‘POC x Zer0Con’으로 운영된 15회 국제 해킹・보안 컨퍼런스 ‘POC2020’이 지난 11월 11~13일, 사흘간 온라인으로 성황리 개최됐다.
POC2020에는 미국, 러시아, 이스라엘, 중국, 이탈리아, 싱가포르, 네덜란드 등 국내·외 250여 명의 해킹·보안 연구가들이 참여했다.
국제 해킹·보안 컨퍼런스로 글로벌 해커들 사이에서는 이미 정평이 나있는 POC는 15년간 꾸준히 성장해 왔다. 세계 각지의 화이트 해커들과 보안연구가들은 11월이면 POC 참석을 위해 들뜬 마음으로 한국행 비행기에 몸을 실어왔다.
하지만 올해는 아쉽게도 코로나19로 인해 온라인으로 진행하게 됐지만 POC 주최측은 15주년 기념을 위해 그동안 공헌자들을 위한 감사 웹페이지를 만들고 선물도 전달했다. 또 1회부터 15회까지 모든 발표자들에게 감사의 마음을 담은 웹페이지를 제작해 헌사하는 이벤트도 가졌다. 또한 온라인으로 여성해킹 대회인 ‘Power of XX’와 ‘Bingo CTF’ 등 2개의 CTF 해킹대회 이벤트도 진행해 관심을 끌었다.
온라인으로 진행된 POC였지만 여전히 발표 퀄리티는 기존 명성대로 유지됐다. 올해 주요 발표내용을 보면 다음과 같다.
■POS기기를 타깃으로 해킹…현금 인출 시연
포지티브테크놀로지(Positive Technologies)의 Aleksei와 Timur가 POS 단말기를 주제로 진행한 연구 결과를 발표했다. 2017~18년부터 POS 해킹 연구가 많이 진행되고 있으며, 블랙 마켓에서는 복제 POS 단말기가 많이 팔리고 있다고 한다. 연구원들은 여러 주요 벤더사들의 POS 터미널들을 살펴보고, 장치 분해, 터미널 복제 등을 통해 무기화하는 방법을 소개했다.
■아이폰 해킹 최고 기술 보유한 중국 연구원의 최신 iOS 14 해킹 발표 및 시연
매년 POC 마지막 발표로 최신 iOS 버전 해킹 및 데모를 공개하는 Liang Chen의 발표도 있었다. 얼마 전 릴리즈된 iOS 14 버전에서 이전과 비교해 강화 또는 향상된 보안 기술에 대해 소개하고, 이로 인해 익스플로잇이 얼마나 더 어렵게 되었는지 설명했다.
또한 이러한 기술들을 완화, 우회하여 공격에 성공하는 아이폰 12 Pro(iOS 14.2) 시연 영상도 공개하여 iOS 연구자들에게 많은 관심을 받았다. 특히 그가 발표한 시연 영상은 POC 운영진 트위터에서 10만명 이상에게 관심을 받았으며, POC 측은 이를 유튜브에도 공개했다.
■세계적 버그바운티 대회 Pwn2Own 2020에서 공격에 성공한 사파리 브라우저 익스플로잇 및 새로운 기술 공개
조지아텍 박사 과정 중에 있는 진용휘, 임정원이 Pwn2Own 2020에서 공개한 사파리 브라우저 익스플로잇에 대한 발표이다.
이들은 퍼징같은 자동화 기술이 아닌 수동 분석으로 취약점들을 찾아내었고, 시스템의 최고 권한을 획득하기 위해 발견된 취약점 중 서로 다른 6개를 결합했다. 해당 취약점들은 JIT bug, Heap overflow, Logical bug, Design 문제, 레이스 컨디션 2개로 발표자들은 각 취약점과 취약점들을 어떻게 결합했는지에 대해 자세하게 설명했다.
또한 발표자들은 올해 블랙햇USA에서의 발표에 CVE-2020-9850, 9856 패치 관련 내용, 쉘코드를 만들기 위한 Mach-O로서, 필요한 새로운 샌드박스룰 등에 대한 자세한 설명을 추가해 관련 주제 연구원들이 참고할 수 있도록 했다.
■휴대폰으로 해킹 가능! 휴대폰에 탑재되는 보안 툴 공개
한편 한국 발표자로 GilGil(이경문 BoB 멘토/중부대 교수) & Yubin Sim(심유빈) & Byoungjun Choi(최병준)은 노트북이 아닌 안드로이드 스마트폰에서 사용할 수 있는 네트워크 보안툴도 공개됐다. 총 4가지의 이 툴들은 각각 △Arp attack을 테스트할 수 있는 툴인 NetKiller, △강제로 스테이션 시그널을 생성할 수 있는 툴인 SSG, △Deauthentication, 공격 툴인 NetKillerW, △주변 신호들의 세기를 측정할 수 있는 TopNViewer 등이다.
