블랙 햇이 말하는 해킹 공격 툴 TOP 20

비밀 추출 툴, 브리치(BREACH) HTTPS 스트림에서 암호화 된 비밀 자료를 추출해 내는 '브리치(BREACH)'라는 툴이 공개될 것이다. 이번 블랙 햇 컨퍼런스에서 세일즈포스닷컴(Salesforce.com)과 스퀘어(Square)의 연사들이 '브리치'를 이용해 메이저 기업 제품을 상대로 한 공격을 설명한다. 이 공격은 HTTPS 채널에서 30초 이내에 세션ID(session identifier), CSRF, 이 메일 주소와 같은 정보를 추출해 낼 수 있다.

DDoS 공격 툴과 방어 툴 제작자의 말에 따르면 상용 프로그램을 능가한다는 한 공격용 툴은 분산형 서비스 거부(Distributed Denial of Service, DDoS) 공격을 완화시킬 수 있도록 설계됐으며 무료로 배포될 예정이다. 이 툴의 효과를 테스팅하기 위해 특정 제품을 웹사이트에서 사용하는 것과 같이 설정한 후 툴을 적용해 결과를 시연하는 자리도 마련될 예정이다. 블러드스피어 리서치 그룹(Bloodspear Research Group)은 자사의 공격용 툴을 막을 수 있는 새 DDoS 방어 툴을 소개할 예정이다.

피싱 고도화를 위한 정보 수집 자동화 툴 개개인이 지인들과 어떤 식으로 의사소통 하는지, 누구와 연락하고 지내며 주로 어떤 말투 및 표현을 사용하는지를 따라해 피싱 메시지를 좀 더 정교하게 만들 수 있는 정보 수집 자동화 툴도 있다. 트러스트웨이브(Trustwave) 사의 스파이더 랩(Spider Lab)에서 고안한 이 툴은 API와 스크린 스크래핑(screen scraping)을 통해 웹사이트로부터 데이터를 가져올 수 있다. 그리고 그 데이터를 분석해 특정 동사, 형용사, 명사의 사용 빈도, 평균적인 문장의 길이, 취미, 친구 관계 및 여행 계획까지 알아낸다.

안드로이드에서 비밀번호 위조 증명 툴, 블루박스(Bluebox) 블루박스(Bluebox)는 안드로이드 모바일 OS 환경에서 어떻게 비밀번호 증명을 위조해 악성 애플리케이션을 OS로 침투시키는 것이 가능한지에 관해 설명을 진행할 예정이다. 이 취약성과 관련한 패치는 이미 배포되어 있지만 적용 현황은 제조업체와 서비스 공급자에 따라 매우 큰 차이를 보이고 있다. 이 문제가 언제쯤 완전히 해소될지는 아무도 장담하지 못하고 있는 상황이다.

MDM 우회해 정보 수집하는 방식 라쿤 모바일 시큐리티(Lacoon Mobile Security)의 마이클 셜롭(Michael Shaulov)과 다니엘 브로디(Daniel Brodie)는 모바일 악성코드 감지 기능 및 암호화와 같은 모바일 기기 관리 기능을 우회해 문자 메시지나 이메일, 위치 정보 등을 수집하고 마이크를 이용해 주변 음성을 엿듣는 방식을 시연할 예정이다.

어떤 스마트폰이라도 스파이 센서로 만들어 맘대로 조작한다 카인드사이트(Kindsight)의 연구 이사 케빈 맥나미(Kevin McNamee)는 스마트폰을 스파이 센서로 만들 수 있는 코드가 어떤 스마트폰 애플리케이션에도 주입될 수 있음을 입증할 예정이다. 감염된 휴대폰은 웹 기반 명령 및 통제 서버에 의해 조작될 수 있으며, 서버는 통화 기록, 문자 메시지, 이메일, 연락처 등의 정보를 획득할 수도 있다. 이 뿐 아니라 몰래 휴대폰의 카메라나 마이크를 조작해 주변을 염탐하는 등의 활동도 이 스파이 센서 코드 침투를 통해 가능하다.

이동통신 네트워크에서의 가정용 기기 하이재킹 아이색 파트너스(iSec Partners)는 통신업체의 이동통신 네트워크와 연결된 가정용 기기들을 하이재킹(hijacking)해 음성, 메시지, 데이터 트래픽 등을 가로채는 위협에 대해 설명할 예정이다. CDMA 서비스 공급업체들에 의해 배포되고 때론 무료로 제공되기도 하는 이 펨토셀(femtocell) 기기들은 고객의 휴대폰과 공급자의 네트워크를 인터넷으로 연결하는 셀룰러 기반 스테이션으로 역할을 한다. 이 리눅스 기기들을 해킹함으로써 공격자들은 단순히 트래픽을 떼어내는 것뿐 아니라 물리적 접근 없이도 연결된 모바일 기기를 복제할 수도 있다.

