2024-03-29 06:30 (금)
POC2018, 글로벌 해커들 대거 참석해 최신 해킹기술 발표...현재 후기등록 접수중
상태바
POC2018, 글로벌 해커들 대거 참석해 최신 해킹기술 발표...현재 후기등록 접수중
  • 길민권 기자
  • 승인 2018.10.18 21:40
이 기사를 공유합니다

11월 8일부터 9일까지 최신 해킹기술과 시연, 해킹대회, 트레이닝코드 등 개최

▲ 지난해 POC2017 현장
▲ 지난해 POC2017 현장
제13회 국제해킹보안컨퍼런스 POC2018이 오는 11월 8일부터 9일까지 양일간 서울양재동 더케이호텔서울 거문고홀에서 국내외 해커 및 보안전문가들이 참석하는 가운데 개최될 예정이다. 

올해 컨퍼런스에도 유명 해커, 보안 전문가들의 최신 해킹기술 발표 및 시연 그리고 Belluminar(벨루미나), PowerofXX(여성해킹대회) 등을 비롯한 흥미로운 이벤트들이 열린다. 운영진 측은 참가자들이 발표에 참석하는 것 외에도 다양한 경험을 할 수 있도록 준비하고 있다고 전했다.

또한 이번에 세계적으로 제로데이 거래로 유명한 두 회사, 제로디움(Zerodium)과 클라우드팬스(Crowd-fense)의 대표들이 참가한다. POC 컨퍼런스와 만찬에 참석하는 참관객들은 직접 이들을 만나 많은 이야기를 나눌 수 있는 기회도 잡을 수 있다.

이번 POC2018 발표자는 다음과 같다. 총 17명의 발표자 중 14명의 명단과 주제가 공개되었다. 지난 10월 10일 CFP 제출이 마감되었으며 나머지 3명은 이미 제출된 콜포페이퍼를 선별해 추가로 선발할 예정이다.

지난번 데일리시큐에 소개한 9명의 발표자 및 주제는 다음과 같다.

△Denis Kolegov, Oleg Broslavsky, "WebGoat.SDWAN.Net in Depth"

△En He, Jiashui Wang "Hacking Android VoIP for Fun and Profit!"

△Gmliu, "Windows Kernel Fuzzing"

△Jiafeng Li, Changcheng, "How to Exploit Blockchain Public Chain and Smart Contract Vulnerability"

△Jin Liu & Chong Xu, "Pwning Microsoft Edge Browser: From Memory Safety Vulnerability to Remote Code Execution"

△Liang Chen, "iOS Hacking"

△Nikita Tarakanov, "Automating Windows Kernel Pool Overflow/Corruption Exploits De-velopment"

△Pangu Team, TBA

△Samuel Groß, "IPC MitM: Exploiting a Fun Logic Bug for Kernel-Mode Code Execution on MacOS"

이어 이번에 새롭게 추가된 5명의 발표자는 이렇다.

△JaanusKääp, "Document parsers "research" as passive income"

2018년 MSRCTop 100에서 11위에 랭크된 JaanusKääp이 한국에서 처음으로 발표를 진행한다. 그는 2015년부터 MS 오피스와 어도비 애플리케이션에서 취약점을 찾기 위한 메소드와 툴을 사용해 왔고, 이를 발전시키면서 매달 평균 2개 이상의 CVE 취약점을 발견하고 있다. 이번 발표에서 그는 자신의 퍼저에 적용된 아이디어를 참가자들에게 설명할 예정이다.

△Ned Williamson, "Exploiting Chrome IPC"

미국 카네기멜론 대학 유명 해킹보안팀 PPP의 멤버이기도 한 Ned Williamson가 크롬 풀체인 공격에 대해 발표한다. 최근 크롬 브라우저 샌드박스 탈출이 매우 어려워진 상황에서, 그는 최근 Hack2Win버그바운티 대회에서 크롬 풀체인 공격에 성공했다. 이 공격에 사용한 취약점을 찾을 수 있었던 퍼징 방법과 UAF 취약점을 사용해 샌드박스 탈출에 성공했던 방법에 대해 소개한다.

△Kang Li, "Practical evading attacks on commercial AI image recognition services"

POC2017의 발표자였던 조지아대학 Kang Li 교수가 다시 한번 POC의 발표자로 오게 됐다. 그는 최근 몇년간 AI 시스템에 대한 취약점과 공격에 대해 꾸준히 연구를 해오고 있다. AI 기반 이미지 인식에 대한 공격은 일반적으로 악성 표본을 이용하는 것이나, 이는 실제 상용 시스템에서는 필터링으로 인해 공격이 어렵다. 그러나 Li 교수는 해당 발표에서 실제 상용 인식 서비스에 대해 가능한 실제 공격을 설명한다.

△YannayLivneh, "Baby I can drive your car: remotely hacking Telematics CAN-connected devices"

POC2016의 발표자였던 YannayLivneh가 다시 한국을 찾게 됐다. 그는 차량에 일반적으로 많이 설치되는 텔레매틱 디바이스를 분석, 다양한 취약점을 이용해 로컬 및 원격으로 공격하는 방법에 대해 설명할 계획이다. 발표자는 특히 공격 시나리오에 따른 실제 PoC를 보여주며 차량을 타깃으로 하는 원격 공격의 위험성을 보여줄 예정이다.

