세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[블랙햇 2017 참관기] 뜨거웠던 사막보다 더 핫태 ‘IoT 보안’
  |  입력 : 2017-08-03 17:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
스타워즈 에피소드나 드라마 제목 패러디한 강연 제목 및 포맷
올해 최고의 화두는 사물인터넷과 클라우드 관련 보안 이슈들


[보안뉴스= 소영재 삼성 멀티캠퍼스 보안 전임강사/제이디알시스템즈 이사] 블랙햇 컨퍼런스인데 블랙햇은 거의 안 보인다. 곰탕에 곰이 안 들어간 것과 비슷하다고 할까? 블랙햇에 참석한 거의 대부분은 해커들의 공격에 시달리는 보안전문가들 즉, 화이트해커들이다. 주제별로 참석인원을 봐도 확연히 드러난다. 어떻게 정책을 세우고 미래의 공격에 대비할 것인가라는 주제에는 사람들이 많이 몰리는 반면, 공격 방법 등에 대해서는 사람이 없어 썰렁했다. 중간에 나가기가 미안할 정도였다. 공격 방법이 새로울 건 없었다. 대부분 아는 내용이고, 그래서 썰렁했을 수도 있다.

▲ 블랙햇 컨퍼런스가 열리는 호텔의 컨퍼런스룸 입구[사진=소영재 이사]


올해는 특히 영화나 드라마 제목을 이용한 제목을 많이 택한 부분이 눈길을 끌었다. 시스, 드로이드, 제다이를 묶어 스타워즈와 해킹 방식을 비교했다. 요다의 신기한 공격 방식은 4세대 공격이라면 곧 5세대 해킹 방식이 온다는 내용이었는데 스타워즈의 인기에 힘입어 많은 사람들이 몰려 빈자리를 찾기 어려울 정도였다.

인기 드라마 ‘미스터 로봇’에서 열연한 크리스찬 슬레이터와 손잡은 HP의 ‘The Wolf’ 웹 시리즈 홍보를 위해 크리스찬 슬레이터가 직접 블랙햇 컨퍼런스에 와서 참가자들과 기념 촬영을 하는 행사를 가졌다. 같이 사진 찍고 싶어 줄을 섰지만, 너무 길어 포기할 수밖에 없었다.

아예 세션 제목이 ‘Better than Mr. Robot’인 것도 있었다. 미스터 로봇을 재미있게 본 필자로서는 궁금하긴 했지만 같은 시간에 더 듣고 싶은 세션이 있어서 참석하지 못했다. 그래도 실망하지 않는다. 우리에겐 유튜브가 있기 때문이다. 나중에라도 다시 볼 수 있을지도 모른다. 몸은 하나인데 동시에 20개쯤 진행되다 보니 눈물을 머금고 포기해야 하는 세션이 정말 많다. 고르고 골라서 간 세션의 강사 영어발음이 시원치 않다거나 내용이 지루하다면 후회가 막심하다. 제목만 보고 고르면 안 되는데…. 그럴 땐 과감하게 자리를 박차고 다른 세션으로 뛰어간다. 하지만 너무나도 먼 데까지 가야할 땐 정말 한숨만 나온다. 위에서 말한 스타워즈 주제는 약간 유치했지만 강사의 능력으로 생각보다 재미 있었다.

‘Firmware is the New Black’이라는 드라마 패러디 제목도 있었다. 펌웨어를 악용한 해킹사례를 설명하고 싶었는지 미국 유명 드라마 ‘Orange is the New Black’을 약간 변형해서 이목을 집중시키려 노력했다.

‘Kali Linux Dojo’는 필자가 매년 참가하는 곳이다. Dojo는 일본어로 ‘도장’이라는 뜻인데 태권도 도장 같이 남학생들이 모여서 수련하는 사교의 장을 뜻한다. Kali를 최신으로 업데이트 해서 가야 하는데 도착해 보니 32비트는 실습 불가라고 한다. 필자는 32비트 Kali를 최신 버전으로 업데이트하고 왔지만 눈물을 머금고 모두 삭제한 뒤 다시 64비트로 설치하고 업데이트를 했다. 진작 준비를 잘 해올걸 하는 후회가 들었다. 금쪽같은 시간에 설치를 하고 있으니 화가 나기도 했다. 다행히 생각보다 업데이트 속도가 빨랐다. 한국에서 업데이트 완료하려면 12시간쯤 걸렸는데 미국이라 그런지 15분만에 업데이트가 완료했다. 지난 해에는 VPN 실습을 통해 문제를 해결하는 것이었는데, 재미있었던 기억이 있어 올해도 참가했다. 올해는 Kali를 커스터마이징하는 것과 USB를 이용한 실습이었는데, 내용이 약간 싱거웠지만 생각보다 재미있었다. 귀국해서 천천히 다시 해보고 싶은 마음이 들 정도로.

보안 업체인 임퍼바(Imperva)에서 피싱(Phishing) 관련 통계를 제공한다고 해서 참석했니 재미있는 통계가 몇 개 있어서 소개하고자 한다.

