지난 6일(현지 시간) 미국 IT 전문매체 블리핑컴퓨터(BleepingComputer) 보도에 따르면, 소비자 중심 해킹 대회 ‘Pwn2Own’ 10회차에서 삼성의 갤럭시 S22가 두 차례 해킹됐다.
Pwn2Own 해킹 대회는 캐나다 토론토에서 이번 달 6일부터 시작한 대회로, 제로 데이 취약점을 집중적으로 연구하는 조직인 제로 데이 이니셔티브(Zero Day Initiative)가 주최했다. 조직은 80개국의 대략 1만 명 이상의 연구원들로 구성돼 각종 취약점을 연구한다. 이번 해킹 대회는 보안을 연구하는 사람들이 모바일 휴대 전화, 가정용 자동화 허브, 프린터, 무선 라우터, 네트워크 연결된 저장소, 스마트 스피커 등 각종 기기를 대상으로 해킹하는 대회다. 모두 최신 버전의 기기로 준비됐으며 기본 설정이 탑재된 상태다.
모바일 휴대 전화 부문의 경우에는 공격 성공 시 가장 많은 상금을 거둘 수 있다. 삼성의 갤럭시 S22와 구글의 픽셀 6, 애플의 아이폰 13 등이 휴대 전화 부문에 속한다. 특히 픽셀 6와 아이폰 13 스마트폰을 해킹하면 현금 상금 최대 20만 달러(한화 3억 원)를 포함해 휴대 전화 최고 포상금을 받는 것이 가능하다.
이번 삼성 갤럭시 S22 해킹 역시 모바일 휴대 전화 부문에 속한다. 스타 랩스(Star Labs) 팀은 삼성의 플래그십(flagship) 기기에서 총 세 번째 시도 끝에 부적절한 입력 유효성 검증 공격을 실행해 5만 달러(한화 6591만 5000원)를 획득했다. 스타 랩스 팀은 제로 데이를 성공적으로 이용한 최초의 팀으로, 상금 100% 모두 획득했다. 제로 데이 취약점은 취약점이 아직 알려지지 않아 별다른 대응 방안이 마련돼 있지 않은 취약점을 말한다. 또한 제로 데이 공격은 제로 데이 취약점을 공략해서 이뤄진 공격이다. 그리고 스타 랩스 팀은 시험했던 삼성 갤럭시 S22 기기도 받았다. 주최 측에서 기기의 최초 성공 팀에게는 대상 기기도 지급하겠다고 발표했기 때문이다.
또 다른 참가자인 침(Chim)도 삼성 갤럭시 S22를 겨냥한 공격을 성공했다. 다만 두 번째로 성공한 참가자기 때문에 기존 상금의 50%인 2만 5천 달러(한화 3287만 5000원)을 획득했다. 침 역시 스타 랩스와 유사하게 부적절한 입력 검증 공격을 성공시켰다.
이번 해킹 대회 중 갤럭시 S22 공격에 사용된 부적절한 입력 검증 취약점은 프로그램 입력 값에 대해 검증이 누락됐거나, 부적절한 검증 방식, 입력 데이터 형식 잘못된 지정 등 여러 가지 문제로 인해 해당 취약점이 발생할 수 있다. 취약점을 바탕으로 공격한 대표적인 사례가 SQL에 잘못된 데이터를 삽입하는 방식의 SQL 삽입(SQL Injection) 공격과 버퍼에 잘못된 입력 값으로 버그를 유발시키는 버퍼 오버플로(buffer overflow) 등이다. 이번 해킹 대회에서 사용된 공격 방식은 주최 측에서 현재 공개하고 있지 않다. 따라서 갤럭시 S22의 어느 부분에 존재하는 취약점으로, 어떤 공격을 펼쳤는지 구체적으로 알 수 없다.
대회 규정에 따르면 두 가지 공격 사례 모두 갤럭시 S22 기기가 최신 안드로이드 운영 체제 버전으로 실행된 것으로 알려졌다.
대회 첫날에는 앞서 언급한 삼성 갤럭시 S22만이 아니라 캐논(Canon), 마이크로틱(Mikrotik), 넷기어(NETGEAR), TP-링크(TP-Link), 렉스마크(Lexmark), 시놀로지(Synology), HP를 포함해 여러 공급업체의 프린터와 라우터에서 제로 데이 취약점을 대상으로 하는 공격이 성공적으로 이뤄졌다.
이번 해킹 대회에서 구글과 애플 기기를 해킹했을 때 만약 공격이 커널 수준의 권한으로 실행된다면 5만 달러(한화 6598만 5000원)의 보너스를 받는다. 커널은 운영 체제의 기본적인 기능을 실행하는 부분을 의미한다. 응용프로그램, 연결된 장치, 메모리 자원 배분과 관리 등 기본적인 처리를 수행한다. 공격이 커널 급으로 실행된다는 것은 공격 대상의 기본적인 OS 기능을 포함해 관리자나 건드릴 수 있는 각종 기능을 이용하는 것과 같다. 그렇기에 공격이 커널 수준으로 성공했을 때 엄청난 보너스 상금을 받는 것이다. 해킹 대회에서는 커널 수준의 접근 권한을 갖고 시스템 전체를 무단으로 점거하는 공격을 처음으로 성공하면 최대 총 25만 달러(한화 3억 2972만 5000원)을 지급하겠다고 말했다.
한편 해킹 대회는 26개의 팀과 참가자들이 모든 카테고리 총 66개 목표를 공격하기 위해 등록 후 4일까지 연장됐다. 현재 해킹 대회 전체 일정은 해킹 대회 공식 사이트에서 확인 가능하며 지난 6일 전체 일정과 참가자들의 도전에 대한 결과도 함께 나열됐다.
대회 둘째 날, 삼성 갤럭시 S22는 취약점 조사 업체 인터럽트 랩스(Interrupt Labs)의 화이트 해커들로 인해 다시금 해킹 시험대에 오를 예정이다.
테크플러스 에디터 박효정, 나유권
tech-plus@naver.com
[출처] 해킹 대회 첫날부터 해킹 당한 ‘갤럭시 S22’… 그것도 두 차례나|작성자 테크플러스
