11¿ù 13ÀÏ~14ÀÏ, ¼¿ï±³À°¹®Èȸ°ü °Å¹®°íȦ¼ °³ÃÖ
¿À´Â 11¿ù 13ÀÏ~14ÀÏ ¾çÀÏ°£ ¼¿ï ¾çÀ絿 ¼¿ï±³À°¹®Èȸ°ü °Å¹®°íȦ¿¡¼ ±¹Á¦ ÇØÅ·/º¸¾È ÄÁÆÛ·±½º POC2008(www.powerofcommunity.net/home.html)ÀÌ ¿¸°´Ù. POC2008Àº ¿ÃÇØ·Î 3ȸ°¸¦ ¸Â´Â´Ù. POC´Â ±¹³» ÇØÄ¿µé°ú º¸¾È Àü¹®°¡µé¿¡ ÀÇÇØ ¿î¿µµÇ°í ÀÖÀ¸¸ç ¼ø¼ö ºñ¿µ¸® ÄÁÆÛ·±½º·Î ½ºÅǵ鵵 ÀÚ¿øºÀ»çÀÚµé·Î ±¸¼ºµÆ´Ù.
POC´Â ´Ü¼øÇÑ º¸¾È Á¤Ã¥ Åä·ÐÀ̳ª Çü½ÄÀûÀÎ ÀÌ·Ð Åä·Ð¿¡¼ ¹þ¾î³ª ½ÇÀü ÇØÅ· ¹× ½ÇÀü º¸¾ÈÀ» ´Ù·é´Ù. ƯÈ÷ ´ëºÎºÐÀÇ ¹ßÇ¥ÀÚµéÀÌ ½ÇÀüÇØÅ·°ú ½ÇÀüº¸¾ÈÀ» ÇöÀå¿¡¼ Á÷Á¢ ½Ã¿¬À» ÅëÇØ º¸¿©ÁØ´Ù. ÀÌ°ÍÀº ±¹³»¿¡¼ ¿¸®´Â ´ëºÎºÐÀÇ ÄÁÆÛ·±½º¿Í´Â ´Ù¸£¸ç, ´Ù¸¥ ±¹Á¦ ÇØÅ·/º¸¾È ÄÁÆÛ·±½º¿Íµµ Â÷º°ÈµÈ Á¡ÀÌ´Ù.
<POC2007¿¡¼ Defcon CTF ¿ì½ÂÆÀ ¸®´õ atlasÀÇ ¹ßÇ¥ ¸ð½À @º¸¾È´º½º>
Áö³ POC2006°ú POC2007¿¡¼´Â GNU Project¿Í Free Software FoundationÀÇ ¼³¸³ÀÚ Richard StallmanÀÇ ¹ßÇ¥°¡ ÀÖ¾úÀ¸¸ç, ÀüÀÚ¿©±Ç º¹Á¦, ¹Ì±¹ Á¤º¸±â°ü NSA Ãâ½ÅÀÇ ÇØÄ¿ÀÇ ¹ßÇ¥, ±¹³» ±ÝÀ¶±ÇÀÇ ¹®Á¦°¡ µÇ¾ú´ø ¸Þ¸ð¸® ÇØÅ·¿¡ ´ëÇÑ ½Ã¿¬, Defcon CTF ¿ì½ÂÆÀ ¸®´õÀÇ ¹ßÇ¥, Áß±¹ ÇØÅ· ±×·ì XconÀÇ ¿î¿µÀÚÀÇ ¹ßÇ¥¿Í ÀϺ» ÇØÄ¿ÀÇ ¹ßÇ¥°¡ ÀÖ¾ú´Ù.