1. 피싱(Phishing)의 경우, 금전적인 이유로 피싱을 하는 경우가 80%라고 한다. 평균 5~15%정도의 클릭률(피싱에 속음)을 보이는데, 업계에 따라 차이가 있다. 가장 높은 분야는 제조분야이고 약 13.36%, 정보제공 관련(Information)이 10.76%, 소매(Retail)가 10.66%, 의료분야는 10.26%, 숙박시설이 9.71%, 공공서비스 9.23%, 금융 8.48%, 교육 6.16%를 차지했다.

2. 피싱 공격자들은 계정을 획득한 후, 획득한 계정을 이용하여 다른 계정을 획득하는 데 재사용하는 비율이 16%이다.

3. 피싱 공격자들은 공격에 성공한 후, 무엇을 찾을까? 패스워드가 52%, 신용카드 정보 29%, 고객정보나 공급업체 정보 10%, 계약서가 9%였다. 공격자들이 노리는 정보는 개인정보와 회사정보의 비율이 3대 1이다.

4. 피싱 공격자들은 공격에 성공한 후, 경로 추적을 하는 경우가 17%, 자신이 보낸 이메일을 지우는 경우가 13%, 메시지를 읽지 않음으로 표시한 경우가 3%이다.

올해 블랙햇의 핫이슈는 역시 IoT 보안이었다. 미라이 봇넷으로 디도스(DDoS) 공격을 호되게 당한 이후 첫 블랙햇이라 참관자들의 관심이 특히 높았고, 여러 세션들도 IoT 보안에 대해 언급했다. 정리해보면, 취약한 패스워드, 펌웨어 최신버전 업데이트, 업스트림 트래픽 모니터링 등을 해야 한다고 주장했다. 아직은 IoT 보안위협에 대한 뾰족한 묘수는 없는 상황이다. 보안 전문가들이나 테스터들이 IoT 제품을 믿고 쓸 수 있는지를 검증해서 문제가 있는 제품 정보를 공유해야 하고, 소유자가 스스로 보안 의식을 갖고 패스워드를 복잡하게 설정하며, 펌웨어 업데이트를 주기적으로 해야 하는 것이 무엇보다 중요하다.

▲ 미라이 캐릭터, 이렇게 귀여운 미라이가 디도스 공격을?[사진=소영재 이사]


또 다른 이슈는 역시 클라우드 보안이다. 작년에는 클라우드 보안이 가장 큰 이슈였다. 올해는 IoT 보안 때문에 밀렸지만, 올해도 여전히 관련 세션들이 많았다. 몇 년 전부터 클라우드가 급속히 보급되면서 여러 보안 이슈들이 있었는데, 특히, 작년에는 클라우드 관련 솔루션을 소개하는 보안 업체들이 많았고 참관자들도 클라우드 고민을 안고 블랙햇에 참석했다.

올해에도 클라우드 관련 새로운 이슈들이 있는데, 그 중 하나가 ‘Cloud Killed the Firewall’이라는 스폰서 워크샵이었다. 클라우드가 방화벽을 죽인다? 최근엔 기업들이 자체 서버를 과감히 줄이고 클라우드 서비스를 받는 비중이 점점 증가하고 있다. 기업들이 서버를 직접 운영하지 않을 경우, 무엇을 줄여야 할까? 방화벽, 서버 운영인력, 네트워크 장비 등. 그 가운데서도 방화벽을 위시한 엔터프라이즈 보안 솔루션 자체가 클라우드 환경에서는 덜 필요하다는 것이다.

클라우드 제공업체들이 방화벽 등 보안 장비를 더 필요로 하겠지만, 기업들이 방화벽을 줄이는 만큼 당연히 보안 솔루션 업체들은 대안을 찾아야 한다. 또 다른 문제로 청년 취업이 심각한 요즘 서버 운영인력들이 줄어든다면 IT 분야의 첫 취업을 위한 엔트리 직종이 하나 사라진다는 것인데, 클라우드 때문에 눈에 보이지 않는 사회적 문제가 하나 추가될 것 같다.

참고로, 블랙햇에 참가하는 방법은 몇 가지가 있는데, 초급부터 고급순으로 설명하도록 하겠다.

처음 참가하는 경우라면, ‘비즈니스 패스’만 구입해 보자. 가격은 현장결제 기준으로 90만원 정도이고 가장 저렴하다. 비즈니스 패스만으로도 비즈니스 홀, 아스날, 스폰서 세션과 스폰서 워크샵에 참석이 가능하다. 아스날과 스폰서 세션, 스폰서 워크샵이 모두 5일차와 6일차 이틀간 동시에 열리기 때문에 동시에 20개가 넘는 주제 중에 가장 듣고 싶은 주제를 하나만 골라 듣고 끝나면 다른 방으로 이동해야 한다. 만달레이 베이 호텔의 컨벤션센터는 너무 넓어서 이동하는 데 시간이 오래 걸린다. 세션이 시작하기 전에 도착하려면 서둘러 달려가야 할 정도이다. 물론 늦게가면 좋은 자리는 거의 없다. 맨 앞에 앉아야 할 듯하다. 맨 앞자리는 조금 부담스럽다. 혹시라도 듣다가 내용이 허술하다 싶으면 과감하게 털고 일어서서 다른 섹션으로 이동해야 한다. 미리 대안으로 어떤 세션을 들을지 우선순위를 정해놓으면 좋겠다. 최대 하루에 6개 들을 수 있으니 이틀간 12개까지 가능하다.

