한국정보기술연구원(KITRI)의 '차세대 보안리더 양성 프로그램(Best of the Best, 이하 BoB)' 13기 취약점분석 트랙 수료생으로 구성된 'Prison Break'팀이 독일 베를린에서 열린 국제 해킹대회 폰투온(Pwn2Own)에서 4만달러(약 5600만원)의 상금을 획득했다.
폰투온 대회는 5월 15일부터 17일까지 열렸으며, Prison Break팀은 오라클 Virtual Box 제품의 보안 취약점을 공략하며 해킹에 성공했다.
Virtual Box는 단일 컴퓨터(호스트) 안에서 다수의 가상 컴퓨터(게스트)를 만들고, 다양한 운용체계를 동시에 실행할 수 있도록 지원하는 고성능 가상화 소프트웨어다. Prison Break팀은 Virtual Box 내 가상 컴퓨터 환경에서 발견한 보안 취약점을 통해 실제 컴퓨터의 프로그램을 임의로 실행하거나 조작할 수 있음을 이번 대회에서 증명했다.
폰투온 대회는 엔비디아, 애플, 구글, MS, 테슬라 등 세계적으로 유명한 IT 기업 제품(소프트웨어, OS, AI, 서버 등)을 직접 공격해 취약점을 찾아 분석하고, 분석한 자료는 해당 기업에 전달해 패치가 이뤄질 수 있도록 지원한다.
실제 악용 가능한 취약점을 대회 당일 심사위원단 및 기업 관계자 앞에서 시연함으로써, 연구자에게는 최신 기술을 시험하고, 기업에는 제품의 보안을 점검해 악의적인 공격자보다 먼저 대응할 수 있는 기회를 제공하는 산업계에 매우 영향력이 큰 해킹 대회로 평가받고 있다.
Prison Break팀은 BoB 교육 중 진행한 프로젝트의 후속 연구로 해당 대회에 참가했으며, 신정훈 책임멘토, 정광운 멘토, 이창현 프로젝트 리더를 중심으로 김강민, 김상빈, 김한서, 이상훈, 오상원, 황원준 수료생으로 구성됐다.
김강민 수료생은 “BoB 수료 이후에도 지속적인 연구 활동을 통해 국제 대회에 참여할 수 있게 돼 매우 기쁘고 자랑스럽다. 이 자리에 올 수 있도록 이끈 멘토에게 감사하며, 세계적인 화이트해커로 성장할 수 있도록 노력하겠다”고 소감을 밝혔다.
최정훈 기자 jhchoi@etnews.com