À̹ø POC2008Àº ¹ßÇ¥ÀÇ ½ÇÁúÀûÀÎ ÁúÀ» ³ôÀ̱â À§ÇØ ´Ù¼Ò Çü½ÄÀûÀÎ ¹ßÇ¥³ª ³íÀÇ¿¡ ±×Ä¥ ¼ö ÀÖ´Â Å°³ëÆ® ½ºÇÇÄ¿ ¹ßÇ¥¸¦ ¾ø¾Ö°í, ¸ðµç ¹ßÇ¥ÀÚµéÀÌ ½ÇÁúÀûÀÎ ÇØÅ·°ú º¸¾È¿¡ ´ëÇØ ±íÀÌ ÀÖ´Â ³»¿ëÀ» Àü´ÞÇÒ ¿¹Á¤ÀÌ´Ù.
±¹³» ¹ßÇ¥ÀÚµé Áß Dual°ú gotofbi´Â ±¹³» ÄÉÀÌºí ¸ðµ©¿¡ Á¸ÀçÇÏ´Â ¾Ë·ÁÁöÁö ¾ÊÀº Ãë¾àÁ¡¿¡ ´ëÇØ ¹ßÇ¥ÇÒ ¿¹Á¤ÀÌ´Ù. ÀÌ ¹ßÇ¥¿¡¼´Â ÀÎÅͳÝÀ» ¹«·á·Î »ç¿ëÇÏ°í, À͸íÀ¸·Î »ç¿ëÇÒ ¼ö ÀÖ´Â ¹®Á¦Á¡°ú ÄÉÀÌºí ¸ðµ©ÀÇ ±¸Á¶ÀûÀÎ ¹®Á¦·ÎºÎÅÍ ³ª¿À´Â Ãë¾àÁ¡µéÀ» ÀÌ¿ëÇÑ ÀÀ¿ë °ø°Ýµé¿¡ ´ëÇØ ´Ù·ê °ÍÀÌ¸ç ±× ÇØ°áÃ¥ ¿ª½Ã Á¦½ÃÇÒ °ÍÀ¸·Î º¸ÀδÙ.
GilGilÀº POC2006¿¡¼ ´Ù·ç¾ú´ø VoIPÀÇ ¹®Á¦Á¡¿¡ ´ëÇØ ´Ù½Ã ´Ù·ç°Ô µÈ´Ù. ±âÁ¸¿¡ Á¸ÀçÇÏ´ø ¹®Á¦°¡ ±Øº¹µÇ¾úÁö¸¸ »õ·Î¿î ¹®Á¦Á¡ÀÌ Á¸ÀçÇÏ´Â °ÍÀ» ¹ß°ßÇßÀ¸¸ç ±¹³»¡¤¿Ü VoIP Á¦Ç°µéÀÇ ¹®Á¦Á¡À» ´Ù·ê °ÍÀÌ´Ù.
ÇØÅ·/º¸¾È ÀâÁö Phrack¿¡ 3¹øÀ̳ª ±ÛÀ» ¹ßÇ¥Çß°í, À¯¸íÇÑ º¸¾È ȸ»ç @stake Ãâ½ÅÀÎ ¿Ü±¹ ¹ßÇ¥ÀÚ GrugqÀº »õ·Î¿î anti-forensics ±â¼ú¿¡ ´ëÇØ ¹ßÇ¥ÇÑ´Ù. ÇØÄ¿µé°ú ¼ö»çÆÀ ¸ðµÎ¿¡°Ô µ¿½Ã¿¡°Ô ÇÊ¿äÇÒ °ÍÀ̶ó°í GrugqÀº ¸»ÇÏ°í ÀÖ´Ù. ¶ÇÇÑ OS X ½Ã½ºÅÛ¿¡ Á¸ÀçÇÏ´Â 0-day¿Í ÀÌÀü¿¡ ¹ßÇ¥µÇÁö ¾ÊÀº ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ÆÄÀÏ ½Ã½ºÅÛÀ» °ø°ÝÇÏ´Â »õ·Î¿î °ø°Ý¹æ¹ý¿¡ ´ëÇØ ¹ßÇ¥ÇÒ °ÍÀÌ´Ù.