△Lidong LI &Naijie XU, "802.11 Smart Fuzzing"

CyberPeace연구원인 Lidong LI, Naijie XU는 Wi-Fi 프로토콜에 대한 퍼징 기법을 소개한다. 발표에는 그들이 사용한 기술과 찾은 취약점에 대한 설명이 포함된다.

다양한 이벤트도 준비돼 있다.

▲ 지난해 POC2017. 올해도 다양한 국가의 최고 수준의 해커들이 한국에서 열리는 POC에 참석한다.
▲ 지난해 POC2017. 올해도 다양한 국가의 최고 수준의 해커들이 한국에서 열리는 POC에 참석한다.
주최측은 올해 특별한 이벤트가 포함된 벨루미나(Belluminar)도 대회 준비에 박차를 가하고 있다. GYG, KaistGoN, KoreanGang,LeaveCat,Team H4C 이렇게 5개 국내 해킹보안팀의 참가가 확정되었고, 팀별 문제 제출을 앞둔 상황이다. 앞서 언급한 특별한 이벤트에 대해서는 추가 공지가 있을 예정이다. 벨루미나 POC1위팀에게는 Zer0Con2018 참가권, 우승기념 티셔츠, 상패 등의 혜택이 주어진다.

숙명여자대학교 정보보안 동아리 SISS와 국내 해킹보안팀인 Demon(데몬)이 연합으로 운영을 맡은 여성해킹대회 'Power of XX’도 지난 주말 예선대회를 마치고 본격적인 본선 준비에 돌입했다. 예선에는 분야별 총 16개 문제가 출제되었고, 39개 팀이 등록했다. 현재 팀들이 제출한 라이트업, 대회 로그 등 자료를 통해 본선 진출 팀을 확정하는 단계가 남아있다.

▲ 지난해 POC2017 여성해킹대회 현장
▲ 지난해 POC2017 여성해킹대회 현장
벨루미나와 Power of XX 외에 참가자들이 즐길 수 있는 다채로운 이벤트도 열린다. 가장 먼저 선정된 이벤트는 중부대 정보보안 동아리 SCP가 운영하는 ‘VR Capture The Flag’이다. VR 장비를 이용해 VR Chat, Beat Saber, Getting Over, Fallen bird 등의 게임을 플레이하고 미션을 수행하는 것이 목표이다. 기본적으로 제공되는 툴을 사용해 치팅 행위를 하거나 코드를 변경해 가장 빠른 시간내에 미션에 성공한 참가자에게는 별도의 상품도 준비되어 있다.

2017년도 POC에서 인기가 높았던 티오리(Theori)의 ‘Speed Hack’도 다시 한번 운영한다.참가자는 주어진 문제를 시간 제한 내에 풀어야 하고, 참가 기회는 1번뿐이다. 문제별 최단 클리어 시간과 클리어갯수 별 최단 기록을 재 최고 기록자들에게 소정의 상품을 지급한다.

아직 이벤트 지원을 받고 있어 운영을 원하는 팀은 pocadm@gmail.com으로 운영 계획서를 보내면 된다. 모든 이벤트들은 POC2018등록없이도 무료로 참가가 가능하며, 추가 이벤트 관련 소개는 홈페이지를 통해 업데이트될 예정이다.

또한 'Whatever Talk' 타임도 준비돼 있다. 무엇이든 발표할 수 있는 이벤트 형식의 소규모 세미나다. 최신 기술, 제품 홍보 등 모든 주제가 가능하다. 컨퍼런스장과는 다른 작은 홀에서 진행되며 발표 시간은 최대 40분이다. 현재 CFP를 받고 있으며, 선발된 발표자에게는 POC 무료 참가권,만찬 초대 등의 혜택을 제공한다. 모든 문의는 pocadm@gmail.com으로 하면 된다.

한편 POC2018에서는 3개의 트레이닝코스가 운영된다. 4일 과정인 Samuel Groß“Web Browser Exploitation”과 3일 과정의 Vitaly Nikolenko “Linux Kernel Exploitation Techniques”는 현재 등록이 마감되었다. 위 2개 강의보다 조금 늦게 등록을 시작한 Pangu팀의 “iOS Sandbox Escape Vulnerabilities and Exploitation”도 11명이 등록을 완료해 거의 마감된 상태이다. 트레이닝 코스의 세부 커리큘럼과 자세한 내용은 홈페이지를 통해 확인할 수 있다.

POC2018은 현재 후기등록이 진행중이며 등록 관련 정보는 다음과 같다.

<POC2018 등록>

- 등록관련 페이지: http://www.powerofcommunity.net/register.htm

- 해킹 이벤트: http://www.powerofcommunity.net/pocevent.htm

- POC 트레이닝 코스: http://powerofcommunity.net/training2.htm

- 후기등록: 10월 1~31일

- 현장등록: 11월 8~9일

- 기타문의: pocadm@gmail.com

- 페이스북 공지: https://www.facebook.com/POC.Conference

-트위터 공지: https://twitter.com/POC_Crew

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★