그들은 네트워크를 이용하는 주변 기기들을 타깃으로 노트북이 아닌 스마트폰만으로도 공격이 가능해 네트워크 보안의 새로운 도전과제를 제시했다.
■제로데이 거래 기업 ‘Crowdfense’의 비공개 토크 운영 및 발표 진행
세계 최고의 제로데이 거래 업체인 Crowdfense의 CEO, Andrea Manzoni가 세계 최초로 개발한 통합 솔루션을 비공개 세션에서 공개했다. 해당 세션에는 초대 받은 참가자만 참가할 수 있었다.
둘째날 진행된 발표 세션에서는 자체 개발 서비스인 VRH(Vulnerability Research Hub)를 소개하고, 이를 통해 익명으로 제로데이 취약점을 안전하게 거래하는 방법을 소개해 전세계 해커들의 큰 관심을 끌었다.
■이 밖에도 구글 프로젝트 제로 연구원 Ned Williamson의 "Fuzzing iOS Kernel Networking in Usermode”, Qihoo 360 Alpha Lab 소속 Jun Yao의 "Three Dark Clouds over the Android Kernel”, 전 구글 연구원 Alexandru-Vlad Niculae의 "Enabling coverage-guided binary fuzzing on macOS” 등 발표들이 있어 분야별 연구자들에게 좋은 평가를 받았다. 발표 외에 질문 답변이 실시간으로 진행되어 참가자들이 발표를 들으며 궁금한 부분을 발표자에게 직접 물어볼 수 있도록 했다.
■코로나19 퇴치 기원 CTF 해킹대회 이벤트 운영
한편 2011년에 시작된 Power of XX가 어느 덧 10회를 맞이했다. 올해 Power of XX는 온라인 개인전으로만 진행되었으며, 총 70여명 참가자가 있었다. 대회 운영을 맡은 숙명여자대학교 SISS와 Demon팀 멤버들은 코로나19를 이겨내자는 생각으로 코로나 퇴치 컨셉의 문제들을 출제했고, 시스템, 웹, 리버싱 등 다양한 분야로 구성했다.
1~10위 수상자들에게는 인프런 할인권, 여성해킹대회 한정 후드티, 기프티콘 등 다양한 상품이 제공되었다.
또한, 올해는 더 많은 사람들에게 학습 및 대회 경험을 제공하기 위해 추가로 일주일간 오픈 중이다. 현재 국내·외 많은 참가자들이 문제 풀이 중이므로, 관심 있는 참가자들은 자유롭게 참가할 수 있다. (클릭)
Bingo CTF는 문제 풀이 갯수와 상관없이 제한 시간내에 가장 많은 빙고를 달성한 참가자가 우승하는 빙고 컨셉의 대회다. POC2020에서 HypwnLab 팀이 처음 운영한 이벤트이며, HypwnLab은 국내에서 1-day, 0-day 취약점들을 주로 연구하는 팀이다.
Bingo CTF에는 총 300여명이 참가했고, 우리나라 외에도 미국, 중국, 일본, 싱가폴 등 다양한 국가 참가자들이 있었다. 상위 3명 수상자들에게 각각 $100, $50, $30의 상금과 한정판 티셔츠를 수상했다. 1~2위는 한국인, 3위 수상자는 일본인이다. 좋은 평가를 받은 대회인만큼 다음번 학회에서도 진행될 수 있을지 기대해본다.
POC2020 주최측인 POC시큐리티 관계자는 “POC 15주년을 기념하기 위해 온라인 개최였지만 많은 준비를 했다. 지난 여름에 진행한 해킹캠프에서 온라인 진행을 테스트하면서, 무사히 온라인 POC2020을 마무리 할 수 있게 돼 기쁘다”며 “POC는 오프라인에서 전세계 해커들이 만나 커뮤니티를 형성하고 정보를 공유하는 것이 가장 큰 매력이지만 이번엔 어쩔 수 없었다. 하지만 공헌자 페이지와 모든 발표자 페이지를 만들어 기념했고 또 페이지 곳곳에 서울 이미지를 넣어 한국에 오지못한 아쉬움을 달랬다. 한편 온라인이지만 기존 POC의 강연 퀄리티를 유지하기 위해 노력했다. 내년 POC는 기존 대로 오프라인으로 진행할 수 있길 기원한다. 더욱 알찬 컨퍼런스로 준비하겠다”고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★