2017.04.03

구글의 안드로이드 원격 해킹 대회가 실패한 원인 “상금 20만 달러 너무 적다”

Lucian Constantin | IDG News Service
6개월 전 구글은 20만 달러의 상금을 걸고 전화번호와 이메일 주소만으로 안드로이드 기기를 원격에서 해킹하는 대회를 열었다. 하지만 아무도 이 과제를 풀겠다고 나서지 않았다.

한편으로는 안드로이드 모바일 운영체제의 강력한 보안을 증명하는 희소식으로 들릴 수도 있지만, 구글 프로젝트 제로(Project Zero Prize) 대회가 이토록 관심을 끌지 못한 이유는 다른 데 있다. 처음부터 사람들은 20만 달러라는 상금이 사용자의 인터랙션을 이용하지 않는 원격 해킹에 대한 보상으로 너무 적다고 지적했다.

지난 해 9월 구글이 대회를 발표하자 한 사용자는 “만약 누군가 이런 해킹을 할 수 있다면, 해킹법을 다른 업체나 조직에 더 비싼 가격에 팔 수 있을 것”이라고 말했다. 또 다른 사용자는 “많은 구매자가 더 많은 돈을 낼 수 있을 것이다. 덤불에서 바늘을 찾는 가격으로 20만 달러는 적합하지 않다”고 지적했다.

구글 역시 이를 인정하지 않을 수 없었는데, 최근 블로그 포스트를 통해 “이 대회에서 이기기 위해 필요한 버그의 형태를 생각하면 상금액이 너무 낮을 수도 있다”라고 언급했다. 구글 보안 팀에 따르면, 관심이 적은 또 다른 이유는 이런 해킹 방법이 너무 복잡하고, 좀 더 기준이 느슨한 다른 대회가 있기 때문이다.

안드로이드의 커널 권한을 얻고 디바이스를 완전히 장악하기 위해서는 여러 취약점을 함께 엮어야 한다. 최소한 디바이스에서 원격으로 코드를 실행할 수 있는 결함이 필요하며, 애플리케이션의 샌드박스를 벗어날 수 있도록 권한을 확대할 수 있는 취약점도 필요하다.

안드로이드의 월간 보안 게시판으로 보면, 권한을 확대할 수 있는 취약점은 많다. 하지만 구글은 어떤 형태의 사용자 인터랙션도 이용하지 않는 해킹 방법을 원한다는 것이 문제이다. 이는 악성 링크를 클릭하거나 가짜 웹사이트를 방문하거나 파일을 받아 실행하는 등의 사용자 조작 없이 해킹해야 한다는 의미이다.

이 기준은 보안 연구원들이 디바이스를 공격하는 데 사용할 수 있는 시작점을 극히 제한한다. 공격의 시발점이 되는 최초의 취약점은 안드로이드 운영체제의 내장 메시징 기능이나 휴대폰의 모뎀을 통제해 이동통신망을 통해 공격할 수 있는 베이스밴드 펌웨어에 있어야만 하기 때문이다.

이 기준에 맞는 취약점은 2015년 스테이지프라이트(Stagefright)라는 핵심 안드로이드 미디어 처리 라이브러리에서 발견됐으며, 모바일 보안 전문업체 짐페리엄(Zimperium)의 연구원이 최초로 발견했다. 당시 대규모 안드로이드 패치를 불러왔던 문제의 결함은 특별히 만든 미디어 파일을 디바이스의 스토리지 어디에나 저장하기만 하면 악용할 수 있었다. MMS를 대상 사용자에게 전송하는 것으로, 사용자는 아무런 인터랙션을 하지 않아도 그저 그런 메시지를 받는 것만으로도 결함을 악용하기에 충분했다.

이후 많은 유사 취약점이 스테이지프라이트에서 발견됐으며, 다른 안드로이드 미디어 처리 요소에서도 발견됐다. 하지만 구글이 내장 메시징 앱의 기본 동작을 자동으로 MMS 메시지를 가져오지 않도록 바꿈으로써 이런 종류의 해킹 시대는 막을 내렸다.