À̹ø¿¡µµ Áß±¹ ÇØÄ¿ 2¸íÀÌ ¹ßÇ¥¸¦ ÇÑ´Ù. Áß±¹¿¡¼µµ ÃÖ°í ÇØÄ¿ ÁßÀÇ ÇÑ ¸íÀ¸·Î ¾Ë·ÁÁø SowhatÀº Ãë¾àÁ¡À» ã¾Æ³»´Â ¹æ¹ý·Ð¿¡ ´ëÇØ ¹ßÇ¥ÇÒ ¿¹Á¤ÀÌ´Ù. SowhatÀº ±¹³»¡¤¿Ü ¾ÈƼ¹ÙÀÌ·¯½º Á¦Ç°µé¿¡ Á¸ÀçÇÏ´Â Ãë¾àÁ¡µé¿¡ ´ëÇÑ º¸¾È ±Ç°í¹®À» ¸¹ÀÌ ¹ßÇ¥Çß¾ú´Ù. ¶ÇÇÑ Microsoft Á¦Ç°µé¿¡ Á¸ÀçÇÏ´Â ¸¹Àº Ãë¾àÁ¡À» ¹ßÇ¥ÇßÀ¸¸ç, Microsoft ±â¼úÀڵ鸸À» ´ë»óÀ¸·Î ÇÏ´Â ÄÁÆÛ·±½º BlueHat v7¿¡¼ ¹ßÇ¥Çϱ⵵ ÇÑ Áß±¹ ½Ç·ÂÀÚ Áß ÇÑ ¸íÀÌ´Ù.
¶Ç ´Ù¸¥ Áß±¹ ÇØÄ¿ ICBMÀº ÇöÀç ¿ì¸®³ª¶ó°¡ Áß±¹ ÇØÄ¿µé·ÎºÎÅÍ °¡Àå ¸¹Àº ÇÇÇظ¦ ÀÔ°í ÀÖ´Â ÇüÅÂÀÎ ¾Ç¼ºÄÚµå °ø°Ý ¹æ¹ýµé°ú ¹æ¾î¹ý¿¡ ´ëÇØ ¹ßÇ¥ ÇÒ °ÍÀÌ´Ù. ƯÈ÷ ÃÖ±Ù ¹®Á¦°¡ µÇ°í ÀÖ´Â DoS °ø°Ý°ú Æнº¿öµå Å»Ãë µîÀÇ ¸ñÀûÀ¸·Î »ç¿ëµÇ´Â Áß±¹ ÇØÄ¿µéÀÇ ¾Ç¼ºÄÚµå °ø°Ý ¹æ¹ý°ú ¹æ¾î¿¡ ´ëÇØ ´Ù·ê °ÍÀÌ´Ù. ICBMÀº Áß±¹ À¯¸í ¾ð´õ±×¶ó¿îµå ÇØÅ·ÆÀÀÇ ÇÙ½É ¸â¹öÀ̱⵵ ÇÏ´Ù. ±×´Â ÇöÀç º¸¾È ȸ»ç¸¦ ¿î¿µÇÏ°í ÀÖÀ¸¸ç, À̹ø¿¡ ÇÔ²² ¿À´Â ±×ÀÇ ºÎÀÎÀº CNCERT Ãâ½ÅÀÌ´Ù.
