DEFCON 32: 라스베이거스에 모인 보안 전문가들의 도전
매년 8월 라스베이거스의 뜨거운 태양 아래 세계의 해커들이 모입니다. 바로 DEFCON을 위해서죠. 세계 최대 규모의 사이버해킹 컨퍼런스로 유명한 DEFCON은 올해 32번째의 행사를 가졌습니다. 올해도 아우토크립트의 자동차보안위협연구소에서 참석을 했습니다.
DEFCON은 일반적인 해킹 뿐이 아닌, 여러 “빌리지”로 나눠져 있습니다. Biohacking, Bug Bounty, Crypto Privacy, 등 다양한 빌리지를 돌아보면서 보안분야가 생각보다 많고 넓다는 것을 볼 수 있습니다. 하지만 역시 아우토크립트 팀은 “Car Hacking Village”에서 가장 많은 구경과 네트워킹을 했습니다.
다양한 세션과 발표를 들을 수 있었고, 아우토크립트 Red 팀의 한승희 대리가 Car Hacking Village에서 “UDSonCAN Attacks: Discovering Safety-Critical Risks by Fuzzing” 제목으로 발표를 했습니다.
최신전기차 차량의 모델에서 퍼징테스트를 통해 취약점 발견과 간단한 진단메세지 만으로도 주행 차량을 멈추거나 주행하려고 하는 차량을 일시적, 또는 연속적으로 disable 할 수 있다는 메시지였으며, 전체적인 퍼징 과정, 취약점이 발생한 이유, 취약점 발생한 UDSonCAN 서비스그룹 설명, countermeasure, real-world scenario 를 발표했습니다.
발표 이후로 DEFCON이면 바로 떠오르는 “Capture the Flag” (CTF)에 참석을 했습니다. 올해는 CTF대회 카테고리가 해킹 취약점 시나리오로 나누어져 있어, CTF에 대한 기대감이 컸습니다. 카테고리는5가지가 있었습니다. (RAMN, TUF, RIVIAN, GHOST_RIDER, BADGE). 처음에 문제를 보고, 주어진 자료(하드웨어, 소프트웨어, 소스코드, 데이터 등)를 통해 접근방법을 생각하며 미션을 하나씩 풀어나갔습니다. 주어진 것에서 금방 풀 수 있는 문제도 있었지만 난이도가 있어서 브레인스토밍을 많이 해야 하는 케이스도 많았습니다. 소프트웨어 내부와 하드웨어를 전반적으로 분석하며 문제의 실마리를 찾아 나아갔지만, 작년보다 하드웨어 관련 문제보다는 소프트웨어의 비중이 크게 늘어난 것 같았습니다.
다 같이 밤새어 문제를 풀면서 연구소의 팀워크와 다양한 생각과 아이디어를 공유하며 한층 더 즐기고 성장하는 모습을 볼 수 있었고, 마지막에는 아우토크립트가 4위를 기록하였습니다.
DEFCON과 CTF는 하나의 대회나 행사라기보다는 전 세계 해커/hacking-enthusiast들이 모여 함께 즐기는 축제 같은 느낌이었습니다. 연구소가 연구하고 공부한 것을 공유하며 즐길 수 있는 행사였다고 생각이 됩니다.