국내에서 자본과 정부권력에 종속되지 않고 순수 비영리로 독립 운영되는 최고 수준의 국제 해킹·보안 컨퍼런스 POC. 올해도 ‘대박’ 강연들을 준비하고 국내 해커들과 보안담당자들에게 충격과 지적 호기심을 충족시켜줄 것으로 기대된다.
 
제9회 국제 해킹?보안 컨퍼런스 POC2014가 오는 11월 6~7일 서울 양재동 교육문화회관(더케이호텔서울)에서 개최된다. 국내?외 유명 해커들의 최신 해킹기술 시연과 더불어 제로데이(0-day) 취약점 공개와 등 다양한 이벤트들이 진행될 예정이다.
 
POC(www.powerofcommunity.net)는 국내?외 해커들과 보안 전문가들의 참여에 의해 새로운 해킹 및 보안 기술과 0-day 취약점들이 공개되는, 우리나라의 보안 발전을 위해 개최되는 순수 비영리 컨퍼런스로 이미 국내뿐 아니라 국제적으로 유명한 컨퍼런스 반열에 올라 있다.
 
현재 9명의 발표자가 확정되었으며, 다양한 이벤트들도 준비중이라고 한다.
 
◇POC2014를 뜨겁게 달굴 발표자와 주제들
블랙햇(BlackHat)2014에서 2개의 주제를 발표했으며, Google 인턴으로 활동하기도 했던 이병영(미국 조지아 공대 유학 중, 포항공대 PLUS 팀 출신)은 브라우저 해킹 또는 새로운 주제 발표를 준비 중이다. 이병영은 우리나라 해커들 중 DEFCON CTF 본선에 최초로 참가했던 인물이기도 하다.
 
국내 최고 네트워크 해커 이경문은 국내 ISP들이 PSTN과 같은 오디오 통신 시스템으로부터mVoIP 트래픽을 막고 있는데, VoIP 패킷을 수정해 mVoIP 폐쇄를 우회하는 방법을 보여줄 예정이다.
 
또 스카다(SCADA) 시스템 해킹 시 자주 활용되는 검색 엔진 Shodan의 개발자 John C. Matherly는 Shodan을 이용해 수집할 수 있는 정보와 이를 이용한 해킹 종류에 대해 발표한다. 올해 가장 큰 보안 이슈 중의 하나였던 Heartbleed 공격에서도 Shodan을 이용하면 관련 취약점에 노출되어 있는 시스템을 찾아낼 수 있었다. 뿐만 아니라 인터넷에 노출되어 있는 스카다(SCADA) 시스템들과 산업 기반시설, CCTV, 프린터 등을 찾아낼 수 있다.
 
2013년 SIM Card rooting에 대해 발표해 많은 논란을 일으켰던 Karsten Nohl은 POC2014에서 USB 디바이스 내의 콘트롤러 칩으로부터 작동하는 새로운 형태의 악성코드를 소개한다. Karsten은 USB로부터 시스템을 완전히 장악하고, 현재로서는 탐지 기술이 없는 자기 복제 USB 바이러스를 시연한다. 이번 발표에서는 Black Hat 2014의 발표에 새로운 기술을 추가하여 POC2014에서 최초로 공개할 예정이며, 이 연구에 대한 벤더와 시장의 대응에 대해서도 논의할 예정이다.
 
러시아 해커 Maxim Goncharov는 최근 심각한 문제로 대두하고 있는 데이터 유출과 관련 발표를 통해 해커들이 유출시키고 있는 정보를 신속하게 수집하는 기술을 공개한다. 특히 데이터 유출 관련 활동을 탐지할 수 있는 툴을 POC2014에서 최초로 공개할 예정이다.
 
중국 최고 해커들 중의 한명인 tombkeeper는 JavaScript VM 탈출을 통해 Microsoft의 Windows 시스템이 도입하고 있는 DEP, ASLR과 같은 공격 방지 기법을 우회하는 기술을 공개할 예정이다. 이 기법은 ROP, JIT, 쉘코드 등을 사용하지 않고도 공격이 가능하다. 특히 Microsoft사의 요구로 그동안 공개되지 않았던 Vital Point Strike 기술 전체가 공개될 예정이다.
 
중국 해커 Wei Yan은 자동차 해킹에 대해 발표를 한다. 특히 자동차 CAN BUS 내부에 존재하는 제로데이 취약점들을 이용해 데이터 탈취, 자동차 절도, 심각한 사고나 죽음으로 이어질 수 있는 자동자 운영 시스템에 대한 공격이 가능함을 보여줄 예정이다. 특히 공격자는 악의적인 자동차 앱을 통해 네트워크에 연결되어 있는 자동차에 OBD-II 포트를 통해 위험한 CAN 메시지 명령을 내릴 수 있고, 이를 통해 자동차의 시스템이나 상태를 통제하거나 변경할 수 있음을 직접 데모를 통해 입증할 것이다. Wei Yan은 원격에서 자동차 시스템을 공격할 수 있는 툴을 개발했으며, 동시에 이러한 자동차 해킹을 방지할 수 있는 해결책도 제시할 예정이다. 주목할 점으로 시연에서 현대자동차의 유명 모델 하나를 대상으로 데모를 보여줄 예정이다.
 
