More

    ’55초’ 갤럭시S22를 해킹하는 데 걸린 시간

    (출처: Bleeping Computer)

    일반 소비자가 접하는 IT 기술과 제품의 해킹 대회인 폰투온(Pwn2Own)이 지난 6일(현지 시간)부터 시작해 9일에 무사히 종료됐다.

    지난 11일, 해외 IT 보안 전문매체 시큐리티어페어즈(Security Affairs) 보도에 따르면, 이번 대회를 통해 참가한 14개국의 36개 팀이 IT 취약점 총 63개를 공격해서 총 98만 9750 달러(한화 12억 9033만 원)을 벌었다. 해킹 대회에서는 주로 소비자들이 실제로 시도할 법한 방식으로 해킹한다. 폰투온의 공격 대상은 주로 애플, 구글, 삼성 같은 세계적으로 유명한 IT 회사의 제품이다.

    이번에는 △휴대 전화 △무선 라우터 △가정용 자동 허브 △프린터 △스마트 스피커 △NAS(Network Attached Storage) 장치 △소호(SOHO) 라우터 총 7개의 다른 부문으로 구성됐다. NAS 장치는 네트워크를 통해 파일을 저장하는 저장소며 소호 라우터는 소규모 네트워크에 사용되는 광대역 라우터다. 대회에 사용된 기기는 모두 최신 버전이었으며 기본 구성으로 설치가 완료된 상태였다.

    이번 대회에서 주목해야 할 점은 삼성의 플래그십 스마트폰인 ‘갤럭시 S22’가 거듭해서 해킹된 점이다. 갤럭시 S22는 해킹 대회가 열린 첫 번째 날부터 대회 이틀차, 사흘차까지 계속해서 공격을 당했으며 해킹 대회 기간 동안 총 네 차례 공격을 받았다. 앞서 말한 네 차례 공격은 모두 성공한 사례들이다. 따라서 네 차례 공격을 순서대로 정리하고자 한다.

    (출처: ZDI)

    대회 첫 번째 날에는 두 팀이 제로 데이(zero-day) 취약점을 이용해 갤럭시 S22에 공격을 성공시켰다. 처음으로 공격에 성공한 건 스타 랩스(Star Labs) 팀으로, 갤럭시 S22 기기에 총 세 번 시도한 끝에 입력 유효성 검증 공격을 성공시켜 상금 총 5만 달러(한화 6541만 5000원)을 획득했다. 해킹 대회 기간 동안 최초로 공격을 성공시켜 상금 100%와 시험했던 삼성 갤럭시 S22 기기 모두 받았다. 이어서 다른 참가자인 침(Chim)도 같은 삼성 갤럭시 S22를 겨냥해 유효성 검증 공격을 성공시켰다. 침은 두 번째로 성공했기 때문에 1등 상금의 50%인 2만 5천 달러(한화 3270만 7500원)만 획득할 수 있었다.

    (출처: ZDI)

    대회 이틀차에는 취약점 조사 업체인 인터럽트 랩스(Interrupt Labs)가 삼성 갤럭시 S22 공격을 성공시켰다. 인터럽트 랩스 역시 앞선 사례들처럼 유효성 검증 공격을 성공시켰다. 따라서 전체 상금의 50%인 2만 5천 달러를 획득했다.

    대회 사흘차에는 침투 테스트 제공 업체인 펜테스트 리미티드(Pentest Limited)의 대표 보안 연구원들이 제로 데이 취약점을 이용해 입력 유효성 검증 공격을 성공시켰다. 대회 기간 동안 네 번째로 성공시킨 팀이었으며 심지어 55초만에 갤럭시 S22 해킹에 성공했다. 시간은 대회 기간 동안 중 가장 빠르게 갤럭시 S22를 해킹했지만 네 번째로 성공했기 때문에 1등 상금의 50%인 2만 5천 달러를 받았다.

    네 차례의 성공 사례에서는 공통점이 존재한다. 입력 유효성 검증 공격을 성공시켰다는 점이다. 모두 알려지지 않은 제로 데이 취약점으로 공격을 한 것인 만큼 취약점의 구체적인 정보는 알 수 없다. 입력 유효성 검증 공격은 프로그램에서 데이터의 유효성 검증을 제대로 수행하지 않을 때 공격자가 프로그램에 적절하지 않은 데이터 값을 입력하는 방식으로 이뤄진다.

    물론 갤럭시 S22에 공격을 시도했으나 실패한 사례들도 존재한다. 큐리어스 시큐어(Qrious Secure) 팀 소속의 트라이 당(Tri Dang)과 토안 팜(Toan Pham)도 갤럭시 S22에 탑재돼 있는 삼성의 보안 시스템을 우회하려고 시도했으나 실패했다. 할당받은 시간 내로 공격을 성공시키지 못했다.

    해킹 대회 규칙에 따르면, 갤럭시 S22 해킹을 성공시킨 네 가지 사례 모두 갤럭시 S22가 최신 안드로이드 운영체제(OS) 버전으로 실행된 상태였다. 또한 갤럭시 S22의 모든 업데이트가 내부적으로 설치돼 있었다.

    한편 이번 해킹 대회에서는 구글(Google)과 애플(Apple) 기기를 해킹했을 때 5만 달러 가량의 보너스를 지급하며 첫 번째로 공격을 성공하면 총 25만 달러(한화 3억 2572만 5000원)를 지급한다고 발표했다. 그러나 대회 기간 동안 그 어떤 팀도 구글과 애플 기기 해킹을 성공시키지 못했다. 반면 삼성 갤럭시 S22는 최신 버전으로 완전히 패치가 된 상태인데도 불구하고 앞서 말했듯 네 차례나 공격을 당했다.

    이번 폰투온 해킹 대회 기간 동안 악용된 제로 데이 취약점은 주최 측인 제로 데이 이니셔티브(Zero Day Initiative)에게 보고된다. 제로 데이 이니셔티브는 제품 공급 업체에게 해당 취약점을 전달하고 취약점을 패치할 수 있도록 120일의 시간을 준다. 공급 업체는 보고받은 취약점을 토대로 120일 내로 보안 패치를 완료하면 된다.

    ​​

    테크플러스 에디터 박효정
    tech-plus@naver.com​

    - Advertisement -

    LEAVE A REPLY

    Please enter your comment!
    Please enter your name here

    Related Stories