• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[블랙햇 맛보기-3] 7개 강연으로 본 하반기 보안 트렌드 2014.07.25

정보보안계의 큰 잔치, 먹을거리는 각종 연구 발표

키워드는 사물인터넷, 모바일, 클라우드, 웨어러블 등


[보안뉴스 문가용] 정보보안 업계의 큰 파티가 8월초에 라스베가스에서 열린다. 블랙햇 2014 이야기다. 여기서 보안전문가들은 업계 친구들을 사귀거나 최신 정보를 얻을 수 있다. 그러나 블랙햇 행사가 다만 ‘실컷 놀고 마시는’ 파티가 아니라 정보의 즐거운 유통으로 정의될 수 있는 건 이 행사를 위해 오랜 시간 자신의 분야에서 아낌없는 노력으로 연구와 조사를 한 사람들 덕분이다.

 

▲ 사진 출처 : 블랙햇 2013 웹사이트

 

그래서 블랙햇의 꽃은 여러 강연자들의 불꽃 튀는 강연 시간들이다. 여기에 나온 강연들이 한 해 동안 세계 여러 곳에서 회자되는 이야기가 되며 그러므로 트렌드를 형성하는 시작점이 된다. 누군가는 ATM 기기 해킹하는 걸 시연할 수도 있고 누군가는 기업 보안 시스템에 대한 새로운 취약점을 발표할 수도 있다. 그 내용이 무엇이든 블랙햇은 늘 이슈가 태어는 곳이었다. 그래서 블랙햇에서 무슨 이야기가 오고가는지 귀를 기울여볼 필요가 있는 것이다. 그중 가장 기대 받고 있는 강연 7개를 모아봤다


1. 호텔 방 해킹해서 각종 기기 내 마음대로 사용하기 : 가정 자동화의 허점

강연자 : 지저스 몰리나(Jesus Molina), 프리랜서 보안전문가

강연 내용 : 최근 중국의 한 호텔에 머물면서 아이패드 한 대로 호텔에 설치된 가정 자동화 시스템을 해킹하는 데에 성공했다. 몰리나 씨는 강연자들에게 이 과정을 리버스 엔지니어링하며 가정 자동화 및 사물인터넷이 보완해야 할 점을 소개한다.


2. 미션 엠파서(mPOS)블

강연자 : MWR 랩스의 보안전문가 닐스 버틀러(Nils Butler), 존 버틀러(Jon Butler)

강연 내용 : POS 단말 중 지난 몇 년간 중소기업 사이에서 뜨거운 감자 취급받고 있는 모바일 POS 단말기에 대해 이야기한다. 강연자들은 취약점들을 공개하고 여러 가지 공격을 실제로 시연할 예정이다. 중소 규모의 매장주들이라면 꼭 한 번 들어두어야 할 내용이 될 것이다.


3. 구글 글래스를 끼니까 암호가 보여요!

강연자 : MIT의 컴퓨터 과학 교수인 신웬 후(Xinwen Fu), 로웰대학에서 박사과정을 밟고 있는 칭강 유에(Qinggang Yue), 빅토리아 대학의 전 박사과정 학생인 젠 링(Zhen Ling)

강연 내용 : 구글 글래스와 같은 카메라 기반 기기를 통해 모든 터치스크린 표면에 암호를 입력하는 게 가능하다는 사실을 증명할 예정이다. 최근까지 연구한 바에 의하면 정확성이 90%에 달한다고 한다. 이를 수행하기 위한 분석 엔진은 어떻게 만들었는지 역시 밝힐 계획으로 이를 어떻게 방지하는 지에 대해서도 다룰 예정이다.


4. 아마존 클라우드 주무르기

강연자 : 본자이 인포메이션 시큐리티(Bonsai Information Security)의 창립자인 안드레스 리안코(Andres Riancho)

강연 내용 : 클라우드에는 클라우드만의 취약점이 있다. 이를 활용하면 AWS 계정에 대한 모든 권한을 빼앗아 오는 게 가능하다. 강연자는 이에 대해 자세한 설명을 제공할 예정이며 이번 연구에 사용된, 자기가 직접 개발한 툴셋도 공개할 예정이다. 회원 가입을 필요로 하는 서비스 업체들, 그 중에서도 보안에 민감한 기업들이 대거 몰릴 것으로 예상된다.


5. SATCOM 단말기 : 육, 해, 공을 통한 해킹

강연자 : 루벤 산타마르타(Ruben Santamarta) IO액티브의 보안 전문가

강연 내용 : 위성 통신 기기의 리버스 엔지니어링을 통해 위성 통신과 컴퓨팅에 대한 이야기를 심도 있게 다룰 예정이다. 위성 통신은 항공, 선박, 군사, 응급 상황에 모두 사용되고 있기 때문에 통신 분야에서도 아주 중요한 분야이며 정보 및 보안에서 굉장히 시급하게 다루고 있는 분야다. 강연자가 분석한 바로는 이렇게 중요한 분야에 사용되는 하드웨어들이 전부 취약점 투성이었으며 원격 조정마저 가능하게 만들 수 있다고 하니 정부 기관 담당자들에게 꼭 필요한 내용일 듯 하다.


6. 일주일만에 십억 개의 노드로 이루어진 소셜 그래프 유출하기

강연자 : 중국 홍콩대학에서 박사과정 중인 필리 후(Pili Hu), 홍콩대학에서 강의를 하고 있는 윙 청 라우(Wing Cheong Lau)

강연 내용 : 인증 프로토콜을 통해서도 대규모 정보 유출이 가능하다는 사실을 드러낼 예정이다. 두 강연자는 크롤러를 만들어 다양한 소셜 미디어 사이트에서 십억 명이 넘는 사용자의 정보를 수집했는데, 이 작업을 하는 데 1주일도 걸리지 않았다고 한다. 다양한 소셜 미디어가 인터넷 사용 환경의 필수 항목이 된 때에 이는 적지 않은 파장을 불러올 것으로 보인다.


7. 스마트 테스트 서모스탯 : 우리 집의 스마트한 스파이

강연자 : 센트럴 플로리다 대학 교수인 이어 진(Yier Jin), 동 대학에서 석사과정을 밟고 있는 그란트 헤르난데스(Grant Hernandez), 시메이션(Cimation)에서 수석 보안전문가로 근무 중인 다니엘 부엔텔로(Daniel Buentello)

강연 내용 : USB에 커널하나만 장착하면 가정 자동화 기기인 Nest에 침투하는 게 가능하다는 걸 보여줄 예정이다. 강연자의 방법을 사용하면 네스트에 설치된 여러 가지 보호 장치를 우회하거나 뚫고 지나가는 게 가능해지는데, 이로써 공격자들이 집안에 있는 사람들을 원격으로 감시할 수 있게 된다. 이에 대한 대책을 논의해본다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>