검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'데프콘'통합검색 결과 입니다. (5건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"모든 IoT 로봇청소기 해킹 위험"…보안 강화 필요성 대두

최근 사용자 편의성 강화를 위해 IoT(사물인터넷) 기기의 보급이 날로 확산되고 있는 가운데 해킹에 따른 사생활 침해와 범죄 악용에 대한 우려가 커지고 있다. 특히 시장 수요가 확대되고 있는 로봇 청소기의 연결성이 강화되면서 카메라와 마이크 등 기기 장치가 해킹에 취약할 수 있다는 지적이 제기된다. 아울러 스마트 홈 산업에서 소중한 개인 정보를 어떻게 지킬 수 있을지에 관한 연구도 함께 활발하게 이어지고 있는 상황이다. 보안 연구원이자 해커인 데니스 기스와 브레일린은 지난 9일(현지시간) 미국 라스베이거스에서 열린 '데프콘 해킹 컨퍼런스'에서 에코백스 로봇이 해킹에 취약하다고 밝혔다. 이들은 여러 에코백스 로봇을 분석한 결과 블루투스로 로봇을 해킹하거나 원격으로 마이크와 카메라를 몰래 켜는 데 악용할 수 있는 문제점을 소개했다. 약 130m 떨어진 곳에서 블루투스로 악성 페이로드를 보내 로봇을 해킹하고 원격으로 기기를 제어할 수 있다는 것이다. 하지만 로봇청소기 보안성 문제는 단순히 에코백스만이 아닌 거의 모든 사물인터넷(IoT) 가전 제조사가 겪을 수 있는 문제인 것으로 알려졌다. 이번 위험성을 지적한 해커 데니스 또한 지난 수년간 데프콘 행사에서 다양한 로봇청소기 제품의 보안 취약성에 대해 꾸준히 경고해왔다. 특히 악의적인 제조업체나 해커에 의해 악용될 수 있는 우려를 미리 점검하자는 취지로 데프콘 등 여러 해커 컨퍼런스에서 연구 결과를 발표했다. 그의 연구는 주로 샤오미와 로보락, 드리미, 나르왈 등 로봇청소기에 중점을 뒀다. 지난해 데프콘 컨퍼런스에서도 로봇청소기 보안성과 프라이버시에 관한 연구 결과를 발표한 바 있다. 그는 로봇청소기 권한 해킹과 암호화 정보 해독 방법 등 연구를 선보였다. 로보락과 드리미 등 주요 제품이 대상이었다. 올해 컨퍼런스에서 에코백스를 대상 제품으로 선정된 배경도 글로벌 점유율이 높다는 상징성 때문이었다. 에코백스는 1998년 중국에서 처음 설립된 이후 주력 모델 '디봇'을 앞세워 세계적으로 대표적인 로봇청소기 기업으로 손꼽힌다. 에코백스 보안위원회는 이번 연구와 관련한 내부 평가 결과를 공개했다. 에코백스 측은 "전문적인 해킹 도구와 물리적인 근접 접촉이 있어야 가능한 상황"이라며 "일상적인 사용 환경에서 이러한 보안 문제가 발생할 확률은 매우 낮다"고 설명했다. 그러면서 "사용자는 장치 설정을 재설정하고 정기적으로 장치 상태를 점검함으로써 이런 위험을 피할 수 있다"며 "연구와 평가 결과를 바탕으로 제품을 보안 문제를 적극적으로 강화해나갈 것"이라고 덧붙였다. 에코백스는 정기적인 소프트웨어(SW) 업데이트를 통해 실시간 토큰 무효화 매커니즘을 적용하고 토큰 획득 난이도를 높일 계획이다. 또 장치 재설정 후 로그 정보를 삭제해 데이터 보안을 강화한다는 방침이다. 에코백스 측은 "보안 전문가들이 공격·방어 연습을 발표하며 기업과 상호 소통 작용하는 것이 제품 보안성을 높이는 데 도움이 된다"며 "제품의 잠재적 위험을 식별하고 소통하는 보안 전문가들을 존중한다"고 밝혔다. 한편 업계 전문가는 "IoT 보안 문제는 단순히 특정 브랜드에 있는 것이 아니라 모든 전자기기 제품에 대한 총체적인 문제로 대두되고 있다"며 "최근 사용성이 날로 확대되고 있는 로봇청소기에도 해킹의 우려가 해당되고 있다"고 지적했다.

