안녕하세요. 오늘은 인하대의 영광스러운 인재 컴퓨터 공학과에 재학중인 이정훈 학우를 소개하겠습니다. 혹시 ‘버그 바운티(Bug Bounty)’라고 들어보셨나요? 버그 바운티는 Web 서비스나 Software 보안 취약점을 찾아낸 사람에게 포상금을 지급하는 프로그램입니다. 조금 더 설명하자면, 해외 기업의 경우 Google, Facebook, Microsoft 社 등 글로벌 기업들이 제품의 서비스 보안을 강화하는 수단으로 적극적으로 버그 바운티를 활용하고 있습니다. 버그 바운티 대회중 폰투온(Pwn2Own)이란 대회가 있는데요. 이 대회는 매년 캐나다 밴쿠버에서 캔섹웨스트(CanSecWest) 보안 컨퍼런스에서 펼쳐진다고 합니다. 바로 이정훈학우가 올해 3월 폰투온 대회에서 22만5000달러(미화)의 상금을 획득했는데요. 이 굉장한 소식을 이정훈 학우와 함께 풀어나가겠습니다. :)
안녕하세요. 저는 컴퓨터 공학과 13학번 이정훈입니다. 현재 정보보안 업체인 라온시큐어에서 병역특례를 하고 있습니다.
매년 캐나다 벤쿠버에서 열리는 웹 브라우저 및 플래시, 어도비 리더 등을 대상으로 하는 해킹 대회입니다. 참가자는 미리 참가 신청을 해놓고 참가 신청한 카테고리(타겟)에 대한 취약점과 익스플로잇(취약점을 공격하는 코드)를 준비해야 합니다. 준비해야할 취약점은 이때까지 단 한 번도 보고되지 않은 취약점(제로데이)여야합니다. 엄청난 상금이 걸린 것으로도 유명한 대회이며 매년 난이도가 높아지고 있습니다. 올해 같은 경우는 작년과는 달리 여러 보안 메커니즘(EMET 등)이 추가되었습니다.
먼저 폰투온 대회의 타겟은 다음과 같습니다.
Windows-based targets:
Google Chrome (64-bit): $75,000 (USD)
Microsoft Internet Explorer 11 (64-bit with EPM-enabled): $65,000 (USD)
Mozilla Firefox: $30,000 (USD)
Adobe Reader running in Internet Explorer 11 (64-bit with EPM-enabled): $60,000 (USD)
Adobe Flash (64-bit) running in Internet Explorer 11 (64-bit with EPM-enabled): $60,000 (USD)
Mac OS X-based targets:
Apple Safari (64-bit): $50,000 (USD)
총 6개의 카테고리로, 카테고리 별로 상금이 다르고 카데고리의 타겟을 성공적으로 공격할 시 해당 상금과 공략에 성공한 노트북을 받게 됩니다. 또 적혀있는 상금과 별개로 추가적인 업적을 달성하면 그만큼 상금을 더 주고 있습니다. 제가 준비했던 카테고리는 다음과 같습니다.
1. 크롬($75,000) + 시스템 권한 상승($25,000) + 새로운 보안 메커니즘이 추가된 크롬 베타 버젼($10,000)
2. IE11($65,000)
3. 맥 사파리($50,000)
크게 어려운 점은 영어로 의사소통을 해야 한다는 점이 있었습니다. 하지만 이 부분은 잘 아는 분의 도움으로 해결할 수 있었습니다. 또 현장의 분위기는 제가 말로 어떻게 설명을 해야 할지 잘 모르겠네요. 대회 관련한 영상이 있으니 그 영상을 보면 대회의 현장 분위기를 느낄 수 있을 것 같습니다.
대회 현장의 모습
주 업무는 보안 관련된 소프트웨어 개발이며 이와 별개로 웹브라우저 같은 소프트웨어에서 취약점을 찾고 있습니다.
해킹 대회에는 몇몇 종류가 있습니다. 크게 폰투온처럼 실제 소프트웨어를 대상으로 하는 대회와 문제 출제자가 존재하고 이 출제자가 출제한 문제를 푸는 해킹대회가 있습니다. 이 SECCON 대회가 후자에 속하는 대회입니다. 암호학, 시스템 해킹, 리버스 엔지니어링, 웹 해킹 등 여러 종류에서 문제가 나왔었고 팀원 각각의 전문분야와 딱 맞아 떨어지는 문제들을 각각 풀어내어서 우승할 수 있었습니다. 또 대회 현장의 모습은 큰 대회장에서 팀별로 테이블에 앉아 문제를 풉니다. 그리고 대회 상황을 중계해주는 3D 모니터링 시스템이 존재합니다. 그래서 해당 분야에 대해 잘 모르는 사람들도 모니터링 시스템을 통해 대회가 어떻게 진행되고 있는지 알 수 있습니다.
저는 아주 어릴 때 우연히 접한 프로그래밍 서적을 통해 개발에 입문하게 되었습니다. 해킹 쪽으로는 개발 공부를 하면서 잠깐 잠깐 공부했었구요. 고등학교 때는 게임 개발을 전문으로 하는 특성화 고등학교에 진학하여 개발에 열중했었습니다. 그러다가 해킹/보안 분야가 더 재밌고 더 재능이 있다는 것을 알게 되어 고등학교 졸업하면서 완전히 해킹/보안 분야로 전념하게 되었습니다.
전 제가 하고 싶은 일을 하고 있기 때문에 아주 만족하고 있습니다. 게다가 많은 성취를 하고 있으니 지금까지 후회는 없는 것 같습니다.^^
저는 딱히 큰 목표나 꿈을 정해놓고 살고 있지는 않습니다. 현재를 바라보면서 제 눈앞에 펼쳐진 흥미 거리가 있다면 그것을 향해 돌진하는 편입니다.
지금까지 이정훈 학우와의 인터뷰를 보았는데요. 같은 또래이지만 먼저 자신의 분야에서 큰 수확을 일구어낸 이정훈 학우가 인하인으로서 자랑스럽습니다. 또 앞으로도 뛰어난 결과를 만들어내어 인하대와 한국을 멋지게 빛내 줄 이정훈 학우의 앞날이 기대됩니다. 우리도 우리의 분야에서 더 열심히 노력하고, 꾸준히 관심을 준다면 멋진 결과물들이 나오지 않을까요? 오늘도 주어진 현실에 충실하는 멋진 인하인이 됩시다. Let's stick with our reality! 이상으로 인하누리였습니다.
'Zoom 仁 > 인하人 이야기' 카테고리의 다른 글
| LA에서 만난 인하인, Thomas Kim 선배님 인터뷰 (0) | 2015.09.30 |
|---|---|
| 'OK툰' 웹툰 작가 김옥현 학우 인터뷰 (0) | 2015.06.08 |
| 인하누리를 소개합니다:-) (0) | 2015.05.15 |
| [과TOP 특집2] 수학교육과 지현경 학우 (1) | 2015.04.15 |
| [과탑 특집] 국제통상학과 - 이혜빈 학우 (2) | 2015.04.10 |
