해커들이 무엇을 지향하고 왜 필요한지 보여준 해커들의 페스티벌
국내 해커들의 조직력과 역량이 확대되고 있다. 예전 음지에서 컴퓨터 자판만 치고 있던 해커들이 더 이상 아니다. 그들이 과감히 전면에 나서 국내 해킹과 보안 분야의 변화를 꾀하고 있다. 우리 사회에서 자신들의 존재가치가 무엇인지 보여주고자 하고 있다. 그들의 목소리에 귀기울여야 할 때가 온 것이다.
시큐인사이드로 들어가는 문. 고려대 인촌기념관
지난 7월 11일부터 12일, 양일간 고려대학교 인촌기념관에서 열린 ‘시큐인사이드(SECUINSIDE) 2016’은 해커들에게는 종합선물세트와 같았다. 국내 단일 보안행사에서 해킹대회 CTF(Capture The Flag)와 버그바운티 대회 CTB(Capture The Bugs) 그리고 컨퍼런스 및 트레이닝 등을 동시다발적으로 그것도 퀄리티 있게 진행한 경우는 이번이 처음이다. 시큐인사이드는 매년 해커연합 하루(HARU)가 총괄 운영해 오고 있다. 특히 올해는 HARU가 사단법인으로서 처음 치른 행사라 할 수 있다. HARU는 올해로 결성 6년째를 맞이하며 주체적인 해커연합단체로 면모를 갖추게 됐다.
◇사단법인 HARU, 국내 해커들의 대변자로서 역할 해야
현장에서 HARU의 일원이기도 한 김승주 고려대 교수를 만났다. 김 교수는 “HARU는 이제 사단법인으로서 계약의 당사자가 될 수 있는 자격을 갖췄다. HARU 회원들도 마음가짐이 달라졌을 것이다. 이제 법인으로서 책임도 따를 것이다. 한 단계 성숙해질 수 있는 첫발을 내디딘 것이라고 생각한다”고 소감을 밝혔다.
고려대 김승주 교수 "HARU, 해커들의 대변자 역할 기대"
또 “HARU는 이제 국내 해커들의 대변자로서 역할을 해야 한다. 부당한 대우를 받는 해커들을 도와주고 또 좋은 방향으로 성장해 나갈 수 있도록 후배들에게 멘토 역할도 해야 한다”며 “이제까지 해커는 해커를 잘 모르는 사람들의 입을 통해 규정되어 왔기 때문에 왜곡이 심했고 그로 인해 상처도 받았다. 이제 HARU의 입을 통해 직접 들으면 된다. 그들이 무엇을 하고 싶어하고 무엇을 지향하는지를 말이다. HARU는 사단법인을 통해 세상에 당당히 나서 목소리를 낼 수 있고 자신들을 대변할 수 있게 됐다. 자부심과 동시에 책임감도 느끼길 바란다”고 덧붙였다. (PS. 김 교수는 이제 시큐인사이드에서 ‘고려대’와 ‘김승주’라는 이름을 지우고 HARU란 이름만 남길 바란다고 강조했다.)
◇SECUINSIDE 2016 CTF, 상금보다는 문제 퀄리티에 집중
김 교수를 만난 김에 시큐인사이드 2016에 대해 대화를 나눴다. 이번 SECUINSIDE 2016 CTF 해킹대회는 상금이 없다. 그리고 온라인으로만 진행됐다. 문제출제와 대회 운영은 고려대 사이버국방학과 CYKOR팀이 맡았다. 지금까지 한국 해킹대회는 거액의 상금으로 해외 참가팀들의 관심을 끄는 방식으로 진행됐다. 하지만 시큐인사이드는 상금보다는 문제의 퀄리티에 집중하겠다고 선언하고 무상금, 온라인으로 대회를 개최했고 성공적으로 대회를 마무리했다는 평가를 받았다.
SECUINSIDE 2016 CTF 대회 결과는 역시 국내 최고 해커 이종호(라온시큐어), 이정훈이 참가한 YTT팀이 우승을 차지했다. 2위는 미국 PPP팀, 3위는 독일 Eat Sleep Pwn Repeat팀이 차지했다.
김 교수는 “이번 시큐인사이드 CTF는 무상금, 온라인으로 진행됐다. 처음에는 상금도 없는데 해외팀들이 참가할까라는 주변의 우려도 있었지만 상금보다는 문제 퀄리티를 극도로 끌어 올리는데 집중했다. 상금이 없어도 국내외 800개 이상의 팀이 출전했다. 해커들은 돈을 벌기 위해서만 해킹대회에 참가하는 것이 아니다. 좋은 문제를 풀면서 자신들의 실력을 향상시키고 좋은 문제를 내고 그 문제를 풀었다는 것에 즐거움을 찾는다”며 “거액의 상금을 1위팀에게 주기 보다는 좋은 문제를 출제할 수 있도록 문제출제위원들에게 더 많은 투자가 이루어져야 한다. 그래야 퀄리티 높은 대회가 될 수 있다”고 말했다.
