코스콤이 주최하고 HARU 해커연합, 고려대 정보보호대학원이 주관하는 시큐인사이드 2012가 7월 10일부터 11일 양일간 리츠칼튼 호텔에서 개최된다. 컨퍼런스 주제도 다양하다. 다음은 주요 컨퍼런스 발표내용이다.
 
◇(session 1-3) 홍동철(쉬프트웍스) - 금융 어플리케이션 해킹 위협 및 대응
스마트폰 사용자가 폭발적으로 증가하면서 모바일에서의 금융거래를 하는 사람들이 점점 증가하고 있으며 관련된 금융앱도 꾸준히 나오고 있다. 하지만 스마트폰도 PC와 마찬가지로 보안 위협에서 벗어날 수 없는데 이에 어떠한 위험이 나타날 수 있는지 쉬프트웍스 홍동철 팀장이 발표를 맡아 설명한다.
 
금융앱에 위험이 되는 기법 설명과 이에 대한 시연 부분이 포함되어 있어 기술 설명과 시연을 함께 체감할 수 있게 구성된다.
 
스마트폰의 플래시 메모리에 저장된 파일과 계정에 따른 권한 설정으로 인해 허가되지 않은 사용자의 접근이 불가능하도록 되어 있지만, 플랫폼이 변조되어 관리자 권한을 획득한 사용자 및 어플리케이션은 플랫폼에서 권한별로 분리된 파일정보 접근이 가능할 수 있으므로, 공인인증서 파일추출, 응용프로그램 파일 추출 등의 악의적인 행위가 가능하다.
 
특히, 금융 어필리케이션이 이용자의 ID와 패스워드와 같은 중요 정보를 저장할 경우 이로 인한 위협 수준은 더욱 높아진다. 해외의 경우 일부 은행의 스마트폰, 전자금융 어플리케이션이 전자금융 ID, 계좌번호, 패스워드를 저장하는 것이 확인되어 위험 수준의 보안 문제로 제기된 바 있다. 주요 정보들이 저장되고 열람되는 과정에서도 암호화 적용이나 열람 권한 설정과 같은 보안 수준이 확인되지 않았으므로 이로 인해 발생되는 취약성을 통해 중요 정보가 수집되거나 노출될 수 있다. 이에 대한 발표는 총 4챕터로 이루어질 예정이다.
 
이 가운데 시연이 눈길을 끌만하다. 이번 행사에서 시연할 내용은 탈옥된 단말기에서 금융앱을 이용하게 되면 얼마나 위험한지 알려주는 IOS 환경에서의 후킹(hooking)기법과 로컬 권한 상승 취약점을 이용하여 원격 제어를 하여 키패드를 조회하는 등의 내용이다.
 
후킹이란 소프트웨어 구성 요소 간에 발생하는 호출, 메시지, 이벤트 등을 중간에서 바꾸거나 가로채는 명령, 방법, 기술이나 행위를 말한다.
 
◇(session 2-3) 홍정우(해커스쿨) - 펌웨어 해킹을 통한 유무선 공유기 장악 및 금융 정보 탈취
노트북 및 모바일 기기가 급속도로 발전하고 많이 보급됨에 따라, 주변기기들이 손쉽게 인터넷에 접근 할 수 있도록 도와주는 유무선 공유기의 사용이 늘어나고 있다. 아파트 단지 혹은 도심 한복판에서 스마트폰으로 공유기를 검색해보면 한 지점에서 최소 10개 이상의 공유기가 발견된다. 이렇게 많은 곳에서 무방비한 상태로 운영되는 공유기들이 해커에 의해 장악되었을 때, 어떤 피해를 야기할 수 있는지에 대해 발표할 예정이다.
 
1. 보통 국내에서 많이 사용되는 I***과 A*** 등의 유무선 공유기 제품은 내부적으로 크게 MCU, 네트워크 컨트롤러, 램, 플래쉬롬, 전원부 등으로 나누어질 수 있으며, 각각 하드웨어적인 구성을 이루고 그 위에 소프트웨어적인 커널 및 펌웨어가 올라가게 된다. 이러한 구조에 대해서 개괄적으로 설명하고자 한다.
 
