김현우·이원기 티오리 연구원, 취약점 시상 'Pwnie 어워드' 한국 최초 수상

김현우, 이원기 티오리 연구원이 현지시각 9일 오전 10시경 라스베가스서 열린 최대 해킹 콘퍼런스 데프콘(DEF CON)내 취약점 시상식인 '포니 어워드(Pwnie Awards)'에서 한국 최초로 수상의 영예를 안았다.

Pwnie 어워드는 매년 우수한 보안 연구 및 보안 이슈가 큰 보안 사고를 선정하는 시상식이다. 2007년부터 시작해 올해 19회차가 된 시상식으로, 김현우, 이원기 연구원이 한국 최초 수상자로 선정됐다.

그를 수상으로 이끈 보안 연구는 CVE‑2024‑50264 취약점 연구다. 이 취약점은 리눅스 커널의 버츄얼 소켓(Virtual Socket)기능에서 발생하는 레이스 컨디션 취약점이다. 총 4개 이상의 task 간의 레이스를 정교하게 조작하면 Use-After-Free를 발생시킬 수 있다.

취약점에 대해 김현우 연구원은 "리눅스 커널에는 가상 머신 간의 통신을 지원하기 위해 Virtual Socket(VSock) 기능에서 각 코드가 실행될 때 경쟁이 발생하면 여러 문제가 생길 수 있는 '레이스 컨디션' 취약점을 발견했다"며 "개발자는 A > B > C > D 순서 실행을 예상하고 코드를 작성했지만, 레이스 컨디션 취약점으로 인해 A > C > B > D 순서로 코드 실행 순서가 바뀐 상태로 실행되면 프로그램에 문제가 발생할 수 있다"며 예를 들었다.

이어 그는 "최종적으로 익스플로잇(exploit) 성공을 위해 최첨단 테크닉을 모두 사용해 리눅스 유저(user) 권한에서 루트(root) 권한을 탈취해 익스플로잇을 완성했다"며 "일반적으로 공격에는 2~3가지 정도의 테크닉이 사용되는데, 저희는 6개 이상의 복잡한 테크닉을 사용했다는 점이 좀 독특한 점"이라고 설명했다.

앞서 김현우, 이원기 연구원은 해당 취약점 연구로 구글 커널 CTF에서(Google Kernel CTF)에서 $81,337 상금을 수상한 바 있다.

이번 포니 어워드 수상 소감에 대해 김현우 연구원은 "해당 취약점을 찾고 익스플로잇하기 위해 정말 많은 시간을 쏟았는데, 이렇게 포니 어워드에서 수상하게 돼 세계적인 해커들에게 인정받게 되어 큰 보상을 받은 느낌"이라고 말했다.

앞으로 계획에 대해 김현우 연구원은 "이보다 더 수준 높고 긱(Geek)한 취약점 연구 결과를 뽑아내는 것이 목표"라며 "취약점 연구를 발전시키기 위해 노력하겠다"고 밝혔다.

Related Materials

• [KISA] 2024년 하반기 사이버 위협 동향 보고서 - 피플러스, 2024년
• 2025 보안 위협 전망 보고서, 2024 주요 보안 이슈 1부 - SK쉴더스, 2024년
• AI 기반 드론 해킹 및 취약점 분석에 관한 연구 - 국방보안연구소, 2023년

삼성전자-연합팀, ‘AI 사이버 챌린지’서 우승...상금 4백만 달러 획득

💡Editor Pick - 총 상금 2천 250만달러 규모 글로벌 보안 기술 경진 대회 ‘AIxCC’서 1위 - AI 보안 기술만으로 보안 취약점 찾아 패치 생성 선보여 최종 우승 차지 삼성전자와 대학 연합팀이 손을 맞잡고, 미국 정부 주최로 2년에 걸쳐 진행된 AI 보안 대회에서 최종 우승했다. 삼성전자와 국내외 주요 대학이 연합해

The Tech EdgeCheifEditor

코드게이트 2025,‘Blue Water’ 우승

💡Editor Pick - 66개국 2,778명이 온라인 예선 참가 - 일반부: 1위 인도, 캐나다, 한국, 중국 4개국 연합 ‘Blue Water’ 팀 우승 - 청소년부: ‘박진우’ 우승 과기정통부 장관상과 상금 세계적인 실력의 화이트해커를 발굴하고 최신 보안기술 동향을 전파하는 국제해킹방어대회 & 보안 학술대회 ‘코드게이트 2025’가 10일~11일코엑스서 개최했다. 2008년 시작되어 올해로 17번째 대회를

The Tech EdgeCheifEditor