김치콘 2019 세션 소개

안녕하세요. 김치콘 오거나이저 오정욱입니다.

올해 스피커 라인업이 확정 되었습니다. 내용은 다음과 같습니다. 최대한 여러 리뷰어들의 의견을 함축하여 전달하려고 노력하였습니다.

APT Actor 간의 유사도 분석을 통한 그룹 재분류(이세영 – 경북대)

초록

해커가 특정 기업이나 조직의 네트워크를 목표로 은밀하고 지속적으로 가하는 공격을 지능형 지속 위협(APT, Advanced Persistent Threat)이라고 한다. 지능형 지속 위협을 수행하는 그룹을 APT Actor라고 한다. 각 Actor 별로 국가 정보, 목적 그리고 특징이 다르다. 기존의 분류는 알려진 지표에 따라 잘 진행되었다. 하지만, Rich Header와 같이 최근에 발견된 지표는 Actor 분류 시점보다 이후 시점이기 때문에 사용되지 않았다고 할 수 있다. Rich Header는 컴파일 시의 정보가 기록되고, 심지어 Checksum을 통해 Rich Header 정보가 변조되었는지 확인할 수 있다. 이러한 지표로 얻을 수 있는 컴파일 정보는 유사도 분석을 통해 국가 정보 혹은 그룹 관점에서 Actor를 재분류하는 데 도움이 되는 한 가지 변수가 될 수 있다. 따라서 Rich Header를 필두로 여러 지표를 대상으로 유사도 분석을 실시해 Actor 간 관계를 파악하고 재분류하고자 한다. 따라서 본 연구를 통해 APT 공격을 수행한 그룹 간 관계를 추정할 수 있다.

총평

APT라는 키워드는 이제 식상할 정도로 남용되는 키워드 중의 하나일지도 모릅니다. 하지만 commodity malware에 비해서 더 은밀한 방식으로 작동하면서도 어떠한 데미지를 입혔는지도 명확하지 않은 경우가 많은 케이스가 대부분의 APT 사건의 특징으로서 많은 기업은 자신들이 APT 타켓이거나 APT에 당해 왔다라는 사실도 모르는 기업들이 대다수일 것이라는 가정이 설득력을 얻는 시점입니다.

이 토크는 APT의 actor에 포커스해서, 여러 attribution을 할 수 있는 여러 기반 데이타 중에서 특히 PE 파일의 메타 데이타에 포커스하여 새로운 관점으로 기존 actor들을 분류하는 작업에 대한 기록으로 보입니다. 기존 비슷한 연구들이 많이 있고, 또한 commodity malware의 경우 머신 러닝을 위한 feature set을 생성하기 위해서 PE 헤더 정보등의 메타 데이타가 많이 사용되어온 사례가 있지만, 한국에서도 조금 더 데이타에 기반한 APT actor 분류 작업을 시작하게 되었다라는 의미를 부여 할 수 있습니다.

기업 보안 관련 종사자나 관제, APT, attribution의 키워드를 좋아하는 사람이라면 들어 볼만 할 것입니다.


메신저 위협 분석 (원혜린 – 서울여대, 정재우 – 세종대)

초록

일상 생활에서 메신저는 필수 애플리케이션입니다. 하지만 이러한 메신저에 공격이 발생하게 된다면, 많은 사용자들이 있기 때문에 위험할 수 있습니다. 따라서 본 발표에서는 메신저를 효과적으로 분석하는 방법에 대해 진행하려고 합니다. 메신저에서의 공통 기능과, 이를 기반으로 취약점을 발견할 수 있는 방법, 그리고 취약점이 발생하였을 경우 대응할 수 있는 방법에 대해 설명을 진행하고자 합니다. 또한 인스턴스 메신저는 조사에 사용될 수 있는 수사학적인 관점에서 포렌식 측면에서도 의미가 있기 때문에 이를 분석하는 방법론을 구축하였습니다.

총평

사실 메신저는 한국에서 여러 정치적, 사회적 이슈가 생길 때마다 논의 되는 내용으로서 그 동안 포렌직 관점으로 많이 다뤄져 왔습니다. 하지만, 그에 대한 공개적인 연구 내용은 생각보다 미약해서 이러한 자리에서 포렌직 관점에서의 메신저 분석이 의미가 있을 수 있을 것입니다.

