[외신] 블랙햇 2009 USA, 날카로운 보안 이슈 제기로 큰 호응

블랙햇 시큐리티 컨퍼런스가 지난 29일, 30일(현지 시간) 이틀간 미(美) 라스베가스에서 진행됐다.

전 세계 해커들의 로망이자 가장 예리한 보안 이슈가 제기되는 블랙햇 시큐리티 컨퍼런스 2009(Black Hat USA 2009)가 미국 라스베가스에서 개최됐다. 특히 이번 블랙햇에서는 스마트그리드에서부터 X.509 인증에 이르기까지 최신 이슈들에 대한 50여개의 트레이닝 코스와 70여개의 브리핑이 이어져 참가자들의 큰 호응을 얻었다.

우선 첫째 날인 29일(현지 시간)에는 앞서 인터넷을 통한 프리뷰 영상으로 많은 기대를 모았던 보안 연구자 라이언 스미스(Ryan Smith)와 그의 동료 연구자 마크 다우(Mark Dowd), 데이빗 듀이(David Dewey) 등의 액티브X 실행 방지 설정 우회 킬빗 PoC(proof-of-concept, 개념 증명) 시연이 큰 관심을 끌었다.

또한 최근 이슈가 되고 있는 스마트폰 보안과 관련해 SMS(단문 문자메시지)를 이용한 애플 아이폰(iPhone)과 구글 안드로이드(Android) 스푸핑 시연도 많은 관심을 받았다. 보안 연구자 관한 찰리 밀러(Charlie Miller)와 콜린 뮬리너(Collin Mulliner)가 공동으로 논문을 작성하고 제인 래키(Zane Lackey)와 루이스 마이러스(Luis Miras)가 통신업체의 서버를 통해 발송되는 SMS를 스푸핑하는 방법을 시연했다.

이 외에도 인증 이슈와 관련해 SSLas을 타겟으로 하는 댄 카민스키(Dan Kaminsk)와 렌 새써맨(Len Sassaman)의 시연과 마이크 저스맨(Zusman)의 EV SSL보안 웹사이트에 대한 중간자 공격(man-in-the-middle) 시연 등이 눈길을 끌었다.

그러나 블랙햇의 스타이자 맥(Mac) 해커로 잘 알려진 다이노 다이 조비(Dino Dai Zovi)의 맥 OS 루트킷 ‘마키아벨리(Machiavelli)’에 대한 PoC 시연은 매끄럽게 진행되지 못해 아쉬움을 샀다.

다이 조비는 약 45분간 커널 콜과 복잡한 자신의 맥 OS 루트킷 마키아벨리에 대한 슬라이드로 참석자들의 흥미를 끌었으나 그의 맥북(Macbook)에 문제가 생겨 결국 많은 기대를 받았던 코드 시연은 할 수 없었던 것으로 알려져 블랙햇 USA 2009에서의 다이노 다이 조비의 맥 OS X 루트킷 프리젠테이션은 사실상 실패했다.

한편 25일부터 28일까지 3일간의 트레이닝과 29일 30일, 양일에 걸친 다양한 브리핑을 끝으로 막을 내린 이번 블랙햇 2009에 관심이 있다면 ‘blackhat usa+2009’ 홈페이지를 통해 강연 내용이나 동영상 자료 등을 만나볼 수 있다.

[김동빈 기자(foreign@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)