보안 컨퍼런스인 블랙햇(Black Hat) 2014 USA가 오는 8월 6~7일 라스베가스에서 열릴 예정이다. 여기서는 자동차 시스템 공격, 구글 글래스를 사용한 암호 훔치기, 무료 클라우드 평가판을 사용한 봇넷 실행 등 다소 충격적인 공격 사례가 다뤄질 것으로 기대된다. 구체적으로 어떤 것이 있는지 살펴보자. editor@itworld.co.kr
구글 글래스를 사용한 암호 훔치기
3m 거리에서 목표물이 터치스크린에 암호를 입력하는 모습을 촬영한 다음 이를 분석하여 90%의 정확도로 암호를 훔치는 애플리케이션에 대한 내용이다. 유메스 로웰(UMass Lowell)의 연구원 싱웬 푸와 큉강 유, 둥난 대학의 젠 링은 구글 글래스를 사용하여 손가락 끝의 움직임을 추적하고 그림자, 빛의 흐름 및 기타 요소들을 종합해 입력한 문자를 알아낸다. 구글 글래스를 착용한 사람의 육안으로는 피해자의 화면을 볼 수 없는 경우에도 암호를 훔치는 것이 가능하다.
VDI를 향한 현실적인 공격
가상 데스크톱 인프라스트척처(VDI)는 애플리케이션과 데이터를 중앙화하고 최종 사용자에게는 그것의 프레젠테이션만 전달함으로써 BYOD 프로그램을 더 안전하게 해주는 방편으로 홍보되는 경우가 많다. 그러나 라쿤 모바일 시큐리티(Lacoon Mobile Security)의 다니엘 브로디와 마이클 셜로브는 단순히 가능할 뿐만 아니라 실제로 효과적이기까지 한 VDI에 대한 개념 증명 공격을 시연할 예정이다. 탐지되지 않고 화면 스크래핑을 통해 데이터를 훔치는 방법이다. 이들의 설명을 옮기자면 "공격자는 클라이언트 측과 서버 측 맬웨어 탐지 수단을 모두 피하면서 공격 프로세스를 자동화할 수 있으며 궁극적으로 VDI 솔루션을 효용성을 떨어트릴 수 있다"고 한다.
마이크로소프트 커버로스(KERBEROS) 악용
연구원인 알바 덕월과 벤자민 델피가 진행할 세션의 개요는 이렇다. "마이크로소프트 액티브 디렉터리는 기본적으로 커버로스를 사용해서 인증 요청을 처리한다. 그런데 만일 도메인이 침해된다면 얼마나 심각한 상황이 벌어질 수 있을까? 해시가 손실되고 공격자가 접근 권한을 얻은 후 몇 년 동안 커버로스는 완전히 침해될 수 있다. 그 정도로 심각해진다." 이들은 이러한 손상 사례를 실제 환경 조건에서 시연할 예정이다.
자동차를 목표로 한 원격 공격
자동차 제도업체들의 설계는 일관성 없이 제각기 다르므로 취약점을 원격으로 악용하기 위한 포괄적인 방법은 없다. 이 분야 전문가인 트위터의 찰리 밀러와 IO액티브(IOActive)의 크리스토프 발라섹이 진행하는 이 대담은 보안 관점에서 많은 제조업체들의 차내 네트워킹에 주목한다. 이들은 대담에서 '원격 감염 공격에 대해 다른 차보다 더 안전한 차가 있는가? 지난 5년 동안 자동차 네트워크 보안은 더 좋은 방향으로(또는 더 나쁜 방향으로) 변했는가? 자동차 보안의 미래 전망은 어떻고, 사람들은 공격으로부터 자동차를 보호하려면 어떻게 해야 하는가?' 등의 질문에 대한 답을 찾는다.
POS 기기에서 데이터 훔치기
작년에는 타겟(Target)을 뒤흔들었던 사건과 같은 POS 침해가 빈번하게 발생했고 많은 조직들은 여전히 가장 단순한 형태의 악용에도 취약한 상황이다. NCR 리테일(NCR Retail)의 엔터프라이즈 보안 설계자인 니르 발트만은 메모리 스크래핑이 해결하기 어려운 큰 위협임을 보여준다. 이 위협을 최소화하는 방법을 시연하고, 실제 환경에서 시도되었지만 효과는 없었던 방법들을 공개하고 효과가 있는 방법을 제안할 예정이다.