◇SECUINSIDE 2016 CTB, IoT기기 보안성 향상에 기여
SECUINSIDE 2016 Capture The Bugs(CTB) Challenge 행사도 진행됐다. 지난해 이어 2번째다. 실제 각종 임베디드, IoT(Internet over Things) 기기에 존재하는 취약점을 발견하고 패치하도록 해 보다 안전한 인터넷 세상을 만들어 보자는 취지로 개최되고 있다. 실제 임베디드 기기를 대상으로 열리는 버그바운티 대회로 전세계에서 처음 시도되는 대회로서 의미가 있다.
심준보 심사위원 "CTB는 IoT 기기 보안성 향상에 기여"
이번 CTB에서는 11일 6개팀이 참가해 5개팀이 공격에 성공했고 12일은 10명이 참가해 9명이 공격에 성공했다. 최종 우승팀은 ‘미니언즈(Minionz)’로 이유찬, 서승오, 한호정, 송치현 등 BoB 수료생들로 구성된 팀이다. CCTV 홈라우터 등에서 인증없이 원격코드 실행이 가능한 취약점을 찾아 공격에 성공했다.
대회 심사위원으로는 심준보(블랙펄시큐리티), 유동훈(아이넷캅), 이기택(HARU), 이승진(그레이해쉬), 이정훈 등 국내 최고 해커들이 맡아 대회의 권위를 더했다.
심준보 위원은 “대회 목적은 실제 취약한 제품의 안전성을 높이자는 것이다. CTB 대회가 시큐인사이드에서 지난해부터 개최되면서 국내 해커들의 IoT 제품 연구가 활발히 이루어지고 있다. 동기부여가 된 것 같다. KISA 버그바운티 포상제 참여도 늘고 있다”며 “이런 대회를 계기로 IoT 기기들의 보안성이 높아지길 바란다. 대기업들은 취약점이 나오면 바로 알려달라며 인식도 바뀌고 있다. 하지만 아직 영세한 기업들은 보안에 신경을 못쓰고 있어 IoT나 스마트기기 개발시 보안교육이 필요하다. 미래부 등에서도 IoT 기기에 대한 보안교육을 강조하고 있지만 보다 적극적으로 교육이나 가이드가 나와야 할 것”이라고 말했다.
김승주 교수는 “CTB를 처음 시도할 때 정보통신망법과 저작권법 위반이 아니냐 등 걸림돌이 많았다. 하지만 법적으로 문제가 없음을 대회를 통해 보여줬고 결국 IoT 기기들의 보안성에 큰 도움을 줄 수 있다는 것을 보여준 대회”라며 “해커들에게 자유롭게 연구할 수 있는 또 하나의 지평을 열어 준 대회로 큰 의미가 있다”고 평했다.
◇ICS-SCADA의 이해와 공격 방법 트레이닝 코스도 열려
또 ICS-SCADA의 이해와 공격 방법과 관련된 트레이닝 코스도 진행됐다. 발전소, 공장, 교통 시스템 등을 포함한 ICS, SCADA 시스템은 오늘날 전세계에서 사용되고 있는 가장 중요한 시스템이다. 하지만 보안이 제대로 되어 있지 않고 네트워크 구조, 프로토콜, 제품 취약점 등 일반적인 IT 시설에 비해 많은 취약점들을 가지고 있기 때문에 큰 위험에 노출되어 있다. 이러한 위험은 사이버 전쟁, 사이버 테러 등으로 이어질 수 있고 큰 사고가 일어날 수 있기 때문에 스카다(SCADA) 시스템의 어떤 부분에 문제가 있고 이를 어떻게 보완해야 할 지에 대한 연구가 필요한 상황이다.
이번 2일간 트레이닝은 ICS-SCADA 트레이닝 과정 중의 기본 과정으로 SCADA 시스템에 대한 기본적인 내용과 SCADA 보안 현황을 이해하고, 수강생들이 SCADA 시스템 대상으로 침투 테스트를 할 수 있도록 기술을 전달하는 시간이었다. 또한 SCADA 환경 대상으로 제로데이 취약점을 찾는 방법을 소개 했다. 모든 트레이닝 내용은 미니어처로 구상한 SCADA 시스템과 실제 사용되는 장비들을 가지고 진행돼 실질적인 교육으로 진행돼 큰 관심을 끌었다. 트레이너로는 이승준, 김영선, 허영일(NSHC) 등 이 분야 최고 연구원들로 구성됐다.
