2022-05-26 11:40 (목)
[POC2021] 19개 국가 350여 명 보안연구원 참가…제로데이부터 인공위성 취약점 연구까지 폭넓은 주제 다뤄
상태바
[POC2021] 19개 국가 350여 명 보안연구원 참가…제로데이부터 인공위성 취약점 연구까지 폭넓은 주제 다뤄
  • 길민권 기자
  • 승인 2021.11.17 11:55
이 기사를 공유합니다

Power of XX, 총 28개팀 73명 참가...Cutting Edge CTF, POC Quiz 등 다채로운 이벤트도 성황리 개최
POC2021 성황리 개최
POC2021 성황리 개최

지난 11월 11~12일 POC2021 컨퍼런스가 온라인으로 개최되었다. 작년에 이어 올해도 코로나19로 인해 부득이하게 온라인으로 진행된 POC2021은 한국 뿐 아니라 미국, 중국, 러시아, 독일, 영국, 네덜란드, 이탈리아, 이스라엘, 호주, 캐나다, 홍콩, 터키, 대만, 베트남, 싱가폴, 벨기에, 인도, 아랍에미레이트 등 19개 국가 약 350명 연구원들이 참가했다.

POC 측은 ‘오징어 게임’ 열풍에 발 맞추어 메인 인트로 비디오, 기념 티셔츠 등을 제작해 참가자들의 흥미를 끌었고, 온라인으로 진행된 학회임에도 발표 주제의 수준을 유지해 국내·외 연구원들로부터 오프라인 못지 않은 관심을 받았다고 전했다.

주요 발표 주제 및 내용은 다음과 같다.

◇Orange Tsai, "The Proxy Era of Microsoft Exchange Server"

2021년에 가장 큰 보안 취약점 이슈를 이야기할 때 빠지지 않는 것이 Microsoft Exchange Server에서 발생한 취약점들이다. 특히 Orange Tsai가 발견한 취약점들은 APT 그룹이 악용해서 큰 피해를 입히기도 했다. 발표자는 Exchange Server가 2013 버전에서 프론트엔드와 백엔드로 분리되는 변경이 있었고, 이러한 설계 변경으로 인해 발생하는 컨텍스트 간 불일치 문제가 있을 것이라고 예상해 CAS(Client Access Service)에 초점을 맞추어 연구를 진행했다고 한다. 그렇게 찾은 9개의 취약점을 이용해 4개의 공격 체인을 구성해서 각각 ProxyLogon, ProxyOracle, ProxyShell, ProxyRelay라는 이름을 붙였다. 이번 발표에서는 자신이 찾지 않았으나 Exchange Server에서 발견된 또 다른 공격 체인인 ProxyNotFound와 ProxyToken에 대한 설명까지 함께 추가해 2021년 한 해 동안 발생한 Exchange Server의 취약점의 흐름에 대해 알아볼 수 있었다.

◇Yunhai Zhang, "How Did Printers Become Nightmares?"

Windows 프린터 스풀러에서 발생하는 취약점 역시 2021년 큰 이슈 중 하나였다. 특히 PrintDemon 취약점군은 악성 행위자에 의해 악용되며 큰 피해를 발생시키기도 했다. NSFOCUS의 TIANJI 랩 소속인 Yunhai Zhang은 2010년부터 프린터 취약점이 반복되어 왔음을 지적하며 프린터 스풀러 서비스가 다양한 기기들을 호환해야 하는 부분에서 논리 버그 문제를 지닐 수 있음을 설명했다. 또한 취약점 패치 역시 효과적으로 진행되지 않아 하나의 이슈에 대해 세 번의 패치가 진행되는 동안 발생한 각 패치의 문제점을 분석했다. 그는 마지막으로 앞으로도 스풀러 취약점이 계속될 것이라고 덧붙이며 사용자와 개발자의 주의가 필요함을 지적했다.

◇Mengyun Tang & Tony Huang & Kevin Zhang, "From Attack to Defense: Towards AI Model Security Protection" + ALT & Kang Li, "AI Model Fuzzing: Finding Vulnerabilities in TensorFlow"

POC 학회에서는 최근 다양한 분야에서 AI 기술이 활용되고 있기 때문에 AI에 대한 보안 역시 중요하다고 판단해 두 개의 관련 주제를 채택했다. AI 관련 공격과 방어는 AI 모델이 주요 대상이 된다.

Mengyun Tang, Tony Huang, Kevin Zhang은 AI 모델의 보안에 대해 논의했다. 고품질 AI 모델을 훈련시키는 것은 비용이 많이 드는 부분이므로 완성된 AI 모델은 가치가 높다. 발표자들은 공격자의 측면에서 재판매 등을 위해 AI 모델을 훔쳐내는 방법과 방어자 측면에서 워터마크를 도입하는 방법에 대해 논의를 진행했다.

ALT와 Kang Li는 AI 프레임워크에 대한 퍼징 기술 발표를 진행했다. 잘못된 AI 모델이 주입될 경우 이를 이용하는 프레임워크 내에 존재하는 취약점들이 활성화될 수 있으므로, 이는 중요한 공격 벡터가 된다. 특히 현재 프레임워크들은 완벽하지 않은 체크 알고리즘으로 인해 이와 같은 공격에 취약한 상태이다. 발표자들은 가장 많이 사용되는 프레임워크인 TensorFlow에 대해 퍼징을 이용해 취약점을 발견하는 연구를 진행했으며, 100여개 이상의 취약점을 발견해서 보고했다.

