10주년 맞은 포니 어워드, 수치와 영광의 수상자들

최고의 버그, 최고의 혁신가들도 뽑고 최악의 대응도 뽑고
최악의 공격 부문 수상자는 이름 모를 러시아의 해커

[보안뉴스 문가용] 영화 산업에 아카데미가 있다면 정보보안 산업에는 포니 어워드(PWNIE Awards)가 있다. 2016년은 이 포니 어워드에게 매우 특이한 해로 기록될 전망이다. 먼저는 올해가 10주년이기 때문이고, 매년 가장 큰 관심을 모으는 ‘처참한 실패’ 부문에서 올해만큼은 수상자가 나오지 않았기 때문이다. 지난 해 ‘처참한 실패’ 우승 사건인 미국 인사관리처(OPM)의 아성을 무너트리기가 쉽지는 않았나 보다.

하지만 다른 부문에서의 우승자 선정은 꽤나 그럴 듯하다. 어떤 보안 사건들이 우리를 놀라게 했는지 들여다보도록 하자.

1. 최고의 서버 사이드 버그
가장 발전되었거나 흥미로운 서버 사이드 취약점을 꼽는 상이다. 사용자의 특별한 행동이 없어도 원격에서 접근을 허용해주는 취약점을 가진 소프트웨어가 주로 꼽힌다. 올해의 우승자는 시스코 ASA IKEv1 / IKEv2 Fragmentation Heap 버퍼 오버플로우 취약점으로 CVE-2016-1287이다.

이걸 발견해 고친 사람들은 엑소더스 인텔리전스(Exodus Intelligence)의 데이비드 박스데일(David Barksdale), 조던 그루스코브냑(Jordan Gruskovnjak, 알렉스 윌러(Alex Wheeler)다.

2. 최고의 클라이언트 사이드 버그
올해 가장 치명적인 클라이언트 사이드 취약점은 glibc getaddrinfo 스택 버퍼 오버플로우로 CVE-2015-7547이다. 페르민 세르나(Fermin J. Serna)라는 전문가가 발견했다. 구글의 한 엔지니어가 특정 호스트로의 연결을 시도할 때 SSH가 segfault를 반복적으로 일으켜서 조사해본 결과 SSH의 버그가 아니라 내부 호스트 이름이 너무 길어서 glbic의 DNS 분석 코드 안에서 스택 버퍼 오버플로우가 발생하는 것이었다.

3. 최고의 권한 상승 버그
올해 이 상은 기술적으로 가장 발전된 모습을 선보인 권한 상승 버그는 CVE-2015-6639로 Widevine QSEE Trustzone 권한 상승 취약점으로 알려져 있다. 이 취약점을 연구하고 발견한 사람은 아직 본명도 알려져 있지 않은 것이 특이하다. 완전 권한 0에서 시작하여 관리자 모드로까지 들어가는 방법을 문서화 하여 제공했다. 포니 어워드 주최 측은 ‘오랜만에 진짜 재미있는 작업물을 발견했다’고 밝혔다.

4. 최고의 크랩토그래피 공격
올해 신설된 부문으로 가장 역동적인 크립토그래피 관련 공격에 사용된, 그것도 실제 현실 세계에서 사건화 된 취약점을 뽑았다. 바로 CVE-2016-0800, SSLv2 크랩토그래피 공격으로 일명 드라운(DROWN)이라고 불린다. 이 취약점 연구 및 분석에 많은 이들이 참여했고, 시상식에서 언급된 인물만 15명이다. 드라운은 Decrypting RSA with Obsolete and Weakened Encryption의 준말로, 위 15명의 전문가들은 이 취약점에 대한 분석과 해결책을 공식 논문으로 발제한 바 있다.

5. 최고의 백도어
역시 올해 신설된 부문으로 가장 흥미롭고 영향력이 큰 백도어를 개발하거나 발견한 사람에게 상을 수여한다. 영광의 취약점은 주니퍼 스크린 OS(Juniper Screen OS)로 CVE-2015-7755와 CVE-2015-7756이다. 포니 측은 “2015년 후반에 갑자기 주니퍼가 자신들의 넷스크린(Netscreen) OS에서 승인되지 않은 코드가 몇 년 간 돌아다니고 있었다는 사실을 발견했다고 알려왔으나 아직도 크게 드러난 사실이 없다”며 “하지만 해당 코드는 중국의 누군가가 주니퍼 방화벽에 불법 접근하기 위해서 사용한 것으로 보인다”며 중국이 수상자인 것처럼 발표했다.

