Home > 전체기사
취약점 발견 위주로 한 해킹 대회 폰투온, ICS도 포함시킨다
  |  입력 : 2019-10-29 17:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
웹 취약점 찾기로 시작한 대회...12해를 지나 ICS로까지 확대되어 와
3개월 전에 과제 발표할 예정...본선에 참가하는 사람들은 익스플로잇 개발해야


[보안뉴스 문가용 기자] 취약점 연구 및 해킹 대회인 폰투온(Pwn2Own)이 산업 통제 시스템(ICS)도 대회 범위 안에 포함시킨다고 발표했다. 이제 이 대회를 통해 각종 산업 장비 및 소프트웨어, 프로토콜도 낱낱이 분석될 것으로 보인다.

[이미지 = iclickart]


보안 업체 트렌드 마이크로(Trend Micro)가 여는 대회인 폰투온은 올해로 12해를 맞는 행사로, ICS 기술 분야가 포함된 건 이번이 처음이다. 처음은 웹 브라우저들에서 취약점을 찾는 것이 중심인 대회였다가, 가상화 소프트웨어와 기업용 애플리케이션까지 아우르게 됐다. 올해 3월에는 폰투온 참가자가 테슬라 모델 3의 인포테인먼트 시스템을 해킹하는 데 성공하기도 했다.

ICS 보안 문제가 포함된 첫 번째 폰투온 행사는 내년 1월 마이애미에서 열리는 S4 컨퍼런스에서 열릴 예정이다. S4 컨퍼런스의 창립자인 데일 피터슨(Dale Petersen)은 “폰투온과 S4 측의 합의가 원만하게 이뤄져 행사를 동시에 진행하게 됐다”고 밝혔다. 실제로 트렌드 마이크로가 진행하는 제로데이 이니셔티브(Zero Day Initiative)는 ICS 소프트웨어에서 발견된 취약점을 지난 해보다 224%나 더 접수하고 있던 상태였다.

폰투온 측은 “ICS 보안을 대회에 도입하고자 하는 생각은 오래 전부터 있었다”며 “다만 적절한 시기를 찾는 게 어려웠다”고 설명한다. “왜냐하면 아직 업계가 ICS 해킹을 진지하게 연구할 준비가 되어 있지 않았기 때문입니다. 무슨 뜻이냐면, ICS를 뚫는 게 말도 안 되게 쉬워서 대회가 성립이 되지 않았다는 겁니다. 지금은 상황이 많이 개선됐고, ICS도 튼튼해졌기 때문에 해킹 대회의 주제로서 가치가 생겼습니다.”

제로데이 이니셔티브의 책임자인 브라이언 고렝크(Brian Gorenc)는 “ICS 보안을 처음으로 도입하는 데 있어 S4 컨퍼런스는 최적의 기회”라고 평가한다. “많은 사람들이 아직도 ICS 보안을 간과하거나 무시합니다. S4 컨퍼런스에서 폰투온이 이를 대대적으로 시작하면 인지도 확산에 큰 도움이 될 것입니다.”

하지만 대회를 준비하는 입장에서 고려해야 할 것은 시기나 업계 분위기 외에도 여러 가지가 있다. “무엇보다 산업 통제 시스템을 물리적으로 구하는 게 큰 어려움이었습니다. 해킹 대회를 위해 우리가 사용할 수 있는 장비가 뭐가 있을까? 있기는 할까? 가격은 어느 정도나 될까? 대규모 장비라면 어떻게 가져오고, 현장에서 어떻게 설정해야 하는가? 그럴듯한 ICS 환경을 꾸미기 위해 부속 장비들도 가져와야 하는가? 그렇다면 얼마나? 이런 고민이 이어졌습니다.”

고렝크는 “물론 행사장이 열리는 호텔로 핵 시설의 원심 분리기를 가져올 수는 없었다”고 이 문제를 설명한다. “또한 대회에 참가하는 보안 연구원들 한 사람 한 사람에게 독립적으로 펌프 제어 시스템을 나눠줄 수도 없었고요. 다행히 평소 관계를 쌓아왔던 파트너사들의 도움으로 소프트웨어 기반 ICS 제품들을 구할 수 있었습니다. 그 정도라면 첫 대회 때 사용해도 무방하다고 판단했습니다.”

또 폰투온 사상 최초의 ICS 해킹 대회를 준비하며 아무 ICS 시스템이나 가져올 수도 없었다고 피터슨은 설명한다. “두 가지 조건을 충족시켜야 했습니다. 하나는 업계에서 실제로 널리 사용되고 있는 시스템이어야 하고, 다른 하나는 보안 전문가들이나 ICS 분야의 전문가들이 비교적 용이하게 접근하거나 구할 수 있는 것이어야 했습니다. 예를 들어 록웰 오토메이션(Rockwell Automation)의 가상 기기들 같은 게 있겠죠. 실제 록웰 측에서는 여러 제품을 후원하기도 했습니다.”

이번 ICS 폰투온 대회는 크게 다섯 가지 항목으로 나뉠 것이다.
1) 제어 서버(Control Server)
2) OPC 통합 아키텍처(OPC UA) 서버
3) DNP3 게이트웨이(DNP3 Gateway)
4) 인간 기계 인터페이스(HMI) 혹은 운영자 워크스테이션(Operator Workstation)
5) 엔지니어링 워크스테이션 소프트웨어(Engineering Workstation Software)

이 중에서 5)번인 엔지니어링 워크스테이션 소프트웨어는 PLC 등과의 직접 통신 및 환경설정을 가능케 해주는 것이라 최근 꽤나 관심을 받고 있다고 고렝크는 설명한다. “HMI도 마찬가지고요. 실제 사이버 공격자들은 HMI를 가장 많이 노리는 것으로 알려져 있습니다. 웹 서버 요소가 있다는 게 공격자들에게 가장 큰 매력으로 다가가죠.”

폰투온 주최 측은 실제 대회가 열리기 3개월 전에 공격 표적에 대한 상세 정보를 발표할 계획이다. 연구원들은 이 3개월 동안 익스플로잇을 개발해 대회 현장에 가져오면 된다. “현장에서는 자기들이 가져온 익스플로잇을 5분 동안 사용해 증명할 수 있습니다. 총 세 번의 기회가 주어질 예정입니다. 디도스, 정보 노출, 원격 코드 실행 등이 가능하다는 게 증명되면 폰투온 팀과 해당 ICS 벤더와의 회의 시간을 갖기도 할 것입니다.”

아직 대회를 위한 공격 표적이 상세하게 공개되지는 않았지만 상금은 밝혀졌다. “총 8개 표적이 설정될 것이고 총 25만 달러의 상금이 배정되어 있는 상태입니다. 익스플로잇의 위험성이나 심각성을 고려해, 익스플로잇을 구매하는 형태로 상금을 제공할 예정입니다.”

3줄 요약
1. 취약점 발굴 대회 폰투온, 다음 대회에서는 ICS도 포함시킴.
2. 총 8개 표적이 대회 3개월 전에 발표될 예정. 본 행사에서는 익스플로잇 발표.
3. 상금은 25만 달러. 익스플로잇 구매하는 형태로 제공될 예정.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)