À̹ø Çà»ç¿¡´Â Çѱ¹¿¡ ´ëÇØ ¸¹Àº ¾ÖÁ¤À» °¡Áø µ¶ÀÏ ÇØÄ¿ Stefan Esserµµ Âü¼®ÇÒ ¿¹Á¤ÀÌ´Ù. ±×´Â Microsoft XboxÀÇ DRMÀ» ÃÖÃÊ·Î ¿ÏÀüÈ÷ ±ü »ç¶÷À̸ç, ¿ÀÇ º¸¾È ¼Ö·ç¼Ç SuhosinÀÇ °³¹ßÀÚÀ̱⵵ ÇÏ´Ù. SuhosinÀº ¿ì¸®³ª¶ó ¸»ÀÇ ¡®¼öÈ£½Å¡¯À» ¿µ¾î·Î »ç¿ëÇÑ °ÍÀÌ´Ù. ±×´Â Hardened PHP Project ¿î¿µÀÚÀ̱⵵ ÇÏ¸ç ¸¹Àº º¸¾È Ãë¾àÁ¡À» ¹ßÇ¥Çϱ⵵ Çß´Ù. ±×´Â ¼Ò½º°¡ °ø°³µÇ¾î ÀÖÁö ¾Ê°í ¾ÏȣȵǾî ÀÖ´Â PHP ¾îÇø®ÄÉÀ̼ǿ¡ Á¸ÀçÇÏ´Â Ãë¾àÁ¡À» ¹ß°ßÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ ¹ßÇ¥ÇÑ´Ù.
¿©·¯ ¹ßÇ¥ÀÚ Áß¿¡¼ °¡Àå Èï¹Ì·Î¿î ¹ßÇ¥ÀÚ Áß ÇѸíÀÎ Kris Kaspersky´Â ¸®¹ö½º ¿£Áö´Ï¾î¸µ Àü¹®°¡À̸ç, ÃÖ±Ù ÀÎÅÚ ÇÁ·Î¼¼¼¿¡ Á¸ÀçÇÏ´Â Ãë¾àÁ¡À» ÀÌ¿ëÇØ ¿ø°ÝÀ¸·Î ÄÄÇ»ÅÍ ½Ã½ºÅÛÀ» °ø°ÝÇÏ´Â ¹æ¹ýÀ» ¹ßÇ¥Çϱ⵵ ÇÑ ÇØÄ¿´Ù. ±×´Â À̹ø POC2008¿¡¼ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® Á¦Ç°¿¡ Á¸ÀçÇÏ´Â ¹Ì¹ßÇ¥ Ãë¾àÁ¡À» ÃÖÃÊ·Î ¹ßÇ¥ÇÒ ¿¹Á¤ÀÌ´Ù. ÀÌ Ãë¾àÁ¡Àº ÆÐÄ¡¿¡µµ ½Ã°£ÀÌ ¸¹ÀÌ °É¸± ¼ö ÀÖ´Â ½É°¢ÇÑ ¹®Á¦¶ó°í Kris´Â ÀüÇß´Ù.
±â¼ú Áß½ÉÀÇ ÄÁÆÛ·±½º¿¡ Àç¹ÌÀÇ ¿ä¼Ò°¡ °¡¹ÌµÈ ¹ßÇ¥°¡ Mudsplatter¿¡ ÀÇÇؼ ÀÌ·ç¾îÁú ¿¹Á¤ÀÌ´Ù. Mudsplatter´Â ¹Ì°ø±º¿¡¼ ±Ù¹«ÇßÀ¸¸ç, ±×´Â ÀüÅõ»óȲ¿¡¼ ºñ¹Ð ³×Æ®¿öÅ©ÀÇ ½Å·Ú¼º ¹®Á¦¸¦ ´Ù·ç¾úÀ¸¸ç, ¹°¸®Àû ³×Æ®¿öÅ© º¸¾ÈÀ» À§ÇØ NSA Á¤Ã¥À» Àû¿ëÇÏ´Â ¾÷¹«¸¦ ¼öÇàÇß´Ù. ¶ÇÇÑ CAOC¿¡¼ °ø°Ý ½Ã½ºÅÛ(Global Strike System)ÀÇ ÀüÅõ ÁغñÆÀÀ» À̲ø±âµµ Çß´Ù. À̹ø ¹ßÇ¥¿¡¼´Â Dumpster diving, Locking picking, Pretexting µîÀÇ ¹°¸®Àû ÇØÅ· ½Ã¿¬À» º¸¿©ÁÙ °ÍÀÌ´Ù.
