HP 제로데이이니셔티브(ZDI)가 주최하고, 구글 프로젝트 제로가 후원한 세계 최대 버그바운티 대회 중 하나인 폰투오운(Pwn2Own) 2015에서 우리나라 보안전문가가 개인 자격으로 참가해 22만5천달러(약 2억5천만원)의 상금을 거머쥐었다.
버그바운티는 취약점포상제로 그동안 보안패치가 이뤄지지 않은 제로데이 취약점을 발견해 제보한 연구원들에게 대가로 상금을 지급하는 성격의 방식을 의미한다. 지난 18일~19일(현지시간) 이틀 간 캐나다 밴쿠버에서 개최된 대회에서 라온시큐어 화이트햇 센터 소속 이정훈 연구원(lokihardt)은 구글 크롬, 인터넷익스플로러, 애플 사파리에서 발견한 제로데이 취약점을 공개하면서 이러한 성과를 냈다.
최근 HP보안블로그에 따르면 폰투오운2015에서 이 연구원은 64비트 인터넷익스플로러11 버전에서 읽기/쓰기 권한을 허용하는 검사시점과 사용시점(time-of-check-time-of-use, TOCTOU) 취약점을 발견해 6만5천달러 상금을 받았다. 이 취약점은 IE11에 적용된 샌드박스를 우회하기 위해 자바스크립트 인젝션이라는 공격기법을 사용했다.
크롬에서는 버퍼오버플로 취약점을 사용하고, 2개 윈도 커널 드라이버를 통해 시스템 접속권한을 획득했다. 이를 통해 폰투오운 역사상 크롬에서 진행한 버그바운티 중 최대 규모인 7만5천달러의 상금을 받았다. 여기에 시스템 권한 상승과 관련 2만5천달러, 정식 크롬 외 베타버전에서까지 적용될 수 있다는 점에서 1만달러 상금이 추가돼 크롬 취약점으로 11만달러를 거머쥐었다.
마지막으로 이 연구원은 사파리에서는 유저애프터프리(user-after-free, UAF)라는 취약점을 사용해 샌드박스를 우회해 악성코드를 삽입할 수 있는 방법을 공개해 5만달러 상금을 추가했다.
관련기사
- 어도비도 취약점 신고 포상제 실시2015.03.23
- 구글, 클라우드 취약점 발견에 5만달러 포상2015.03.23
- 韓연구원, 최신 iOS 해킹하고 상금 '대박'2015.03.23
- 페북, 지난해 버그 발견 보상금으로 16억원 사용2015.03.23
폰투오운2015에서는 윈도 운영체제(OS), IE11, 파이어폭스, 어도비리더, 어도비플래시, 사파리, 크롬 등에서 총 28개 제로데이 취약점이 공개됐으며, 이를 통해 전체 55만7천500달러 상금이 주어졌다.
이 연구원은 지난달 일본에서 개최된 국제해킹대회 세콘(SECCON CTF 2014)에서도 라온시큐어 이종호 연구원, 카이스트 대학원생인 김은수, 윤인수씨와 토플 비기너(TOFEL Beginner)라는 팀으로 참가해 우승을 차지한 바 있다. 그는 지난해에도 크롬에서 보안등급상 최고위험(critical) 수준에 해당하는 취약점을 제보해 3만달러(약 3천300만원)에 달하는 버그바운티를 받은 바 있다.
