‘Zer0Con 2025’, 서울서 성황리 개최…25개국 보안 연구자 한자리에

AI·OAuth·크롬·이더리움·vCenter 등 최신 보안 이슈 총망라

새로운 얼굴과 기술 트렌드 수용한 제로콘의 진화...내년 10주년 맞이

세계적인 비공개 정보보안 컨퍼런스 'Zer0Con 2025(제로콘 2025)'가 4월 10일부터 11일까지 양일간 서울 여의도 페어몬트 앰배서더 호텔에서 성황리에 개최됐다. 올해로 9회째를 맞은 제로콘은 전 세계의 취약점 연구자들이 한자리에 모여 최신 보안 연구를 공유하는 비공개 컨퍼런스로, 사전 심사를 통해 연구 능력이 검증된 보안 전문가들만 참석할 수 있는 것이 특징이다.

운영사인 피오씨시큐리티(POC Security. 대표 정진욱)는 이번 행사에 25개국에서 150명 이상의 취약점 연구원이 참가했으며, 민감하면서도 수준 높은 발표들이 이어졌다고 밝혔다. 골드 스폰서로는 Binary Gecko, Corellium, Crowdfense, eShard가 참여했고, 실버 스폰서로는 싱가포르의 보안 컨퍼런스 SINCON이 이름을 올렸다. 마지막 날 만찬 파티는 SAFA와 Paradigm Shift가 파티 스폰서로 공동 후원해 자리를 빛냈다.

이 행사에 앞서 3일간 진행된 사전 트레이닝 코스도 큰 관심을 모았다. FuzzingLabs 소속 나빅 베나주즈(Nabih Benazzouz)와 킬리앙 불라르 드 푸크빌(Kylian Boulard De Pouqueville)은 ‘Fuzzing Windows Userland Applications’라는 주제로 윈도우 운영체제 상에서 동작하는 애플리케이션의 취약점을 찾기 위한 다양한 퍼징 기법을 소개했다. 동시에 다비드 자간(Dawid Czagan)은 온라인으로 ‘Black Belt Pentesting / Bug Hunting Millionaire: Mastering Web Attacks with Full-Stack Exploitation’ 코스를 진행하며 웹 서비스에서의 취약점 진단 기술과 분석 방법에 대해 설명했다.

◆첫째 날: 브라우저 익스플로잇부터 최연소 발표자까지

행사 시작은 피오씨시큐리티 정진욱 대표의 웰컴 스피치로 진행됐다. 정 대표는 제로콘의 역사와 자신의 삶의 시간대를 연결지었다. 불혹의 40세와 9회를 맞이하는 제로콘의 시간, 그리고 지천명의 시간으로 나아가는 자신과 제로콘 10주년인 내년을 연결시키며 사람이나 컨퍼런스나 모두 각 나이대에 주어진 역할이 있을 것이고, 굳건히 그 역할을 찾아 가는 것이 중요하다며 오프닝 멘트를 전했다.

이어지는 첫 발표는 독일 연구원 만프레드 폴(Manfred Paul)의 ‘PAC2Own: From Bug to Shellcode in modern Safari’였다. 그는 사파리 브라우저 익스플로잇 과정에서의 보안 체계 우회와 익스플로잇 테크닉을 상세히 설명해 많은 질의를 이끌어냈다.

두 번째 발표는 메이삼 피루지(Meysam Firouzi)의 ‘Pishi Reloaded: Binary only address sanitizer for macOS KEXT’였다. 그는 자신이 개발한 macOS용 바이너리 전용 취약점 탐지 도구 ‘Pishi’의 향상된 기능을 설명하며, 탐지가 어려운 커널 익스텐션(KEXT) 취약점까지 포착할 수 있는 Address Sanitizer 기능을 소개했다. 발표 직후 그는 현장에서 발표 자료를 즉시 공개해 청중의 호응을 얻었다.

이날의 하이라이트 중 하나는 최연소 발표자인 루이카이 팽(Ruikai Peng, 만 15세)이었다. 그는 ‘Hardcore Inference Attack: Unraveling Llama.cpp's RPC Heap Puzzle’이라는 주제로, Llama.cpp의 RPC 서버에서 발견한 힙 오버플로우 취약점 분석 과정을 상세히 공개해 큰 주목을 받았다. 소셜미디어에 모자이크 처리해 일부 결과를 공개했던 그는, 현장에서는 필터 없이 분석 결과를 공유해 많은 관심을 끌었다.

