행정안전부 주최로 9월 8일부터 9일까지 서울 삼성동 코엑스 1층 그랜드볼룸에서 개최되는 보안컨퍼런스 ‘ISEC 2009’에서 인하대학교에 재학 중이면서 와우해커 멤버로 활발한 활동을 펼치며 대규모 해킹방어대회 우승 등의 경력을 가지고 있는 박찬암 씨는 컨퍼런스 첫째날인 8일, ‘다양한 해킹(Various Hacking)’이란 주제로 해킹시연을 펼친다.

이날 해킹시연에서는 최근 개최된 블랙햇과 데프콘 컨퍼런스에서 발표되었던 주제인 Advanced SQL Injection 기법에 대해 알아본다. 이는 SQL Injection 취약성을 이용해 Stacked Query(또는 Batched Query)를 사용하지 않고, 원격 코드를 실행하는 기술을 다루는 내용이다. 쉬운 개념의 간단한 기법이기 때문에 대부분의 참가자가 어려움 없이 들을 수 있을 것이라 생각한다.

또한 얼마 전 발표된 리눅스 커널상의 sock_sendpage() 취약성과 그에 대한 익스플로잇을 분석해 보고, 해당 취약성을 공격 코드로 구현하기 위해 사용된 NULL 주소 영역에서의 메모리 사상 방지 우회 및 SELinux와 LSM의 설정을 무력화 시키는 기술 등을 알아 볼 것이다.

마지막으로 취약성을 방어 할 수 있는 패치의 원리 또한 살펴보도록 한다. 아울러 가용시간이 남는다면 추가로 간단한 생활 속의 해킹을 알아보도록 하는 시간이 마련될 예정이다.

■ 참관안내: www.isecconference.org 접속 ->사전참관등록->승인메일 발송->승인메일 출력후 ISEC 2009 현장서 제출->패찰 및 발표자료집 받음.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>