2024.08.21 16:47신영빈

한-미 연합팀, DARPA 해킹대회 결승 진출…200만달러도 챙겨

미국 라스베이거스에서 열린 AI 사이버챌린지 예선에서 한-미 연합으로 꾸린 '팀 애틀랜타'가 결승에 진출했다. 이 대회는 지난 8월 8일부터 11일(현지 시각)까지 사이버 보안 분야 국제 학회인 '데프콘(DEF CON)'에서 AI 사이버챌린지(AI Cyber Challenge, AIxCC) 예선을 진행했다. 이 챌린지는 미국 고등연구계획국(이하 DARPA)이 주도했다. AI를 활용한 차세대 해킹 시스템 경연 대회다. KAIST는 이 팀이 윤인수 전기및전자공학부 교수 연구실과 삼성 리서치, POSTECH, 조지아 공대가 함께 참여했다고 21일 밝혔다. 이 팀의 주도는 현재 삼성 리서치 상무로 재직 중인 조지아 공대 김태수 교수 연구실 출신 연구원들이 맡았다. 이들 팀은 국내 대학이 포함된 팀으로는 유일하게 이 대회 톱(TOP) 7에 포함돼 내년 8월 결승을 치르게 됐다. KAIST 윤인수 교수는 세계적인 화이트 해커 출신 교수다. 글로벌 해킹 대회인 'DEF CON CTF(Capture the Flag)'에서 두 차례 우승하고 미국 해킹 대회인 'Pwn2Own 2020'에서 수상했다. 이번 챌린지는 참여 팀이 개발한 AI 기반의 사이버 추론 시스템(Cyber Reasoning system, 이하 CRS)을 겨뤘다. DARPA는 리눅스와 같은 실제 소프트웨어에 과거의 취약점이나 인위적인 취약점을 포함해 문제를 출제했다. 각 팀의 CRS는 이 소프트웨어를 자동으로 분석해 취약점을 식별하고 패치하는 작업을 수행했다. 이후 DARPA는 취약점 발견 개수 및 다양성, 패치의 정확성 등을 종합적으로 고려해 각 CRS를 평가했다. 전 세계 총 91개 팀이 등록하고 39개 팀이 참여했다. 윤인수 교수는 "'팀 애틀랜타'는 예선 문제로 출제된 소프트웨어인 'SQLite3'에서 출제자가 의도하지 않은 새로운 취약점을 발견했다"고 말했다. '팀 애틀랜타'는 이번 성과로 200만 달러의 연구비(한화 약 27억 원)를 지원받게 됐다.

