2013년 글로벌 보안 핫이슈 한눈에 살펴보기

27일 개최되는 블랙햇 2013 강연으로 짚어보는 글로벌 보안 트렌드

장영진·이승진 씨, iOS 및 스마트TV 보안취약점 관련해 각각 강연

[보안뉴스 권 준] 올 한해 전 세계가 주목하고 있는 보안 트렌드와 핫이슈가 되고 있는 보안취약점을 알고 싶다면 어떻게 해야 할까?

아마도 가장 빠른 방법은 그 해 개최되는 세계 유수의 보안 컨퍼런스의 강연주제를 살펴보는 일이 아닐까 싶다. 특히, 세계 최고 권위를 자랑하는 보안 컨퍼런스인 ‘블랙햇(blackhat)’에서 진행되는 강연은 글로벌 핫이슈를 반영한 주제들이 선정되기에 전 세계 보안전문가들의 관심이 집중된다.

그럼 오는 27일부터 8월 1일까지 미국 라스베가스 시저스 팰리스 호텔에서 개최되는 blackhat USA 2013에서는 어떤 강연들이 준비돼 있을까? 요약해보면 PC에서 스마트폰과 스마트TV 등의 인터넷 가전으로 옮겨가고 있는 보안취약점 이슈, MDM 솔루션과 아이폰, 블랙베리 등의 스마트폰 보안취약성, 윈도우 8의 보안문제, 빅데이터 등 신기술을 이용한 악성코드 분석, 블루투스·지그비·RFID 등의 무선보안 문제, 스마트그리드 등 전력망 보안, 그리고 최근 스노든 사건으로 불거진 사이버감시 등 최근 보안이슈에 대한 논의가 총망라 될 것으로 보인다.

무엇보다 이번 컨퍼런스에서는 2명의 한국인이 강연자로 나설 예정이라 더욱 관심이 모아지고 있다. 먼저 KAIST 출신으로 현재 미국 조지아공대 대학원 박사과정 중인 장영진 씨가 학교 동료들과 함께 개발한 아이폰 해킹 충전기를 시연과 함께 선보인다.

이 충전기는 아이폰·아이패드 등 iOS를 기반으로 한 기기에 사용자 몰래 악성 소프트웨어를 심어 기기 내 개인정보 등을 탈취할 수 있어 CNN 등 외신을 통해 이미 화제가 된 바 있다.

이와 함께 국내를 대표하는 화이트해커 중 하나인 그레이해쉬 이승진 수석컨설턴트가 최근 보급이 확산되고 있는 스마트TV의 보안취약점과 스마트TV 해킹에 따라 발생할 수 있는 여러 가지 문제에 대해 발표할 것으로 알려졌다.

다음은 워크숍에서의 발표를 제외한 이번 blackhat USA 2013에서 발표되는 강연주제 및 강연자 리스트다. 강연주제에 대한 좀더 자세한 설명은 컨퍼런스 홈페이지에서 강연요약 코너 (http://www.blackhat.com/us-13/briefings.html)를 참조하면 된다.

·TAKE RISK, DON’T FAIL(Keynote) / Brian Muirhead

·A PRACTICAL ATTACK AGAINST MDM SOLUTIONS / Daniel Brodie, Michael Shaulov

·A TALE OF ONE SOFTWARE BYPASS OF WINDOWS 8 SECURE BOOT / Yuriy Bulygin, Andrew Furtak, Oleksandr Bazhaniuk

·ABOVE MY PAY GRADE: CYBER RESPONSE AT THE NATIONAL LEVEL / Jason Healey

·ANDROID: ONE ROOT TO OWN THEM ALL / Jeff Forristal

·BINARYPIG - SCALABLE MALWARE ANALYTICS IN HADOOP / Zachary Hanif, Telvis Calhoun, Jason Trost

·BIOS SECURITY / John Butterworth, Corey Kallenberg, Xeno Kovah

·BLACK-BOX ASSESSMENT OF PSEUDORANDOM ALGORITHMS / Derek Soeder, Christopher Abad, Gabriel Acevedo

·BLACKBERRYOS 10 FROM A SECURITY PERSPECTIVE / Ralf-Philipp Weinmann

·BLUETOOTH SMART: THE GOOD, THE BAD, THE UGLY, AND THE FIX! / Mike Ryan

·BOCHSPWN: IDENTIFYING 0-DAYS VIA SYSTEM-WIDE MEMORY ACCESS PATTERN ANALYSIS / Mateusz Jurczyk, Gynvael Coldwind

