우리나라 화이트해커팀 'Prison Break'가 독일 베를린에서 열린 국제 해킹대회 폰투온(Pwn2Own)에서 2위에 입상하면서 4만달러(약 5600만원)의 상금을 받는 쾌거를 이뤘네요.
올해 폰투온대회는 5월 15일부터 17일까지 열렸으며, 우리 Prison Break팀은 오라클 Virtual Box 제품의 보안 취약점을 공략하며 해킹에 성공했어요.
Prison Break팀은 한국정보기술연구원(KITRI)의 '차세대 보안리더 양성 프로그램(Best of the Best) 13기 취약점분석 트랙 수료생이 모여 만든 팀이예요. 신정훈 책임멘토, 정광운 멘토, 이창헌 프로젝트 리더를 중심으로 김강민, 김상빈, 김한서, 이상훈, 오상원, 황원준 수료생으로 구성됐죠.
폰투온대회는 엔비디아, 애플, 구글, MS, 테슬라 등 세계적으로 유명한 정보기술(IT) 기업 제품(소프트웨어, 운용체계(OS), 인공지능(AI), 서버 등)을 화이트해커들이 직접 공격해 취약점을 찾아 분석하고, 분석한 자료는 해당 기업에 전달해 패치가 이뤄질 수 있도록 지원하는 대회예요.
실제 악용 가능한 취약점을 대회 당일 심사위원단 및 기업 관계자 앞에서 시연해요. 연구자에게는 최신 기술을 시험하고, 기업에는 제품의 보안을 점검해 악의적인 공격자보다 먼저 대응할 수 있는 기회를 제공하는 산업계에 매우 영향력이 큰 해킹 대회로 평가받고 있답니다.
오라클 Virtual Box는 단일 컴퓨터(호스트) 안에서 다수의 가상 컴퓨터(게스트)를 만들고, 다양한 운용체계를 동시에 실행할 수 있도록 지원하는 고성능 가상화 소프트웨어예요. Prison Break팀은 Virtual Box 내 가상 컴퓨터 환경에서 발견한 보안 취약점을 통해 실제 컴퓨터의 프로그램을 임의로 실행하거나 조작할 수 있음을 이번 대회에서 증명했어요.
Prison Break팀 김강민 수료생은 “BoB 수료 이후에도 지속적인 연구 활동을 통해 국제 대회에 참여할 수 있게 돼 매우 기쁘고 자랑스럽다”면서 “이 자리에 올 수 있도록 이끈 멘토에게 감사하며, 세계적인 화이트해커로 성장할 수 있도록 노력하겠다”는 소감을 밝혔어요.
최정훈 기자 jhchoi@etnews.com