많은 리뷰어들의 경우 메신저에 대한 대중들의 오해를 해소 할 수 있다라는 점을 높게 평가하였고, 다만 발견된 취약점의 임팩트에 대해서는 실제 토크를 들어 보아야 평가가 가능할 것으로 보입니다. 하지만, 여기에 제시된 Frida를 사용한 동적 분석 방법론이나 IDA를 사용한 정적 분석 방법론만으로 일단 메신저 리버스 엔지니어링과 vulnerability research의 과정에 입문할 수 있는 귀중한 자료가 될것으로 보입니다.


핵인싸 악성코드의 난독화 및 진단우회 기법 분석 (강흥수 – LINE)

초록

LINE을 포함, 일본의 여러 기업들의 임직원 메일계정으로 여러통의 spear phishing 메일이 수신 되었습니다. 이 공격은 난독화된 VBS를 포함한 엑셀파일로 시작, steganography, 난독화된 batch 및 powershell script, in-memory C# 모듈을 넘어 fileless 다운로더 DLL로 연결됩니다. 이 공격에는 백신 진단을 우회하고 백엔드 분석 시스템의 분석을 방해하고, 분석가로부터 벗어나기 위한 여러가지 트릭들이 포함되어 있습니다. 이 발표는 해당 스크립트와 바이너리의 난독화 해제 및 리버스엔지니어링 과정을 공유하고, 해당 공격에 담겨진 기법들을 상세히 분석하여 공유합니다.

총평

이미 비공개 Threat Intelligence 컨퍼런스인 참치콘을 통해서 공개된 내용지만, 참치콘 참가자들의 반응이 워낙에 좋았고, 전체적인 공격 구성과 분석 과정이 교육적인 용도를 넘어서서 실제로 기업 환경에 대한 공격자들의 공격 방법 변화에 대해서 실감할 수 있는 좋은 예가 될 수 있어서 좋은 평가를 받은 토크입니다.

이번에는 그동안 더 강화된 분석 내용을 바탕으로 기업 보안 관계자들에게 많은 도움이 될 내용으로 보입니다. 또한 발표자가 기술적으로도 굉장히 복잡하거나 어려운 내용들도 알기 쉽게 설명해 주므로 교육적인 목적도 굉장히 높은 토크로 예상됩니다.


Another one bites the Apple! (장준호 – LINE)

초록

Apple 사의 제품은 돈, 명예, 또는 오로지 재미를 위해 많은 해커들의 표적이 됩니다.
저 또한 버그 헌터로서, 어떻게 취약점을 찾는지, 이를 어떻게 활용하는지에 대해 궁금했습니다. 특히, RCE(Remote Code Execution)을 수행할 수 있는 Safari와 LPE(Local Privilege Escalation)을 수행할 수 있는 XNU Kernel 취약점에 중점을 두고 연구했습니다.
이번 발표에서는 Safari 취약점, XNU Kernel 취약점을 각 1개씩 공유합니다.
또한, 이 취약점을 어떻게 찾았는지, 퍼징 기술에 대해 소개합니다.

총평

한국에서도 이렇게 hardcore한 리서치를 할 수 있다라는 것을 보여준다라는 의견이 지배적이었습니다. 다만 fuzzing과 취약점 발견 단계까지만 제시 되어 있다라는 것이 아쉽지만, 이미 벤더에 보고된 취약점들과 함께 그러한 취약점을 발견한 방법론 (특히 커널 메시지 퍼징)은 한국의 취약점 금광을 캐시는 많은 “fuzzing 광부”들에게 많은 도움이 될것으로 예상됩니다.


Life as a remote worker in the 0day industry (안기찬 – ExodusIntel)

초록

해외 0day Industry 에서 일하는 발표자의 경험을 얘기합니다. 취업에서의 Requirement, 업무 특성, 외국 사람들과 같이 일하는 것에 대한 경험, Remote Work 에 대한 경험, 취약점 관련 연구를 하는 회사들 소개, 해당 업계의 Career Path 에 대한 조언 등에 대한 발표입니다.

