한국형 Pwn2Own, 버그 찾기 대회 결과는?

NAS 취약점과 공유기 취약점으로 넷가디언스 최우수상 시상

[보안뉴스 민세아] 지난 16일부터 17일까지 시큐인사이드 컨퍼런스와 함께 열린 버그 찾기 대회 CTB(Capture The Bug)의 최종 결과가 발표됐다.

▲시큐인사이드 CTB(Capture The Bug) 수상자들이 기념촬영을 하고 있다.
(사진제공 : 시큐인사이드 공식 페이스북 페이지)

CTB는 각종 임베디드, 사물인터넷(IoT) 기기에 존재하는 취약점을 발견하는 버그 찾기 대회를 말한다. 이번 CTB에서는 스마트TV, 스마트폰, 스마트워치, 라우터, 가정용 라우터, CCTV 등이 대상 제품이었다.

1등은 130만원 상당의 NAS 취약점과 공유기 취약점을 발견한 넷가디언스, 2등은 110만원 상당의 CCTV 취약점과 에그 취약점, 공유기 취약점을 발견한 S**, 3등은 70만원 상당의 NAS 취약점을 발견한 Hack4Profit이다.

이 외에도 공유기 취약점을 발견한 K**와 L**, NSHC 팀도 포상금을 받았다. 다만 이번 CTB에서 A등급의 취약점은 발견한 팀은 없었던 것으로 알려졌다.

이번 CTB에서 도전자들은 제한된 시간 내에 자신이 찾은 취약점을 시연해 성공했다는 것을 심사위원들에게 증명하면 됐는데, 심사 직전에 취약점이 패치되어 시연을 포기하거나(withdraw) 시연에 실패한(fail) 도전자들도 있었다고 행사 주최 측 관계자는 전했다.

▲시큐인사이드 CTB(Capture The Bug) Challenge Status

한편, CTB의 심사기준은 해당 취약점을 얼마나 쉽게 발견할 수 있는지(discoverability)와 얼마나 치명적인지(criticality) 등을 종합적으로 평가하는 방식으로 진행됐고, 참가자 1명이 다수의 취약점을 발견했을 경우 각각의 취약점에 대해 포상금은 모두 지급하는 것을 원칙으로 했다. 등수 산정에 있어서는 퀄리티가 가장 높은 취약점 한 가지에 대해서만 고려한 것으로 알려졌다.

[민세아 기자(boan5@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)