일본에서 열린 폰투온 해킹 대회서 유명 모바일 기기들 해부돼
2인조 팀, 21만 5천 달러 상금 차지하며 1위…S9와 아이폰 X 공략 성공

[보안뉴스 문가용 기자] 가장 큰 모바일 제조사 세 곳에서 만든 제품들이 해커들의 손에 농락당했다. 그것도 비교적 최신 모델들이었다. 삼성의 갤럭시 S9, 아이폰 X, 샤오미 Mi6가 바로 그 주인공들이고, 이 첨단 기기의 해체가 일어난 건 도쿄에서 열린 해킹 대회인 폰투온(Pwn2Own)이었다.


이번 행사가 진행되는 중 위 세 가지 모델에서 발견된 취약점은 총 18개이며, 해커들은 최대 다섯 개까지 익스플로잇을 연결해 장비들을 자유롭게 드나들었다. 공격에 성공한 해커들이 받아간 총 상금은 32만 5천 달러였다.

행사 첫 날부터 상금이 크게 나갔다. 플루오로애서테이트(Fluoroacetate)라는 팀은 아맛 카마(Amat Cama)와 리차드 주(Richard Zhu)로 구성됐는데, 힙 오버플로우 버그를 사용해 삼성 갤럭시 S9를 뚫어냈고, 5만 달러를 차지했다. 문제의 근간에는 갤럭시 S9의 기저대역(베이스밴드) 요소가 있었고, 플루오로에서테이트는 이를 통해 코드를 실행시킬 수 있게 됐다.

이 대회를 주관하는 제로데이이니셔티브(Zero Day Initiative, 이하 ZDI) “기저대역에 대한 공격은 특히나 걱정이 되는 부분”이라고 블로그를 통해 밝혔다. “그 이유는 누구라도 선택적으로 와이파이 네트워크에서 떨어져 나올 수 있어야 하는데, 기저대역에 연결될 때에는 그러한 선택지가 없어지기 때문입니다.”

그 다음으로는 MWR 랩스(MWR Labs) 팀이 샤오미 Mi6를 공략했다. 이 팀은 조지 게셰브(Georgi Geshev), 파비 베테르케(Fabi Beterke), 롭 밀러(Rob Miller)로 구성되어 있으며, 다섯 개의 버그를 연결하는 공격 방법을 찾아냈고, 이를 통해 3만 달러의 상금을 획득했다. 공략된 전화기를 MWR 랩스가 통제하는 와이파이 서버에 연결시키고 나서는 Mi6의 디폴트 웹 브라우저를 통해 악성 웹사이트에 강제 접속시키는 것도 가능해졌다.

ZDI는 “MWR 랩스 팀은 여기서 버그들을 추가로 연결시켜 애플리케이션을 몰래 설치하는 데에도 성공했다”며 “이 과정에서 애플리케이션 화이트리스트를 우회하는 것은 물론, 악성 애플리케이션을 자동으로 시작할 수 있었다”고 설명을 추가했다.

플루오로애서테이트 팀은 아이폰 X에 대한 공략도 성공했다. 와이파이 네트워크를 통한 방법을 사용했다. 아이폰 X의 브라우저에서 발견된 JIT(just-in-time) 취약점과, 권한 상승 및 샌드박스 탈출을 유발하는 아웃 오브 바운드 라이트(out-of-bounds write) 취약점을 연달아 공략한 것이었다. 이것으로 팀은 6만 달러의 상금을 추가로 획득했다.

이로써 플루오로애서테이트 팀은 올해 열린 폰투온 해킹 대회에서 가장 많은 상금을 차지한 팀이 되었다. 이들은 막바지에 아이폰 X에 대한 새로운 익스플로잇을 실험하기 시작했으나 시간이 다 되는 바람에 성공시킬 수가 없었다. 이런 저런 작은 성공들까지 합쳐 플루오로애서테이트가 폰투온에서 거머쥔 총 상금은 21만 5천 달러다. 이들은 최고 팀에게 주어지는 타이틀인 ‘마스터 오브 폰(Master of Pwn)’도 차지했다.

이 대회에서 발굴된 취약점들의 기술적인 세부 사항들은 90일 안에 공개될 예정이라고 ZDI는 밝혔다. 이렇게 취약점을 공개하는 건 대회의 규정이다. 물론 그 전에 각 제조사들에게 취약점 내용이 먼저 전달된다.

3줄 요약
1. 도쿄에서 열린 폰투온 해킹 대회서 갤럭시 S9, 아이폰 X, 샤오미 Mi6가 전부 탈탈 털림.
2. 그 중 플루오로애서테이트라는 2인조 팀이 단연 두각을 나타내며 총 21만 5천 달러의 상금을 차지함.
3. 취약점의 기술적 세부 내용은 앞으로 90일 안에 공개될 예정.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>