사용된 컴퓨터는, 우분투 리눅스가 설치된 VAIO VGN-TZ37CN, 윈도우 비스타 Ultimate가 설치된 후지쯔 U810, 맥 OS X가 설치된 맥북 에어입니다.
3일에 걸쳐 열린 이번 행사는 각 날마다 해킹 조건이 달랐습니다.
첫째 날에는 원격, 즉 외부에서 네트워크 접속을 통해 해킹을 해야 합니다. 직접 컴퓨터를 만질 수 없으니, 가장 난이도가 높지요. 해킹에 성공하였을 경우 2만 달러의 상금을 받게 됩니다.
둘째 날에는 운영체제에 기본적으로 설치되는 소프트웨어를 해킹해야 합니다. 윈도우를 예로 들면 인터넷 익스플로러, 아웃룩 익스프레스 등에 해당하지요. 운영체제 개발사가 직접 만들고 테스트한 것이니까, 보안이 높을 것이라고 추측할 수 있지요. 하지만 첫째 날보다는 난이도가 낮아서, 상금 1만 달러를 받게 됩니다.
마지막 날에는 자체 프로그램 대신, 다른 여러 가지 소프트웨어를 설치한 후 해킹 시도를 하였습니다. 가장 난이도가 낮으며, 상금은 5천 달러입니다.
가장 먼저 뚫린 시스템은 맥입니다. 대회 둘째 날, Charlie Miller, Jake Honoroff, Mark Daniel로 이루어진 팀이 사파리 브라우저의 제로데이 취약점을 발견하여 2분 만에 해킹에 성공하였습니다.
그 다음으로 뚫린 시스템은 윈도우입니다. 대회 마지막 날, Shane Macaulay가 어도비 플래시의 제로데이 취약점을 발견하여 윈도우 비스타를 해킹하였습니다.
반면에 우분투 리눅스는 대회가 끝날 때까지 잘 버티는 모습을 보여주었습니다.
윈도우는 외부 프로그램, 즉 어도비 플래시가 해킹되었으니 억울하다고 쳐도, 얼마 전 공식 윈도우 버전까지 발표된 사파리가 뚫렸다는 것은 애플의 보안에 대해 시사하는 바가 있습니다.
물론, 이번 해킹 대회가 각 운영체제의 보안을 객관적으로 평가하는 것은 아닙니다. 겨우 3일이라는 한정된 기간에 누가 먼저 뚫리나를 가지고 보안성을 이야기하는 것은 말도 안 되지요. 하지만, 운영체제를 개발하거나 사용하는 입장에서 기분이 다를 것 같습니다.
CanSecWest PWN to OWN 2008
참고로 3년전 이야기
캐나다 밴쿠버에서 3월10일 시작된 ‘Pwn2Own’ 해킹 대회에서 애플이 자존심을 구겼다. 애플 아이폰4가 대회 둘쨋날인 오늘 해커에 의해 뚫렸다. 아이폰 4G 해킹에 성공한 주인공은 찰리 밀러라는 보안 전문가다.
찰리 밀러는 모바일 버전 사파리의 취약점을 이용해 아이폰4 연락처 목록을 훔치는 데 성공했다. 찰리 밀러는 사용자 연락처에 접근하기 위해 아이폰의 DEP(Date Execution Prevention, 데이터 실행 방지) 코드를 우회했다. 찰리 밀러가 해킹한 아이폰4에는 애플 운영체제 iOS4.2.1이 설치돼 있었다.
찰리 밀러가 아이폰 해킹에 성공한 건 이번이 처음이 아니다. 지난 2007년 같은 대회에서 아이폰 2G를 해킹했고, 2008년에도 맥을 해킹하는 데 성공했다. 2009년에는 사파리의 보안을 무력화하며 문자메시지(SMS) 채팅 목록과 주소록, 통화기록, 음성통화 내역을 모두 해킹하는 데 성공해 상금 1만달러를 받았다. 지난해에는 10초 만에 사파리를 해킹하는 등 전적이 화려하다.
아이폰4에 이어 림(RIM) 블랙베리도 해커에 의해 함락됐다. 블랙베리 운영체제 6.0.0.246이 설치된 블랙베리 토치 9800은 빈센조 아이오조, 윌렘 핀케어스, 랄프 필립 웨인먼 세 명으로 이루어진 아논팀이 해킹에 성공했다.
아논팀은 블랙베리 운영체제의 버그를 밝혀내며 해킹에 성공한 것으로 알려졌다. 블랙베리는 최근 웹브라우저를 만드는 기반이 되는 오픈소스 애플리케이션인 웹킷을 추가했지만 여전히 DEP나 ASLR과 같은 보안 코드는 적용하지 않았다.
이제 모바일 기기 분야에선 구글 안드로이드 운영체제를 사용하는 넥서스S와 윈도우7을 탑재한 델 베뉴 프로가 해커의 손길을 기다리고 있다.
한편, 애플은 웹브라우저 해킹 부문에서도 창피를 당했다. 어제 진행된 대회 첫날 사파리 웹브라우저가 불과 5초 만에 해커에 의해 뚫리는 수모를 당했다. 사파리를 해킹한 주인공도 찰리 밀러다.
마이크로소프트 IE8도 사파리와 나란히 대회 첫날 수모를 당했다. 아일랜드 보안 전문가 스테판 퓨어는 윈도우7 서비스팩1이 설치된 컴퓨터에서 IE8을 공격하는 데 성공했다.
이와 달리, 모질라재단의 파이어폭스와 구글 크롬은 해킹되지 않았다. 파이어폭스3.6 버전 해킹에 참여한 팀은 끝내 해킹에 성공하지 못했다. 크롬을 해킹하겠다고 나선 팀은 두 팀이었는데 그중 한 팀은 아예 대회장에 나타나지 않았다. 나머지 한 팀은 대회 둘쨋날 블랙베리를 해킹한 아논팀으로, 크롬 해킹을 시도하기도 전에 블랙베리를 해킹하는 데 집중하고 싶다며 크롬 해킹을 포기한 것으로 알려졌다. 구글이 크롬 해킹에 성공하는 팀에게 내건 상금 2만달러도 아직 고스란히 남아 주인을 기다리고 있는 셈이다.
내일 폐막하는 Pwn2Own 행사에서 과연 파이어폭스와 크롬, 넥서스S와 델 베뉴 프로가 해커에 의해 함락될 지 관심이 쏠린다.
http://www.bloter.net/archives/53186
이건 2개월전.
잡스 신이라며 애플의 편리한 UI를 찬양하고 다니긴 하지만 보안 문제가 참 신경쓰이는구나.
2~3년 뒤면 스마트폰 보안 문제가 슬슬 나올듯.
크롬 짱.