¶ÇÇÑ ÃÖ±Ù »õ·Î¿î ÀüÀÚ¿©±Ç ½Ã½ºÅÛÀ» ½ÃÀÛÇÑ ¿ì¸®³ª¶óÀÇ ÀüÀÚ¿©±ÇÀÇ º¹Á¦ ¹®Á¦ µîÀ» ´Ù·ê ¼ö ÀÖ´Â ¹ßÇ¥ÀÚ Lukas Grunwald°¡ ¿Â´Ù. Lukas´Â 2006³â Black Hat¿¡¼ ÃÖÃÊ·Î ÀüÀÚ¿©±ÇÀ» º¹Á¦ÇÏ´Â °ÍÀ» º¸¿©ÁÖ¾î ¸¹Àº »ç¶÷µéÀ» ³î¶ó°Ô Çß´Ù. ÇöÀç±îÁö ¹Ì±¹, ¿µ±¹, ½Ì°¡Æú µîÀÇ ÀüÀÚ¿©±Ç º¹Á¦°¡ °¡´ÉÇÔÀÌ ±×µ¿¾È °¢Á¾ ÄÁÆÛ·±½º¸¦ ÅëÇØ ¹àÇôÁø »óÅÂÀÌ´Ù. Lukas´Â ¿ì¸®³ª¶ó ÀüÀÚ¿©±Ç»Ó¸¸ ¾Æ´Ï¶ó RFID ½Ã½ºÅÛÀ» »ç¿ëÇÏ´Â °¢Á¾ Ä«µå¿¡ ´ëÇÑ º¹Á¦¹®Á¦¸¦ ´Ù·ê ¿¹Á¤ÀÌ´Ù.
ÄÁÆÛ·±½º¿Í ÇÔ²² ¸®¹ö½º ¿£Áö´Ï¾î¸µ ÄÜÅ×½ºÆ®µµ ÄÁÆÛ·±½º À̺¥Æ® Çϳª·Î ¿¸°´Ù. ÀÌ ´ëȸ´Â ¾Èö¼ö¿¬±¸¼Ò¿Í ÇÔ²² ¿î¿µµÇ¸ç, ´©±¸¶óµµ Âü¿©ÇÒ ¼ö ÀÖ´Ù. ÀÌ ´ëȸ´Â 10¿ù 1ÀϺÎÅÍ 15ÀϱîÁö ÁøÇàµÉ °ÍÀÌ¸ç ¿ì½ÂÀÚ¿¡°Ô´Â POC2008 ¹ßÇ¥ ±âȸ°¡ Á¦°øµÈ´Ù.
¸¶Áö¸· ³¯ ¿¸®´Â ¸¸Âù¿¡´Â ¹ßÇ¥ÀÚµé, ¿Ü±¹¼Õ´Ôµé, ±×¸®°í ±¹³»¡¤¿Ü ÀϹÝÂü°¡ÀÚµéÀÌ Âü°¡ÇÏ¿© ±³·ùÇÒ ¼ö ÀÖ´Â ±âȸ¸¦ °¡Áú ¿¹Á¤ÀÌ´Ù. À̹ø POC2008¿¡´Â, SysCan, Xcon, Black Hat Japan°ú °°Àº ¼¼°è À¯¸í ÄÁÆÛ·±½º ¿î¿µÀÚµé°ú ¹Ì±¹ MicrosoftÀÇ ÇÙ½É °£ºÎ, ¹Ì±¹¹æºÎ Á÷¿ø, °¢±¹ÀÇ º¸¾È °ü·Ã ¾÷¹« ´ã´çÀڵ鵵 Âü°ü Àǻ縦 ¹àÇû´Ù°í ÁÖÃÖÃøÀº ¸»ÇÑ´Ù.
