• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

올해 3월 열리는 폰투온 해킹 대회, 상금 역대 최대 규모 2018.01.26

5개 부문에서 대회 열려...마이크로소프트와 VM웨어 처음 참가
미공개 윈도우 버전 미리 체험 및 해킹해볼 수 있어

[보안뉴스 문가용 기자] 소프트웨어 업체들이 크라우드 소싱을 통한 보안 향상을 점점 더 중요하게 생각하고 있다. 그 증거 중 하나가 3월에 캐나다에서 열리는 폰투온(Pwn2Own) 대회의 상금이 크게 올랐다는 것이다. 최대 2백만 달러까지 가져갈 수 있게 되었다.

[이미지 = iclickart]


이번 폰투온 대회의 상금 규모는 역대 최고다. VM웨어, 마이크로소프트 등이 처음으로 파트너사로서 참여하고, 트렌드 마이크로(Trend Micro)의 제로데이이니셔티브(Zero Day Initiative) 역시 여기에 함께한다. 굵직한 회사들이 매년 한 번 열리는 이 해킹 대회에 대한 투자를 늘려간다는 것이다.

또한 사상 처음으로 올해 폰투온에서는 윈도우 인사이더 프리뷰(Windows Insider Preview) 챌린지라는 걸 진행한다. 참가자들은 아직 출시되지 않은 미공개 버전 윈도우를 미리 경험해보고 해킹도 해볼 수 있다. 올해 사용될 윈도우는 윈도우 10 RS4 (Redstone 4) 인사이더 프리뷰 빌드로, 많은 해커들이 마이크로소프트와의 대결을 기대하고 있다는 소식이다.

트렌드 마이크로 제로데이 이니셔티브 팀의 소통 책임자인 더스틴 차일즈(Dustin Childs)는 “마이크로소프트가 해킹 과제로서 출제된 적은 있지만, 대회 파트너사로 참가한 적은 없다”며 “마이크로소프트만이 아니라 VM웨어까지 파트너사 및 후원사로 참가하게 된 이번 대회가 정말 기대된다”고 말한다. “대회만이 아니라 ‘화이트 해킹 대회’의 가치를 솔루션 업체들이 인정하기 시작했다는 게 기쁘기도 합니다.”

폰투온 대회는 전 세계 보안 전문가들 사이에서 점점 위상이 올라가고 있다. 실제로 많은 사람들이 사용하고 있는 장비와 기술을 합법적으로 뚫어보고, 잘 하면 두둑한 상금도 챙겨갈 수 있기에 호기심과 금전이라는 토끼를 모두 잡을 수 있는 몇 안 되는 기회가 되기 때문이다. 여기에 폰투온 우승자라는 영예는 덤이다. 폰투온 대회에서 나온 취약점과 익스플로잇은 대회가 끝난 후 ‘공익적인 목적’을 달성하는 데에도 도움이 된다.

작년 폰투온 대회에 참가한 보안 전문가들은 VM웨어의 워크스테이션(Workstation), 마이크로소프트 에지, 구글 크롬, 마이크로소프트 하이퍼V, 모질라 파이어폭스를 속속들이 분해해 연구했다. 제로데이 취약점만 51개가 나왔고, 총 83만 달러가 상금으로 지출됐다.

2007년 처음 시작된 폰투온은 원래 웹 브라우저와 OS만을 주요 ‘과제물’로 삼았었다. 하지만 점차 가상화, 클라우드, 모바일 등으로까지 확장했다. 이제 취약점 하나 찾았다고 해서 폰투온에서 두각을 나타내기가 힘들다. 여러 취약점을 효과적으로 묶어 가장 위험한 공격 시나리오를 만들어내야 상금 탈 자격이 주어진다.

차일즈는 “제1회 폰투온 대회에서는 애플 맥북에서 취약점 하나 찾는 것이 과제로 나왔다”고 기억한다. “올해는 다량의 익스플로잇과 샌드박스 탈출, 우회로, 고급 기술 등이 총 동원된 공격 가능성을 찾고 있습니다. 즉 2007년보다 훨씬 어려운 대회가 된 것이죠.”

올해 폰투온은 다섯 개 부문으로 나뉜다. 1) 가상화, 2) 기업용 애플리케이션, 3) 웹 브라우저, 4) 서버, 5) 윈도우 인사이더 프리뷰다. 가상화 부문에서는 오라클의 버추얼박스(VirtualBox)가 과제로 나올 예정이다.

상금 액수는 난이도에 따라 결정되는 게 기본인데 예를 들면 다음과 같다고 차일즈는 설명한다. “마이크로소프트 하이퍼V 클라이언트에 대한 공격을 성공시켰을 때 가져갈 수 있는 최대 상금은 15만 달러입니다. 구글 크롬에서 샌드박스 탈출에 성공했다면, 최대 상금 금액은 6만 달러가 되고, 에지에서 윈도우 커널 권한 상승 공격을 성공시킨다면 최대 7만 달러까지 받을 수 있습니다. 서버 익스플로잇은 최대 10만 달러이고요. 하지만 하이퍼바이저 모드나 커널 모드에서 하이퍼V 탈출에 성공한다면 상금이 25만 달러가 됩니다.”

한편 구글 프로젝트 제로 팀에 소속되어 있는 이정훈 보안 전문가는 2014년부터 폰투온 대회에 참가했으며 2015년과 2016년 두 해 연속 최다 상금 기록을 세우기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>