2024-03-28 23:20 (목)
[BlackHat Asia 2017] 한승훈∙강정환 연구원, 커널 보호기술 실용화 지평 열어
상태바
[BlackHat Asia 2017] 한승훈∙강정환 연구원, 커널 보호기술 실용화 지평 열어
  • 길민권 기자
  • 승인 2017.04.01 14:40
이 기사를 공유합니다

블랙햇 아시아서 ‘경량 가상화기반 운영체제 보호기술-쉐도우박스’ 공개로 화제

▲ BlackHat Asia 2017에서 국보연 한승훈, 강정환 연구원이 참관객들에게 커널 보호 시스템 Shadow-Box를 시연해 보이고 있다.[데일리시큐=싱가포르]
▲ BlackHat Asia 2017에서 국보연 한승훈, 강정환 연구원이 참관객들에게 커널 보호 시스템 Shadow-Box를 시연해 보이고 있다.[데일리시큐=싱가포르]
[싱가포르] ‘블랙햇(BlackHat) 아시아 2017’이 3월 28일부터 31일까지 싱가포르 마리나 베이 샌즈에서 개최됐다. 현장에는 싱가포르 해킹 보안 관계자를 비롯한 전세계 보안관련 전문가들이 대거 참석했으며 글로벌 보안 이슈와 취약점 발표, 트레이닝 코스, 보안전시회 등이 동시에 열렸다. 블랙햇은 상업적 컨퍼런스인 ‘RSA’와 해커 축제인 ‘데프콘’의 중간 정도의 성격을 가진 컨퍼런스로 볼 수 있다.

한편 30일 비즈니스홀 내부에는 40여개 글로벌 보안기업들의 전시회와 함께 ‘ARSENAL(아스날)’이라는 타이틀로 최신 보안기술과 취약점을 시연하는 자리도 있었다. 많은 참관객들이 한 시연장소에 북적이는 모습이 보여 찾아가 봤다. 많은 사람들이 시연자의 설명과 스크린을 관심있게 지켜보며 질문도 하고 흥미로움을 표했다. 주인공들은 바로 한국 국가보안기술연구소 소속 한승훈 연구원과 강정환 연구원이었다.

시연 후 그들은 많은 참관객들이 운집한 발표장에서 관련 내용에 대해 유창한 영어로 발표도 진행했다.

이번 시연주제는 ‘Shadow-Box: Lightweight Hypervisor-Based Kernel Protector’였다. 2년간 연구한 결과인 ‘경량 가상화기반 운영체제 보호기술-쉐도우박스’를 이번 블랙햇 아시아 2017에서 발표하게 된 것이다. 발표제목은 ‘Myth and Truth About Hypervisor-Based Kernel Protector: The Reason Why You Need Shadow-Box’다. 발표내용을 요약하면 다음과 같다.

▲ BlackHat Asia 2017에서 국보연 한승훈, 강정환 연구원이 커널 보호 시스템 Shadow-Box에 대해 발표 후 사진촬영.[데일리시큐=싱가포르]
▲ BlackHat Asia 2017에서 국보연 한승훈(좌), 강정환(우) 연구원이 커널 보호 시스템 Shadow-Box에 대해 발표 후 사진촬영.[데일리시큐=싱가포르]
연구 동기에 대해 한승원 연구원은 “리눅스 커널은 루트킷과 커널 익스플로잇 공격에 취약하다. 안티바이러스(AV)를 보안 제품으로 사용하고 있지만 AV도 커널 레벨에서 동작하고 있기 때문에 우회공격이 가능하게 된다”며 “현재 보안도구로는 이러한 커널 공격을 막을 길이 없다. 악성코드가 동작하는 레벨에서 같이 작동하기 때문이다. 그래서 리눅스 커널 보다 더 하위 레벨에서 리눅스 커널을 보호할 수 있으면 높은 권한을 가지고 커널을 보호할 수 있지 않을까란 생각을 가지고 연구를 시작하게 됐다”고 설명했다.

또 시연 내용에 대해 강정환 연구원은 “가상화 기술을 이용해 리눅스 커널을 보호할 수 있는 보안기술을 개발하게 됐다. 이를 쉽게 설명하기 위해 2개의 시연 영상을 준비했다”며 “하나는 루트킷을 이용해 악성코드가 감염되는 전형적인 공격 형태를 보여주는 것이다. 또 하나는 우리가 개발한 경량가상화기반 운영체제 보호기술-쉐도우박스를 실행해 보여줬다. 이 기술을 실행하면 작동중인 시스템을 안전영역과 일반영역으로 분리해준다. 응용프로그램이나 리눅스 커널은 일반영역에서 구동하고 커널 보호기술은 안전영역 즉 시큐어월드에서 구동된다. 안전영역과 일반영역 사이에 경량가상화기반 운영체제가 보호막을 치고 일반영역에 침투한 공격이 안전영역으로 전이되는 것을 차단시켜주게 된다”고 설명했다.

두 연구원의 이번 연구결과물인 ‘경량가상화기반 운영체제 보호기술-쉐도우박스’는 기존에 이와 유사한 연구 결과들이 있었지만 실제 적용이 어려웠던 것에 비해 실제 적용이 가능하도록 만들었다는데 큰 의미가 있다. 실제 데스크탑 PC 및 모바일 장치 등을 보호하기 위해 실용적이고 가벼운 커널 보호 장치를 만들기 위해 실용적이고 가벼운 커널 보호 장치를 설계하자는 것이 목적이 었다.

결국 실험실 환경과 실제 환경은 다르기 때문에 1년 동안 수많은 시행 착오를 겪으면서 실제 환경에도 적용이 가능한 가상화 기술을 개발한 것이다. 그래서 블랙햇 참관객들도 큰 관심을 가지고 시연과 발표장에 모여들었다. 즉 상업화가 가능한 기술 단계에 이르도록 만든 것이다. 보안기업들이 적극적으로 적용해 볼만한 기술로 높은 평가를 받았다.

두 연구원은 이번 연구 결과물을 오픈소스로 공개할 것이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★