ƯÈ÷ Black Hat Japan ¿î¿µÀÚ´Â ÀϺ»ÀÇ º¸¾È ´ã´çÀÚ ½Ê ¿©¸íÀ» ÇÔ²² µ¥¸®°í ¿Ã °èȹÀÌ´Ù. ÀÏ¹Ý Âü°¡Àڵ鵵 ¸¸Âù¿¡ Âü°¡ÇÏ¿© ¼¼°è °¢±¹ÀÇ ÇØÄ¿µéÀ̳ª º¸¾È Àü¹®°¡, ±×¸®°í º¸¾È ¾÷°è Àηµé°úÀÇ ÀÎ¸Æ Çü¼ºµµ ÇÒ ¼ö ÀÖÀ» °ÍÀ¸·Î º¸ÀδÙ. ¸¸Âù Âü°¡´Â ÁÖÃÖÃø¿¡ º°µµ ½ÅûÇØ¾ß Âü°¡ÇÒ ¼ö ÀÖ´Ù.
POC2008 ȨÆäÀÌÁö¿¡¼ Âü°¡µî·ÏÀÌ ÁøÇà ÁßÀ̸ç ÇöÀç´Â Á¶±âµî·Ï ±â°£ÀÌ´Ù. µî·Ï ±â°£Àº Á¶±âµî·ÏÀÌ 9¿ù 8ÀÏ~30ÀϱîÁö°í Èıâµî·ÏÀÌ 10¿ù 1ÀÏ~31ÀϱîÁö´Ù. µî·Ï±â°£¿¡ µû¶ó µî·Ïºñ¿¡ Â÷µîÀÌ ÀÖ´Ù.
ÁÖÃÖÃøÀº ½ºÆù¼µµ ¸ðÁýÁß¿¡ ÀÖ´Ù. POC ½ºÆù¼ ¸ðÁýÀÇ ÁÖ¿ä ¸ñÀû Áß Çϳª´Â POCÀÇ Áö¸íµµ¸¦ ÅëÇØ ±¹³» º¸¾È¾÷üµéÀ» ¿Ü±¹¿¡ ¾Ë¸®´Â °ÍÀÌ´Ù. À̸¦ ÅëÇØ ±¹³» ¿µ¾÷¿¡¸¸ ±¹Çѵǰí ÀÖ´Â ±¹³» º¸¾È »ê¾÷ÀÇ ¹üÀ§¸¦ È®´ëÇÒ ¼ö ÀÖÀ» °ÍÀÌ´Ù. ±×·¯³ª ¾ÆÀÌ·¯´ÏÄÃÇÑ °ÍÀº POC ÈÄ¿ø¿¡ ´ëÇØ °¡Àå Àû±ØÀûÀÎ ÀÔÀåÀ» ÃëÇÏ´Â ¾÷ü´Â Microsoft ¹Ì±¹ º»»ç¶ó´Â °Í. Googleµµ POC2009¿¡ ´ëÇØ ÈÄ¿øÀ» ¾à¼ÓÇß´Ù°í ÁÖÃÖÃø °ü°èÀÚ´Â ÀüÇß´Ù.
POC ÁÖÃÖÃø °ü°èÀÚ´Â ¡°POC¿¡ ´ëÇÑ ±¹³» ±â¾÷µéÀÇ ÈÄ¿øÀº ±â¾÷ÀÌ ¾ÕÀ¸·Î ÇÊ¿äÇÑ ÀÎÀ縦 À°¼º ¹× ¹ß±¼Çϴµ¥ µµ¿òÀÌ µÉ °ÍÀ¸·Î º¸ÀδÙ. ¶ÇÇÑ º¸¾È °ü·Ã »ê¾÷ ¹ßÀü»Ó¸¸ ¾Æ´Ï¶ó Àå±âÀûÀ¸·Î´Â ±¹°¡ º¸¾È´É·Â °È¿¡µµ µµ¿òÀÌ µÉ °Í¡±À̶ó°í ¸»Çß´Ù.
¡áPOC2008 ȨÆäÀÌÁö: http://www.powerofcommunity.net/home.html
¡á¹®ÀÇ: mailto:pocadm@gmail.com
[±æ¹Î±Ç ±âÀÚ(reporter21@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>