시큐인사이드 2016 컨퍼런스 현장. 오정욱 MS 연구원 발표중
◇컨퍼런스, 최신 보안 트렌드를 한 눈에
컨퍼런스 내용도 최신 해킹 보안 트렌드를 접할 수 있는 좋은 시간이었다. 최근 취약점 자동분석이 이슈다. 고려대 이희조 교수의 ‘IoTcube를 이용한 소프트웨어 보안 취약점 자동 분석’ 발표와 카이스트(KAIST) 차상길 교수의 ‘바이너리 분석을 통한 자동 익스플로잇 생성-과거, 현재, 그리고 미래’ 발표는 한국과 미국의 취약점 자동분석 기술을 비교할 수 있는 발표내용이었다.
공주대 최대선 교수의 ‘최신 사용자 인증 기술’ 발표도 큰 관심을 끌었다. 최 교수는 차세대 인증기술 분야에서 최고 권위자다. 발표에서는 FIDO 인증 플랫폼의 현황과 전망을 살펴보고, 사용자 인증 방법에 대한 다양한 시도를 소개했다.
또 일본 GREE에서 근무하는 서승현 엔지니어의 ‘Oauth2.0 취약점 및 사례’ 발표도 이슈가 됐다. 그는 “OAuth2.0라는 표준인증방식이 소개된 지 많은 시간이 흘러 구글이나 페이스북, 깃헙 등 대형 서비스 프로바이더들이 제공하고 있으며 또 국내 대형 포털들이 이를 구현해 제공하고 있다. 하지만 실제 조사결과, 보안 문제를 제대로 이해하고 구현해 놓은 곳이 많지 않았다”며 “이 내용을 2달전 블로그에 올렸지만 사태의 심각성을 모르고 잘 고쳐지지 않고 있다. 특히 한국 금융기관에서 이를 사용하려고 하고 있다. 인증이 뚫리면 큰 사고로 이어질 수 있어 사용에 신중을 기해야 한다”고 우려했다. 표준인증방식이라고 해서 아무런 검증없이 사용하면 위험하다는 것이다.
이외에도 한동국 국민대 교수의 ‘최신 스마트카드 취약점 분석’, 이승준 NSHC 연구원의 ‘ICS-SCADA 보안 위협 현황 및 제어망 해킹 시연’, 오정욱 마이크로소프트 보안연구원의 ‘Reverse-engineering DUBNIUM’, 한승원 KISA 연구원의 ‘이기는 싸움을 위한 사이버 위협분석 및 정보공유 방안’, 오종찬 블랙펄시큐리티 연구원의 ‘RF, new hacking tools’, 권태경 연세대 교수의 ‘최신 스마트폰 오디오 취약점 분석’, 심준보 블랙펄시큐리티 연구원의 ‘Design Review For Security’, 정구홍 그레이해쉬 연구원의 ‘임베디드 디바이스 Serial Port Hacking의 모든 것’ 등 최신 트렌드를 섭렵할 수 있는 핵심적인 발표들이 이어졌다. 마지막에는 CYKOR팀의 CTF 문제 풀이 시간도 가졌다.
◇”해커, 미풍양속에 위배되는 단어…이게 아직 한국의 현실”
김승주 교수는 “HARU를 법인화 할 때 웃픈 상황이 발생했다. 원래 법인명을 ‘해커연합HARU’로 하려고 했다. 하지만 ‘해커’라는 단어가 미풍양속에 위배된다며 다른 단어를 써야 한다고 전달받았다. 그래서 ‘화이트해커연합HARU’로 결정됐다. 이게 아직 한국의 현실이다. 해커에 대한 인식이 변화하고 있지만 아직 갈 길이 멀다. 지원도 늘어났지만 아직도 부족한 현실이다. 이제 HARU가 국내 해커들을 대변해 변화를 주도해 주길 바란다”며 또 “이번 시큐인사이드에 스폰서를 해준 일본 라인(LINE)과 플라이하이, 타이거팀, BoB, KISA 등에 깊은 감사를 전한다. 국내 기업들의 보다 적극적인 후원이 아쉬운 대목이다. 해외 컨퍼런스를 가면 대기업들의 스폰서 로고가 눈에 들어온다. 그 기업들이 보안에 얼마나 신경을 쓰는지 단적으로 보여주는 예라고 할 수 있다. 국내 기업들의 적극적인 참여가 앞으로 확대될 것으로 기대한다”고 덧붙였다.
이번 시큐인사이드는 한국인터넷진흥원(KISA), 한국정보기술연구원(KITRI), 국가보안기술연구소(NSR)에서 공동 주최하고 고려대학교 정보보호대학원이 주관하며, 해커연합 하루(HARU)가 총괄 운영했다.
보안을 위해 해커가 모든 것을 할 수는 없다. 하지만 해커를 모르면 해커를 막을 수 없다. 그들이 보안의 한 영역에서 중요한 역할을 할 수 있다. 글로벌 기업들은 최고의 해커들을 영입하기 위해 투자를 아끼지 않고 있다. 그 이유가 바로 거기에 있다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지