10만 달러의 상금과 올해의 ‘Internet Defence Prize’ 수상 브라우저 기반의 메모리 콜럽션 취약점 발견에서 탐지까지

[보안뉴스 주소형] 페이스북(Facebook)과 유즈닉스(USENIX)가 우리나라 사람들로 구성된 조지아공대 연구팀의 보안보고서에 대해 찬사를 보냈다. 단지 이론에 그친 연구가 아니라 현실에서 유용하게 활용할 수 있는 수준의 연구로 인터넷 사용자들을 보호하고 진화하는 공격을 감지하는 데 종전대비 한 단계 진보한 논문이라고  평가한 것. 이는 미국 동부기준 현지시간 8월 12일, 워싱턴 DC에서 개최된 유즈닉스 보안 심포지엄(USENIX Security Symposium)에서 발생한 일이다.
 


“그들의 연구를 통해 굉장히 높은 수준의 취약점과 공격을 방어할 수 있게 됐다. 보통 연구원들은 알고리즘, 인코딩, 데이터 형, 데이터 구조 등의 고정된 수치와 단면만을 가지고 보고서를 작성하는데 이들의 경우 상당히 능동적인 자세로 연구에 임했다. 결과를 보면 기존의 보안논문들과는 차원이 다르다는 것을 바로 알 수 있다.” 페이스북 측이 밝혔다.

이에 따라 조지아공대에서 박사과정을 밟고 있는 이병영(Byoungyoung Lee) 연구원과  송청위(Chengyu Song) 연구원 그리고 김태수(Taesoo Kim) 교수와 웬케 리(Wenke Lee) 교수 4명이 함께 10만 달러의 상금과 올해의 ‘Internet Defence Prize’를 수상하게 됐다. 이는 전년대비 2배에 달하는 액수의 상금으로 그 이상의 가치가 있었다고 페이스북과 유즈닉스 측은 설명했다.

여기서 Internet Defence Prize는 전 세계 자타공인 최대 소셜네트워크인 페이스북과 유닉스 운영 체제의 학술 및 기술적 분야에 관심을 갖는 사용자들에 의해 탄생한 국제 조직인 유즈닉스(USENIX)가 함께 지난해부터 인터넷 보안강화를 위한 연구촉진을 견인하기 위해 제정한 상이다.

이번에 10만 달러의 상금을 거머쥔 조지아공대팀의 논문을 살펴보면 브라우저 기반에서 새로운 개념의 메모리 콜럽션(Memory-corruption) 취약점을 찾아내고 그에 부합되는 탐지 기술을 구축하는 방법까지 자세히 나와 있다. 구체적으로 C++ 취약점들을 증명하며 CaVeR에 대해 설명하고 있다.  그들의 논문명은 ‘Type Casting Verification: Stopping an Emerging Attack Vector’이며 여기(영문)를 클릭하면 연결된다.


이를 두고 국내 보안업계는 우리나라 보안인력 수준이 우리가 생각하는 것 이상이라고 입을 모으고 있다. 실제로 올해 폰투온(Pwn2Own), 아시아·태평양 정보보안 리더십(ISLA) 프로그램, 데프콘(DEFCON) 등과 같은 국제 보안무대에서 한국 보안인들의 활약이 유난히 빛을 발하고 있기 때문이다.

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>