2024-03-19 16:50 (화)
제 15회 국제 해킹·보안 컨퍼런스 POC 2020, 11월 11~13일 개최
상태바
제 15회 국제 해킹·보안 컨퍼런스 POC 2020, 11월 11~13일 개최
  • 길민권 기자
  • 승인 2020.09.14 18:18
이 기사를 공유합니다

제로콘 및 비공개 세미나, 벨루미나 CTF, 여성해킹대회 등 동시 개최
국내·외 최고 해킹·보안 연구가들 최신 연구 결과 발표 예정
국제 해킹•보안 컨퍼런스 POC, 오는 11월 11~13일 온라인 개최.
국제 해킹•보안 컨퍼런스 POC, 오는 11월 11~13일 온라인 개최.

올해 15주년을 맞는 국제해킹·보안 컨퍼런스 ‘POC’가 오는 11월 11~13일, 사흘간 온라인으로 개최된다.

국내외 해킹보안 연구자들의 축제이기도 한 POC는 코로나 사태가 지속됨에 따라 온라인으로 열리며, 4월에 운영되지 못했던 ‘Zer0Con(제로콘)’과 함께 ‘POC x Zer0Con’으로 운영한다.

한편 15주년을 기념하면서, 2006년 제 1회부터 올해까지 모든 발표자들과 발표 주제를 소개하고 기념하는 페이지도 공개한다. 온라인 진행 외에 지난 행사와 달라진 점은 트레이닝코스를 운영하지 않는다는 것이다. 온라인으로는 기존과 같이 트레이닝 코스의 효율적 지식 전달이 어렵다고 판단해 트레이닝 코스는 운영하지 않게 되었다.

POC는 9월 1일부터 컨퍼런스 등록을 시작했고, 조기 등록 기간은 9월 30일까지다. 참가자들이 오프라인 참가를 통해 얻을 수 있는 네트워킹 등의 기회가 감소함을 고려해 등록비를 인하해 책정했다.

POC 컨퍼런스 주최인 POC Security는 올해도 분야별 최고 연구자와 주제들을 선발하기 위해 박차를 가하고 있다. 현재 8개 주제를 선정한 상태고, 추가 선정 작업을 진행 중이다. 발표자 모집은 계속 진행 중이며 POC2020 CFP 제출 마감일은 10월 10일이다.


선정을 완료한 8개 주제는 다음과 같다. 순서는 발표자의 이름 알파벳 순이다.

먼저, 국내 보안 업체 하임시큐리티 이범진 연구원은 “Practical prototype pollution on NodeJS applications” 제목으로 nodejs 관련 발표를 진행한다. 수년간 nodejs에 대한 관심이 증가하고 있다. 해당 발표에서는 프로토타입 오염 취약점에 의한 컨텍스트 삽입 기술이 실제로 어떻게 nodejs에서 사용되는지를 설명한다. 또한 예시를 통해 간과된 논리 취약점의 영향을 DOS에서 RCE로 확대하는 방법을 소개한다.

2018년부터 POC 발표자로 참가하고 있는 러시아 BI.ZONE의 Denis Kolegov는 이번에 “Breaking SD-WAN Crypto Protocols”를 발표한다. SD-WAN 암호화 프로토콜과 그 구현에 대한 발표로, IPsec UDP 프로토콜 소개와 그 설계 및 구현이 암호화 관점에서 올바르지 못하다는 사실을 짚어낼 예정이다. 또한 악용될 수 있는 다른 SD-WAN 제품 취약점에 대해서도 논할 예정이다.

올해로 두번째 발표를 진행하는 맥아피의 Ryan Sherstobitoff는 아시아 태평양 지역 위협 인텔리전스 전문 선임 분석가이다. 그는 위협 그룹 Hidden Cobra(히든코브라)와 관련된 사이버 작전이 증가한 것을 관찰했고, 이를 계기로 그들이 수행한 여러 작전을 분석하고 리뷰해보고자 한다. 기술적 측면에서는 히든코브라에 속한 인프라 식별을 위한 연구 방법과 올해 새롭게 드러난 임플란트들도 파헤칠 계획이다.

윈도우 커널 연구 주제로 발표했던 Yunhai Zhang도 다시 POC를 찾는다. 이번에는 “Exploit Windows Kernel In 2020”라는 주제로, 커널 익스플로잇을 막기 위한 KASLR, NX/DEP, SMEP, SMAP, TypeIsolation, KCFG, VBS, HVCI 등 여러 완화 기법을 살펴본다. 이들 완화 기법의 보안성과 유용성에 대해 논의한 후, 모든 완화 기능을 활성화한 상태에서 커널에서 코드를 실행하는 몇가지 트릭을 선보일 예정이다.

곧 주제를 공개할 발표자들은 다음과 같다. 먼저 Liang Chen 연구원의 iOS 익스플로잇 관련 발표가 확정되어, 이번에도 해커 및 보안 전문가들의 최대 관심사 중 하나인 최신 iOS 보안 기술과 공격 기법을 POC에서 선보일 수 있게 되었다. Jérémy Fetiveau의 크롬 브라우저를 주제로 한 발표도 많은 브라우저 연구자들의 주목을 받을 것으로 예상된다.

위협 인텔리전스, 포렌식 등 여러 보안 분야에서 경험을 쌓아온 Grugq도 오랜만에 POC에서 발표 예정이며, 오리건 주립대학교 장영진 교수의 클라우드 보안 관련 발표도 확정되었다. 장영진 교수는 CPU, 운영체제, iOS, IoT 등 다양한 분야 연구를 진행하고 있으며, POC2017에서 인텔이 SGX를 추가하면서 발생하는 약점을 공격하는 방법에 대한 발표를 진행한 바 있다.


한편 세계적 연구자들의 발표 이외에도 비공개 세미나, Belluminar(벨루미나) CTF, Power of XX(여성해킹대회) 등 각종 이벤트들도 준비 중이다. 벨루미나는 올해 5회, 여성해킹대회는 10회를 맞이하는 POC의 대표 이벤트다.

앞서 언급한 비공개 세미나는 초대받은 소수만 참가할 수 있는 특별한 이벤트로, 상세 내용은 곧 공개한다. 문제 제작 및 풀이 능력을 모두 뽐낼 수 있는 해킹대회인 벨루미나는 현재 팀을 모집 중이며, 우승팀에게는 Zer0Con 2021 참가 티켓 등 혜택을 제공한다. 여성해킹대회도 많은 참가자들이 즐길 수 있는 컨셉으로 온라인 운영을 위한 준비 작업 중이다. 이밖에 보안, IT와 관련된 혹은 참가자와 진행자 모두가 즐길 수 있는 크고 작은 이벤트를 운영 팀도 모집 중이다.

이벤트들은 POC2020 등록 없이도 무료로 참가가 가능하며 자세한 이벤트 관련 소개는 홈페이지를 통해 업데이트될 예정이다. POC2020은 현재 조기 등록이 진행 중이며, 등록 관련 정보는 다음과 같다.

<POC2020 등록>
- 등록 페이지: 클릭
- 조기 등록: 9월 1~30일
- 후기 등록: 10월 1~31일
- 기타 문의: pocadm@gmail.com
- 각종 공지: 클릭, 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★