상 원장은 “정부의 전폭적인 지원 아래 참여하는 아주 특별한 혜택을 누려온 교육생들이 이 과정을 통해 갈고 닦아온 사이버 세상을 지키는 기술은 교육생들의 인성과 소명의식을 보여주는 하나의 수단이라는 점을 항상 기억하며, 대한민국을 대표하는 화이트 애국해커로서 사명감과 소명의식을 가져주길 당부한다”고 강조했다.
 
마지막 순서인 BoB 3기 경연단계 프로젝트 발표에는 총 3개의 팀이 8개월 간 진행한 연구 내용 및 성과에 대해 발표했다.
 
첫 번째 발표를 진행한 KAIST의 박민준 군은 자신들이 “국가기반 시설 취약점 도출 및 보안대책 수립”을 목표로 프로젝트를 진행했다고 밝히고, 스카다(SCADA) 제어 시스템으로 침투 가능한 다양한 네트워크 접점이 존재하고 취약점이 발생할 수 있음을 설명한 후 각종 주요 국가기반시설 등을 대상으로 진행했던 연구 성과물을 발표했다. 실제 이들은 프로젝트 기간 동안 관련 기관과 공조해 수많은 취약점을 패치했으며, POC 2014 컨퍼런스에서 발표를 진행하는 등 대내외 적으로 많은 관심을 받아왔다.
 
성공회대학교의 김민기 군은 “안드로이드 악성 앱 분석 및 수사지원 도구” 프로젝트에 대해 설명하였다. 해당 프로젝트는 실무 수사를 진행하는 수사관들이 스미싱 등의 사고 발생 시 분석을 용이하게 할 수 있도록 체계화된 안드로이드 악성 앱 분석 가이드라인을 제시하는데 목표를 두었으며, 자동으로 악성앱을 분석하고 보고서를 통해 정보를 제공하는 분석 도구를 제작했다. 도출된 결과물은 현직 경찰관들에게 호평을 받았다.
 
고려대학교 대학원에 재학 중인 이호진 군은 “사회공학 취약점 진단 자동화 도구”를 발표하며, 사회공학적 해킹으로 발생할 수 있는 위협이 점차 증가하고 있음에도 체계화된 연구가 진행되고 있지 않음을 지적하고, 이러한 배경에서 사회공학 취약점 진단 프로세스 수립을 하는 것에 목표를 두었다고 밝혔다. 이호진 군은 실제 현장에서 다양한 사회공학 취약점 분석이 가능하도록 자동화 도구를 개발하였으며, 이는 실제 보안 업체에서 컨설팅 업무에 도입할 것을 제안하기도 했다. 또한 사회공학 해킹에 대한 인식 제고를 위해 각종 고교, 대학 등에서 보안 교육을 수행하기도 했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com