스노우든, 구글, SQL, USB 등 당대의 큰 사건 대부분 등장

양심을 따라 회사를 그만두기까지 한 내부고발자도 있어

[보안뉴스 문가용] 블랙햇이 드디어 내일로 다가왔다. 블랙햇 관련 기사를 내보내며 이 행사가 항상 정보보안 분야의 트렌드를 이끌어왔다는 걸 강조해왔는데, 그에 대해서 조금 구체적으로 밝히고자 한다. 과거 블랙햇 행사를 통해 세상에 드러난 여러 연구 결과들이 어떻게 이 분야를 가다듬어왔는지 알아보도록 하자.

1. SQL 서버 버퍼 오버플로우(2002년, 데이비드 리치필드)

리치필드는 오라클의 공동 창립자이자 CEO인 래리 엘리슨(Larry Ellison)이 호언장담했던 오라클의 완벽 방어 시스템을 깨부순 것으로 유명하지만 사실 그 전인 2002년, 블랙햇에서 SQL 서버가 가진 버퍼 오버플로우 취약점을 드러낸 것으로도 엄청난 반향을 불러일으켰다. 또한 지금은 널리 알려져 있지만 그때는 다소 생소했던 ‘기술 검증(proof of concept)’을 사용한 것으로도 블랙햇 역사에 큰 획을 그었다. 이 취약점은 바로 다음 해인 2003년 세계를 들썩이게 했던 SQL 슬래머(SQL Slammer)의 초석이 되었다.

2. 구글도 해킹할 수 있다(2004년, 조니 롱)

처음엔 장난처럼 시작한 게 나중엔 엄청난 사건으로 발전되었다. 구글의 놀라운 기술력과 힘을 잘만 사용하면 취약한 사이트들을 쉽게 찾아낼 수 있다는 걸 발견한 것이다. 조니 롱은 몇 년 후 같은 주제로 다시 한 번 블랙햇에서 강연을 한 바 있는데, 이때는 한 술 더 떠서 구글을 활용해 취약한 사이트를 찾아내는 것뿐 아니라 악성 공격을 원활히 감행하는 것까지도 시연했다.

3. 시스코 라우터의 치명적인 취약점(2005년, 마이클 린)

2005년, 마이클 린은 용감했다. 시스코라는 업체가 운영하는 인터넷웍 운영 시스템(Internetwork Operating System, IOS)의 취약점을 낱낱이 공개한 건 단지 시스코가 덩치 큰 힘센 업체여서일 뿐만 아니라 마이클 린 그 자신이 몸 담고 있던 회사였던 것이다. 회사 측에서는 그가 이 발표를 하지 못하게 압력을 가했고, 그는 결국 회사까지 그만두어야 했다. “양심 상 가만히 있을 수 없었습니다. 인터넷 환경에서 너무 치명적인 취약점이었기 때문입니다.”

4. USB의 취약점(2005년, 데린 배롤, 데이비드 듀위)

린의 용단이 많은 이들에게 자극을 줬고, 그 해에는 여러 가지 연구가 활발하게 일어났다. 그러나 그 해의 주인공은 린 외에도 몇몇이 더 있었고, 데린 배롤과 데이비드 듀위를 빼놓고 말할 수가 없다. 그때나 지금이나 많은 이들에게 사랑받고 있는 USB의 취약점을 이용해 루트 시스템에까지 접근할 수 있다는 걸 밝혀낸 것이다. 이것으로 USB에 대한 사람들의 시각이 많이 달라졌다.

5. DNS의 오류와 해결책(2008년, 댄 카민스키)

댄 카민스키가 발견한 DNS 오류는 그 해 블랙햇 발표가 있기 한 달 전부터 정보 보안 업계를 들썩였다. 하지만 그런 오류가 있다는 소문만 있었지 그 누구도 오류를 정확하게 이해하고 있지는 않았다. 그래서 이 해 블랙햇에서 카민스키가 진행했던 캐시 포이즈닝 오류(caches poisoning flaw)에 대한 강연은 사람들로 꽉꽉 찼다. 또한

6. 스마트 그리드의 해킹(2009년, 마이클 데이비스)

국가의 중요한 인프라 시스템에 굉장히 많은 취약점이 있다는 사실은 널리 알려진 사실이었다. 이 강연을 통해 마이클 데이비스는 ‘스마트’ 개념까지 도입한 국가 기반 시설, 특히 전력과 관련된 시설이 안전성 면에서는 크게 다르지 않다는 걸 시연하고 증명했으며 거기에 더해 스마트한 시스템이 한 번 해킹당하면 파급력이 엄청나다는 것까지 드러냄으로써 국가 인프라에 대한 사람들의 주의를 환기시켰다.

7. ATM이 아니라 잭팟이네(2010년, 바너비 잭)

아마 현장 반응이 가장 컸던 강연 중 하나가 아니었을까 한다. 바너비 잭이 실제 ATM 기기를 실시간으로 해킹한 것이다. 한번 해킹하고 나면 명령을 내려 얼마든지 돈을 인출할 수 있다는 메시지 자체도 강렬한데 그걸 사람들 눈앞에 드러냈으니 관객들에겐 큰 충격이 아닐 수 없었다.

8. 인슐린 펌프 해킹(2011년, 제이 래드클리프)

래드클리프는 당뇨병을 심각하게 앓아온 사람으로서 의료기기에 자연히 관심을 가질 수밖에 없었다. 특히 자신의 혈당 수치를 항상 감시하는 인슐린 펌프기는 그의 입장에서 제일 먼저 손이 가는 기기였다. 그리고 결국 이 기기를 원격으로 조종해 누군가의 목숨을 위협할 수 있다는 것까지 발견했다. 이 강연 때문에 의료계가 들썩였고 여러 화이트 해커들이 의료기기를 연구하기 시작했다.

9. 호텔방 도어락 해킹(2012년, 코디 브로셔스)

올해에도 호텔과 관련된 강연이 있을 예정이지만, 이미 2년 전 호텔에 침투한 해커가 있었다. 올해 강연이 가정의 자동화 및 사물인터넷을 주제로 삼고 있지만, 2012년 강연에는 실제 낯선 이의 방안으로 침투가 가능한 기술이 선보여 많은 관심을 끌었다. 코디 브로셔스는 50달러의 사비를 들여 많은 호텔에서 사용하고 있는 도어락 시스템을 직접 만들기까지 했다.

10. 정보 보안과 NSA(2013년, 케이스 알렉산더)

스노우든 사건이 일어난 해, 당시 NSA의 수장이었던 케이스 알렉산더 장군은 스노우든이 폭로했던 여러 가지 문제에 대해 직접 해명하면서 NSA 프로그램에 대한 자세한 설명을 제공했다. 물론 청중들 속엔 정부기관을 믿지 못하겠다고 항의하는 이들도 있었고, 블랙햇 주최측은 투척용 계란을 미리 압수하기도 했다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>