| 언더그라운드 성향 벗은 ‘DEFCON 2005’ | 2005.09.30 | ||||||||||||||
언더그라운드 성향 벗은 ‘DEFCON 2005’ 취약성 발견 위한 해킹 대응 기술력 향상의 장 전세계 해커가 모여 해킹기법 등을 토론하는 대표적인 해킹 컨퍼런스인 ‘데프콘(DEFCON)’이 지난 7월 29일부터 31일까지 3일간 미국 라스베이거스에서 개최됐다. 올해 13회째에 접어든 데프콘 2005는 해커들에 대한 인식의 전환을 알리듯 예년에 비해 한층 변화 발전된 모습을 보였으며, 많은 보안 전문가들이 참가해 새로운 보안기술에 대한 정보공유의 장으로 자리매김했다. 해커들을 음지에서 양지로 끌어오린 데프콘의 이모저모를 살펴본다. 해외뉴스팀
올해로 13회째를 맞은 데프콘 2005 역시 여느 해와 마찬가지로 많은 보안 전문가들의 관심 속에서 성황리에 이뤄졌고 전세계의 보안 전문가들의 지식을 통해 최근 보안 트렌드를 한자리에서 확인할 수 있는 멋진 기회로 자리매김했다. 음지의 해커 양지로 전체적인 컨퍼런스 분위기 역시 해가 더해 갈수록 더욱 진지해지고 있다. 행사장 가운데 풀장으로 행사 담당자나 강연자를 빠트리거나, 예전과 같이 행사장의 비품과 호텔 비품 등을 풀장에 던져 풀장을 폐수장(?)으로 만드는 사람들도, 참가자의 소행 불량으로 행사 주최 장소인 호텔 측에서 호텔 밖으로 내쫓기는 사람들도 없었다. 강연장 입구에 한 줄로 정렬하여 세미나를 기다리는 참관자들의 태도도 사뭇 진지하고 질서도 잘 지켜지는 모습은 데프콘행사가 처음 해커들만의 세상에서 전체적인 보안 컨퍼런스로서의 면모를 갖춰나가며, 변화 발전하고 있다는 생각이 들게 했다.
매년 데프콘 행사 때마다 발생하는 소란과 해프닝을 떠올리며, 올해도 은근히 기대를 하는 이들이 있었을지 모르지만(필자를 포함해...), 술에 만취하여 나무에 꽁꽁 묶여진 몇몇 해커들과 나체 수준으로 행사장을 거닐던 몇몇 사람, 행사 마지막 날에 풀장을 붉게 오염시켰던(?) 일상의 작은 퍼포먼스 외에 특별한 일은 올해 행사에서는 발생하지 않았다.
시간이 흐를수록 데프콘 컨퍼런스가 언더그라운드적인 성향 보다는 학술적인 성향을 많이 드러내는 것 같아서 한편으로는 아쉽기도 했지만 해커그룹에 대한 재조명의 일환이라는 점에서는 발전지향적이지 않나 싶다. 그럼에도 불구하고 신분을 가리기 위해 얼굴을 가리며, 음성과 강연 자료들로만 세미나를 진행하였던 예전의 행사들이 그립기도 하다. 여하튼 데프콘은 이제 더 이상 음지의 해커들만의 전유물이나 쇼가 아니라 다국적 보안 컨퍼런스로써 새로운 보안기술과 정보공유의 향연장이 되고 있다. 해킹 고수들의 경연장 데프콘 2005 주요 행사 내용은 크게 이벤트와 세미나로 구분되어 진행됐다. 행사 기간 중에 많은 관심을 불러 일으켰던 몇몇 이벤트로는 FBI의 수사관 등 연방 관련 직원들을 찾아내는 「스펏 더 FED 컨테스트(SPOT The FED Contest)」, Wi-Fi 패킷를 가능한 한 멀리 날리는「Wi-Fi 대접전(Wi-Fi Shootout)」, 잠겨져 있는 자물쇠를 다양한 도구로 여는 「락피크 컨테스트(Lockpick Contest)」등이 있었다.
특히 올해에는「로봇 WAREZ 컨테스트(ROBOT WAREZ Contest)」와 음료를 급속히 차게 하는 방법을 겨루는 「비버리즈 쿨링 컨트렙션 컨테스트(Beverage Cooling Contraption Contest)」등은 보안 행사의 이벤트와 거리가 멀다 생각되지만, 행사장의 많은 참여자들이 함께 즐길 수 있는 흥미로운 이벤트가 추가돼 이목을 끌었다.
이같이 다채로운 이벤트 행사가 펼쳐졌지만 다양한 이벤트들이 가운데 가장 눈길을 끈 중요 행사는 뭐니 뭐니 해도 데프콘 행사에 빠져서는 안되는 「캡쳐 더 플래그 컨테스트(Capture the Flag Contest)」다. CTF로 불리는 이 행사는 몇 개의 팀과 개인으로 나누어져 서로의 해킹 실력을 통해 구축한 서버 시스템을 보호하고, 상대방이 구축한 서버 시스템을 해킹하는 게임이다. 컨테스트 당일에 각 팀에 서버 환경의 ISO 이미지를 배포해, 그것을 해석해 공격·방어를 실시한다.
