‘Silverbug’는 이번 POC2007에서 휴대폰에 대한 프로토콜을 분석하면서 전화번호·문자 등 삭제된 데이터를 복구하고 휴대폰에 존재하는 게임을 통제하고 휴대폰 패스워드에 접근할 수 있도록 하는 최신 해킹 기법을 소개할 예정이다. 

또한 휴대폰에 남아있는 URL을 통해 서버에 남아 있는 각종 로그를 PC에서 볼 수 있는 방법도 시연할 것이다. 외국에 비해 상대적으로 뒤쳐져 있는 하드웨어에 대한 직접적인 해킹을 다루고 있다는 점에서 관심이 집중되고 있다. 다음은 ‘Silverbug’와의 인터뷰 내용이다.

Interview

발표자: ‘Silverbug’

발표 주요 내용은 무엇인가?

이번에 발표할 내용은 취약점이라기보다는 포렌직에 가깝습니다. 핸드폰 포렌직을 통한 정보를 수집하고 그 수집된 정보를 바탕으로 증거 획득에 목표를 두고 있습니다. 발표내용으로는 특정 핸드폰에서의 지워진 문자 메시지 복구, 핸드폰 비밀번호 획득, 핸드폰 프로토콜 분석, 또한 간단한 게임 데이터를 조작하여 고스톱 게임 머니를 올린다거나 핸드폰으로만 접근이 가능한 페이지를 인터넷 익스플로러를 통해 접근하는 부분에 대해 다루고 있습니다.

 

발표내용이 악용될 소지는 없나?

특별히 악용해서 문제될 부분은 없으나 위의 분석기법을 사용하여 악의적으로 이용하고자 한다면 중고폰 문자 메시지 복구를 통해 범죄에 악용될 수도 있고 기본적인 사생활 정보 유출, 브릿지를 통한 휴대폰 복제 등이 있겠습니다. 발표 자체는 악용보다는 포렌식에 맞춰질 예정입니다.

 

휴대폰 제조사 혹은 통신사에 하고 싶은 말이 있다면?

특별히 하고 싶은 말은 없죠. 단지 핸드폰 애플리케이션을 개발할 때 사용자가 그 바이너리를 분석할 수 있으니 중요한 인증이나 기타 정보는 담아두지 말라고 말하고 싶습니다. 또한 핸드폰 비밀번호도 핸드폰 내에서 인증이 이루어졌으면 합니다.

 

실제로 이와같은 방법으로 해킹이 이루어진 경우가 있나?

아무래도 외국에 떠도는 브릿지 폰들의 경우 위와 같은 기법들을 사용한 걸로 알고 있습니다. 그러한 폰들이 범죄에 악용되고 있으니 큰 문제라면 문제거리겠죠.

POC컨퍼런스에 대해 한마디 덧붙이자면?

국내에 이러한 컨퍼런스가 존재한다는 것이 감사할 따름입니다. 더욱더 보안 인력들이 뭉치고 서로 같이 연구를 통해 국내 기술력이 세계로 나아갔으면 합니다. 또한 많은 기업들의 후원으로 앞으로 좀더 발전된 POC가 되었으면 하는 바람입니다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>