Red Alert팀, “팀원들이 집중하고 협력해 좋은 성적 거둬 기쁘다”
IoT의 가장 큰 보안위협? 아직까지 사람이 보안의 가장 약한 고리
[보안뉴스 김경애 기자] 일본 도쿄에서 진행된 ‘Codeblue 컨퍼런스’의 IoT 해킹 대회인 ‘Hack2Win’에서 우리나라 NSHC 소속의 Red Alert팀이 우승을 차지했다. 5만 달러의 상금을 놓고 치러진 ‘Hack2Win’ 해킹대회는 IoT 기기 6종을 대상으로 알려지지 않은 취약점을 찾는 해킹 대회로, 올해는 Cisco 라우터, Synology NAS 등을 대상으로 진행됐다.
▲Hack2Win 해킹대회에서 우승한 Red Alert팀(왼쪽부터 문해은, 하동주, 이민우, 양현, 허영일, Benjamin Lee)[사진=NSHC]
이번 대회에는 지난 2015년에 우승했던 하동주 기술이사(NSHC싱가포르)를 비롯해 이민우 연구원(NSHC한국), 문해은 연구소장(NSHC한국), Benjamin Lee(NSHC싱가포르) 등이 팀을 이뤄 우승의 영예를 안았다. 특히, 2015년 우승부터 2016년 입상, 2017년 우승까지 3년 연속 입상해 그 실력을 더욱 입증받았다.
이에 본지는 우승을 차지한 Red Alert팀을 대표해 문해은 연구소장과의 인터뷰를 진행했으며, 우승소감과 함께 해킹대회의 이모저모를 들어봤다.
Q. 축하드립니다. 먼저 우승소감을 말씀해 주신다면
2일이라는 짧은 기간 동안 팀원들이 집중하고 협력했기 때문에 좋은 성적을 거둔 것 같다. 고생한 팀원들에게 자랑스럽다고 말해주고 싶고, Red Alert팀의 실력을 다시 한 번 인정받아 더할 나위 없이 기쁘다.
Q. 우승하기까지 가장 큰 난관 혹은 어려웠던 점은 무엇인지
특별히 어려운 점보단 대회 룰이나 운영방식이 지난 대회에서 살짝 변경돼 빨리 적응해야 했다. 취약점 카테고리별로 상금을 정하는 것이나, 디폴트 세팅 계정을 주지 않는 등 소소한 변화가 있었다. 그래서 찾았던 다른 취약점이 점수로 인정되지 않기도 했다.
Q. 해당 대회에서 3년 연속 수상했는데 특별한 노하우나 비결이 있다면
노하우라면 회사에서 SCADA외 IoT 분야에 관심을 가지고 꾸준히 연구와 투자를 해오고 있다는 점이다. 이 분야는 하나의 취약점으로 대규모 피해가 발생하거나 사회적인 파급효과가 크기 때문에 최근 들어 보안이 매우 중요시되고 있다. 그러한 변화에 조금이나마 도움을 주고 있는 것 같아 기쁘고, 그간 우리의 노력이 수상까지 이어진 비결이 된 것 같다.
Q. 대회에 참가하면서 가장 기억에 남는 건 무엇인가
이번 코드블루에서 우리는 팀을 나눠 IoT 해킹대회 참가하는 동시에 기반시설 CTF를 운영했다. 일본에서 가장 큰 보안 컨퍼런스에서 기반시설 CTF를 운영했다는 점과 IoT 해킹대회에 우승했다는 게 다시 생각해도 뿌듯하다. 개인적으로 기억에 남는 건, 대회기간 중에 생일이었는데 바쁜 와중에도 밤늦게 깜짝 생일파티를 해줘서 더욱 잊지 못할 추억이 된 것 같다.