아이폰을 공격하는 악성 충전기, 맥탄스(Mactans) 아이폰에서는 악성 충전기를 통한 공격 취약성이 확인됐다. 미국 조지아 공과대학 팀은 악성 충전기가 어떻게 제작되고, 또 이를 이용해 어떻게 휴대폰에 소프트웨어를 설치하는 것이 가능한지 시연할 예정이다. 애플이 기기에 설치된 그들의 표준 앱을 감추는 방식을 이용하면 이렇게 설치된 악성 앱을 감추는 것 역시 가능하다. 맥탄스(Mactans)라 불리는 이 충전기는 간편하고 저렴하게 제작할 수 있다는 점에서 더 큰 위험성을 지닌다. 조지아 공과대학 팀은 이러한 위협에 대한 대비책 역시 소개할 예정이다. 취약성 방어를 위해 애플 역시 주목할 필요가 있을 것이다.

윈도우 8 안전부트를 우회하는 악성코드 맥아피(McAfee)의 세 연구원은 윈도우 8 OS 하부 운영 환경을 악성코드로부터 보호하는 안전 부트(Secure Boot)를 우회하는 소프트웨어에 관해 소개할 예정이다. 안전 부트를 우회하면 악성코드는 침입 이후에 지속적으로 영향력을 유지할 수 있게 된다.

취약성 발견 툴, 구글의 보쉬스푼 공개 구글은 보쉬스푼(Bochspwn)이라는 이름의 툴을 공개할 예정이다. 이는 이미 윈도우 커널 및 관련 드라이브에서 50 여 개의 취약성을 발견하는데 이용된 바 있다. 발견된 취약성들 가운데 다수는 이미 패치가 이뤄졌다. 보쉬스푼은 앞으로도 취약성 발견 툴로써 많은 역할을 수행할 것으로 기대를 모으고 있다.

보안시스템 보호에 이용되는 의사 난수로 시스템 공격 사이클란스(Cyclance) 팀은 수집된 수 데이터만을 이용해 의사 난수(pseudorandom number) 수집을 진행하는 원리를 설명하는 툴을 소개할 예정이다. 의사 난수 수집기를 이용해 공격자들은 역으로 과거 수집된, 그리고 향수 수집될 수를 추론할 수 있다. 보안 시스템 보호에 이용되는 의사 난수가 시스템의 공격에 이용될 수 있음을 보여주는 것이다.

크리피DOL(CreepyDOL), 저렴하게 표적을 확인 추적, 수집, 분석 센서 기반 추적 시스템을 활용하면 경제적으로, 감시 표적에게 어떤 데이터도 전송하지 않아도 그(혹은 그들)의 일상 활동을 추적할 수 있다. 맬리스 에프터소트(Malice Afterthough)의 법률 및 보안 연구가 브랜든 오코너가 그 원리를 설명할 예정이다. 오코너가 소개할 크리피DOL(CreepyDOL) 시스템은 저렴한 센서와 오픈소스 소프트웨어를 사용해 표적을 확인, 추적하고 수집된 데이터를 분석한다. 블랙 햇 측의 요약 설명서는 이 시스템을 '작은 수공예품 속에 거대한 감시자가 들어가 있다. 500달러에 정부 수준의 완전한 인식 도구를 만나 볼 수 있다'고 설명하고 있다.

플래시 저장기기에서 악성코드를 숨기는 툴, 그것을 찾아내는 툴 어큐번트 랩스(Accuvant Labs)의 연구원 조쉬 토마스는 공격자가 플래시 저장 기기를 조작해 그 속에 악성 파일을 숨겨두거나 기기를 망가뜨리는 상황을 구현하는 세션을 진행할 예정이다. 이번 컨퍼런스에서 토마스가 소개할 개념 증명 툴은 안드로이드 용으로, 기기에 파일을 침투시키고 그것을 숨기는 툴과 이를 찾아내는 툴 두 종류다. 토마스는 또한 스마트폰에서 산업 통제 시스템까지의 다양한 기기들이 단순한 NAND 플래시 메모리만으로 불능 상태에 빠지는 모습도 시연할 예정이다. 이 취약성과 관련해서는 아직 현실적인 패치 적용이나 수정 방안이 존재하지 않는다고 토마스는 설명했다.