짐페리엄의 설립자 겸 회장 주크 아브라함은 이메일을 통해 “원격에서 아무런 보조없이 이용할 수 있는 버그는 매우 드물며, 상당한 창의력과 정교한 작업을 필요로 한다”며, 20만 달러 이상의 가치가 있다고 밝혔다.

제로디엄(Zerodium)이란 취약점 확보 전문업체 역시 원격 안드로이드 탈옥에 20만 달러의 현상금을 걸었는데, 제로디엄은 사용자 인터랙션에 제약을 두지 않는다. 제로디엄은 이렇게 확보한 취약점을 사법기관이나 정보기관 등의 자사의 고객에게 판매한다.

동일한 상금이 걸려 있는데, 굳이 아무런 보조도 없는 공격법을 위해 희귀한 취약점을 찾는 수고를 감수할 이유는 없다. 구글 프로젝트 제로 팀의 나탈리 실바노비치는 블로그 포스트를 통해 “전체적으로 이번 대회는 학습 경험이었고, 우리는 구글의 보상 프로그램과 향후 대회에 사용할 수 있는 것을 배울 수 있기 바란다”고 말했다. 결국 구글이 기대하는 것은 보안 연구원들의 논평과 제안이다.

이번 대회의 명백한 실패에도 불구하고 구글이 버그 현상금의 개척자이자 수년 동안 자사 소프트웨어와 온라인 서비스를 포괄하는 가장 성공적인 보안 보상 프로그램을 실행했다는 것은 언급할 필요가 있다.

소프트웨어 업체가 범죄 조직이나 정보기관 또는 취약점 거래상만큼 많은 돈을 취약점에 제공할 가능성은 크지 않다. 궁극적으로 버그 현상금 프로그램이나 해킹 대회는 책임감 있는 정보 공개 성향이 있는 보안 연구원을 대상으로 하는 것이다. editor@itworld.co.kr


2017.04.03

구글의 안드로이드 원격 해킹 대회가 실패한 원인 “상금 20만 달러 너무 적다”

Lucian Constantin | IDG News Service
6개월 전 구글은 20만 달러의 상금을 걸고 전화번호와 이메일 주소만으로 안드로이드 기기를 원격에서 해킹하는 대회를 열었다. 하지만 아무도 이 과제를 풀겠다고 나서지 않았다.

한편으로는 안드로이드 모바일 운영체제의 강력한 보안을 증명하는 희소식으로 들릴 수도 있지만, 구글 프로젝트 제로(Project Zero Prize) 대회가 이토록 관심을 끌지 못한 이유는 다른 데 있다. 처음부터 사람들은 20만 달러라는 상금이 사용자의 인터랙션을 이용하지 않는 원격 해킹에 대한 보상으로 너무 적다고 지적했다.

지난 해 9월 구글이 대회를 발표하자 한 사용자는 “만약 누군가 이런 해킹을 할 수 있다면, 해킹법을 다른 업체나 조직에 더 비싼 가격에 팔 수 있을 것”이라고 말했다. 또 다른 사용자는 “많은 구매자가 더 많은 돈을 낼 수 있을 것이다. 덤불에서 바늘을 찾는 가격으로 20만 달러는 적합하지 않다”고 지적했다.

구글 역시 이를 인정하지 않을 수 없었는데, 최근 블로그 포스트를 통해 “이 대회에서 이기기 위해 필요한 버그의 형태를 생각하면 상금액이 너무 낮을 수도 있다”라고 언급했다. 구글 보안 팀에 따르면, 관심이 적은 또 다른 이유는 이런 해킹 방법이 너무 복잡하고, 좀 더 기준이 느슨한 다른 대회가 있기 때문이다.

안드로이드의 커널 권한을 얻고 디바이스를 완전히 장악하기 위해서는 여러 취약점을 함께 엮어야 한다. 최소한 디바이스에서 원격으로 코드를 실행할 수 있는 결함이 필요하며, 애플리케이션의 샌드박스를 벗어날 수 있도록 권한을 확대할 수 있는 취약점도 필요하다.