·BUGALYZE.COM - DETECTING BUGS USING DECOMPILATION AND DATA FLOW ANALYSIS / Silvio Cesare

·BUYING INTO THE BIAS: WHY VULNERABILITY STATISTICS SUCK / Brian Martin, Steve Christey

·COMBATING THE INSIDER THREAT AT THE FBI: REAL WORLD LESSONS LEARNED / Patrick Reidy

·COMPROMISING INDUSTRIAL FACILITIES FROM 40 MILES AWAY / Lucas Apa, Carlos Mario Penagos

·CREEPYDOL: CHEAP, DISTRIBUTED STALKING / Brendan O'Connor

·DEFENDING NETWORKS WITH INCOMPLETE INFORMATION: A MACHINE LEARNING APPROACH / Alexandre Pinto

·DISSECTING CSRF ATTACKS & COUNTERMEASURES / Mike Shema, Sergey Shekyan, Vaagn Toukharian

·END-TO-END ANALYSIS OF A DOMAIN GENERATING ALGORITHM MALWARE FAMILY / Jason Geffner

·ENERGY FRAUD AND ORCHESTRATED BLACKOUTS: ISSUES WITH WIRELESS METERING PROTOCOLS (WM-BUS) / Cyrill Brunschwiler

·EXPLOITING NETWORK SURVEILLANCE CAMERAS LIKE A HOLLYWOOD HACKER / Craig Heffner

·EVADING DEEP INSPECTION FOR FUN AND SHELL / Olli-Pekka Niemi, Antti Levomaki

·THE FACTORING DEAD: PREPARING FOR THE CRYPTOPOCALYPSE / Alex Stamos, Tom Ritter, Thomas Ptacek, Javed Samuel

·FULLY ARBITRARY 802.3 PACKET INJECTION: MAXIMIZING THE ETHERNET ATTACK SURFACE / Andrea Barisani, Daniele Bianco

·FUNDERBOLT: ADVENTURES IN THUNDERBOLT DMA ATTACKS / Russ Sevinsky

·HACKING LIKE IN THE objectS: VISUALIZING PAGE TABLES FOR LOCAL EXPLOITATION / Georg Wicherski, Alexandru Radocea

·HACKING, SURVEILLING, AND DECEIVING VICTIMS ON SMART TV / SeungJin 'Biest' Lee(이승진)

·HIDING @ DEPTH - EXPLORING, SUBVERTING AND BREAKING NAND FLASH MEMORY / Josh 'm0nk' Thomas

·HOME INVASION V2.0 - ATTACKING NETWORK-CONTROLLED HARDWARE / Daniel Crowley, David Bryan, Jennifer Savage

·HONEY, I’M HOME!! - HACKING Z-WAVE HOME AUTOMATION SYSTEMS / Behrang Fouladi, Sahand Ghanoun

·HOT KNIVES THROUGH BUTTER: BYPASSING AUTOMATED ANALYSIS SYSTEMS / Abhishek Singh, Zheng Bu

·HOW CVSS IS DOSSING YOUR PATCHING POLICY(AND WASTING YOUR MONEY) / Luca Allodi, Fabio Massacci

·HOW TO BUILD A SPYPHONE / Kevin McNamee

·HOW TO GROW A TREE(TAINT-ENABLED REVERSE ENGINEERING ENVIRONMENT) FROM CBASS(CROSS-PLATFORM BINARY AUTOMATED SYMBOLIC-EXECUTION SYSTEM) / Nathan Li, Loc Nguyen, Xing Li, James Just

·HUNTING THE SHADOWS: IN DEPTH ANALYSIS OF ESCALATED APT ATTACKS / Fyodor Yarochkin, Tsung Pei Kan, Ming-Chang Chiu, Ming-Wei Benson Wu

·I CAN HEAR YOU NOW: TRAFFIC INTERCEPTION AND REMOTE MOBILE PHONE CLONING WITH A COMPROMISED CDMA FEMTOCELL / Tom Ritter, Doug DePerry, Andrew Rahimi

·IMPLANTABLE MEDICAL DEVICES: HACKING HUMANS / Barnaby Jack

·IS THAT A GOVERNMENT IN YOUR NETWORK OR ARE YOU JUST HAPPY TO SEE ME? / Eric Fiterman

·JAVA EVERY-DAYS: EXPLOITING SOFTWARE RUNNING ON 3 BILLION DEVICES/ Brian Gorenc, Jasiel Spelman