총평

기술적인 토크를 추구하는 김치콘과 성격이 약간 맞지 않다는 의견, 그리고 외국 회사에 일하는 삶을 비춰줌으로 인한 괴리나 뻔한 내용들을 걱정하는 리뷰어분들이 많았습니다.

하지만, 그럼에도 불구하고 해외 진출은 한국 리서처들의 꿈과 로망일 수도 있기에 이렇게 직접 0-day 업체에서 근무하시는 분의 의견을 널리 전하는 것 또한 한국 보안 커뮤니티에 필요하다는 의견이 많았고, 많은 논의 끝에 프로그램에 포함 시키기로 결정하였습니다.

모쪼록 이러한 제로 데이 광부로서의 삶을 커리어 패쓰로 생각하시는 분들에게 많은 도움이 될 수 있었으면 합니다.


Clandestine Hunter : Supply Chain Attack (김정욱, 이태우 – 한국인터넷진흥원)

초록

(추후 공개)

총평

한국은 유난히도 Supply Chain Attack과의 악연이 깊습니다. 하지만, 그 동안 당해 온 역사에 비해서 연구 자료가 부족한 것이 사실입니다. 다만, 지난 몇년간 여러 선구자들의 노력으로 한국에도 threat intelligence라는 개념이 보안 커뮤니티에 확산 되고 있고, 그러한 정보들을 어떻게 현실 보안에서 사용할 수 있을까 하는 고민들이 많은 것 같습니다. 그러한 정보 활용의 첫걸음은 사실 APT 그룹들에 대한 intelligence 를 올바로 이해하는 것에서 출발해야 할 것입니다. 단순히 Threat Intelligence정보를 제공하는 업체의 피드를 받아서 사용하는 것만으로는 단순한 사후 디텍션에 그칠 가능성이 많습니다. 하지만, 특정 액터들 특히 자사의 환경과 지적 자원과 인프라를 공격할 가능성이 많은 액터들에 집중해서 정보를 얻고 체계화하는 과정을 통해서 앞으로 어떠한 보안 인프라와 방어 장치/개념/팀에 자본을 투입해야 할지에 대한 좋은 의사 결정이 이뤄질 수 있습니다.

<redacted>은 그 동안 수차례 Supply Chain Attack과 인증서 탈취를 통한 공격을 수행해 온 그룹으로서, 기존의 보안 체계나 제품으로는 근본적인 탐지와 방지가 어려운 특징을 가지고 있습니다. 또한 Supply Chain Attack의 특성상 그 대상이 광범위하고 공격 목적이 모호한 경우가 많고 기회주의적인 형태의 면모를 보이는 경우가 많으므로 방심하기에는 리스크가 너무 큰 공격 방법입니다. 수 많은 글로벌 기업들조차도 이 공격 기법에 대해서는 완벽한 방어책을 구축하기에는 아직 어려운 것으로 보입니다.

모쪼록 이 토크를 통해서 어떻게 점점더 유행을 타고 있는 두가지 공격 방법에 대해서 엔터프라이즈 환경에서 방어할 수 있을지에 대한 좋은 인사이트를 얻을 수 있었으면 하는 의견에 의해서 채택 되었습니다.


삼성 갤럭시 버그 바운티 프로그램에 대한 고찰 (장민, 백신철 – 삼성전자) – Invited Talk

초록

삼성 갤럭시의 취약점/mitigation 버그 바운티에 대한 프로그램입니다. (소개 내용 추후 보강 예정)

초대 이유

취약점 바운티에 대한 여러 재미 있는 내용들과 어떻게 취약점을 투고할 수 있는지, 어떠한 mitigation bypass 들이 어떠한 가치를 가지고 있는지에 대한 소개 세션입니다. 생각보다 취약점에 대한 연구에 비해서 상대적으로 mitigation bypass에 대한 연구가 덜한 것으로 생각되어 그러한 부분에 대해서 보안 커뮤니티의 주의를 환기 시키려는 목적이 있습니다. 특히 갤럭시의 경우에는 KNOX나 RKP등의 적용으로 나날이 더 안전성을 향상해 가는 중입니다. 다만 여러 프로텍션 스킴의 개념상의 한계로 인하여 bypass 될 수 밖에 없는 여러 영역들이 있는데, 이러한 부분에 대해서 보안 커뮤니티에서 더 많은 연구가 진행 되어야 할 것으로 보입니다.