두 번째 방법은 브리핑 패스를 구입하는 것이다. 브리핑 패스로는 주요 브리핑과 키노트 등을 들을 수 있다. 브리핑에는 중요한 주제와 보안에 관심 많은 이들에게 탐나는 내용으로 이루어져 있다. 가격은 현장 구입 기준으로 약 330만원 정도. 브리핑은 3일차와 4일차에 주로 열리기 때문에 이 내용을 듣고 5일차와 6일차에는 아스날, 스폰서 세션과 스폰서 워크샵을 들은 뒤, 비즈니스 홀을 방문하면 된다. 블랙햇 공식 기념품에 식사도 제공한다. 많은 참석자들이 택하는 방법이다.

세 번째 방법은 트레이닝에 참석하는 방법이다. 트레이닝은 1일차부터 4일차까지 4일간 열리는 경우가 많아서 만일 4일짜리 트레이닝을 듣게 되면 브리핑과 키노트는 들을 수 없게 된다. 그래서 트레이닝 패스를 파는 것이고, 트레이닝 내용 중에 꼭 듣고 싶은 것이 있다면 이 방법을 택해야 한다. 트레이닝은 2일짜리부터 4일짜리까지 있기 때문에 가격도 약간씩 다르지만 대략 400만원에서 600만원 정도 생각하면 된다. 인기 있는 트레이닝은 칼리 리눅스, 메타스플로이트, 취약점 진단 관련, 드론, 새로운 이슈 등이 있는데, 2개월전에 마감된다. 3개월전에 고민 끝내고 온라인 등록해야 한다. 물론 미리 등록할수록 더 싸다.

네 번째 방법은 브리핑과 트레이닝 패스 통합권을 구입하는 방법인데, 브리핑도 듣고 싶고 트레이닝도 받고 싶다면 이 방법 밖에 없다. 가격은 당연히 트레이닝 패스보다 더 비싸다.

▲ 블랙햇 티켓(패스) 종류[사진=소영재 이사]

처음 방법인 비즈니스 패스만 구입하면 블랙햇 공식 기념품을 받을 수 없다. 공식 기념품은 매년 조금씩 다르지만 블랙햇 로고가 있는 백팩을 포함해 몇 가지를 받게 된다. 매년 모으는 사람도 있는 것 같은데, 부러울 정도다.

물론 비즈니스 홀에서 보안업체들이 주는 선물만으로도 한 보따리 들고 가야 한다. 티셔츠 대략 20벌에 인형 5~7개, 볼펜 10자루, 기타 용품들을 수두룩하게 받을 수 있다. 모두 제공한 업체들의 로고와 주요 제품명, 캐치프레이즈가 적혀 있은 건 감안해야 한다. 너무 많아서 짐을 부쳐야 할 정도(아울렛에서 산 것도 들고 가려면 짐이 어마어마하다).

고객이라 생각되면 식사 및 음료, 주류, 회식 및 편의시설 등을 제공하므로, 공급업체가 있거나 거래처가 있으면 인사를 하는 것도 좋다. 미리 거래처를 통해 초대를 받는 것도 좋은 방법이다. 사전에 알아보고 연락을 미리 취하면 좋은 기회를 제공받을 수도 있다.

블랙햇에 참석하려면 미리미리 준비를 많이 해야 한다. 어떤 주제를 골라 들을 것인지, 어떤 업체들과 만나서 궁금증을 해결할 것인지를 충분히 고려해야 한다. 미국의 주요 보안 업체들은 대부분 참여하기 때문에 보안인들의 고민을 해결해 줄지도 모르기 때문이다. 물론 영어는 필수다.

블랙햇 컨퍼런스를 왜 매년 라스베이거스에서 할까? 그것도 가장 더운 여름 최절정기에 사막 한가운데인 라스베이거스에서? 블랙햇에 올 때마다 느낀 점인데, 이제는 좀 알 것 같다. 보안이라는 것은 쉴 틈이 없는 업무의 연속이고, 그런 보안전문가들에게 여름휴가겸 해서 휴식을 제공하기 위해 라스베이거스를 선택한 건 아닐까? 블랙햇 때문에 정신없이 지나간 일주일이었고 큰 소득이 있는 건 아니었지만, 내년에도 또 가고 싶다. See you next year!
[글_ 소영재 삼성 멀티캠퍼스 보안 전임강사/제이알시스템즈 이사(jdrceo@gmail.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)