블루투스 스마트도 위험하다, 스니핑 툴 아이색 파트너스의 보안 컨설턴트 마이크 라이언(Mike Ryan)은 키 교환 방식을 적용한 저 에너지 블루투스, 일명 블루투스 스마트(Bluetooth Smart)의 보안 취약성을 지적한다. 라이언은 이런 키들을 스니핑(sniffing)해 기기가 전송하는 트래픽을 해독하는 방식을 시연하고 해당 스니핑 툴을 공개할 예정이다. 엘립틱 커브 디피-헬먼(Elliptic Curve Diffie-Hellman) 키 교환을 이용한 문제 해결 방식에 대한 소개도 이뤄질 예정이다.

심박기 보안 취약점으로 신호를 가로챈다 IO액티브(IOActive)의 임베디드 보안 연구 이사 바너비 잭은 임상 송신기를 통해 심박기와 같은 삽입형 의료 기구에 신호를 전송하는 소프트웨어를 소개하고 이 소프트웨어가 지니는 보안 취약성과 그것의 개선 방안을 설명할 예정이다.

온라인 광고 네트워크 기술로 컴퓨터 좀비화 온라인 광고 네트워크는 자바스크립트를 포함해 광고 전달, 사용자 활동 추적, 클릭 수집 등의 작업을 수행할 수 있다. 이는 광고 효과 증명에 이용되어 온 기술이지만, 그 매커니즘이 공격자들에 의해 악용될 경우 컴퓨터를 좀비화하는 것 역시 가능하다. 화이트 햇 시큐리티(White Hat Security)는 세션을 통해 HTML 5 브라우저에서 이 과정이 진행되는 모습을 시연할 예정이다. 블랙 햇 측의 요약 설명서는 이에 대해 '아무도 눈치채지 못하는 사이에 대규모의 브라우저에서 동시에 자바스크립트를 구동하는 모습이 구현될 것'이라고 설명했다.

업그레이드된 라우팅 테이블 탈취법 블랙 햇 컨퍼런스 2011에서 단일 자율 시스템 내 OSPF 라우터의 라우팅 테이블을 탈취하는 방법을 설명했던 연구자가 올해에는 해당 작업을 수행할 새로운 방법을 발견해 소개할 예정이다. 이스라엘 국립 전자 교전 연구 및 시뮬레이션 센터의 가비 나키블리는 요약 설명서에서 "이 공격은 블랙 홀, 네트워크 차단, 루트 연장 등을 야기함으로써 라우팅 도메인 DoS나 정보 흐름 획득 등 다른 방법으로는 어려움이 있는 활동들을 가능케한다. 이는 또 단일 패킷을 사용하는 라우터에 DoS를 시행하는 데에도 이용될 수 있다"고 설명했다.

드롭박스를 백도어로 사용한 드랍스맥 v2, 모든 클라우드 동기화에 가능 올해 초 블랙 햇 유럽 행사에서 드롭박스(Dropbox)를 기업 네트워크로의 백도어로 삼는 툴 드랍스맥(DropSmack)을 소개한 바 있는 CSR그룹 컴퓨터 보안 컨설턴트 팀이 이번 미국 행사에서는 업그레이드 버전인 드랍스맥 v2를 선보일 예정이다. 이 팀의 대표인 제이콥 윌리엄스는 "새 버전은 동기화 환경에서 발견된 일부 운영 상의 문제점을 해결했다. 특히 자동 동기화 서비스 부분에서 큰 개선이 이뤄졌다"고 소개했다. 이 설명은 비단 드롭박스 뿐만이 아닌 클라우드 백업 서비스 전반, 특히 이들 서비스의 동기화 기능에 적용이 가능할 것이다.

하드웨어 암호키와 데이터를 추출하는 전력 분석 공격 전력 분석 공격은 하드웨어 암호 기기에서 암호 키를 비롯한 데이터를 뽑아내는데 이용될 수 있다. 하지만 전력 사용 데이터를 포착하고 분석하는 장비는 상당히 비싼 가격표를 달고 있다. 이런 경제적 문제의 해결 방안이 제시되었다. 댈하우지 대학 박사 과정의 콜린 오프린(Colin O’Flynn)은 오픈소스 하드웨어와 소프트웨어를 이용해 수백 달러의 비용만으로 소형 전력 분석기를 설치하는 방법을 소개할 예정이다.

마이크로콘트롤러 통해 RFID 태그 판독, 복제 RFID 태그는 주로 건물 등의 출입을 관리하는 출입증에 활용되어 온 기술이다. 비숍 폭스(Bishop Fox)의 매니징 파트너 프랜 브라운은 마이크로콘트롤러를 이용해 RFID 태그 리더를 조작해 0.9미터 거리에서도 타인의 태그를 판독하고 복제하는 기술을 선보일 예정이다. 브라운은 거리를 오가는 행인들의 RFID 정보를 훔쳐내고 아두이노(Arduino) 마이크로콘트롤러를 이용해 커스텀 해킹 툴을 제작하는 과정을 구현할 계획이라고 설명했다.