김현우·이원기 티오리 연구원, 취약점 시상 'Pwnie 어워드' 한국 최초 수상
- CVE‑2024‑50264 취약점 연구로 한국 최초 수상 영예 안아
- "포니 어워드 수상, 전세계 해커들에게 인정받아 큰 보상 받은 느낌"
김현우, 이원기 티오리 연구원이 현지시각 9일 오전 10시경 라스베가스서 열린 최대 해킹 콘퍼런스 데프콘(DEF CON)내 취약점 시상식인 '포니 어워드(Pwnie Awards)'에서 한국 최초로 수상의 영예를 안았다.
Pwnie 어워드는 매년 우수한 보안 연구 및 보안 이슈가 큰 보안 사고를 선정하는 시상식이다. 2007년부터 시작해 올해 19회차가 된 시상식으로, 김현우, 이원기 연구원이 한국 최초 수상자로 선정됐다.
그를 수상으로 이끈 보안 연구는 CVE‑2024‑50264 취약점 연구다. 이 취약점은 리눅스 커널의 버츄얼 소켓(Virtual Socket)기능에서 발생하는 레이스 컨디션 취약점이다. 총 4개 이상의 task 간의 레이스를 정교하게 조작하면 Use-After-Free를 발생시킬 수 있다.
취약점에 대해 김현우 연구원은 "리눅스 커널에는 가상 머신 간의 통신을 지원하기 위해 Virtual Socket(VSock) 기능에서 각 코드가 실행될 때 경쟁이 발생하면 여러 문제가 생길 수 있는 '레이스 컨디션' 취약점을 발견했다"며 "개발자는 A > B > C > D 순서 실행을 예상하고 코드를 작성했지만, 레이스 컨디션 취약점으로 인해 A > C > B > D 순서로 코드 실행 순서가 바뀐 상태로 실행되면 프로그램에 문제가 발생할 수 있다"며 예를 들었다.
이어 그는 "최종적으로 익스플로잇(exploit) 성공을 위해 최첨단 테크닉을 모두 사용해 리눅스 유저(user) 권한에서 루트(root) 권한을 탈취해 익스플로잇을 완성했다"며 "일반적으로 공격에는 2~3가지 정도의 테크닉이 사용되는데, 저희는 6개 이상의 복잡한 테크닉을 사용했다는 점이 좀 독특한 점"이라고 설명했다.
앞서 김현우, 이원기 연구원은 해당 취약점 연구로 구글 커널 CTF에서(Google Kernel CTF)에서 $81,337 상금을 수상한 바 있다.
이번 포니 어워드 수상 소감에 대해 김현우 연구원은 "해당 취약점을 찾고 익스플로잇하기 위해 정말 많은 시간을 쏟았는데, 이렇게 포니 어워드에서 수상하게 돼 세계적인 해커들에게 인정받게 되어 큰 보상을 받은 느낌"이라고 말했다.
앞으로 계획에 대해 김현우 연구원은 "이보다 더 수준 높고 긱(Geek)한 취약점 연구 결과를 뽑아내는 것이 목표"라며 "취약점 연구를 발전시키기 위해 노력하겠다"고 밝혔다.
Related Materials
- [KISA] 2024년 하반기 사이버 위협 동향 보고서 - 피플러스, 2024년
- 2025 보안 위협 전망 보고서, 2024 주요 보안 이슈 1부 - SK쉴더스, 2024년
- AI 기반 드론 해킹 및 취약점 분석에 관한 연구 - 국방보안연구소, 2023년
CheifEditor
CheifEditor