2. 공유기의 기존 취약점 소개에 대한 챕터이다. 국내외에서 발표되었던 공유기 관련 취약점들이 몇가지 있었으며, IPTIME , NetGear , Velkin , Linksys , D-link 에서 발견된 취약점들을 유형별로 간략하게 설명하고, 공유기의 기본 구성에 비춰보았을 때, 이러한 공개 취약점들이 어디서 어떻게 발생할 수 있는지 설명하고자 한다.
 
3. 국내 유명 벤더사의 공유기 해킹과정에 대한 공유기의 펌웨어를 분석함으로써 공유기 시스템 내부의 구조와 내부로 진입할 수 있는 방법을 알아내고, 펌웨어 프로그램들을 역분석 함으로써 취약한 부분을 찾아내 공격코드를 작성 할 수 있다. 결과적으로, 공유기의 공인 아이피만 알 수 있다면 공유기 시스템 내부로 진입할 수 있었으며, 내부의 설정파일들을 열람함으로써 공유기의 패스워드와 관리자 페이지의 인증을 우회할 수 있음은 물론, 해당 공유기를 통해 오가는 중요한 정보들을 열람하거나 변조하는 시연을 선보일 예정이다.
 
 4. 공유기 취약점 활용 시나리오 소개하고자 하며, 이는 상기와 같은 과정을 통해서 얻어진 공유기 시스템 내부의 관리자 권한을 이용하여 악의적인 공격자라면 어떤식으로 공유기에 접근하여 인터넷을 사용하는 사용자의 개인정보 및 금융정보를 탈취할 수 있는지 시나리오를 제시하고자 한다.
 
◇(session 2-2) 신정훈(해커스쿨) - 하드웨어/펌웨어 해킹을 통한 LED 전광판 조작
전광판 해킹에 대한 기본적인 개요에 대한 설명으로 우리 주변에서 많이 볼 수 있는 LED 전광판을 하드웨어적으로 해킹 하는 방법에 대해 다룬다. 소프트웨어적으로 접근 하는 방식이 아닌 하드웨어적으로 접근하여, 네트워크가 연결되어 있는 상황에서만 가능했던 해킹을 네트워크가 연결 되어 있지 않은 상황에서도 가능 하다는 것을 증명하고자 한다.
 
전광판에는 여러 가지 제어 방식이 있는데, 몇 가지를 예로 들어보자면, PC 네트워크를 이용한 제어 방식, CDMA 문자 메시지를 이용한 제어 방식, 리모콘을 이용한 제어 방식으로 나눌 수 있으며, 본 발표에서는 해킹에서는 리모콘을 이용한 제어 방식에 대한 연구를 진행하여 이에 대한 결과를 발표하고자 한다.
 
JTAG은 Joint Test Access Group 이라 불리며, 보통은 Boundary Scan 이라고 말합니다. 하드웨어를 보다 쉽게 디버깅 하기 위한 개념이다. 기존에 하드웨어를 제작하고, 회로 하나 하나에 오실로스코프를 사용하여 파형을 측정하던 디버깅 환경을 편하게 개선하고자 만들어진 표준이다. 이 JTAG 장비를 사용하면, 디버깅 하고자 하는 하드웨어의 CPU를 완벽하게 제어 가능하며, 이를 통해 해당 하드웨어의 프로그램(펌웨어)를 수정하거나 다운로드 받을 수 있다.
 
또한 개발자가 만든 프로그램을 하드웨어에 업로드하여, 디버깅과 테스트를 실시간으로 진행 할 수 있다. 이러한 JTAG의 강력한 기능 때문에 거의 모든 임베디드용 CPU에는 JTAG 기능이 장착 되어 있다. 하드웨어를 개발하는 개발자들 입장에서도 굉장히 편한 기능이기 때문에 하드웨어를 개발 할 때는 사용할 수 있도록 해놓고, 실제 제품 출시 땐 제거 하는 것이 일반적이며, 이는 강력한 JTAG가 타인(구매자 또는 공격자)에게 들어갔을 경우, 해당 하드웨어의 프로그램(펌웨어)에 접근이 가능하기 때문이다.
 
따라서, 쉽게 JTAG를 사용하지 못하도록 JTAG 핀 번호를 감추어 놓고 공개 하지 않거나, 아예 출시 당시에 JTAG 핀을 없애 버리는 경우가 일반적이다. 이번 해킹에서는 JTAG 핀 번호를 공개 하지 않은 경우에, 하드웨어 장비를 이용하여, 숨겨놓은 JTAG 핀 번호를 찾아내는 것을 다룰 예정이다.
 