사실상 당일에 상대방의 서버 시스템을 분석하고 취약성을 찾아내 공격을 성공한다는 것은 상당히 어려운 일 중 하나다. 이는 해커그룹이 주도하는 데프콘 게 중에서도 CTF 행사가 그 만큼 최고의 스킬을 맘껏 발휘할 수 있는 행사임을 시사하는 것이다. 데프콘의 고정 이벤트로 펼쳐지는 이 행사는 전 세계의 고수들로부터 가장 많은 관심을 집중시키는 프로그램이다.
<데프콘 컨퍼런스 행사장 전경>
<데프콘 행사의 꽃인 ┖Capture the Flag┖ 컨테스트에 참가한 해커들이 열띤 해킹 게임을 벌이고 있다.>
<최신 보안 기술이 다양하게 소개된 데프콘 세미나 현장. 특히 새롭게 떠오르고 있는 무선, RFID, 생체정보에 대한 관심이 높았다.>
무선· RFID· 생체인식 ‘뜨거운 감자’
한편 이번 데프콘 행사에서 해커들의 이목을 집중시키며, 열띤 토론과 기술 정보 공유의 장으로 매김한 보안 분야는 무선, RFID, 생체 인식, 웹 보안 정도로 간추릴 수 있다. 물론 이외에도 기발하고, 다양한 해킹 기술들이 소개되어 세미나에 참관한 많은 보안 전문가들로부터 찬사와 갈채를 받았지만, 최근 계속해서 연구되고 이슈화되는 무선 보안과, 웹 보안에 대한 세미나 장은 한결같이 많은 해커들의 주요 관심 거리로 인산인해를 이뤘고, 생체 인식 보안 우회 방법과 RFID 해킹 기술 공유는 행사 기간 내내 ‘뜨거운 감자’가 되었다.
공격 대상에 대한 범주도 작년과 다르게 더욱 확대되어 서버 시스템과 네트워크 관련 장비에 대한 해킹 기술이 주류였던 지난해와 달리 현금 인출 시스템(ATM), 모바일 관련 장비, 혹은 이동형 노트북과 핸드폰에 대한 해킹 기술 강연과 공유가 활발히 전개됐다. 물리적인 보안 요소로서 다양한 형태의 자물쇠 등을 여러 가지 도구를 통하여 무력화하는 다채로운 이벤트도 열렸다. 뿐만 아니라 네트워크 통신에 대한 범주를 벗어나 무선통신과 적외선 통신까지 다양한 통신 체계에 대한 기능을 무력화 하는 공격 논의도 제기됐다.
그 가운데에서도 가장 구설수에 올랐던 RFID1) 보안은 근래에 활발하게 연구되어지는 최신 보안 분야로써 다양한 취약성 사례 및 취약성 공격 방법 등이 데프콘 12회부터 꾸준히 발표된 바 있다. 행사에 참관한 많은 해커들은 RFID 기술 영역에 다양한 위협 요소들을 지목하여 참관한 많은 해커들로부터 지지를 받았다.
RFID는 유비쿼터스 시대의 실현을 위한 가장 핵심적인 기술로서, 사람 또는 사물의 정보를 감지하고 자동 식별하는 시스템이다. 이러한 기술은 미래 IT 시장을 선도할 핵심 기술 중 하나이다. 그러나 관련 핵심 기술도 다른 여느 기술과 마찬가지로 다양한 위협 요소를 가지고 있다. 특히 RFID 기술의 확산은 사물에 대한 정보 노출에 따른 프라이버시 침해와 같은 문제 등이 해결되어야 가능하다. 왜냐하면 RFID 기술에서 정보 접근의 매개 역할을 하는 태그 식별 정보가 개인이 알지 못하는 사이에 당사자의 허가 없이 오용될 가능성을 내재하고 있기 때문이다.
<데프콘 2005 행사에서 가장 많은 이목을 집중시킨 옥상으로부터 RFID 태그를 읽기 위한 해킹 시연 모습> RFID 해킹 성공에 이목 집중
<RFID 해킹에 성공한 해킹 시연자들이 RFID 장비를 들고 한 컷>
현재 미국의 소비자단체는 월마트가 자사에서 판매하는 모든 상품에 RFID 태그를 부착할 경우, 이를 구입한 소비자의 성향이나 위치 같은 극히 개인적인 사안들이 유출될 가능성이 있기 때문에 개인 프라이버시 침해를 우려해 월마트의 RFID 사용의 전면철회를 요구하고 있는 상황이라고 한다. 이처럼 RFID는 실제 물류유통 확산을 위해서는 각광받고 있는 반면 정보보호 측면에서는 많은 난점을 안고 있다. 이러한 이유에서 이번 데프콘 행사에서는 RFID에 대한 재미있는 해킹 시연이 이뤄져 참관객들의 이목을 집중시켰다. 해킹 시연의 주요 내용은 멀리 떨어진 옥상에서 RFID 태그 정보를 읽어내는 것이었다. 대부분의 RFID 관련 업체들은 RFID을 인식하기 위한 리더기의 최대 접근 거리가 20피트 이상일 경우 RFID 태그 정보를 읽어낼 수 없다고 주장하는데 이번 시연에서 그같은 주장은 쉽게 깨지고 말았다.
