더트래커 = 김가영 기자
한국정보기술연구원(KITRI)은 차세대 보안리더 양성 프로그램(BoB) 13기 취약점분석 트랙 수료생으로 이뤄진 '프리즌 브레이크(Prison Break)'팀이 독일 베를린에서 열린 국제 해킹대회 '폰투온(Pwn2Own)'에서 수상했다고 16일 밝혔다.
프리즌 브레이크팀은 오라클의 Virtual Box 제품의 보안 취약점을 통한 해킹에 성공하며 4만 달러(약 5600만원)의 상금을 받았다.
Virtual Box는 단일 컴퓨터(호스트) 안에서 다수의 가상 컴퓨터(게스트)를 만들고 다양한 운영체제를 동시에 실행할 수 있도록 지원하는 고성능 가상화 소프트웨어다.
프리즌 브레이크팀은 Virtual Box 내 가상 컴퓨터 환경에서 발견한 보안 취약점을 통해 실제 컴퓨터(호스트)의 프로그램을 임의로 실행하거나 조작할 수 있음을 이번 대회에서 증명했다.
폰투온 대회는 엔비디아, 애플, 구글, MS, 테슬라 등 세계적으로 유명한 IT 기업 제품을 직접 공격해 취약점을 찾아 분석하고, 분석한 자료는 해당 기업에 전달해 패치가 이뤄질 수 있도록 지원한다.
실제 악용 가능한 취약점을 대회 당일 심사위원단 및 기업 관계자 앞에서 시연해 연구자에게는 최신 기술을 시험하고, 기업에는 제품의 보안을 점검해 악의적인 공격자보다 먼저 대응할 수 있는 기회를 제공한다.
프리즌 브레이크팀은 BoB 교육 중 진행한 프로젝트의 후속 연구로 해당 대회에 참가했다. 신정훈 책임멘토, 정광운 멘토, 이창현 프로젝트 리더를 중심으로 김강민, 김상빈, 김한서, 이상훈, 오상원, 황원준 수료생으로 구성돼 있다.
김강민 수료생은 “세계적인 화이트해커로 성장할 수 있도록 노력하겠다”고 소감을 밝혔다.