POC 2014 생생한 참가 후기

 

0. 들어가며

11월 6일 ~ 7일 이틀간 POC(Power of Community) 컨퍼런스 행사에 다녀왔습니다.
POC는 국내 최고 수준의 해킹/보안 컨퍼런스로써, 최신 해킹 트렌드와 기술을 동시에 맛볼 수 있는
전통있는 행사로 자리잡아가고 있습니다..

올해에도 전 세계 Security 분야에서 최고라 칭할 수 있는 Speaker들로 구성이 되었는데요,
자세한 Speaker 정보는 아래 링크를 통해 확인하실 수 있습니다.

[Speaker 정보 보기]

등록비용이 30만원으로….그리 싸지는 않은 금액이었습니다만, 다행히 회사 연구회 비용으로
감사하게 다녀올 수 있었습니다. (연구회 담당자분께 감사의 말씀을…)
그럼 지금부터 본격적인 POC 2014 후기를 들려드리고자 합니다.

 

1. 행사 일정 및 현장 분위기

DCIM100GOPRO

첫날 오전 세션은 9시부터 시작될 예정이었기 때문에, 현장 등록을 위해 30분 일찍 행사장에 도착했습니다.
다소 고가(?)의 행사 등록비용으로 인해 참가자가 별로 없으면 어쩌나 하는 우려를 했었는데
오전 첫 세션 부터 빈 자리를 찾기 힘들정도로 많은 분들이 오셨습니다.

특히나 정보보안관련 학과에 재학중인 학생들이 많이 보였는데,
앞으로 대한민국 보안 업계의 미래가 어둡지는 않구나 하는 생각을 잠깐 해봤습니다.

행사 규칙으로 인해 모든 사진 촬영과 영상 녹화가 금지되는 바람에 많은 사진은 담지 못했지만,
Speaker들의 발표 내용을 조금이라도 더 주워담고자 노트북으로 열심히 필기 했습니다.

DCIM100GOPRO

컨퍼런스 룸 바로 앞에 있는 로비에는 간단하게 먹을 수 있는 다과와 음료가 준비되어 있었습니다.
POC 행사에 등록한 후 운영자로 부터 한 통의 메일을 받았는데, 그 내용 중 하나가 바로
인맥 형성을 위해 명함을 충분히 챙겨오라는 것이었습니다.

사실 “인맥 형성” 이라는 용어 자체가 다분히 인위적인 느낌이 강해서 별로 좋아하지는 않지만,
혹시 모를 상황에 대비해 명함을 가져갔더니 먼저 인사해주시는 분들이 계셔서 고마웠습니다.
(지방에서 올라오신 대학생 두분~ 만나서 반가웠습니다~~)

기존 페이스북이나 SNS에서 “친구”로 등록만 되어 있고 한번도 만나뵌 적 없는 분들도 행사장에서 만나
이런저런 보안 업계에 대한 이야기를 나눌 수 있었던 것도 하나의 수확이라 할 수 있겠습니다 🙂

9시 정각, POC 행사 Leader를 맡고 계신 Vangelis 님의 축사(?) 가 끝나고,
곧바로 첫번째 Speaker의 발표가 시작되었습니다.

 

2. 가장 흥미로웠던 세션 다섯가지

사실 모든 발표자분들이 대단한 경력과 실력을 갖고 계시기 때문에 다섯가지를 선정하는 것이 주제 넘은 것이라는 것을 알지만,
개인적으로 기억에 많이 남았던 발표 내용을 간추려 공유하고자 합니다.

– 세션 1 : Karsten Nohl, “BadUSB — On Accessories That Turn Evil”

첫째날 가장 흥미롭게 들었던 세션 중 하나가 바로 Karsten의 “BadUSB” 였습니다.
사실 USB의 Autorun 기능을 이용해 악성코드를 배포하는 기술은 예전에 접해 본 적이 있어
그것과 비슷한 것이 아닐까 생각했었는데, 발표 내용을 들어보니 완전히 다른 내용이었습니다.

Cap 2014-11-16 02-18-51-863

USB가 컴퓨터에 인식될 때 USB의 종류를 인식하는 고유 넘버가 부여가 되는데
(이를 테면 저장 장치의 경우 8번, 키보드의 경우 1번… 이런식으로)
펌웨어를 조작하여 저장장치를 키보드와 같은 장비로 인식하게 만들 수 있었습니다.
이후에는 악성프로그램을 내부에 심어놓은 후, USB 삽입과 함께 실행이 가능했습니다.

놀랐던 점은 USB를 포맷한 이후에도 악성 프로그램이 정상적으로 실행된다는 점이었습니다.
향후 2~3년간은 이에 대한 보완 방법이 딱히 없다는 발표자의 말 역시 심각하게 느껴졌습니다.

개인적으로 모의해킹 업무를 진행함에 있어, 이러한 USB를 어떻게 활용했는지 질문을 했는데,
Karsten의 답변은 이러했습니다.
한 기업의 보안 진단을 할 때 일부러 USB를 직원들이 보이는 곳에 놓아 둔 결과,
그 USB를 호기심에 넣어본 직원들의 PC가 연쇄적으로 악성코드에 감염되어 시스템을 탈취할 수 있었다고 합니다.