◇Alex Plaskett, "Pwning the Windows 10 Kernel with NTFS and WNF"

최근 보안계에서는 중요한 취약점이 탐지되면 연구원들이 추가 연구를 통해 해당 취약점의 PoC를 공개하는 일이 많았다. 하지만 카스퍼스키가 탐지를 통해 발견한 Windows 권한상승 취약점(CVE-2021-31956)은 아직도 공개된 PoC가 없다. NCC 그룹의 Alex Plaskett은 Windows 10 Kernel Heap-Backed Pool에서 발생하는 해당 취약점을 분석하여 PoC까지 제작하는 발표를 선보였다. NCC 그룹의 정책상 취약점의 PoC 자체는 공개하지 않았지만, 연구자들은 이 발표를 통해 최신 커널 풀 익스플로잇 기법과 WNF를 사용하는 익스플로잇 프리미티브 활성화 기법 등을 확인하여 자신만의 PoC 제작을 할 수 있게 되었다.

이외에도 안드로이드 기기에서 발생하는 취약점 연구, 크롬 브라우저에서의 취약점 연구, 웹 메신저에 대한 퍼징, 이미 사용되고 있는 취약점 연구를 통한 제로데이 연구 등 취약점 연구 분야에 대한 다양한 관점의 발표와 인공위성을 이용한 통신 모뎀 연구 등 폭넓은 보안 관련 연구 발표가 진행되었다.

◇다양한 이벤트도 개최

POC에서는 학회 발표 외에도 참가자들이 참가할 수 있는 다채로운 이벤트를 운영한다. 올해는 SISS와 Demon팀이 운영하는 여성해킹대회인 Power of XX, 보안업체 티오리의 Dreamhack 플랫폼을 활용한 Cutting Edge CTF와 POC Quiz가 있었다.

Power of XX는 온라인 팀전으로 진행되었고 총 28개팀, 73명 참가자가 있었다. 대회 운영을 맡은 숙명여자대학교 SISS와 Demon팀 멤버들은 막대과자날 컨셉의 대회 사이트를 운영하고, 포너블, 웹, 리버싱, 암호학, 포렌식 등 다양한 분야의 챌린지를 구성했다.

분야별 문제 수의 고른 분포를 통해 참가자들이 여러 분야의 지식을 습득하고 문제 풀이 능력을 향상시킬 수 있도록 했다는 평이다. 1~5위 수상팀에게는 메달과 상장, 상품권, 마우스패드 등 다양한 상품이 제공되었다.

Cutting Edge CTF는 블록체인, 자율주행, 메타버스 등 신기술을 접목시킨 6개의 Cutting edge 기술 문제로 구성된 대회이다. 대회가 운영된 10월 31일부터 11월 6일까지 225명이 참가하였고, 상위 3명에게 POC2021 참가 티켓, 드림핵이 특별 기획한 ESDR 굿즈 패키지, 60만원 상당의 드림핵 포인트를 지급했다.

POC Quiz는 POC와 관련된 퀴즈들로 구성된 대회이다. 11월 7일부터 9일까지 61명이 참여하였고, “제1회 POC 첫 키노트 스피커가 만든 대표적인 소프트웨어 3가지를 알파벳 순으로 말해보세요.”, “POC 컨퍼런스의 메인 미디어는?”, “POC 명예의 전당에 올라간 베스트 스피커는 몇명인가요?” 등 POC 웹 사이트에서 찾을 수 있거나 역사와 관련된 문제들이 출제되었다. 마찬가지로 상위 2명의 수상자들에게 POC2021 참가 티켓과 드림핵 포인트가 지급되었다.

주최사인 피오씨시큐리티 관계자는 “코로나를 이겨내고 평범한 일상으로 돌아가자는 전세계 흐름에 따라 우리나라도 ‘위드 코로나’ 슬로건을 내세우며 일상을 되찾기 위해 노력하고 있다. 올해까지는 모두의 안전을 위해 비대면 가상 학회로 운영했으나 미국과 유럽에서는 이미 하이브리드 형태로 학회를 진행하고 있다. 2022년 4월과 11월 둘째 주에 열리는 Zer0Con과 POC 또한 하이브리드 형태 또는 오프라인으로 개최할 예정이며, 오랜만의 대면 학회인 만큼 더욱 알차게 준비하겠다”고 밝혔다.


[FICCA2021] 아시아 금융&산업 사이버보안 컨퍼런스 2021에 보안담당자 여러분을 초대합니다.

-주최: RALFKAIROS(랄프캐로스)

-공동주최: 데일리시큐

-날짜: 2021년 11월 26일(금) 온라인(무료참관)

-참석대상: 국내 및 해외 공공, 기업, 금융기관 CISO, 정보보안실무자

-강사: 국내·외 최고 사이버보안전문가 초청강연(통역지원)

-무료참관등록: 클릭

▶지금 사전등록하세요!

★정보보안 대표 미디어 데일리시큐!★