보안

2012 블랙햇 해커 컨퍼런스 하이라이트

John P. Mello Jr. | PCWorld 2012.07.30
지난 주 블랙햇 해커 컨퍼런스가 개최되면서 디지털 업계 종사자들은 조금 더 불안한 느낌으로 한 주를 보냈다.
 
이번 행사에서 보안 연구가들에게 의해 깨진 기술로는 호텔 객실 잠금장치, 홍채 스캐너, 구글 바운서, POS 터미널, 그리고 NFC 기술 등이 있다.
 
컨퍼런스 참가자들 중 호텔에 묵은 사람들은 특히 모질라의 소프트웨어 개발자 코디 브로셔스의 발표에서 엄청난 불안감을 느꼈다. 브로셔스는 자체 제작한 50달러짜리 디바이스로 호텔 객실을 쉽게 열어 버렸기 때문이다.
 
이 도구는 호텔에서 마스터 키 카드를 사용할 수 있도록 프로그램하는 데 사용하는 것과 유사한 것이었다. 하지만 오니티(Onity)에서 만든 객실 잠금장치에만 통하며, 성공 확률은 33% 정도이다. 하지만 전세계적으로 4~500만 개의 호텔 객실이 대상이 된다.
 
생체 보안 기술의 패배
보안성 강한 생체 ID 인증 방식 역시 이번 블랙햇에서 허점을 드러냈다. 스페인의 연구가는 어떻게 사람 눈의 홍체 실물과 똑 같은 이미지를 만들어 낼 수 있는지를 보여줬다. 스페인 마드리드주립대의 연구팀에 따르면, 고급 상용 인식 시스템을 대상으로 한 시험에서 홍채 스캐너를 80% 정도 속인 것으로 알려졌다.
 
가짜 홍채 이미지는 과거에도 만들어졌지만, 장기에 관해 수집된 데이터로부터 실제 사람의 홍채를 복제한 것은 이번이 처음이다.
 
자사의 온라인 앱 스토어인 구글플레이에 바운서(Bouncer)를 도입하면서 구글은 이 기술이 자사 앱스토어에서 악성 프로그램에 감염된 앱이 배포되는 것을 상당 기간 막아줄 것이라고 믿었다. 하지만 이번 블랙햇에서 트러스트웨이브(Trustwave)의 지적에 의해 벌써 의문이 제기됐다. 트러스트웨이브는 정교화된 은폐 기법을 사용해 어떤 식으로 치명적인 문제가 있는 앱을 바운서의 레이더망 속으로 침투시켰고, 연구원들이 찾아낼 때까지 2주 동안이나 구글플레이에 숨겨 뒀었는지를 시연해 보였다.
 
하지만 앱쏘리티(Appthority)가 블랙햇에서 발표한 연구 결과에 따르면, 악성 앱만이 스마트폰에 저장된 사용자 데이터를 훔쳐보는 것이 아니다. 앱쏘리티는 iOS 앱의 96%, 안드로이드 앱의 84%가 연락처나 위치, 일정 정보 등 스마트폰에 저장된 민감한 정보에 액세스할 수 있다고 밝혔다.
 
모바일 쇼핑객 주의보
전자상거래 역시 이번 블랙햇에서 주요 공격 대상이 됐다. 한 연구팀은 POS 단말기를 감염시키도록 개발한 지불 카드를 시연해 보였다. 이 카드는 단말기에 트로이목마 프로그램을 심어놓고는 입력되는 신용카드 정보와 PIN 번호를 수집하며, 이렇게 모은 정보는 나중에 다른 악성 카드를 이용해 단말기로부터 추출할 수 있다.
 
이들 연구팀은 또 단말기의 취약점을 이용해 승인되지 않은 거래를 은행이 승인한 것처럼 판매원을 속힐 수 있다는 것도 보여줬다.
 
모바일 폰을 이용한 금융 거래의 핵심 기술로 평가되는 NFC 역시 블랙햇 참가자들의 관심을 끌었다. 아큐반트(Accuvant)의 연구원인 찰리 밀러는 NFC 칩에 내장된 태그가 안드로이드폰에 있는 정보를 훼손시키는 데 사용될 수 있다는 것을 보여줬다.
 
한편, 블랙햇의 전통인 Pwnie 대상에서는 이번에 플레임 소프트웨어 개발자에게 상이 주어졌고, 물론 플레임 개발자가 상을 받으러 나타나지는 않았다.
 
올해는 블랙햇에 처음으로 애플이 참여해 주목을 받았다. 하지만 애플의 발표 자체는 지루했다. 지난 5월 발표된 iOS 보안 관련 백서의 정보를 재탕해 발표한 애플 보안 플랫폼 엔지니어 달라스 데 아틀라스는 어떤 질문도 받지 않고 자리를 떠났다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.