·JAVASCRIPT STATIC SECURITY ANALYSIS MADE EASY WITH JSPRIME / Nishant Das Patnaik, Sarathi Sabyasachi Sahoo

·JUST-IN-TIME CODE REUSE: THE MORE THINGS CHANGE, THE MORE THEY STAY THE SAME / Kevin Snow, Lucas Davi

·LEGAL ASPECTS OF FULL SPECTRUM COMPUTER NETWORK (ACTIVE) DEFENSE / Robert Clark

·LEGAL CONSIDERATIONS FOR CELLULAR RESEARCH / Marcia Hofmann, Kurt Opsahl

·LESSONS FROM SURVIVING A 300GBPS DENIAL OF SERVICE ATTACK / Matthew Prince

·LET'S GET PHYSICAL: BREAKING HOME SECURITY SYSTEMS AND BYPASSING BUILDINGS CONTROLS / Drew Porter, Stephen Smith

·MACTANS: INJECTING MALWARE INTO IOS DEVICES VIA MALICIOUS CHARGERS / Billy Lau, Yeongjin Jang(장영진), Chengyu Song

·MAINFRAMES: THE PAST WILL COME BACK TO HAUNT YOU / Philip Young

·MALTEGO TUNGSTEN AS A COLLABORATIVE ATTACK PLATFORM / Roelof Temmingh, Andrew MacPherson

·MILLION BROWSER BOTNET / Jeremiah Grossman, Matt Johansen

·MOBILE ROOTKITS: EXPLOITING AND ROOTKITTING ARM TRUSTZONE / Thomas Roth

·MULTIPLEXED WIRED ATTACK SURFACES / Michael Ossmann, Kyle Osborn

·OPTIROP: HUNTING FOR ROP GADGETS IN STYLE / Nguyen Anh Quynh

·OUT OF CONTROL: DEMONSTRATING SCADA DEVICE EXPLOITATION / Eric Forner, Brian Meixell

·THE OUTER LIMITS: HACKING THE SAMSUNG SMART TV / Aaron Grattafiori, Josh Yavor

·OWNING THE ROUTING TABLE - PART II / Gabi Nakibly

PASS THE HASH AND OTHER CREDENTIAL THEFT AND REUSE: MITIGATING ·THE RISK OF LATERAL MOVEMENT AND PRIVILEGE ESCALATION / Mark Simos, Patrick Jungles

·PASS-THE-HASH 2: THE ADMIN'S REVENGE / Alva Duckwall, Chris Campbell

·PIXEL PERFECT TIMING ATTACKS WITH HTML5 / Paul Stone

·POST EXPLOITATION OPERATIONS WITH CLOUD SYNCHRONIZATION SERVICES / Jacob Williams

·POWER ANALYSIS ATTACKS FOR CHEAPSKATES / Colin O'Flynn

·PREDICTING SUSCEPTIBILITY TO SOCIAL BOTS ON TWITTER / Chris Sumner, Randall Wald

·PRESS ROOT TO CONTINUE: DETECTING OSX AND WINDOWS BOOTKITS WITH RDFU / Mario Vuksan, Tomislav Pericin

·REVEALING EMBEDDED FINGERPRINTS: DERIVING INTELLIGENCE FROM USB STACK INTERACTIONS / Andy Davis

·RFID HACKING: LIVE FREE OR RFID HARD / Fran Brown

·ROOTING SIM CARDS / Karsten Nohl

·THE SCADA THAT DIDN'T CRY WOLF- WHO'S REALLY ATTACKING YOUR ICS DEVICES- PART DEUX! / Kyle Wilhoit

·SMASHING THE FONT SCALER ENGINE IN WINDOWS KERNEL / Ling Chuan Lee, Chan Lee Yee

·SPY-JACKING THE BOOTERS / Brian Krebs, Lance James

·SSL, GONE IN 30 SECONDS - A BREACH BEYOND CRIME / Angelo Prado, Neal Harris, Yoel Gluck

·STEPPING P3WNS: ADVENTURES IN FULL-SPECTRUM EMBEDDED EXPLOITATION(AND DEFENSE!) / Ang Cui, Michael Costello, Salvatore Stolfo

·TERIDIAN SOC EXPLOITATION: EXPLORATION OF HARVARD ARCHITECTURE SMART GRID SYSTEMS / Josh 'm0nk' Thomas, Nathan Keltner

·TLS 'SECRETS' / NextGen$

·TOWN HALL MEETING: CFAA REFORM STRATEGY / Kurt Opsahl

[권 준 기자(editor@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)