보안

“아이폰, 사파리, IE8, 파폭”, Pwn2Own 첫 날에 모두 뚫려

Gregg Keizer | Computerworld 2010.03.26

예상했던 대로 Pwn2Own에 참가한 해커들은 애플의 아이폰과 사파리 브라우저, 마이크로소프트 IE8, 모질라 파이어폭스 등을 모두 몇 분 만에 보안 해제시켜 버렸다.

 

이번 대회를 후원한 보안업체인 3Com 티핑포인트의 대변인은 빈센조 아이오조와 랄프필립 웨인먼 두 사람의 팀이 5분도 걸리지 않아 아이폰을 해킹해 냈다고 밝혔다. 이 팀은 이 대회 사상 가장 높은 1만 5,000달러의 상금을 받았다.

 

이탈리아 대학생인 아이오조는 저명한 연구원인 토마스 듈리엔이 이끄는 업체인 자이나믹스(Zynamics GmbH)에서 일하고 있으며, 웨인먼은 룩셈부르크 대학 보안연구소(Laboratory of Algorithms, Cryptology and Security)의 석사 연구원이다.

 

웨인먼은 2007년 대회에서 누구도 생각하지 못한 시간에 와이파이 WEP 프로토콜을 크랙해 보인 3인조팀의 일원으로도 잘 알려져 있다.

 

인디펜던트 시큐리티 이밸류에이터의 분석가 찰리 밀러는 스노우 레오파드를 구동하는 맥북 프로에서 사파리의 보안을 3분 만에 해제했다. 밀러는 2008년과 2009년에도 맥 해킹으로 상을 받았으며, 지난 해에는 10초만에 사파리를 해킹했다. 이번에도 밀러는 1만 달러의 상금을 받았다. 3회 연속 수상한 사람은 밀러가 처음이다.

 

이번에 새로 Pwn2Own에 참가한 피터 브룩던힐은 공격 코드를 이용해 윈도우 7에서 구동 중인 IE8의 취약점을 성공적으로 이용했는데, 티핑포인트는 브룩던힐의 공격 코드에 대해 “기술적으로 매우 인상적”이라고 평가했다. 브룩던힐의 코드는 대부분의 공격을 막기 위해 만들어진 윈도우 7의 DEP(Data Execution Prevention)를 우회해 공격을 성공시켰다.

 

브룩던힐은 네덜란드의 프리랜서 취약점 연구원으로, 상금 1만 달러를 받았다.

 

전년도 우승자인 독일 컴퓨터공학과 학생 닐스는 윈도우 7 상의 파이어폭스를 해킹해 올해도 1만 달러의 상금을 받았다. 브라우저 설정을 대상으로 한 첫날 대회에서 구글의 크롬 만이 살아남았다.

 

티핑포인트는 Pwn2Own에서 확인된 취약점의 자세한 내용은 공개하지 않고 있으며, 해당 업체가 관련 문제를 해결한 이후에만 공개한다. 대신 콘테스트의 일부로 결함 및 취약점 코드에 대한 권리를 구매해, 이후 적절한 업체에 관련 정보를 넘겨주고 있다.

 

예를 들어 2008년에도 애플은 밀러가 이용한 사파리의 버그를 3주 만에 패치한 바 있으며, 2009년에 모질라는 닐스가 이용한 브라우저의 취약점을 1줄일 만에 패치하기도 했다.  editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.