Q. 이번 대회의 특징과 다른 대회와의 차별점은
IoT 영역에서 실제 운영장비의 제로데이(0day)를 찾는 형태의 대회는 Hack2win이 거의 유일하다. 일반적인 CTF와 다른 점은 상대팀을 공격하고 방어하는 것이 아니라 가상 장비를 공격하는 것이기 때문에 취약점을 찾는 공격에만 집중돼 있다고 할 수 있다. 또한, 점수를 따서 1등을 가리는 것이 아니라, 취약점에 따른 상금을 정하고 누적 상금이 가장 많은 사람이 1위를 한다는 점에서 차이가 난다.
Q. 국내 대회가 참고했으면 하는 사항이 있다면
국내에도 많은 해킹대회가 생겨나고, 많은 보안전문가들이 대회에 더 많이 참여할 수 있게 되는 건 좋은 일인 것 같다. 앞으로도 자동차 해킹대회, IoT 해킹대회, 기반시설 해킹대회 등 다양한 분야의 해킹대회가 많이 생겨났으면 좋겠다. 이와 함께 정부 측 지원이 병행된다면 관련 분야 보안에 대한 관심이 더욱 높아질 수 있으리라고 생각한다.
Q. IoT 분야에 있어 가장 큰 보안위협은 무엇인지
모든 보안 분야에서 아직도 가장 큰 보안의 위협은 사람인 것 같다. 아주 간단한 비밀번호를 사용하고, 패치를 하지 않으며, 취약한 서비스를 인터넷에 노출시키는 등 기본적인 보안위협이 아직까지도 보안의 가장 약한 고리라고 볼 수 있다. 하지만 기술이 이러한 부분을 보완하기 위해 발전하고 있고, 보안인식도 계속 향상되어 가리라 믿는다.
Q. 앞으로의 계획은
앞으로도 우리 팀은 SCADA와 IoT 분야에 대한 연구를 계속해 나갈 계획이다. IoT 분야에 대해서는 다양해진 스마트 기기에 대한 보안 취약점 연구를 더욱 확대해서 안전한 IoT 환경이 될 수 있도록 조금이나마 기여하고 싶다.
[김경애 기자(boan3@boannews.com)]
IoT의 가장 큰 보안위협? 아직까지 사람이 보안의 가장 약한 고리
[보안뉴스 김경애 기자] 일본 도쿄에서 진행된 ‘Codeblue 컨퍼런스’의 IoT 해킹 대회인 ‘Hack2Win’에서 우리나라 NSHC 소속의 Red Alert팀이 우승을 차지했다. 5만 달러의 상금을 놓고 치러진 ‘Hack2Win’ 해킹대회는 IoT 기기 6종을 대상으로 알려지지 않은 취약점을 찾는 해킹 대회로, 올해는 Cisco 라우터, Synology NAS 등을 대상으로 진행됐다.
▲Hack2Win 해킹대회에서 우승한 Red Alert팀(왼쪽부터 문해은, 하동주, 이민우, 양현, 허영일, Benjamin Lee)[사진=NSHC]
이번 대회에는 지난 2015년에 우승했던 하동주 기술이사(NSHC싱가포르)를 비롯해 이민우 연구원(NSHC한국), 문해은 연구소장(NSHC한국), Benjamin Lee(NSHC싱가포르) 등이 팀을 이뤄 우승의 영예를 안았다. 특히, 2015년 우승부터 2016년 입상, 2017년 우승까지 3년 연속 입상해 그 실력을 더욱 입증받았다.
이에 본지는 우승을 차지한 Red Alert팀을 대표해 문해은 연구소장과의 인터뷰를 진행했으며, 우승소감과 함께 해킹대회의 이모저모를 들어봤다.
Q. 축하드립니다. 먼저 우승소감을 말씀해 주신다면
2일이라는 짧은 기간 동안 팀원들이 집중하고 협력했기 때문에 좋은 성적을 거둔 것 같다. 고생한 팀원들에게 자랑스럽다고 말해주고 싶고, Red Alert팀의 실력을 다시 한 번 인정받아 더할 나위 없이 기쁘다.