전광판을 제어 할 수 있는 기본 리모콘을 복제하여, 기본 리모콘과 같은 기능을 할 수 있게 만들며,  리모콘 방식을 사용하는 외부의 다른 전광판들도 제어 할 수 있는 장면을 시연할 예정이다.
 
◇(session 2-1) 장상근(안랩) - Phishing & Pharming 금융사기 분석과 대응
Phishing(피싱) 이란, Private Data(개인정보) + Fishing(낚시) 가 결합하여 Phishing(개인정보낚시) 이라고 한다. 즉, Phishing 은 불특정 다수를 대상으로 금융기관 및 정부기관을 사칭하여 불법적으로 해킹 기술과 + 사회공학적 기법을 이용하여 개인정보를 탈취하는 사기수법이다.
 
본 발표에서는 먼저 피씽의 역사에 대해 간략히 아래와 같이 설명할 예정이다. Phishing 은1987년, Interex Conference 에서 Phishing 이란 개념이 소개 되었으며, 1996년에 AOL Phishing 사건이 첫 사건이다. 그 이후, 1997년 Ms.Gau에 의해서 Phishing 라고 불려지게 되었다. 2001년 이후에는 E-mail을 활용한 E-Gold Phishing, ““Post-911 ID Check”” 피싱이 있었고 지금도 계속해서 E-mail 을 활용한 Phishing 공격이 나타나고 있다. 지금은 더 진보하여 Voice Phishing, Pharming(파밍)으로 점점 진화하고 있다.
 
국내 피씽의 통계 자료 및 피씽 기법, 대상 등에 대해 소개할 예정이다.
-공격 유형에 의한 분류 : Mass Phishing , Spear Phishing , Pharming
-주요 타겟 : 온라인뱅킹, 쇼핑몰
-획득 하려는 정보 : 공인인증서, 계좌번호, 계좌비밀번호, 이름, 주민등록번호, 보안카드, 전화번호 카드번호, 민감한 개인정보 Phishing 기술은 아래와 같은 기술들이 사용되고 있으며, 이에 대해 설명하고자 한다.
-Social Engineering : E-mail 의 정보를 조작하여 관심있는 정보로 피싱
-Link Manipulation : 고의적으로 정상 주소의 철자를 조작, 링크주소 조작,
-XSS
-Phishing Kit
-Keylogger
-I.M
 
Phishing 과정을 다음과 같이 나타내어 설명하고자 하며, 국민은행, 농협, 우리은행의 피싱 사례에 대해 발표할 예정이다. 또한, 파밍(Pharming)에 대한 정의 및 기술에 대해 간략히 발표할 예정이다. 파밍은 대표적으로 Host 파일 변조, DNS Spoofing, DNS Cache Poisoning 기법 등이 있다.
 
◇(Session 3-3) 구태언 변호사(행복마루) – 금융보안 침해사고 대비 법률적 생존 전략
이 발표에서는 최근 해킹 사고 사례 분석, 개인정보 침해 사건 판례 분석, 판례상 책임 기준에 따른 대응 전략, 금융보안 침해사고와 위기 대응 그리고 금융사의 보안침해 사고 생존 전략이 소개된다.
 
금융과 비금융사 해킹사고 사례는 주로 악성코드를 이용한 APT 공격과 웹쉘을 이용한 공격, 협력업체 PC를 통한 본사 콜센터 웹서버 경유 DB서버 해킹, 내부 직원 PC 악성코드 감염 후 DB 해킹 등이 주를 이루고 있다.
 
이러한 사고를 통해 유발된 국내 8대 소송 사례를 살펴보고 각 사건에 대한 판례를 근거로 기업들은 어떤 대응 전략을 모색해야 하는지 살펴보는 시간이다.
 
◇(keynote 2) 발표자 : Lee SeungJin (beist), Yuji Ukai, Zhang XunDi
-주제: Korean, Japanese, and Chinese hacking scene and history
동아시아를 선도하는 한/중/일 3개국의 최정상 해커들이 최초로 한자리에 모여 각국의 해킹문화와 특징 역사에 대한 발표의 시간이다. 각 국가의 해킹 커뮤니티는 어떻게 이루어졌고, 현재의 진행상황과 우리 아시아 국가들의 장점과 단점에 대해서 알아볼 예정이다.
 