옥상으로부터 69피트 떨어진 거리에서 RFID 태그 정보를 읽어내는 해킹 시도 성공은 관련 업계와 기술 분야에 뜨거운 이슈로 떠올랐다. 해킹 성공이 RFID 응용 분야에 대한 새로운 문제점을 지적하게 된 셈이다. 특히 이날 행사에서는 이번 해킹 시도로 입·출국 심사에 사용되는 미 여권에 장착한 RFID 정보에 대한 안정성 여부를 검토해야 한다는 주장도 제기됐다.
물론 현재 RFID 신호는 다양한 보안 기법으로 암호화되어 전송된다. 사용하는 애플리케이션에 따라서 신호 거리도 다를 수 있다. 이번 해킹 시연에서 이러한 부분이 정교하게 고려되지 않았지만 RFID 역시 해킹에서 완벽하게 안전하지 않다는 가능성은 이번 해킹 시연을 통해 충분히 실감할 수 있었으며, RFID 보안에 대한 대책 마련에 대해서 공감대를 형성케 하는 계기가 됐다. 생체인식기술 취약성 드러나 이번 행사에서 이목을 집중시킨 또 하나의 기술은 생체 인식 보안이다. 이에 관해서는 잠보니(Zamboni)의 보안 전문가가 “바이오메트릭 액세스 컨트롤 시스템의 공격(Attacking Biometric Access Control System)2)” 이라는 제목으로 강연했는데 여기서 생체 인식 보안 기술의 취약성을 지적하며, 보안성 강화를 주장했다.
생체 인식 보안 기술은 현재 혈관 인식(Vascular), 지문 인식(Finger prints), 홍체 인식(IRIS, Retina), 음성 인식(Voice pattern) 기기 등이 사용되고 있으며 물류 시스템, 은행, IDC 센터, 공항, 보안 기관 등에 적용되고 있다. 이와 관련해 해커들은 보안 시스템의 우회 방법을 다양하게 토론 하였으며, 접근 제어 시스템은 서버 장비와 네트워크 통신 등과 같은 내부 시스템 전반을 공격하여 무력화할 수 있다고 주장했다.
이밖에도 데프콘 2005에서는 많은 위협 요소와 보안 신기술에 대한 논의가 그 어느 해보다 치열하게 펼쳐졌으며 해커들 간의 정보공유를 위한 열띤 경연장으로서의 면모를 한층 강화했다. 상당히 흥미로운 주제들이 많이 선보여졌으나 본 고를 통해 모두 소개하긴 무리가 있을 것이라 본다. 이에 데프콘 2005에서 시연, 논의된 해킹기법이나 최신 보안 기술의 트렌드에 관한 자료를 http://www.nshc.net/defcon_13/에 업데이트 했다. 보다 자세한 자료는 해당 URL에 접속해 다운로드 받으면 된다. 보안산업 발전의 첨병 데프콘에서 시연된 다양한 해킹 시연회나 기술 논의된 내용을 보면 해커는 분명 정보를 빼내 팔거나 파일을 없애고 전산망을 마비시키는 악의적인 행위를 하는 크래커(cracker)와 다르다. 시스템의 취약점을 미리 발견해 피해를 입지 않게 돕고 사이버 범죄를 예방하는 역할을 할 수 있기에 현대사회에 꼭 필요한 사람들이 될 수 있다.
그럼에도 불구하고 유독 국내에서는 해커와 크래커를 구분하지 않고 해커그룹을 사회를 어지럽히는 범죄집단으로 여기는 인식이 일반화되어 있어 해커그룹의 활동이 위축되어 있는 실정이다. 최근 곳곳에서 해커그룹에 대한 재조명 작업이 이뤄져야 한다는 주장이 제기되고 있긴 하나, 아직은 해커들은 시스템의 취약점 사전 발견, 정보보호 기술발전과 전문 인력풀(pool) 형성이라는 순기능의 역할보다는 역기능이 훨씬 더 많다는 인식이 주를 이루는 것같다.
데프콘과 같은 해커그룹의 공식적인 보안 컨퍼런스가 더욱 더 발전지향적인 방향으로 나아가 그 안에서 제기된 주장, 기술들이 보안산업과 기술발전에 한 몫을 담당하길 기대해본다. 전세계 해커가 모여 해킹기법 등을 토론하는 대표적인 해킹 컨퍼런스 데프콘은 최근 정보보호 기술에 대한 트렌드, 해킹기법 습득 및 해킹 대응 기술력 향상의 장이 되고 있다.
이처럼 이미 보안산업에 지대한 영향을 미쳐온 데프콘은 해커에 대한 부정적인 이미지에서 벗어나 화이트 햇을 많이 키워내는 보안산업 발전의 첨병으로 역할을 할 것으로 보인다.
<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.> |
|||||||||||||||
 |