6. 최고의 공포유발자
역시 올해 신설된 부문으로 전문가나 홍보 팀, 혹은 기자들 중 보안 사건에 대하여 가장 큰 공포를 조장한 자 및 해당 사건에 상을 수여한다. 역사상 최초의 공포유발자 상은 자동차 해킹 연구가로 알려진 찰리 밀러(Charlie Miller)와 크리스 발라섹(Chris Valasek)이 차지했다. 지프 차량을 고속도로에서 원격으로 조정할 수 있다는 연구 결과와 관련된 것이었다.

이 연구 때문에 크라이슬러가 1백 4십만 대의 차량을 리콜한 바 있다. 또한 소프트웨어가 장착된 스마트카가 얼마나 위험한지 경각심을 심어주었다. 이 때부터 스마트카 해킹에 대한 연구가 자동차 제조업자들 사이에서 본격적으로 시작되었다고 봐도 무방할 정도다.

7. 최고의 브랜딩
취약점 및 제품을 가장 열정적으로 홍보한 사람, 업체, 제품, 취약점에 수여되는 상으로 올해는 마우스잭 무선 키스트로크 인젝션 버그가 뽑혔다. “바스틸(Bastile)의 위협 연구 팀(Threat Research Team)이 발견한 것으로 단지 이런 게 있다고 한 번 알린 게 아니라 익스플로잇 방법이 나온 동영상도 만들고 꾸준히 다양한 매체에 기고 활동도 벌였다”고 포니 측은 선정 이유를 밝혔다.

8. 최고의 혁신
가장 혁신적인 보안 연구를 진행했다고 결정된 건 에릭 보스만(Erik Bosman), 카베 라자비(Kaveh Razavi), 허버트 보스(Herbert Bos), 크리스티아노 구이프리다(Cristiano Guiffrida)다. 이들은 ‘고급 익스플로잇 방법으로서의 메모리 복제’라는 방법을 연구하고 IEEE를 통해 발표했다. 메모리 속 데이터를 재활용함으로써 민감한 정보를 바이트 단위로 유출시키는 방법이 자세히 공개되었으며, 이 연구는 이전에 아무도 생각지도 못한 새로운 분야를 개척했다는 평을 받고 있다.

9. 가장 저급한 대응
보안 문제를 겪거나 특정 사건과 연루된 보안 업체가 고객들 혹은 매체에 내놓은 응답 중 가장 저질인 것을 꼽는 상이다. 올해는 웨스턴 디지털(Western Digital)이란 업체의 “계속 주시 중에 있습니다”가 뽑혔다. 웨스턴 디지털의 하드드라이브 암호화 기술에서 심각한 오류가 발생했는데, 이 회사가 한 말은 정말로 이게 다였다. 픽스를 발표하겠다거나 고쳐놓겠다는 다짐도 없이, 그냥 지켜보고 있다는 건 무슨 심보였을까?

10. 가장 과대 선전된 버그
취약점 하나로 가장 큰 파장을 일으킨 사람 및 해당 취약점에 수여되는 상으로 올해는 CVE-2016-0128 넘버링이 붙은 배드록(Badlock) 취약점과 스티븐 메츠마허(Stefan Metzmacher)가 뽑혔다. “결국엔 DoS 공격과 관련된 버그 하나였을 뿐인데 스티븐은 트위터와 미디어를 통해 계속해서 이를 언급했을 뿐 아니라 카운트다운 타이머, 로고, 웹 사이트까지 만드는 노력을 선보였습니다. 지켜보기 민망했을 정도입니다.”

11. 공로상
장시간 뛰어난 기술과 노하우로 가장 크고 폭넓은 영향력을 끼친 인물을 선정하는 상으로 올해는 DARPA의 피터 잣코(Peiter C. Zatko)가 뽑혔다.

12. 최악의 공격
주니퍼(Juniper) 백도어를 활용한 공격자들이 뽑혔다. 이들은 아마도 러시아 해커들로 보이는데, 이미 주니퍼 백도어의 존재를 알고 있었고, 이 백도어를 백도어하는 기발한 방법으로 주니퍼를 두 번 농락했을 뿐 아니라 ‘뛰는 사람 위에 나는 사람 있다’는 걸 몸소 보여주었다. 정체를 모르므로 상품은 없다고 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)