2024-03-29 08:45 (금)
[NETSEC 튜토리얼] "취약점 발견 및 분석 HOW-TO"...구대훈
상태바
[NETSEC 튜토리얼] "취약점 발견 및 분석 HOW-TO"...구대훈
  • 길민권
  • 승인 2013.04.16 18:02
이 기사를 공유합니다

취약점 발견, 흥미와 전문지식, 다양한 경험 등 필요
최근 발견된 국내 4개 소프트웨어 취약점 및 대응방법도 공개
해커에 대한 인식변화 필요…해커들 스스로 성장 할 것!
제19회 정보통신망 정보보호워크숍(NETSEC-KR) 튜토리얼 프로그램이 16일 한국과학기술회관에서 개최됐다. 이중 많은 관심을 끈 프로그램이 바로 핵티즌(HACKTIZEN) 구대훈 대표의 “취약점 발견 및 분석 HOW-TO”라는 발표였다.
 
구대훈 대표는 “보안취약점은 소프트웨어, 하드웨어, 관리자 부주의, 사회공학기법 등에서 찾을 수 있다”며 특히 해외 벤더별 보안 취약점 통계와 국내 솔루션 취약점에 대해 자세하게 소개했다.
 
특히 이미 언론에 공개된 국내 솔루션 취약점으로 Mnet M플레이어의 원격코드 실행 취약점, 곰플레이어의 원격코드 실행취약점, 그누보드 XSS취약점, 아래한글 원격코드 실행 취약점, 다음 블로그 XSS취약점, 삼성Kies 원격코드 실행 취약점, 파수DRM 원격코드 실행 취약점, 익스프레스엔진 XSS취약점과 원격코드 실행 취약점, 알툴즈 원격코드 실행 및 DLL하이재킹 취약점, 네이버 카페, 블로그 XSS 취약점 등에 대해 소개했다.
 
그는 취약점 발견을 위해서는 흥미, 관련 전문지식, 다양한 환경, 다양한 경험, 그리고 운 등이 필요하다고 한다. 그리고 그 과정에 대해 설명도 덧붙였다.  
 
어떻게 흥미를 가질 것인가. 주로 게임을 하기 위해, 공짜로 SW를 사용하기 위해, 우회하기 위해, 돈을 벌기 위해 흥미를 가질 수 있다고 한다.
 
또 어떤 관련 전문지식이 필요할까. 그는 “다양한 공격 기법에 대한 학습이 필요하며 프로그램 동작 방식에 대한 충분한 이해 그리고 기존에 알려진 취약점에 대한 분석 및 습득 작업이 필요하다”고 말한다.

 
또 웹, 모바일, 시스템, 소프트웨어, 하드웨어 등 다양한 환경에 대한 경험이 중요하다고 강조한다. 그가 말하는 경험이란 공격코드 작성, 공격기법 분석, 프로그램 분석, 프로그램 개발, 운영체제 운영 능력 등이다. 이런 경험과 함께 취약점 발견에는 운도 따라야 한다는 그.
 
취약점 발견사례도 예를 들었다. 순서를 보자면, 네트워크 스캔-취약한 시스템 발견(웹디스크)-웹디스크를 이용한 정보수집-웹디스크 취약점을 이용한 내부망 침투-내부망 내 웹디스크 침투-정보수집-시스템 계정 정보 획득 순이다.
 
또 다른 사례는 네트워크 스캔-취약한 시스템 발견(Redmin)-모니터링-시스템 패스워드 수집-파일서버 침투-정보수집-SecureCRT백업파일을 이용한 서버접속 순이다.
 
3.20 사이버테러에 대한 예상 시나리오도 공개했다. 그의 예상은 이렇다. 웹을 통한 직원 PC 악성코드 감염-내부망 침투-mRemote, SecureCRT 계정 정보수집-기타 정보수집-목표달성-서버 디스크 삭제 순으로 예상했다.

 
취약점 발견 포인트는 무엇이 있을까. 그는 관리자 실수와 충분한 환경분석 후 이해 그리고 기업에 도입된 솔루션 내 취약점을 들었다.
 
구 대표는 이번 프로그램에서 최근 발견한 취약점들 별 보안 이슈 사항들에 대해서도 발표했다. 구체적인 솔루션 명을 밝힐 수는 없지만 그가 공개한 취약점은 다음과 같다.

 
국내 H사 실명인증모듈에서 모듈 취약점으로 인한 시스템 내부침투 가능성, 국내 S사 키보드보안 솔루션에서 악성코드로 이용될 경우 키로깅 가능성, 국내 N사 음원DRM에서 음원유출 가능성으로 인한 수익감소, 국내 K사 DLP(Data Loss Prevention) 솔루션에서 내부자료 유출 취약점 등을 공개했다. 이들 솔루션 별 취약점 시연도 현장에서 보여줬다.
 
물론 취약점별 대응방안도 공개했다. H사 실명인증모듈은 입력값 검증이 필요하며, S사 키보드보안솔루션은 바이너리 패킹, N사 음원DRM도 바이너리 패킹, K사 DLP도 바이너리 패킹을 대응방안으로 권고했다.
 
그는 마지막으로 인식변화를 강조했다. 즉 “해커를 바라보는 기업들의 시각이 바뀌어야 한다"는 점이다.
 
구 대표는 “예전에는 취약점을 공개하면 소송으로 대응하는 경우도 있었다”며 “앞으로는 실력있는 해커를 채용하고 취약점을 발견해 제보하는 해커들에게 연구 개발비 지원 및 취약점 제보에 대한 보상체계 마련을 해 준다면 해커들이 기업에 긍정적인 영향을 미칠 것이다. 이렇게 되면 굳이 인재양성을 하지 않아도 해커들은 스스로 성장해 갈 것이고 기업에도 많은 도움을 줄 수 있을 것이다. 이런 문화를 수용할 수 있는 인식변화가 필요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★