보안 / 프라이버시

"2016년 가장 심각한 결함은"…블랙햇 컨퍼런스, 포니 수상자 발표

Ms. Smith  | CIO 2017.08.01
블랙햇 USA(Black Hat USA) 보안 컨퍼런스에서 2017년 포니(Pwnie) 수상자가 발표됐다. 이 연례 행사는 보안 커뮤니티의 최고와 최악 사례를 시상한다. 사람들이 먼저 지난해 가장 큰 성과와 실패에 대한 의견을 추천하고 보안 연구원으로 구성된 패널이 각 범주의 상위 후보들 가운데 수상자를 선정한다.


Credit: Getty Images Bank

최고의 서버단 버그 포니
이 수상은 기술적으로 가장 정교하고 흥미로운 서버단 버그를 발견하거나 악용한 연구원에게 시상된다. 이 범주의 후보는 6명이었으며 포니상은 CVE-2017-0143, 0144, 0145를 발견한 NSA의 이퀘이션 그룹(Equation Group)에게로 돌아갔다.

쉐도우 브로커스(Shadow Brokers) 덕분에 이 취약점들이 대중에 공개됐다. 이후 오래지 않아 여러 랜섬웨어(Ransomware) 공격들이 생겨났으며 윈도우 장치들을 공격했다. 이 때문에 마이크로소프트가 윈도우 XP 등의 지원되지 않는 버전의 운영체제를 위한 패치를 공개하는 등의 전례없는 사태가 발생했다.

최고의 클라이언트단 버그 포니
기술적으로 가장 정교하고 흥미로운 클라이언트단 버그 부문의 후보자 5명 가운데 라이언 핸슨(Ryan Hanson), 하이페이 리(Haifei Li), 빙 선(Bing Sun), 알려지지 않은 해커들이 마이크로소프트 오피스(Microsoft Office) OLE2Link URL Moniker/Script Moniker(CVE-2017-0199)으로 포니를 수상했다. "병렬 발견 사례(an instance of parallel discovery)"로써 마이크로소프트 오피스가 OLE 객체를 잘못 처리하는 방식에 대한 2가지 결함이 보고됐으며, 심지어 알려지지 않은 당사자가 스피어피싱(Spearphishing) 공격을 통해 이 결함들 가운데 하나를 활발하게 활용하고 있었다.

이 버그들은 모든 메모리 기반 공격 완화책을 우회할 수 있었고 윈도우 10과 오피스 2016에 영향을 끼쳤으며 두 요소(Vector)들 모두 "침투 테스터들과 악당들이 선호하는 요소"가 됐다.

최고의 권한 상승 버그 포니
이 범주에서는 많은 사람이 모바일 플랫폼에서의 결정론적 로우 해머(Deterministic Row Hammer) 공격인 드래머(Drammer)로 많은 사람들이 추천을 받았다. 빅토르 반 더 빈, 야닉 프라탄토니오, 마티나 린도퍼, 다니엘 그루스, 클레멘타인 모리스, 지오바니 비그나, 허버트 보스, 카베 라자비, 크리스티나오 주프리다 등이 추천을 받았다.

로우 해머 하드웨어 버그를 악용한 공격이 새로운 것은 아니었지만 드래머는 로우 해머를 악용해 공격자들이 권한이 필요없는 악성 앱 안에 숨어 안드로이드 장치를 원격으로 제어할 수 있었다. 수백만 대의 안드로이드 휴대전화가 취약한 것으로 간주됐다. 추천에서는 이 권한 상승 버그를 다음과 같이 묘사했다. "모바일 컴퓨팅 로우 해머 공격(MC 해머)은 무섭다. 대응이 불가능하고 잘 피해 가기만을 바랄 수 밖에 없다."

최고의 암호화 기법 공격 포니
구글과 네덜란드의 국립 수학 및 컴퓨터 공학 연구소 CWI의 연구원들이 SHA-1 인터넷 보안 기준을 깬 것으로 포니를 수상했다. 추천은 다음과 같았다. "SHAttered 공격팀은 SHA-1 전체에 대해 처음으로 알려진 충돌을 생성했다. 이 팀은 동일한 SHA-1 해시(Hash)를 생성하는 두 개의 PDF 문서를 생성했다. 이를 위해 사용한 기법들 덕분에 생일 역설에 의존하는 무제한 공격보다 속도가 100k 증가하면서 합리적인 수준의 재정을 확보한 적들이 감행할 수 있는 공격이 되었다.

