세계 최대의 버그바운티 대회...이정훈 씨 2년 연속 최다 상금 차지

[보안뉴스 민세아] 최근 전 세계에서 열리는 국제 해킹방어대회 및 버그바운티 대회에서 한국 화이트해커들이 발군의 실력을 발휘하고 있다. 그 중심에 이정훈 씨가 있다.


지난 3월, 알려지지 않은 상용 소프트웨어와 모바일 장치에 존재하는 취약점을 찾기 위한 버그바운티 대회인 ‘폰투오운(Pwn2Own) 2016’이 종료됐다. 놀랍게도 이번 폰투오운 2016의 최다 상금왕은 이미 세계적인 해킹방어대회 ‘데프콘(DEFCON) 2015’의 우승 주역으로 잘 알려진 한국인 이정훈 씨였다.

이정훈 씨는 2014년부터 폰투오운에 참가하기 시작했는데, 폰투오운 2015에서 주요 운영체제(OS)에 대한 보안취약점을 대거 발견해 약 2억 5,342만원의 상금을 차지한 바 있다. 이는 폰투오운 개최 이래 역대 최다 상금으로 큰 이슈가 됐다.

올해도 이정훈 씨가 약 1억 6,800만원의 상금을 차지하면서 최다 상금 수상자에 계속해서 이름을 올렸다.

폰투오운은 데프콘과 달리 문제를 만들어내는 것이 아니라 70억 인구가 사용하고 있는 IE(Internet Explorer), 크롬, 운영체제(OS) 등의 취약점을 미리 준비해 현장에서 직접 시연하는 형식으로, HP, 트렌드마이크로(TrendMicro), ZDI(Zero Day Initiative)가 운영 및 후원하는 버그바운티 대회다.

쇼 형식의 행사이기 때문에 무대에서 주어진 한 시간 동안 준비된 취약점을 3번의 기회 안에 성공하면 된다. 먼저 어떤 소프트웨어를 대상으로 취약점을 시연할 것인지 참가자들에게 리스트를 받는다. 그 다음 팀 이름과 시연할 소프트웨어가 적인 종이를 모자에 넣어서 뽑기로 순서를 정한다.

첫 번째로 시연에 성공하는 팀에게 상금을 100% 지급하고, 두 번째부터 성공하는 팀에게는 기존 상금의 절반만 지급된다. 순서만으로 몇 천 만원이 날아갈 수 있기 때문에 처음 ‘모자뽑기’가 매우 중요하다.

이렇게 정한 순서대로 폰투오운 룸에 와서 시연을 하면 된다. 준비된 취약점 시연에 성공하면 Disclose룸에 올라가서 취약점에 대한 설명을 한다. ZDI 측에서 이미 알고 있는 취약점인지 확인한 후 해당 소프트웨어 벤더사에게도 확인한다. 아직 발견하지 못한 제로데이 취약점인 것이 확인되면 성공이다.

만약 취약점은 맞지만 시연에서 실패해도 Disclose룸으로 데려가서 원래 취약점의 2~30%가격이나 기존 책정 상금을 받을 수 있다.

폰투오운에는 예선이나 본선 같은 개념이 없다. 그냥 취약점을 준비해서 참가신청을 하기만 하면 된다. 다만 취약점을 발견해도 언제 패치될지 모르기 때문에 정신적 스트레스가 매우 큰 것으로 알려졌다.

폰투오운에 참가한 한국인은 이정훈 씨가 유일하다. 여기에다 최다 상금 수상자 기록까지 세웠다. 이정훈 씨는 지난해 한국 최초의 데프콘 우승팀 주역으로 활약한 데 이어 폰투오운에서 2년 연속 상금왕까지 차지함으로써 한국 화이트해커의 역사를 다시 써내려가고 있다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>