블랙햇2013, 스마트폰 해킹이 대세

스마트폰 해킹에서 자동 피싱정보수집툴까지 데프콘과 함께 글로벌 해킹 컨퍼런스의 한 축을 이루고 있는 블랙햇2013에서는 새로운 해킹 기법과 툴들이 공개될 예정이다.

27일(현지시간)부터 내달 1일까지 개최 중인 블랙햇2013 중 31일부터 이틀 간 국가안보국(NSA)을 총괄하고 있는 키이스 알렉산더 장군의 기조연설 이후 각종 최신 해킹 기법들이 소개된다.

특이한 점은 과거 PC나 노트북 등을 소재로 해킹 기법에 대한 발표가 이뤄졌던 것과 달리 최근에는 스마트폰, 충전기, 블루투스 등 해킹의 범위가 점차 넓어지고 있다는 것이다. 불과 몇 년 전만해도 스마트폰은 기기마다, 운영체제(OS) 마다 워낙 종류가 많은 탓에 이에 대한 해킹이 보편화 되기까지는 시간이 걸릴 것으로 예상했으나 최근 해킹 추세는 그렇지 않은 셈이다. 물론 이에 대한 대비책도 마련되고 있다.

이날 블루박스는 안드로이드 운영체제(OS)에서 비밀번호 증명을 위조해 어떻게 악성 애플리케이션(앱)을 스마트폰으로 침투시킬 수 있는지에 대해 설명한다. 관련 패치는 배포되고 있으나 여전히 업데이트는 사후조치에 머물고 있는 실정이다.

라쿤 모바일 시큐리티의 마이클 셜롭, 다니엘 브로디 연구원은 모바일기기관리(MDM) 솔루션을 우회하는 해킹 기법을 시연한다. 모바일 악성코드 감지, 암호화와 같은 기능을 우회해 문자, 이메일, 위치정보 등을 수집하고, 마이크를 이용해 주변 음성을 엿듣는 방법이 공개된다. 국내에서는 남의 사생활을 엿볼 수 있는 '스파이앱'이라는 이름으로 서비스가 유포돼 문제가 되기도 했다. 카인드사이트의 케빈 맥나미 이사도 비슷한 기능을 시연한다. 그는 스마트폰의 종류에 관계없이 스파이 기능을 수행할 수 있는 악성코드를 주입하는 방법을 공개한다.

지난 6월 조지아 공대 보안연구원들은 충전기를 이용해 아이폰, 아이패드의 소프트웨어(SW)를 조작하는 방법을 공개한 바 있다. 이들은 블랙햇 컨퍼런스에서 실제로 USB접속 기능을 통해 애플의 보안기능을 우회해 악성 앱을 숨기는 방법을 상세히 소개할 예정이다. 조지아 공대 연구팀은 이 충전기를 '맥탄스(Mactans)'라고 명명했다.

아이색 파트너스의 보안 컨설턴트 마이크 라이언은 블루투스의 보안 취약성을 공개한다. 라이언은 저에너지 블루투스인 '블루투스 스마트'의 보안 취약성을 지적하고, 전송 내용을 훔쳐보는 스니핑툴을 공개할 예정이다.

이날 브리핑에서는 여러가지 해킹에 최적화된 자동화 툴도 공개될 예정이다. 세일즈포스닷컴, 스퀘어 소속 보안 전문가들이 HTTPS로 암호화 된 비밀자료를 추출해내는 '브리치'라는 툴을 시연한다. 이는 암호화 통신을 하는 사이트의 HTTPS 채널에서 30초 이내에 세션ID, 이메일 주소 등을 알아내고, 사이트 간 요청 위조(CSRF)와 같은 공격이 가능하다는 점을 보여준다. CSRF는 옥션 개인정보유출 사건 때 사용됐던 공격 방식의 하나다.

국내에서도 기승을 부리고 있는 피싱을 고도화하기 위한 정보 수집 자동화 툴도 시연된다. 공격 대상들이 지인들과 어떤 식으로 의사소통하는지, 누구와 자주 연락을 취하는지, 어떤 말투와 표현을 사용하는지에 대한 정보를 수집해 이를 바탕으로 피싱메시지를 더 정교하게 만드는 것이다. 트러스트웨이브의 스파이더랩에서 제작한 이 툴은 심지어 특정 동사, 형용사, 명사의 사용 빈도, 평균적인 문장길이, 취미, 등까지 모조리 분석해 피싱에 악용될 수 있다.