이어 러시아 연구원 브세볼로드 코코린(Vsevolod Kokorin)이 ‘Attacking Crypto Wallets: an In-Depth Look at Modern Browser Extension Security’를 발표하며 크립토 관련 보안 위협을 설명했다. 그는 Clickjacking, Stored UXSS, 메시징 프로토콜 공격 등을 통해 브라우저 확장 기반 지갑의 보안 취약점을 분석했다.

첫째 날의 마지막 발표는 포지티브 테크놀로지스(Positive Technologies)의 알렉산더 포포프(Alexander Popov)가 맡았다. ‘Kernel-Hack-Drill: Environment For Developing Linux Kernel Exploits’ 발표에서 그는 리눅스 커널 익스플로잇을 위한 개발 환경을 설명하고, 동일한 취약점을 다른 방식으로 활용한 한국 연구자의 사례도 언급해 청중과의 활발한 질의응답을 이끌었다.

◆둘째 날: OAuth, 이더리움, AI 보안까지 다양한 주제 다뤄

둘째 날은 중국 연구원 지안 저우(Ji'an Zhou)의 ‘Who Moved My Account? OAuth Account Takeover Vulnerabilities in Many Famous Companies’ 발표로 시작됐다. 그는 다양한 유명 서비스에서 OAuth 구현상의 결함을 통해 발생 가능한 계정 탈취 공격 사례를 직접 시연해 현장의 뜨거운 반응을 얻었다.

FuzzingLabs 소속 브라이튼 버나드(Bryton Bernard)와 마티유 호스트(Mathieu Hoste)는 ‘Ethereum's Achilles' Heel : Attacking and Fuzzing EVMs for FUN(and Profits)’ 발표에서 이더리움 가상머신(EVM)을 대상으로 한 퍼징 기법과 실제 공격 사례를 다뤘다. 보안적 관점에서 블록체인 기술에 대한 실용적인 접근이 돋보인 발표였다.

NVIDIA의 조 루카스(Joe Lucas)는 ‘Vulnerability Research and Mitigation in AI Applications’를 통해 AI 애플리케이션에서 발생할 수 있는 보안 취약점과 관련 라이브러리의 문제를 조명했다. AI 주제에 대한 높은 관심이 이어지며 발표에 많은 청중이 몰렸다.

이후 오프섹(Offsec)의 마테오 말비카(Matteo Malvica)는 ‘Breaking Chrome's V8: Type confusion, WASM JIT-Spraying and Heap Sandbox Evasion’ 발표에서 CVE-2024-5830 취약점을 활용한 크롬 V8 RCE 공격을 라이브로 시연하며 박수갈채를 받았다.

행사의 마지막 발표는 중국 보안 기업 QI-ANXIN의 TianGong 팀 소속 하오 정(Hao Zheng), 지보 리(Zibo Li), 유에 리우(Yue Liu)가 맡았다. 이들은 ‘vCenter Lost: How the DCERPC vulnerabilities Changed the Fate of ESXi’를 통해 vCenter Server에서 발견된 DCERPC 프로토콜 기반 4개의 취약점을 분석하고, 이를 통해 원격코드실행(RCE) 및 ESXi 제어가 가능해지는 과정을 상세히 설명했다.

◆새로운 얼굴과 기술 트렌드 수용한 제로콘의 진화

이번 제로콘에서는 루이카이 팽(Ruikai Peng), 브세볼로드 코코린(Vsevolod Kokorin), 지안 저우(Ji'an Zhou), 조 루카스(Joe Lucas) 등 4명의 연구원이 컨퍼런스 발표자로 데뷔했다. 이들은 기존에도 실력 있는 연구자로 알려져 있었지만, 공식 발표 경험은 없던 인물들로, 제로콘이 새로운 인재들에게 무대를 열어주는 역할을 하고 있음을 보여줬다.

행사 기간 동안 발표자, 참가자, 후원사 간 활발한 교류가 이뤄졌으며, 폐회 후 콘래드 서울 호텔 루프탑에서 열린 공식 파티를 끝으로 모든 일정이 성공적으로 마무리됐다.