이 분야 수상은 "Nimrod Aviram et all"에게로 돌아갔다. 하지만 아비람은 자신이 SHAttered를 공동 작성하지 않았다고 말했다. SHAttered로 최고의 암호화 공격 포니 추천을 받은 사람은 다음과 같다. 마크 스티븐스, 엘리 버스차인, 피에르 카프만, 앤지 알베르티니, 야리크 마코프.

최고의 백도어 포니
M.E.Doc는 최고의 백도어상을 수상했다. 왜냐하면 한 회계 소프트웨어 업체의 서버를 해킹하고 활용해 해당 소프트웨어를 사용하는 우크라이나 기업들에 백도어를 심는 데 사용됐기 때문이다. M.E.Doc는 낫페티야(NotPetya) 랜섬웨어의 "최초 감염자"로 생각되고 있다. 이 백도어 포니 대상의 추천은 다음과 같다. "러시아의 느낌이 전혀 없다."

최고의 브랜딩 포니
아틀라시안 보안팀(Atlassian Security Team)은 취약점 고스트벗(GhostButt)에 대한 최고의 브랜딩/홍보로 포니를 수상했다. 추천은 다음과 같았다. "Ghostbutt(CVE-2017-8291)은 웹사이트와 눈에 띄는 로고 등 모든 것을 갖췄으며 심지어 로고 자체를 익스플로잇 공격으로 삼았으며 -butt 접미사(threatbutt 등)를 활용했다. 온라인 매장은 없지만 노래는 있다."

최고의 혁신 연구 포니
벤 그래스, 카베 라자비, 에릭 보스만, 허버트 보스, 크리스티아노 주프리다는 "라인(Line)에서의 ASLR" 연구논문으로 포니를 수상했다. 추천에 따르면, 해당 연구원들은 "메모리 액세스 캐싱(Caching) 타이밍에 기초한 범용 ASLR 우회책"을 선보였다. "대부분의 브라우저에서 자바스크립트(JavaScript)를 기본으로 사용함으로써 작동하며 쉽게 해결할 수 있는 문제가 아니다."

가장 형편없는 개발업체 포니
개발업체의 가장 형편없는 보안 취약점 대응에 대한 수상은 SystemD bugs 5998, 6225, 6214, 5144, 6237로 인해 레나르트 포에터링에게 돌아갔다. 추천은 다음과 같다. "널 포인터(Null Pointer)를 역참조하거나, 한계를 넘어 작성하거나, 완전한 자격을 갖춘 도메인명을 지원하지 않거나, 이름이 숫자로 시작되는 사용자에게 루트(Root) 권한을 제공하면 변경 로그 또는 커밋(Commit) 메시지에서 CVE 번호를 참조할 수 없다. 하지만 우리에게 중요한 것은 CVE가 아니라 가장 형편없는 개발업체가 포니를 수상한다는 점이 중요하다."

대실패 포니
대실패 포니 후보자로는 NSA 계약자 리얼리티 위너의 정보를 노출한 더 인터셉트(The Intercept), 클라우드블리드(Cloudbleed)의 클라우드플레어(Cloudflare), 보안 브라우저에서 결함이 발견된 카스퍼스키(Kaspersky) 등이 있다. 하지만 수상자는 호주의 수상 말콤 턴불이었다.
수학 법칙이 호주의 법률보다 우선하는가에 대한 질문에 턴불은 이렇게 답했다. "호주의 법률은 확실히 호주 내에서 우선적으로 적용된다. 수학 법칙은 칭찬할 만하지만 호주에서 적용되는 법률은 호주의 법률뿐이다."

평생 업적상
후보자 목록은 없지만 FX가 평생 업적 포니를 수상했다.

완승 포니
완승 포니는 "북한(?)"의 소행으로 간주되고 있는 워너크라이(WannaCry)와 "러시아"의 소행으로 간주되는 쉐도우 브로커스(Shadow Brokers)가 공동 수상했다. editor@itworld.co.kr
 
 Tags Pwnie 포니

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.