위험한 취약점 찾아라..버그잡기대회 'CTB' 주목

취약점을 찾아낸 사람에게 중요도에 따라 상금을 주고 우승자를 가리는 '버그잡기(Capture The Bug, CTB)' 대회가 국내 보안컨퍼런스인 시큐인사이드를 통해 처음 시도됐다. 국내외에서 자주 볼 수 있는 해킹 실력 경연 대회인 일명 '깃발뺏기(Capture The Flag, CTF)'와는 차별화 행사였다는 평가다.

16일~17일 이틀 간 컨퍼런스 발표와 별도로 비공개 발표, 심사로 진행된 CTB에는 총 34개 개인/팀이 참여해 사물인터넷(IoT) 분야를 주제로 누가 더 심각한 취약점을 찾아냈는가를 두고 경연을 벌였다. 심사위원장을 맡은 이승진 그레이해시 대표는 "무선인터넷공유기, 네트워크스토리지(NAS), 와이브로 에그, CCTV 등 국내서 직접 사용되고 있는 제품들을 대상으로 발견한 취약점들이 공개됐다"며 "해당 기기를 장악해 네트워크 패킷을 감청하거나 메모리커럽션, 시스템 관리자 권한을 확보하는 방법 등이 주를 이뤘다"고 설명했다.

이틀 간 경연 끝에 1위를 수상한 것은 모의해킹전문회사인 넷가디언 소속 박세한 연구원이다. 그는 국내서 많이 사용되는 유명 브랜드 NAS 제품에서 메모리커럽션을 통해 악성코드를 삽입할 수 있는 취약점을 공개했다. 다른 것은 특정 무선인터넷공유기에 악성코드를 삽입할 수 있는 취약점이었다. 이들 취약점은 심사위원들로부터 각각 130만원, 70만원의 상금을 받았다. 그는 "임베디드운영체제(OS) 관련된 분야라 난이도가 높은 취약점이 나오기 어려웠다"며 "이런 종류의 대회가 많았으면 한다"는 소감을 밝혔다.

익명을 요구한 2위 수상자는 무선인터넷공유기, 와이브로 에그, CCTV와 관련된 악성코드를 삽입할 수 있는 취약점을 발견해 오히려 1위 수상자보다 많은 240만원 상금을 받았다.

이승진 대표에 따르면 CTB는 여러 개 취약점을 공개한다고 하더라도 단일 취약점으로 가장 높은 상금을 탄 개인 혹은 팀을 1위로 선정한다는 방침이다. 일반적인 취약점을 여러 개 발견하는 것 보다 중요한 취약점 1개를 발견해내는 것이 대회취지에 맞다는 이유에서다.

한 참가자는 "민간차원에서 취약점 경연대회를 국내 최초로 시도했다는 점에서 의미가 있다고 본다"며 "내년 대회에서는 제품종류를 보다 명확히 정해서 직접 기기를 가져와야하는 불편함을 개선했으면 한다"고 말했다.

3위는 '핵포프로핏(hack for profit)'이라는 참가한 대학팀이 수상했다. 한양대 소프트웨어시큐리티랩(SSL)에서 석사과정을 밟고 있는 권일택 연구원은 "총 두 개 취약점을 공개했는데 특정 브랜드 NAS 전체모델에 적용되는 것이었다"며 "다른 하나는 한국인터넷진흥원(KISA) 취약점 포상제에 이미 올라와 있었던 내용이라 이번 대회에 내놓지 못했다"며 아쉬워하기도 했다.

국내서 첫 걸음마를 뗀 CTB는 아직 HP 제로데이니셔티브(ZDI)가 공식후원하고, 구글, 마이크로소프트, 페이스북 등이 후원하는 버그바운티 대회인 '폰투오운(Pwn2Own)'을 지향하고 있으나 아직은 시작단계다.

CTB를 폰투오운 수준의 대회로 키우기 위해서는 주요 기업, 기관들의 보다 적극적인 참여가 필수조건이다. 취약점을 찾아낸 화이트해커들에게 합당한 댓가를 지급하고, 이에 대한 보완방안을 자사 제품이나 서비스에 반영하는 생태계가 조성돼야 하기 때문이다. 이미 해킹이 보편화된 시점에서 취약점을 감추고 사고가 나지 않기를 바라는 것은 문단속도 안 하고, 도둑이 들게 내버려두는 것이나 마찬가지다.

다행스러운 점은 국내서도 보안취약점을 바라보는 인식이 바뀌고 있다는 점이다. 여기에 더해 기업들이 이런 대회에 참여할 수 있도록 인센티브를 주는 방안이 필요할 것으로 전망된다. 실제로 일부 은행 최고보안책임자(CSO)는 참여하려는 의지가 있는데도 최고경영자(CEO) 등 임원들을 설득하지 못하는 경우가 있었다.