Q. 우승하기까지 가장 큰 난관 혹은 어려웠던 점은 무엇인지
특별히 어려운 점보단 대회 룰이나 운영방식이 지난 대회에서 살짝 변경돼 빨리 적응해야 했다. 취약점 카테고리별로 상금을 정하는 것이나, 디폴트 세팅 계정을 주지 않는 등 소소한 변화가 있었다. 그래서 찾았던 다른 취약점이 점수로 인정되지 않기도 했다.
Q. 해당 대회에서 3년 연속 수상했는데 특별한 노하우나 비결이 있다면
노하우라면 회사에서 SCADA외 IoT 분야에 관심을 가지고 꾸준히 연구와 투자를 해오고 있다는 점이다. 이 분야는 하나의 취약점으로 대규모 피해가 발생하거나 사회적인 파급효과가 크기 때문에 최근 들어 보안이 매우 중요시되고 있다. 그러한 변화에 조금이나마 도움을 주고 있는 것 같아 기쁘고, 그간 우리의 노력이 수상까지 이어진 비결이 된 것 같다.
Q. 대회에 참가하면서 가장 기억에 남는 건 무엇인가
이번 코드블루에서 우리는 팀을 나눠 IoT 해킹대회 참가하는 동시에 기반시설 CTF를 운영했다. 일본에서 가장 큰 보안 컨퍼런스에서 기반시설 CTF를 운영했다는 점과 IoT 해킹대회에 우승했다는 게 다시 생각해도 뿌듯하다. 개인적으로 기억에 남는 건, 대회기간 중에 생일이었는데 바쁜 와중에도 밤늦게 깜짝 생일파티를 해줘서 더욱 잊지 못할 추억이 된 것 같다.
Q. 이번 대회의 특징과 다른 대회와의 차별점은
IoT 영역에서 실제 운영장비의 제로데이(0day)를 찾는 형태의 대회는 Hack2win이 거의 유일하다. 일반적인 CTF와 다른 점은 상대팀을 공격하고 방어하는 것이 아니라 가상 장비를 공격하는 것이기 때문에 취약점을 찾는 공격에만 집중돼 있다고 할 수 있다. 또한, 점수를 따서 1등을 가리는 것이 아니라, 취약점에 따른 상금을 정하고 누적 상금이 가장 많은 사람이 1위를 한다는 점에서 차이가 난다.
Q. 국내 대회가 참고했으면 하는 사항이 있다면
국내에도 많은 해킹대회가 생겨나고, 많은 보안전문가들이 대회에 더 많이 참여할 수 있게 되는 건 좋은 일인 것 같다. 앞으로도 자동차 해킹대회, IoT 해킹대회, 기반시설 해킹대회 등 다양한 분야의 해킹대회가 많이 생겨났으면 좋겠다. 이와 함께 정부 측 지원이 병행된다면 관련 분야 보안에 대한 관심이 더욱 높아질 수 있으리라고 생각한다.
Q. IoT 분야에 있어 가장 큰 보안위협은 무엇인지
모든 보안 분야에서 아직도 가장 큰 보안의 위협은 사람인 것 같다. 아주 간단한 비밀번호를 사용하고, 패치를 하지 않으며, 취약한 서비스를 인터넷에 노출시키는 등 기본적인 보안위협이 아직까지도 보안의 가장 약한 고리라고 볼 수 있다. 하지만 기술이 이러한 부분을 보완하기 위해 발전하고 있고, 보안인식도 계속 향상되어 가리라 믿는다.
Q. 앞으로의 계획은
앞으로도 우리 팀은 SCADA와 IoT 분야에 대한 연구를 계속해 나갈 계획이다. IoT 분야에 대해서는 다양해진 스마트 기기에 대한 보안 취약점 연구를 더욱 확대해서 안전한 IoT 환경이 될 수 있도록 조금이나마 기여하고 싶다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
