Friday, April 9, 2021

버그 바운티 해킹 대회 폰투온(Pwn2Own)


폰투온(Pwn2Own)은 캐나다에서 열리는 캔섹웨스트(CanSecWest) 보안 컨퍼런스의 버그 바운티(Bug Bounty) 해킹 대회로 2007년에 시작되었다. 화이트햇(White Hat) 보안 전문가들이 소프트웨어 버그를 발견하고 해킹하는 대회다.

대회 이름에서 PWN은 해커 용어로 뜻은 '해킹하다', '제어권을 갖는다(take control of)'는 뜻이다. 유래는 소유하다는 단어 'own'에서 왔는데, 키보드에서 'P'와 'O'가 인접해 있어 타이핑 오류에서 온 것으로 생각한다. 하지만, PWN은 소유의 의미가 아니라 게임, 물체, 상황 등을 지배하거나 통제하는 것을 의미한다. 대회 이름 PWN 2(TO) OWN은 '(관리자) 권한을 얻기 위해 해킹하다'라고 해석할 수 있다.
Have I Been Pwned? (줄여서, HIBP)라는 사이트는 이메일이나 전화번호를 입력하면 자신의 계정이 인터넷 사이트에서 해킹 당한 적이 있는지 알려주는 사이트로 유명하다.

<Pwn2Own 대회 모습, HP Security 유튜브>

이 폰투온 대회는 2015년 한국의 해커 이정훈(Jung Hoon Lee)이 Chrome, IE11, Safari 최신 버전을 전부 해킹하는 데 성공하여 총상금 $225,000불을 받아 한국에서도 잘 알려진 대회다. 대회 역사상 한 개인이 3가지 메이저 브라우저를 전부 해킹하는 데 성공한 것은 최초였다.

이에 삼성에서 바로 영입했으나 1년을 채우지 못하고 구글로 이직해서 국내 기업 문화에 대한 문제가 언론에 보도되기도 했다.

2007년 대회에서부터 성공했던 익스플로잇 리스트는 아래 위키피디아 사이트에서 확인할 수 있다.
List of successful exploits (Wikipedia)

올해엔 대회에선 줌(Zoom)에 대한 취약점을 발견한 해커가 상금으로 20만 달러를 벌었다. 발견된 취약점은 90일 동안 공개되지 않고 해당 업체가 패치를 개발할 시간을 준다.

* 관련 기사: 사용자 입력없이 원격으로 코드를 실행할 수 있는 심각한 줌(Zoom) 취약점 발견
Critical Zoom vulnerability triggers remote code execution without user input

※ 그 외 주목할만한 다른 성공적인 공격은 다음과 같다.
- 애플 사파리: Jack Dates, kernel-level code execution, $100,000
- MS 익스체인지: DEVCORE, complete server takeover, $200,000
- MS 팀즈: OV, code execution, $200,000
- 우분투 데스크탑: Ryota Shiga, standard user to root, $30,000


* 참고 자료 및 출처

No comments:

Post a Comment