 
◇(session 1-1) 발표자 : Stephen A. Ridely
-주제: Hardware Hacking and Software Exploitation on the ARM Microprocessor
이번 발표에서 "Hardware Stuff"를 이용하는 방법을 소개한다. 이 기술은 해커들에게 그리고 보안을 연구하는 사람들에게 유용하게 활용될 수 있다. Hardware Stuff를 위한 대상으로 컴퓨터에서 사용하는 다양한 하드웨어 통신 매체(UART, SPI/I2C)들을 분석할 것이다.
 
시연을 통해 역공학, 스푸핑, 퍼징 등을 위한 간단한 하드웨어 구현이 진행되고, 시스템을 보호하는 다양한 메모리 기법 등을 우회하거나 무력화 하는 방법, 모바일 디바이스나 임베디드 시스템의 기반이 되는 ARM 시스템을 살펴볼 것이다.
 
ARM은 스마트폰 환경에서 가장 많이 쓰이는 마이크로프로세서다. 스마트폰이 보편화되면서 특히 모바일 상에서 이루어지는 금융 활동이 늘어남으로써 그 중요성이 대두되고 있는데, 이번 발표에서는 ARM 환경에서의 고급 해킹 기법에 대해서 알아볼 예정이다. 본 이슈는 세계에서 가장 유명한 보안 컨퍼런스인 블랙햇 2012에서도 발표될 예정이다.
 
◇(session 1-2) 발표자: fG! (저명한 Security Consultant. fG!은 닉네임)
-주제: Playing with OS X – How to start your Apple reverse engineering adventure
최근 Apple사의 제품들에 대한 관심이 증가 되고 있으며, 어느덧 애플 제품들은 우리 삶에 많은 부분을 차지고 하고 있다. 이로 인해 최근 애플사 제품의 운영체제(iOS, OS X)등에 대한 관심이 증가하고 있으며, 또한 대상 시스템에 대한 역공학 기법도 관심을 받고 있다.
 
하지만 지금까지 우리 삶 가운데 가장 보편적으로 다뤄졌던, MS 윈도우 시스템과 비교하자면, 애플사의 시스템을 해킹하기 위한 정보와 툴들은 매우 제한적이며 또한 애플 제품에 대한 악성코드나, DRM, 불법 복제 방지 기법, 안티 디버깅 등에 대한 기술 수준도 매우 초보적인 상태이다.
 
이번 발표의 목적은 이런 열악한 상황에서 애플 시스템에 대한 해킹 시에 사용할 수 있는 도구들을 소개하고, 시스템에 해킹에 필요한 정보와 몇가지 노하우 등에 대해서 알아보고자 하는 것이다. 애플 제품의 보안이나 해킹 기법을 공부하고 싶은 사람들에게 유용할 것이다.
 
◇(session 1-4) 발표자 : Brian Pak, Andrew Wesie
-주제: Control flow integrity
최근의 Exploit 코드들은 계속해서 기술적으로 진화하고 있다. 최근에도 공격으로부터 시스템을 보호하기 위해 ROP 및 ASLR 등과 같은 공격 기법들이 발표되고 있다.
 
이러한 공격자들의 우회 공격에 대한 대응책으로, Control Flow Integrity (CFI)을 검토하고 있다. 이를 통해 공격자로 부터 안전하게 시스템을 보호할 수 있다고 알려져 있다.
 
하지만 이러한 대책의 경우 안전성에 대한 부분이 보장되는 반면 시스템의 경우 상당한 부하를 감수해야 한다.
 
이번 발표를 통해 이러한 기존의 CFI의 성능을 개선할 수 있는 PMCFI(an's Control Flow Integrity) 에 대해서 소개할 예정이다. PMCFI의 경우에는 기존의 CFI보다 성능을 극복하고, 보안성에 대한 데이터 에 대한 연구 결과를 공유할 것이다. 일반적으로 보안성 과 가용성은 상반되는 경우가 많지만 이번 발표주제는 보안성과 가용성의 두 가지 조건을 만족시키는 방안을 제시할 것이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com