안드로이드의 월간 보안 게시판으로 보면, 권한을 확대할 수 있는 취약점은 많다. 하지만 구글은 어떤 형태의 사용자 인터랙션도 이용하지 않는 해킹 방법을 원한다는 것이 문제이다. 이는 악성 링크를 클릭하거나 가짜 웹사이트를 방문하거나 파일을 받아 실행하는 등의 사용자 조작 없이 해킹해야 한다는 의미이다.

이 기준은 보안 연구원들이 디바이스를 공격하는 데 사용할 수 있는 시작점을 극히 제한한다. 공격의 시발점이 되는 최초의 취약점은 안드로이드 운영체제의 내장 메시징 기능이나 휴대폰의 모뎀을 통제해 이동통신망을 통해 공격할 수 있는 베이스밴드 펌웨어에 있어야만 하기 때문이다.

이 기준에 맞는 취약점은 2015년 스테이지프라이트(Stagefright)라는 핵심 안드로이드 미디어 처리 라이브러리에서 발견됐으며, 모바일 보안 전문업체 짐페리엄(Zimperium)의 연구원이 최초로 발견했다. 당시 대규모 안드로이드 패치를 불러왔던 문제의 결함은 특별히 만든 미디어 파일을 디바이스의 스토리지 어디에나 저장하기만 하면 악용할 수 있었다. MMS를 대상 사용자에게 전송하는 것으로, 사용자는 아무런 인터랙션을 하지 않아도 그저 그런 메시지를 받는 것만으로도 결함을 악용하기에 충분했다.

이후 많은 유사 취약점이 스테이지프라이트에서 발견됐으며, 다른 안드로이드 미디어 처리 요소에서도 발견됐다. 하지만 구글이 내장 메시징 앱의 기본 동작을 자동으로 MMS 메시지를 가져오지 않도록 바꿈으로써 이런 종류의 해킹 시대는 막을 내렸다.

짐페리엄의 설립자 겸 회장 주크 아브라함은 이메일을 통해 “원격에서 아무런 보조없이 이용할 수 있는 버그는 매우 드물며, 상당한 창의력과 정교한 작업을 필요로 한다”며, 20만 달러 이상의 가치가 있다고 밝혔다.

제로디엄(Zerodium)이란 취약점 확보 전문업체 역시 원격 안드로이드 탈옥에 20만 달러의 현상금을 걸었는데, 제로디엄은 사용자 인터랙션에 제약을 두지 않는다. 제로디엄은 이렇게 확보한 취약점을 사법기관이나 정보기관 등의 자사의 고객에게 판매한다.

동일한 상금이 걸려 있는데, 굳이 아무런 보조도 없는 공격법을 위해 희귀한 취약점을 찾는 수고를 감수할 이유는 없다. 구글 프로젝트 제로 팀의 나탈리 실바노비치는 블로그 포스트를 통해 “전체적으로 이번 대회는 학습 경험이었고, 우리는 구글의 보상 프로그램과 향후 대회에 사용할 수 있는 것을 배울 수 있기 바란다”고 말했다. 결국 구글이 기대하는 것은 보안 연구원들의 논평과 제안이다.

이번 대회의 명백한 실패에도 불구하고 구글이 버그 현상금의 개척자이자 수년 동안 자사 소프트웨어와 온라인 서비스를 포괄하는 가장 성공적인 보안 보상 프로그램을 실행했다는 것은 언급할 필요가 있다.

소프트웨어 업체가 범죄 조직이나 정보기관 또는 취약점 거래상만큼 많은 돈을 취약점에 제공할 가능성은 크지 않다. 궁극적으로 버그 현상금 프로그램이나 해킹 대회는 책임감 있는 정보 공개 성향이 있는 보안 연구원을 대상으로 하는 것이다. editor@itworld.co.kr


X