posted by 알짜 정보 岳岩 2019. 11. 12. 07:56

이틀 동안 31만 달러 넘는 상금 수여돼...1위 팀은 플루오로애서테이트 팀
대회 종료 후 90일 지나면 익스플로잇 공개될 예정...빠르게 패치 발표돼야


[보안뉴스 문가용 기자] 유명 장비들에서 취약점을 찾아내는 것을 전문으로 하는 해킹 대회인 폰투온(Pwn2Own)이 마무리됐다. 올해도 지난 2년과 마찬가지로 아맛 카마(Amat Cama)와 리차드 주(Richard Zhu)로 구성된 플루오로애서테이트(Fluoroacetate) 팀이 가장 큰 상금을 획득하는 데 성공했다.

[이미지 = iclickart]


올해 도쿄에서 이틀 간 열린 폰투온에 참가한 전문가들이 획득한 상금은 총 31만 5천 달러다. 와이파이 라우터, TV, 스마트홈 제품 등 다양한 제품에서 18개의 취약점들이 공개됐다. 플루오로애서테이트 팀 외에 보안 업체 에프시큐어(F-Secure), 플래시백(Flashback) 팀이 대회 기간 내내 두각을 나타냈다.

플루오로애서테이트 팀은 총 19만 5천 달러를 획득했다. 가장 중요한 성과로는 아마존 에코 쇼 5(Amazon Echo Show 5)를 침해하는 데 성공한 것이라고 평가된다. 자바스크립트 내에 있었던 정수 오버플로우 취약점을 활용했다. 둘은 침해한 후 장비를 완전히 장악하는 데에 성공해서 6만 달러의 상금을 획득했다.

플루오로애서테이트 팀은 스마트 TV도 해킹하는 데 성공했다. 폰투온 대회에 처음 등장한 스마트 TV 장비인 소니 X800G에도 자비를 보이지 않았다. 둘은 자바스크립트에서 아웃 오브 바운드 리드(out-of-bounds read) 취약점을 발견하고 익스플로잇 해 통신 포트로의 접근에 성공했다. 이로서 1만 5천 달러를 획득했다.

그 다음은 삼성 Q60 스마트 TV를 해킹했고, 정수 오버플로우 취약점을 통해 리버스 셸을 얻어내는 데 성공해 2만 달러를 탔다. 그런 후에는 삼성의 스마트폰으로 관심을 옮겼다. 최근 출시된 갤럭시 S10을 가짜 기지국을 통해 해킹한 것이다. 이 공격은 5만 달러의 가치를 가지고 있었다. 이로써 플루오로애서테이트 팀은 3년 연속 삼성의 플래그십 모바일 장비를 침해하는 데 성공했다.

또한 갤럭시 S10의 NFC 요소를 활용함으로써 장비 내 저장된 사진을 빼돌리는 것에도 성공함으로써 추가 3만 달러를 받아내기도 했다. 샤오미의 홍미9에 저장된 사진도 이들 손에 침해됐고, 2만 달러의 추가 상금이 누적됐다.

에프시큐어에서 나온 마크 반즈(Mark Barnes), 토비 드류(Toby Drew), 맥스 반 아메롱겐(Max Van Amerongen), 제임스 루레이로(James Loureiro)는 총 7만 달러의 상금을 따내는 데 성공했다. 그리고 플루오로애서테이트 팀에 이어 이번 대회를 2위로 마무리했다.

에프시큐어 팀은 샤오미의 홍미9를 공략하는 데 있어 NFC 요소를 활용한 것으로 주목을 받았고, 이를 통해 저장된 사진을 훔쳐내는 데 성공했다. 가짜 NFC에 터치만 하면 사진이 유출되는 공격법을 개발한 것인데, 이것 하나만으로 3만 달러를 차지하게 되었다.

또한 웹 브라우저 부문에서도 홍미9에 대한 침해 공격을 일부 성공시키기도 했다. ‘일부’라고 하는 건, 이들이 공격에 활용한 취약점 중 하나가 이미 제조사 측에 알려진 것이었기 때문이다. 폰투온은 완전히 새롭게 발견된 취약점에 대해서만 상금을 수여한다. 에프시큐어 팀은 이 ‘일부’ 성공으로 2만 달러를 타냈다.

올해 처음 모습을 선보인 플래시백 팀의 경우 페드로 리베이로(Pedro Rebeiro)와 라덱 도만스키(Radek Domanski)로 구성되어 있으며, 첫 출전에서 5만 달러를 성공적으로 따내며 3위를 기록했다. 총 네 개의 취약점을 익스플로잇 하는 데 성공했는데, TP링크 사에서 만든 스마트 라우터들을 공격한 것만으로 2만 달러를 차지했다.

그 외에는 넷기어(NETGEAR)의 나이트호크 스마트 와이파이 라우터(Nighthawk Smart WiFi Router) R6700을 공략하는 데에도 성공했다. 원격에서 라우터의 펌웨어를 조작함으로써 임의의 페이로드를 심었던 것이다. 이 공격으로 플래시백은 2만 달러를 또 다시 획득했다. 그 외 같은 제품의 LAN 인터페이스를 공격해 5천 달러를 따내기도 했다.

대회가 마무리 되고, 이제 폰투온에 제품을 출시했던 제조사들의 숙제가 남은 상태다. 삼성, 샤오미, TP링크, 넷기어 등 이번 대회에 참여한 모든 회사들은 90일 안에 취약점들을 해결할 수 있는 패치를 발표해야 한다. 90일이 넘어가면 익스플로잇이 공개될 예정이다.

3줄 요약
1. 일본에서 열린 폰투온 대회, 이틀 간 총 31만 5천 달러 상금 배포.
2. 1위 팀은 플루오로애서테이트 팀. 3년 연속 1등.
3. 발견된 취약점에 대한 패치 90일 안에 나와야 함. 안 그러면 익스플로잇 공개됨. /보안뉴스 [국제부 문가용 기자(globoan@boannews.com)]

댓글을 달아 주세요