사실 가장 중요한 것은 USB를 어떻게 피해자의 PC에 “꽂을 수 있는가” 임을 생각하면
제한적인 공격법이라 할 수 있지만 성공시의 파괴력은 원격 공격보다 훨씬 클 것으로 생각됩니다.

 

 

– 세션 2 : GilGil, “mVoIP Hacking”

카카오톡 내부에 구현되어 있는 VoiceTalk, 구글 Hangout, 그리고 가장 많이 사용되는 Skype등
mVoIP 서비스에 대한 분석과 ISP업체의 차단 이슈에 대한 내용입니다.

흥미로운 부분은 mVoIP 서비스 사용시 ISP 업체들이 아주 교묘한 방법 (Packet Drop) 으로
서비스 이용을 방해하고 있다는 것이었습니다.

Cap 2014-11-17 09-36-03-816

예를 들어, A라는 사용자가 B 사용자에게 mVoIP로 전화를 건 후 “가나다라마” 라고 얘기한다 가정합시다.
정상적이라면 “가나다라마” 소리가 모두 디지털 신호로 변환되어 B 사용자에게 전달되어야 하지만
ISP 업체들이 중간중간 패킷을 고의로 Loss 시켜 B사용자는 “가.다.마” 만 들리게 되는 식입니다.

발표자인 “GilGil” 님께서 실제로 음성이 끊겨서 전달되는 것을 시연으로 보여주셨는데요.
고가의 요금제를 사용하고 있으면서도 이러한 제한이 걸린다는게 소비자로써 달갑지는 않았습니다.

발표 말미즈음에는 끊겨서 전달되는 패킷을 다시 복원하여 재생하는 방법을 소개해주셨습니다.
음성 패킷을 보낼때 “가” , “나” 한글자씩 보내는 것이 아니라 “가나” -“나다” – “다라” 와 같이
두 글자씩 겹쳐서 보낸 후, 수신측에서 전체 Sum을 하는 방식을 구현하면
중간에 ISP업자가 한글자씩 패킷 드랍을 시도하더라도 전체 문장을 정상적으로 전달할 수 있다는 내용입니다.

생소한 분야이긴 했지만, 증가하고 있는 mVoIP 수요를 생각해볼 때 의미있는 세션이었다고 생각합니다.

 

– 세션 3 : passket & SNE, “Only True Love Can Thaw frozen SCADA Systems”

Cap 2014-11-17 10-12-47-574

뜬금없는 손나은 (에이핑크, 20세, 청담동 거주) 사진과 함께 시작한 이 세션의 정체는???
Team S.N.E (Scada Network Explorers 라고 하지만 사실은…)의 스카다 시스템 해킹 발표였습니다.

야생해커 심준보님과 그의 후배 4명이 팀을 이뤄 SCADA 시스템에 대한 실제적인 해킹을 시도한 것입니다.
물론 실제 핵발전소나 사회 기간망에 대한 공격을 할 수는 없기 때문에 (그랬다간 큰일 나겠죠)
KISA의 협조를 받아 실제 구축되어있는 SCADA 시스템과 완전히 동일한 환경을 구축하여 공격했다고 합니다.

결론부터 말씀드리자면 아주 충격적이었습니다.

실제 기간망의 경우 외부 인터넷으로 부터 완전히 분리되어 있다고 생각했었는데,
관련 홈페이지의 취약점,  관련 S/W 취약점 등을 이용하면 충분히 내부망으로 접근이 가능했습니다.

Cap 2014-11-17 10-30-16-882

특히 SCADA 시스템 제어에 사용되는 HMI 프로그램의 경우 간단한 Fuzzing 기법만으로도
Exploit을 발견할 수 있을 만큼, 많은 문제점을 가진것으로 보였습니다.

또한, 이러한 중요한 시스템들이 Shodan과 같은 외부 검색 엔진에 의해서 너무도 쉽게 검색이 가능하고
접근이 가능하다는 점은 추후 반드시 개선되어야 할 점으로 생각되었습니다.

세션을 들으면서 든 또 한가지 생각은 해커의 윤리성이 정말 중요하다는 것이었습니다.
칼 자루를 누가 쥐고 휘두르느냐에 따라 살인자가 될 수도 혹은 요리 명장이 될 수도 있는 것이라 생각합니다.
국가 기간망에 대한 해킹 연구를 좀 더 활성화 해서, 발생 가능한 피해를 줄여나가되
이러한 연구를 하는 이들에 대한 적극적인 포상과 지원이 반드시 이뤄져야 한다고 봅니다.

 

– 세션 4 : Maxim Goncharov, “Be First to Know about Data Breach of Popular Web Sites”

얼마전 구글 G메일 계정 5백만개가 유출되었다는 소식을 접하신 분들이 많으실 겁니다.
실제로 Pastebin 이나 구글링을 조금만 해보면 여전히 유출된 계정 정보를 확인 할 수 있습니다.

