막바지에 접어든 폰투온 해킹 대회, 유명 회사들 예외 없이 뚫려

2021-04-09 15:43
  • 카카오톡
  • 네이버 블로그
  • url
MS, 애플, 구글, 테슬라가 보안 전문가들 손에 농락당하고, 제품들에 구멍이 숭숭 뚫렸다는 성적표를 쥐게 됐다. 출시부터 안전한 IT 제품을 만드는 게 얼마나 힘든지가 매일 증명되고 있다. 그런데 그게 해킹 대회의 의의다.

[보안뉴스 문가용 기자] 현재 진행되고 있는 폰투온(Pwn2Own) 해킹 대회에서 마이크로소프트 팀즈(Teams)와 줌(Zoom) 등 코로나 사태를 통해 인기가 급상승한 애플리케이션들이 첫 날부터 맥을 못 추고 나가떨어지고 있다. 결국 인지도가 높고 유명한 기업이 만든 애플리케이션이라고 해서 해킹 기술을 가진 자들 입장에서는 취약점 찾기가 어려운 일이 아니라는 것이 다시 한 번 입증됐다.


[이미지 = utoimage]

폰투온 대회를 주관하는 트렌드 마이크로(Trend Micro)의 브라이언 고렝크(Brian Gorenc)는 “최근 들어 대회 참여자들이 계속해서 발전된 모습을 보여주고 있다”고 하며 “공격 표적에 따라 대단한 유연성을 보여주는 데에까지 이르렀다”고 설명한다. “소프트웨어 개발사들이 익스플로잇 난이도를 높이고 있는데도, 참가자들이 쉽게 해킹에 성공하는 걸 보면 알 수 있는 부분이기도 합니다.”

먼저 줌 익스플로잇에 성공한 해커들은 네덜란드의 보안 회사 컴퓨테스트 시큐리티(Computest Security)의 단 쿠머(Daan Keuper)와 티스 알케마데(Thijs Alkemade)로, 이 2인조는 20만 달러의 상금과 ‘마스터 오브 폰(Master of Pwn)’ 포인트 20점을 획득했다. 둘은 줌 메신저 클라이언트에서 발견된 취약점 3개를 연쇄적으로 익스플로잇 함으로써 피해 시스템에서의 코드 실행을 성공시켰다고 한다. 이 과정에서 피해자의 클릭을 유도하는 등의 노력은 필요하지 않은 것으로 나타났다.

이번에 공개된 취약점들은 이전의 취약점들과 달리 피해자 시스템을 완전히 장악할 수 있게 하며 따라서 대단히 위험하다고 컴퓨테스트 측은 경고했다. 이전 취약점들의 경우 공격자들이 줌 세션에 들어가 정보를 탈취하거나 회의를 방해하는 것 정도만 할 수 있었다.

현재 폰투온 대회 참가자들이 익스플로잇 할 수 있는 애플리케이션들은 총 7개 항목으로 구분되어 있다. 그 중 가장 많은 관심이 쏠리고 있는 건 마이크로소프트 익스체인지 서버, 셰어포인트, 팀즈, 줌, 마이크로소프트 에지, 구글 크롬, 애플 사파리, 어도비 리더, 마이크로소프트 오피스 365 프로플러스 정도다. 테슬라의 모델 3 차량도 해킹이 가능하다.

3일 동안 진행되는 이번 대회에서 이틀이 지난 상태인데 이미 세계 여러 곳의 전문가들이 위에 언급된 애플리케이션들 및 차량에서 수많은 보안 구멍들을 찾아냈고, 그 과정에서 수십만 달러의 상금을 획득했다.

잭 데이츠(Jack Dates)라는 인물은 사파리 브라우저에서 정수 오버플로우 취약점과 아웃 오브 바운즈 라이트 오류를 익스플로잇 함으로써 10만 달러를 거머쥐었다. 여기에다가 애플 맥의 파랄렐즈 데스크톱(Parallels Desktop) 소프트웨어를 익스플로잇 하는 데 성공해 4만 달러를 추가로 획득했다. 벤자민 맥브라이드(Brian McBride)라는 인물도 파랄렐즈 익스플로잇으로 4만 달러를 받았다.

데브코어 시큐리티 컨설팅(Devcore Security Consulting) 팀의 경우 마이크로소프트 익스체인지 서버 익스플로잇을 통한 서버 완전 장악 방법을 시연함으로써 20만 달러의 상금을 차지했다. 최근 발견된 4가지 제로데이 취약점과는 전혀 상관이 없는 것으로, 익스체인지 서버 사용자들이라면 주의해야 할 것이 하나 더 생긴 셈이다.

OV라는 이름으로 참가한 보안 전문가는 마이크로소프트 팀즈에서 코드 실행 취약점을 찾아내는 데 성공했다. 두 가지 취약점을 연쇄적으로 익스플로잇 해서 낸 결과로, 20만 달러의 상금을 탔다. 비텔 사이버 시큐리티(Viettel Cyber Security) 팀의 경우 윈도 10의 정수 오버플로우 취약점을 통해 권한을 상승시키는 데 성공해 4만 달러를 차지했다.

브루노 케이스(Bruno Keith)와 니클라스 봄스타크(Niklas Baumstark)는 구글 크롬 렌더러와 마이크로소프트 에지를 익스플로잇 했다. 이 때 같은 익스플로잇을 활용했으며, 총 10만 달러를 상금으로 얻었다.

고렝크는 “참가자들의 재능과 실력이 정말로 놀라운 수준”이라며 “이제 그 어떤 시스템이라고 해도 해킹 공격으로부터 안전할 수 없다는 것을 현장에서 절절히 느낄 수 있었다”고 밝혔다. 또한 “팬데믹 때문에 어느 조직에서나 사용하기 시작한 줌과 팀즈에 대한 연구가 활발히 이뤄졌다는 것도 큰 성과”라고 평했다.

3줄 요약
1. 폰투온 해킹 대회, 현재 진행 중.
2. 이틀 만에 MS, 구글, 애플, 테슬라 등 유수 기업 제품들이 뚫리고 있음.
3. 줌과 팀즈 등, 팬데믹으로 높은 점유율 차지한 소프트웨어 점검도 의의 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

IP NEWS

회원가입

Passwordless 설정

PC버전

닫기