일반인도 안드로이드폰 해킹 가능하다
국내·외 보안 전문가와 해커들이 한자리에 모여 보안관련 신기술과 지식을 나눴다.
코스콤은 24일부터 25일까지 서울 역삼동 리츠칼튼호텔에서 ‘시큐인사이드(SecuInside)2011'을 열었다. 해킹방어대회, 컨퍼런스, 멘토링 프로그램이 이틀에 걸쳐 진행됐다.
35개국 392팀이 참여한 예선을 통과한 8개 팀이 본선에 참가한 해킹대회에서는 미국 카네기멜론대학교 ‘Plaid Parliament of Pwning’ 팀이 우승해 국제 해킹대회 블랙헷/데프콘에 참가할 수 있는 3000만원 상당의 상금을 받았다.
‘Plaid Parliament of Pwning’ 팀의 Tyler, Andrew, 박세준, Matt, Riky는 “문제 중 ‘Jaebok’을 풀기 위해 5명이 각각 10시간 넘게 고민했지만 결국 안 풀렸다”며 “지금까지 참여한 여러 국제대회들 중에서 가장 어려운 수준이었다”고 평가했다.
SOJU(한국 일반)가 2위, GoN(카이스트대학교)이 3위를 차지했다.
본선 대회는 CTF(Capture the flag)방식을 채택해, 출전자들이 각각 상대팀 서버를 공격하면서 상대방의 키(key)를 획득하는 동시에 네트워크·서버·OS·IT지식 등을 총동원해 상대의 공격을 방어하는 형식으로 진행됐다. 특히 경기는 24시간 연속 진행돼, 참가자들은 숙식도 거른 채 컴퓨터 앞을 떠나지 않았다.
컨퍼런스에서는 Georg oxff Wicherski, Dan Guido, Adam Meyers 등 국내·외 보안전문가들이 지식 트렌드와 신기술을 소개했다. 특히 애플iOS와 구글 안드로이드의 해킹 가능성과 대응에 대한 발표가 주목을 받았다.
‘Hunting, exploting iOS and kernel hacking'에 대해 발표한 스테판 에셔(Stefan Esser)는 “50%의 아이폰이 해킹될 수 있다”고 평가해 충격을 줬다. 그는 “증권 및 은행 등 모바일 금융거래가 늘어나면서 모바일 해킹에 대한 관심이 커지고 있다”며 “아이폰 어플리케이션 내부의 취약점이 iOS 커널 취약점과 결합하면 여러 플랫폼에서 동시에 사용할 수 있는 공략코드가 가능하다”고 설명했다.
유동훈 아이넷캅 연구소장은 ‘Android drive - by download attack'이라는 주제 발표에서 “기존 안드로이드의 보안 위협은 사용자의 실수로 악성 앱이 설치되는 사고였지만 스마트 플랫폼은 웹브라우저의 취약점과 웹킷 라이브러리의 결함으로 인해 쉽게 공격당할 수 있다”고 진단하며 안드로이드 체제의 보안 취약점을 직접 시연했다. 유 연구소장은 “전문가가 아닌 일반인들도 해킹 툴을 이용하면 모든 정보를 간단하게 해킹할 수 있지만 아직 이에 대한 문제의식은 낮다”고 강조했다.
이에 앞서 24일 열린 멘토링 프로그램은 정책트랙과 기술트랙으로 나눠 총 6개의 주제강연이 이뤄졌다. 김승주 고려대 정보보호대학원 교수는 ‘개인정보보호법 및 안전조치’라는 주제로, 구태언 변호사가 ‘금융보안 관련 법률과 위기관리’라는 주제로 강연해 증권업계 보안담당자들을 비롯한 청중에게 큰 호응을 얻었다.
행사를 준비한 김도연 인프라사업부 인프라마케팀장은 “올해 들어 4월 현대캐피탈·농협 등의 금융보안 사고 등으로 금융보안에 대한 관심이 높아지면서, 자본시장 IT를 담당하는 기업으로서 코스콤이 증권업계 보안 이슈가 공유되고 신기술을 전파할 수 있는 자리를 만들고자 했다”고 말했다.
한편 이날 행사장에서는 씨엔시큐리티 등 해커가 창업한 기업들이 부스를 만들어 참가자들과 정보보안 신기술을 공유하기도 했다.