Working at BlueTeam (안상환 – LINE) – Invited Talk

초록

해외 IT회사에서 시큐리티 엔지니어로 일하는 경험과 시큐리티 엔지니어의 커리어패스에 대해서 이야기합니다. 사이버시큐리티에는 수 많은 커리어 패스가 있습니다만, 크게 레드팀과 블루팀으로 나눠서 이야기해보고싶습니다. 레드팀은 서비스에 대한 침투 테스트를 통해 취약점을 사전에 탐지, 예방 및 제거하는것에 중점을 둔다면, 블루팀은 공격에만 국한되지 않고 광범위한 보안 위협에 대한 방어책을 사전에 구축하고 지속적인 모니터링을 포함하여 전반적인 시큐리티를 보장하는데 중점을 둡니다.

시큐리티 엔지니어로써 보안 취약점을 찾고 공격하는 역활은 매우 매력적으로 보일 수 있습니다만, 현실은 조금 다를지도 모릅니다. 시큐리티 엔지니어의 궁극적인 목표는 안전한 소프트웨어를 만드는 것이지만 특히 한국에서는 그 부분이 평가 절하되고 있지 않나 생각합니다. 모두가 0-day, Bug Hunting, CTF, Mitigation bypass 등 Offensive research에 열광하지만, 많은 분들께서 소프트웨어를 안전하게 잘 만드는것 또한 ‘멋짐 폭발’이라는것을 잘 모르시는 것 같습니다.

이번 발표에서는 메신저, 가상화폐거래소, 금융서비스등을 비롯한 다양한 서비스에서 블루팀으로써의 경험에 대해 중점을 두고 이야기해보려고 합니다. 현실은 녹록치 않았습니다. 하지만 보안을 실체화하고 증명하는일은 시스템을 해킹하는 것 이상의 뿌듯함을 줍니다. 게다가 공격자를 농락하는 일은 참 즐겁습니다. 많은 시행착오가 있었고 저희가 시도하고 있는 소프트웨어 개발 프로세스 ‘SecDevOps’에 대해서도 이야기합니다.

이 발표가 여러분들께서 성공적인 커리어 패스를 만드시는데 도움이 되길 희망합니다.

초대 이유

사실 김치콘에서 커리어에 관련된 토크들을 많이 하지는 않지만. 워낙에 한국의 경우 사회에 진출하는 층에서 사이버 시큐리티를 공부하려는 수많은 인력풀에 비해서 앞으로 어떻게 커리어를 발전 시키고, 다듬어야 하는지. 어떠한 직업과 팀에서 일하게 되면 어떠한 경험과 어떠한 미래, 그리고 어떠한 연봉을 받게 되는지에 대한 정보들이 상대적으로 적은 것 같습니다. 그러한 입장에서 앞의 0-데이 인더스트리 해외 업체 근무자의 경험과 함께 비교해서 들어 주시면 감사하겠습니다.


이것으로 전체 토크 소개를 마칩니다. 홈페이지와 전체 타임 테이블은 확정 되는대로 김치콘 홈페이지를 통해서 소개될 예정입니다.

다음은 김치콘 2019 행사 정보입니다.

시간: 9월 6일 오전 10시 – 오후 6시 (+저녁 회식)
장소: 네이버 커넥트 홀
티켓: 10만원

초대는 김치콘 스탭/리뷰어/스피커들을 통해서 등록되신 분들에게 주어집니다. 김치콘 슬랙 워크스페이스에서 여러가지 정보들이 교환되고 있으며, 초대자가 필요하신 분은 여기에서 구해 보시는 것도 좋을 것을 생각됩니다. 김치콘의 초대 시스템은 발표되는 민감한 주제들과 발표자를 보호하려는 장치로 이해해주시면 감사하겠습니다.

마지막으로 리뷰에 참여해서 열띤 토론을 펼쳐 주시고, 좋은 의견 주신 리뷰어님들과 CFP를 맡아 주신 스탭분에게 감사의 말씀 드립니다.

열띤 토론에 참여한 리뷰어와 CFP 스탭들

Leave a Reply