MS, 최대 상금 10만 달러의 3개월짜리 애저 스피어 해킹 대회 개최

작년 애저 스피어 발표하며 블랙햇에서 “마음껏 공격해보라”고 했던 MS
올해도 해킹 도전 이어가...접수는 5월 15일까지...행사는 6월 1일부터 8월 31일까지

[보안뉴스 문가용 기자] 2018년 4월 마이크로소프트는 애저 스피어(Azure Sphere)를 발표했다. 사물인터넷 장비들에 대한 보안을 강화하기 위해 마련된 것으로, 크게 세 가지 부분으로 구성되어 있다. 마이크로컨트롤러, 리눅스 기반 OS와 커스텀 커널, 보안 서비스가 바로 그것이었다. 그런 애저 스피어가 일반인들에게 공개되기 시작한 건 2020년 2월이고, 지금부터는 전문가들에게도 열리게 되었다.

[이미지 = iclickart]

마이크로소프트는 지난 해 여름 열린 블랙햇(Black Hat) 행사에서 애저 시큐리티 랩(Azure Security Lab)이라는 이니셔티브를 발표한 바 있다. 일부 보안 전문가들을 초대하여 애저 스피어를 공격하라고 도전한 것이었다. 당시 마이크로소프트는 애저 사용자를 원격에서 공격하는 데 성공할 경우 최고 4만 달러를 수여하겠다고 했었다. 그리고 이 프로그램이 오늘 애저 스피어 시큐리티 리서치 챌린지(Azure Sphere Security Research Challenge)라는 이름으로 바뀌었다.

새 이름을 부여 받은 챌린지의 경우 6월 1일부터 3개월 동안 진행돼 8월 31일에 마무리 될 예정이다. 여기에 참가하고 싶다면 5월 15일 전에 마이크로소프트에 신청해야 한다. 신청자들 중 총 50명을 뽑을 예정이다. 마이크로소프트의 보안 대응 센터 관리자인 실비 리우(Sylvie Liu)는 이와 같은 사실을 발표하며 일부 보안 전문가들과 파트너들을 초대하기도 했다고 밝혔다. 상세한 안내와 신청서는 여기(https://msrc-blog.microsoft.com/2020/05/05/azure-sphere-security-research-challenge/)에 마련되어 있다.

신청서가 접수가 되고, 마이크로소프트에 의해 뽑혔다면 애저 스피어 개발자용 키트, 애저 스피어 제품 문서, 마이크로소프트 제품과 서비스들에 대한 접근 권한, 마이크로소프트 팀과의 직접 소통 채널이 제공된다.

리우는 “애저 시큐리티 랩을 진행하면서 다양한 보안 전문가들과 협업할 기회를 누릴 수 있었고, 그러면서 적절한 자원과 소통 창구를 제공해야 협업을 통해 원하는 바를 달성할 수 있다는 걸 배우게 되었다”며 “그렇게 배웠던 것을 이번 프로그램부터 적용하기로 했다”고 설명했다. “마이크로소프트는 애저 스피어 엔지니어링 팀과 참가자들 간의 원활한 소통을 도울 뿐만 아니라, 매주 시간을 정해두고 엔지니어링 팀 사무실에 방문할 수 있도록 할 것입니다.”

리우는 “또한 성공적인 시도에 대해 이야기를 나누는 것만큼, 실패한 시도에 대해 상세히 분석해 공유하는 것도 큰 도움이 된다는 것을 알게 되었다”며 “이번에 참가한 보안 전문가들은 여러 공격 시도와 연구 분석 행위에 대하여 상세하게 문서화 해야 한다”고 덧붙이기도 했다. 물론 “성공 사례에 대한 보고서 외에 실패 사례에 대한 보고서”도 여기에 포함된다.

마이크로소프트는 프로그램이 진행되는 석 달 동안 두 개의 공격 시나리오를 현실화시켰을 경우 최대 10만 달러의 상금을 지급할 예정이다. 그 중 하나는 모든 애저 스피어 마이크로컨트롤러 유닛에 심겨져 있는 보안 서브시스템인 애저 플루톤(Azure Pluton)이라는 요소에서 코드를 실행시키는 것이다.

애저 스피어의 애플리케이션 플랫폼은 두 개의 운영 환경을 지원한다. 하나는 노멀 월드(Normal World)고 다른 하나는 시큐어 월드(Secure World)라고 불린다. 애플리케이션들은 노멀 월드 사용자 모드의 애플리케이션 컨테이너 내에서 실행된다. 여기서 애저 스피어 라이브러리들과 일부 OS 서비스에 접근하는 게 가능하다. 기저에서 작동하는 리눅스 커널은 노멀 월드 슈퍼바이저 모드에서 작동한다.

시큐리티 모니터(Security Monitor)라는 기능은 시큐어 월드에서 운영되고, 마이크로소프트가 제공한 코드들만 슈퍼바이저 모드나 시큐어 월드에서 실행된다고 한다. 하지만 이번 챌린지를 통해 이러한 규격 외의 것을 실행하는 데 성공할 경우(노멀 월드에서 특수 코드를 실행한다든지) 상금이 주어질 예정이다.

하지만 클라우드 부분에서 발견된 취약점의 경우, 이번 챌린지의 대상이 되지는 못한다. 다만 별도로 MS가 진행 중에 있는 애저 바운티 프로그램(Azure Bounty Program) 쪽으로 취약점 보고서를 제출할 경우 상금 대상이 될 수 있다. 물리적 요소가 가미된 공격 시나리오는 고려 대상이 되지 않는다.

사물인터넷 장비 보안을 최대 목표로 하는 이번 챌린지를 위해 MS는 여러 기술 기업들과도 파트너십을 맺었다고 발표했다. 이 챌린지에 참여하는 회사는 아비라(Avira), 바이두 인터내셔널 테크놀로지(Baidu International Technology), 비트디펜더(Bitdefender), 버그크라우드(Bugcrowd), 시스코 시스템즈(Cisco Systems), 이셋(ESET), 파이어아이(FireEye), 에프시큐어(F-Secure), 해커원(HackerOne), K7 컴퓨팅(K7 Computing), 맥아피(McAfee), 팔로알토 네트웍스(Palo Alto Networks), 지스케일러(Zscaler)다.

3줄 요약
1. MS, 사물인터넷 보안 강화 위해 애저 보안 챌린지라는 프로그램 시작.
2. 신청 접수는 5월 15일까지이며, 본 대회는 3개월 동안 진행될 예정.
3. 애저 플루톤에서 코드 실행하거나, 애저 스피어의 애플리케이션 운영 환경 침해할 경우 최대 10만 달러 지급.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)