Page 7 - KAIST GSIS 2023 Vol.10
P. 7
▶▶ 교수님 인터뷰 ▶▶ 윤인수 교수님, 김동옥 학생
본선에서는 '스마트시티 취약점 분석기술 경연 대회 동안 팀 (교수님 포함 9명)이 겪었던 어려
Q Q
및 발표경연'이 이루어졌습니다. 이 경연에서 움이나 특별한 경험들은 무엇인가요?
교수님 팀이 사용한 분석 기술과 접근 방식에
A : 김동옥 학생
대해 자세히 설명해 주실 수 있나요?
대회 내내 저희 팀은 순조롭게 계속 1위를 유지했기 때문
A : 김동옥 학생 에 특별히 멘탈이 나가거나 어려움을 겪은 적은 없습니
본선은 2일동안 진행되었으며, 기술 경연 및 발표 경연, 다. 기술 경연에서는 모든 문제를 가장 빨리 해결해서 1
총 두 개의 트랙으로 구성되어 있었습니다. 기술 경연 위를 차지했습니다. 그뿐만 아니라 주어진 테스트 베드에
은 예선과는 다르게, 주어진 문제에 대해 취약점을 찾고 서 대회 주최 측이 고려하지 못한 새로운 제로 데이 취약
write-up을 작성하는 것이 아니라, 물리적인 스마트시티 점까지 찾아내서 테스트배드를 완전히 제어할 수 있었습
테스트베드에서 취약점을 찾고, 찾은 취약점을 이용해 스 니다. 이를 통해 테스트베드 내의 모든 가로등을 조작해
마트시티 테스트베드 전체를 단계적으로 장악하는 방식 음악에 맞춰 불빛이 나오는 클럽 환경을 만들어냈습니다.
으로 이루어졌습니다. 예를 들어, 스마트 주차장 테스트 대회 측이 원했던 것은 신호등 시스템만 장악해서 단순
베드 에서는 CCTV 관리자 페이지에 접근할 수 있게 해 히 신호등을 주기적으로 깜박거리게 하는 것이었지만, 저
주고, 이 페이지의 취약점을 악용해 CCTV를 조작하여 특 희는 이미 모든 것을 제어할 수 있는 위치에 있었기 때문
정 주차 자리가 비어있음에도 시스템이 해당 자리에 차 에, 모든 가로등을 조작해 더 큰 효과를 만들어냈습니다.
가 있는 것처럼 인식하도록 해야 했습니다. 저희 팀은 관
리자 페이지에서 SQL 삽입 취약점을 발견했고, 이를 이 윤인수 교수님
용해 CCTV가 영상 데이터를 받아오는 RSTP (Real Time
기술 경연에서는 저희가 1위를 차지했지만, 대회의 최종
Streaming Protocol) 스트림 서버 정보까지 조작할 수
성적은 발표 경연과 기술 경연 점수를 합산하여 결정되
있었습니다. 저희 팀은 CCTV의 RSTP 서버를 저희가 만
었습니다. 아쉽게도 저희 팀은 종합 2위를 차지하게 되었
든 악의적인 서버로 교체해서, 특정 주차 자리가 비어있
습니다. 저희 연구실에서는 다 같이 CTF 대회에 참가하는
음에도 시스템이 해당 자리에 차가 주차되어 있다고 인식
것을 정기적인 행사로 삼고 있습니다. 학생들도 적극적으
하도록 만들었습니다.
로 행사에 참여하고 다들 즐기고 했습니다. 올해에는 이
번 대회를 제외하고 일본에서 열린 대회에도 참가했었습
윤인수 교수님 니다. 다 함께 더 많은 대회에 참가하고 싶지만 대학원생
발표 경연은 기술 경연 내용과는 별개로 스마트 시티 관련 들은 바쁜 관계로 너무 많은 대회에 참가하기는 어려워
연구 계획에 대해 팀별로 발표하는 형식으로 진행되었습 서 일정을 조율하여 연구에 방해되지 않는 선에서 참여
니다. 저희 팀은 “스마트 시티를 위한 IoT 위협 모델의 재 하고 있습니다.
검토 및 해당 모델을 기반으로 한 취약점 분석 시스템”을
주제로 발표했습니다. 해당 연구는 IoT 장비에 대한 취약
점 자동분석 시스템 개발에 대한 연구입니다. 기존의 에뮬
Q 대회 동안 팀 (교수님 포함 9명)이 겪었던 어려
레이션 방식의 분석 시스템들과는 달리, 에뮬레이션이 어
움이나 특별한 경험들은 무엇인가요?
려운 장비에 대해서도 효과적으로 분석할 수 있는 방법론
을 제시했습니다. 특히, 장비 펌웨어 내의 다양한 서비스들 A : 윤인수 교수님
을 통합된 관점에서 효과적으로 분석하고, 장비에서 외부 이번 대회를 통해 얻은 가장 큰 인사이트는 스마트 시티와
로 데이터를 전송하는 Outbound 서비스에서 발생할 수 같은 기반 시설의 보안에 대한 중요성입니다. 그동안 우리
있는 보안 이슈에 상세히 대해서도 분석한 새로운 위협 모 연구실은 브라우저나 커널과 같은 분야에 많은 관심을 기
델을 제시했습니다. 울여왔지만, 이번 대회를 계기로 기반 시설에 대한 보안 연
구의 필요성을 절실히 느끼게 되었습니다. 물론 브라우저
Graduate School Of Information Security 07