USB 스틱 맬웨어
USB 스틱에는 컨트롤러 칩이 내장되어 있는데, SR랩스(SRLabs)의 독립 연구원인 카스텐 놀과 제이콥 렐에 따르면 이 칩을 공격해서 호스트 시스템을 장악하여 데이터를 훔치고 사용자를 엿볼 수 있다. 이러한 스틱은 다른 기기를 도용할 수도 있다. 이들은 대담을 통해 이와 같이 재프로그래밍된 칩을 사용하는 새로운 형태의 맬웨어를 소개하고, 현재 방어책으로는 탐지할 수 없는 자가 복제 바이러스로 시스템을 완전히 감염시키는 데모를 시연한다. 그리고 USB 스틱을 보호하기 위한 더 나은 방법도 소개한다.
이동통신사의 제어 코드 해킹
이동통신업체는 보다 원활한 서비스를 위해 셀룰러 기기 내에 제어 코드를 숨겨둔다. 어큐밴트 랩스(Accuvant Labs)의 연구원인 매튜 솔닉과 마크 블랑슈에 따르면 이 코드가 악용될 수 있다고 한다. 이들은 이러한 제어 플랫폼을 대상으로 무선으로 코드를 실행하는 방법을 공개하고 이것이 최종 사용자에게 미치는 영향을 보여줄 예정이다. 또한 안드로이드, iOS, 블랙베리 기기에 영향을 미치는 GSM, CDMA, LTE 네트워크 제어 프로토콜의 위협 요소를 평가하고 차단하기 위한 도구도 출시할 예정이다.
무료 클라우드 서비스 평가판을 사용하여 봇넷 실행
비숍 폭스(Bishop Fox)의 보안 전문가인 롭 레이건과 오스카 살라자리스는 여러 무료 클라우드 서비스 평가판의 컴퓨팅 파워를 축적하는 방법에 대해 설명한다. "컴퓨터 범죄자가 선량한 클라우드 서비스를 악의적인 활동에 사용하기 시작하면 무슨 일이 일어날까? 이 프레젠테이션에서는 무료 평가판을 악용해서 막대한 규모의 컴퓨팅 파워와 스토리지를 확보하고 해킹 환경을 구성하는 방법을 살펴본다. 우리는 이 과정에서 서비스 약관도 위반했다...결과적으로 한 푼도 들이지 않고, 법도 크게 어기지 않으면서 이 클라우드 기반 봇넷을 구축할 수 있었다. 이 봇넷은 맬웨어로 감지되지 않고 웹 필터에서 차단되지도 않는다. 악몽 같은 공격이다!"
모바일 기기 관리
모바일 기기 관리(MDM) 소프트웨어는 광범위한 데이터에 접근할 수 있다. MDM 제품의 결함을 악용하면 이러한 데이터에 침투할 수 있게 된다. NTT COM 시큐리티(NTT COM Security)의 연구원 스테판 브린이 그 방법을 보여주고 이러한 악용의 기반이 되는 취약점을 알려준다. 브린은 일부 취약점이 여러 상용 MDM 제품에 보편적으로 존재한다고 말한다.
암호화 업체들이 알리고 싶어하지 않는 불편한 진실
마타사노 시큐리티(Matasano Security)의 토마스 타섹과 알렉스 발두시는 크립토 챌린지(Crpto Challenge)를 기반으로 실제 사용되는 암호화 구조를 대상으로 48가지 공격을 실행하고, 이것이 소프트웨어에서 어떻게 결함으로 나타날 수 있는지를 설명한다. 또한 보안 전문가들이 공격을 인지하는 데 도움이 되도록 로제타 코드(Rosseta Code) 사이트를 만들어서 알려진 암호화 악용 사례를 여러 코딩 언어로 게시할 예정이다.