HP가 주최하고 구글, 블랙베리 등이 스폰서로 참여한 연례 모바일 해킹대회에서 우리나라 보안연구원이 iOS8.1, 사파리 웹브라우저에서 발견한 취약점으로 해킹 시연에 성공, 5만달러(약5천500만원) 상금을 거머쥐었다.
라온시큐어는 자사 보안기술연구팀 이정훈 연구원㉑이 일본 도쿄에서 개최된 '모바일 폰투오운(Pwn2Own)'에서 아이폰5S를 통해 사파리 웹브라우저를 해킹하는데 성공해 상금을 받게 됐다고 17일 밝혔다. 이 대회는 보안연구원들 사이에서 유명한 해킹대회로 지금까지 국내서는 수상자가 없었다.
이 연구원은 새로 발견한 취약점은 iOS 최신 버전(iOS8.1), 사파리에서 발견됐기 때문에 아이폰5S 뿐만 아니라 아이폰6, 아이폰6 플러스 등에서도 적용될 수 있다고 설명했다.
iOS에서 구동되는 사파리에는 샌드박스라는 보안기능이 적용돼 있다. 이 기능 때문에 그동안 공격자들이 아이폰을 해킹하기가 쉽지 않았다. 이 연구원은 새로 발견된 취약점을 통해 아이폰 사용자의 문자 송수신 내역, 저장된 사진, 주소록 등을 훔쳐볼 수 있다고 밝혔다.
그는 이전에 구글 크롬 웹브라우저에 대해서도 보안등급상 최고위험(critical) 수준에 해당하는 취약점을 제보해 3만달러(약 3천300만원)에 달하는 버그바운티(취약점 제보에 대한 상금)를 받은 바 있다.
이밖에도 총상금 42만5천달러(약4억6천482만원)가 걸려 있었던 대회에서는 아이폰5S 외에 갤럭시S5, 넥서스5, 아마존 파이어폰까지 주요 스마트폰들에 대한 해킹시연이 공개됐다.
갤럭시S5의 경우 일본 MBSD, 남아프리카 MWR 인포시큐리티팀이 각각 근거리무선통신(NFC)칩을 통한 해킹을 시연했다. 넥서스5에 대해서는 영국 애퍼처랩스(Aperture Labs) 소속 애덤 로리 연구원이 NFC에 대한 취약점을 활용해 블루투스로 연결할 수 있는 방법을 공개했다.
관련기사
- 맥 요세미티, 관리자 권한 탈취 취약점 발견2014.11.17
- 어도비 플래시 악용한 악성코드 유포 '주의'2014.11.17
- 삼성電 보안플랫폼 '녹스'서 취약점 발견?2014.11.17
- 애플, 셸쇼크 보안 패치…"빈구멍 남아"2014.11.17
MWR 인포시큐리티팀은 아마존 파이어폰에 사용된 모바일 웹브라우저에서 발견된 세 가지 취약점을 활용한 해킹 시연에 나서기도 했다. 이 팀은 총 12만5천달러 상금을 받았다.
주최 측에 따르면 이 대회는 대상 스마트폰들에서 그동안 발견된 적이 없었던 취약점을 연구해 보완하는 것을 목표로 한다. 때문에 상세한 내역은 해당 제조사들에게만 공유된다.