세계 최고 텔레콤 해킹 연구로 유명한 P1의 Philippe Langlois는 LTE 등을 비롯한 텔레콤 해킹 기술을 발표할 것이며, 이 밖에 Florian Grunow는 의료장비 해킹에 대한 기술을 발표할 예정이다. 특히 중국 해커들 최초로 iOS jailbreak를 발표했던 중국 Pangu팀의 리더가 백업 발표자로 선발되어 있다.
 
현재 Call for Paper 제출자들을 대상으로 최종 발표자 선발 작업이 진행되고 있으며, 10월 중순까지 전체 발표자들과 주제 및 관련 정보들이 POC 홈페이지를 통해 공개될 예정이다.
 
◇누구나 참가할 수 있는 다양한 이벤트
POC2014에서는 컨퍼런스 기간에 맞춰 다양한 이벤트가 열린다. 이벤트는 컨퍼런스 홀 옆에 별도 마련된 이벤트 홀에서 진행되는데, 참가자들은 이 곳에서 개인 또는 단체가 준비한 여러 행사에 참가할 수 있다.
 
현재 확정된 이벤트 운영팀은 7개 팀으로, 고등학교/대학교 정보보호동아리, 보안 업체 소모임, 해킹 연구그룹 및 비영리 단체 등으로 구성되어 있다.
 
또한 올해로 4회를 맞이하는 전 세계 유일의 여성 해킹 대회 'Power of XX'는 본선 1등 팀에게 내년 러시아에서 개최되는 PHDays2015 CTF 본선 자동진출 권한과 함께 항공 및 숙박권까지 제공된다. 본 대회는 예선과 본선으로 나눠지고, 본선은 POC2014 컨퍼런스 기간에 진행된다. 'Power of XX'는 국내 해킹 보안 커뮤니티인 해커스쿨 연구진과 숙명여자대학교 정보보호동아리 SISS가 함께 운영한다. 또한 이들은 초등학생과 중학생들을 대상으로 하는 'KIDS CTF'를 운영하는데, POC2014 이전에 ‘공간POC’에서 진행된다.
 
이 외에도 안랩 소속 직원들의 패킷 분석 대회 'Hack the Packet', 그리고 순천향대 정보보호동아리 SecurityFirst, 연세대학교 정보보호동아리 Kroot, 선린인터넷고등학교 해킹 팀 Layer7, 아시아-태평양 인터넷 네트워크 비영리 단체 APNG 등이 각종 다양한 이벤트를 준비하고 있다.
 
특히 국내 관련 보안 취약점을 공개하고 예방책을 논의하는 ‘Hack Korea for Security’ 이벤트로 POC 운영진에서 준비 중이다. 이 이벤트에는 국내 관련 보안 취약점을 알고 있는 국내?외 해커들이 직접 현장에서 참가할 수 있으며, 이들에 대한 적절한 보상 방법을 기획 중이다.
 
모든 이벤트들은 POC2014 등록 없이도 무료로 참가가 가능하며, 자세한 이벤트 관련 소개는 홈페이지(www.powerofcommunity.net/kr/events.html)를 통해 업데이트될 예정이다.
 
◇POC2014 트레이닝 코스
POC2014의 트레이닝 코스는 저렴한 가격으로 국내 해커들과 보안 인력들에게 해킹 및 보안 기술을 전파하기 위해 기획되었다. 현재 국내 해커들이 운영하는 코스는 2개로 박문범, “실전 사이버 침해사고 분석과 대응”, Passket, “Practical Web Browser Exploting” 등이 개설돼 있다.
 
외국 해커들이 운영하는 트레이닝 코스는 POC 측에서 코스 진행 의사를 보인 외국 해커들을 대상으로 적합성, 조건 등에 대해 최종 확인 중이며, 최종 진행 코스는 POC 홈페이지를 통해 확인할 수 있다.
 
트레이닝 코스는 유료로 진행되며, 외국 컨퍼런스의 트레이닝 코스보다 질적으로 더 우수하지만 비용은 더 저렴하다. 자세한 커리큘럼과 등록은 POC 홈페이지를 통해 확인할 수 있다. 트레이닝 코스의 경우 각 강의의 강사들이 지정한 최소 인원을 충족해야 강의가 진행된다.
 
◇POC2014 순수 스폰서 모집중
POC는 국내 보안 발전을 위해 운영되는 순수 비영리 컨퍼런스로, 아무런 조건 없이 국내 보안 발전을 위해 지원할 스폰서를 모집하고 있다. POC측은 스폰서에게는 POC 공개 발표 자료와 비공개 자료 등도 제공하고 있으며, 스폰서의 보안 및 사업에 유용한 정보와 만남 기회들을 제공하고 있다. 그러나 상업적인 보안 컨퍼런스들이 채택하고 있는 스폰서에게 제품 소개성 발표 기회는 제공하지 않고 있다.
 
POC2014는 현재 조기등록이 진행 중이며, 등록 관련 정보는 다음과 같다.
 
▶ 등록 관련 페이지: www.powerofcommunity.net/kr/register.html
▶ 조기등록: 9월 1 ~ 30일
▶ 후기등록: 10월 1 ~ 31일
▶ 현장등록: 11월 6 ~ 7일
▶ 기타 문의: pocadm@gmail.com
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com