사실 구글 (Goolgle.com) 자체가 해킹을 당한 것은 아니며, 구글 계정을 이용하는 여러개의 사이트들이
해킹 공격을 받았고, 그 결과 유출된 전체 계정을 모아놓은 것이 5백만개 입니다.

문제는 이러한 데이터 유출 (Data breach) 가 발생함에도 불구하고, 사용자 또는 서비스 제공자 역시
그 사실을 모르는 경우가 많다는 것입니다.

Cap 2014-11-17 10-55-29-493
따라서 데이터 유출을 빨리 발견하기 위한 새로운 매커니즘이 요구되는데, 이를 위해 개발 된 것이 바로
Leakstrap (https://leaktrap.com) 이라는 서비스 입니다.

서비스의 개요는 아주 간단합니다.
예를들어 A라는 사용자가 AAAAAA@bbb.com 이라는 유일한 이메일 계정을 생성한 수 특정 사이트에 가입합니다.
만약 해당 계정을 사용해 가입한 사이트가 아닌 전혀 엉뚱한 사이트에서 이메일을 받았다면,
가입한 사이트는 이미 침해사고를 당했을 확률이 높은것으로 간주하는 것입니다.

아래 그림을 보시면 좀 더 쉽게 이해가 되실 것으로 생각됩니다.

Cap 2014-11-17 10-58-05-009 Cap 2014-11-17 10-58-22-760수십 혹은 수백개의 사이트를 보유하고 있는 회사들의 경우 이 서비스를 이용하게 되면,
자사 사이트의 침해 사고 여부등을 모니터링하는데 큰 도움이 될 것으로 보입니다.

물론 개인적으로 이용도 가능하므로, 해당 사이트에 들어가셔서 사용해보시는 것도 좋을 것 같습니다 🙂

 

– 세션 5 : Maxim Goncharov, “Be First to Know about Data Breach of Popular Web Sites”

마지막으로 소개해드릴 세션은 쇼단(Shodan) 에 대한 내용입니다.
예전에 제 블로그에서도 한 번 다룬 적이 있었는데요 (쇼단을 이용한 모의해킹 – http://noplanlife.com/?p=319)
개인적으로 쇼단 창립자를 만나게 되서 아주 기분이 좋았습니다 🙂

쇼단은 전세계에 연결되어 있는 IoT 기기 정보를 검색할 수 있는 서비스입니다.

Cap 2014-11-17 11-20-57-439

제작자이다보니 Behind Scene에 대한 내용을 많이 이야기 해주었는데요.
특히 스카다 시스템, 내부 비밀 자료 등이 검색되어 해당 기관에 알려주고 나면,
“니가 무슨 권리로 우리 시스템을 스캐닝 하느냐” 라고 항의를 많이 받았다고 합니다.

Cap 2014-11-17 12-04-44-511

Cap 2014-11-17 12-05-16-120

위 그림처럼 지멘스 사의 스카다 제어 시스템이나 댐(Dam) 수문 제어 장치등이 쇼단 검색엔진에서
그대로 노출되어 있는 것을 확인 할 수 있었습니다. (하지만 담당자는 별로 관심이 없었다는 후문이…)

IoT 기기들이 폭발적으로 증가하면서 Shodan을 이용한 공격 시도 역시 증가할 것으로 예상됩니다.
앞서 심준보 연구원의 스카다 공격 역시 첫 시작점은 Shodan 이었음을 생각해보면
정말 강력한 Finger Printing 도구라 생각됩니다.

 

3. 외부 행사 풍경

POC  발표 세션장 옆방에 마련된 공간에서는 여성 해커들을 위한 대회 “Power of XX” 와
Hack the Packet 등 다양한 행사가 마련되었습니다.

특히 Power of XX 행사의 경우 저희 부서 후배가 참여하여 3등에 입상하는 좋은 결과를 얻었습니다.
1위 팀의 경우 러시아 여성 해커대회 출전 기회가 부여된다고 하네요 🙂
앞으로도 여성 해커분들의 활약을 기대해 봅니다.

DCIM100GOPRO

 

4. 마무리와 앞으로의 기대

이틀간 정보보안 연구회 대표 리포터로 PoC 2014에 참석하게 되어 많은 것을 배웠습니다.
특히, 기존에 잘 알지 못했던 새로운 기술 영역을 직접 경험함으로써, 많은 영감을 받았습니다.

아쉬웠던점은… 대부분의 Spkeker가 영어를 사용하다 보니 어쩔 수 없이 통역을 사용해야 했는데,
아무래도 IT 분야 용어에 생소하신 분들이다보니 통역된 언어가 어색하게 느껴지는 문제가 있었습니다.
보안 분야에서도 전문화된 통역이 있다면, 기술 간극을 좁히는데 큰 도움이 되지 않을까
잠깐 이나마 생각해보았습니다.

끝으로, Hack the Packet에 참여했던 동료들과 함께 찍은 사진으로
이틀간의 POC 2014 참가후기를 마치고자 합니다.

감사합니다~

DCIM100GOPRO

 

Site Footer

Sliding Sidebar

About Me

About Me

June Park