2024.08.21 09:21박희범

삼성전자, 美 정부 주최 'AI 사이버 챌린지' 결선 진출

삼성전자는 미국 정부 주최로 2년에 걸쳐 진행되는 인공지능(AI) 보안 대회에서 최종 결선에 진출했다고 20일 밝혔다. 삼성전자와 국내외 대학이 연합한 '팀 애틀랜타(Team Atlanta)'는 최근 AI 보안기술 경진대회인 'AI 사이버 챌린지(AIxCC)'에서 최종 결선 7개 팀에 선정됐다. 연합팀은 삼성전자의 선행 연구개발조직인 삼성리서치와 조지아텍(Georgia Tech), 뉴욕대학교(NYU), 카이스트(KAIST), 포스텍(POSTECH) 등 세계 유수 대학의 연구원 30여 명으로 구성됐다. 'AI 사이버 챌린지'는 대규모 소프트웨어(SW) 시스템의 취약점을 찾고 개선하는 기술력을 경쟁하는 대회로, 교통·전력·의료 등 사회 기반 시스템의 안전을 위해 AI를 활용한 보안기술 개발을 촉진하자는 취지로 마련됐다. 미국 국방부 산하 연구기관인 국방고등연구계획국(DARPA)이 총 상금 2천만 달러 규모로 개최했다. 이 대회는 미국 사이버보안 콘퍼런스인 '데프콘(DEF CON)'과 연계해 진행된다. 삼성전자 연합팀은 지난 2023년 8월 대회 공지 이후 AI 보안 시스템을 개발해 제출하고 이달 9일부터 11일까지 미국 라스베이거스에서 열린 '데프콘 2024'에서 'AI 사이버 챌린지' 준결선을 통과했으며, 내년 8월 '데프콘 2025'에서 최종 결선에 참가할 예정이다. 연합팀은 결선 진출로 2백만 달러의 연구비를 확보했다. 삼성전자 연합팀은 이번 준결선에서 자체 개발한 AI 보안 시스템을 통해 대규모 SW의 보안 취약점을 자동 탐지하고 보안패치를 적용하는 기술력을 검증받았다. 특히 39개 참가팀 중 유일하게 주최측의 설정이 아닌 실제 SW 취약점까지 찾아내 대회 관계자들로부터 호평받았다. 사이버 공격의 빈도와 복잡성이 증가함에 따라, 보안 분야에서 AI 기술의 중요성이 강조되고 있다. 대량의 데이터를 학습한 AI는 새로운 데이터에서도 분석과 추론을 통해 보안 위협을 미리 감지하고 대응하는 데 효과적이다. 특히 생성형 AI는 SW 프로그램을 더 정확히 이해하고 다양한 형태의 보안 위협에 대응 가능해 보안 분야의 효율성을 크게 높일 수 있다. 삼성전자는 취약점을 탐지하고 보안패치를 자동화하는 AI 기술 연구를 통해 제품과 서비스의 신뢰도를 높여 경쟁력을 지속 강화할 계획이다. 연합팀을 이끈 김태수 삼성리서치 상무는 “AI 활용 방안을 다각화해 다양한 프로그래밍 언어와 취약점에 대응하는 연구에 집중하면서, 다가올 결선에 철저하게 대비하겠다”고 밝혔다.

2024.08.20 09:22장경윤

금보원 해커팀, 美 데프콘서 AI 보안 기술력 입증

한국 정부 소속 기술개발팀이 미국에서 글로벌 해커들 상대로 사이버보안 기술력을 입증했다. 금융보안원은 자체 화이트해커팀 '레드IRIS'가 미국 라스베이거스에서 열린 국제 해킹대회 '2024 데프콘(DEFCON CTF 32)'에서 최종 3위를 차지했다고 13일 밝혔다. 데프콘은 사이버보안 분야에서 가장 권위 있는 세계 보안 대회로 알려졌다. 참가자들은 레드IRIS와 산하 테크보드 소속이다. 이번 대회에서 미국 등 여러 국가 보안 전문가들로 구성된 국제연합팀(SuperDiceCode) 일원으로 참여해 해킹 실력을 선보였다. 이들은 금융권의 보안 수준을 한 단계 높이기 위해 다양한 업무를 수행하고 있다. 지난 2월 은행권 대상으로 블라인드 사이버 모의해킹 훈련을 수행했다. 3월에는 서드파티 솔루션을 이용한 공급망 공격기법을 해커 관점에서 심층 분석해 방어 대책을 포함한 보고서를 발간하기도 했다. 올해 데프콘에선 거대언어모델(LLM)을 활용한 문제가 출제되는 등 최신 트렌드인 인공지능(AI)이 핵심 주제로 나왔다. 실제 최근 AI 이용이 활성화되면서 안전한 AI 중요성을 인식한 글로벌 빅테크 기업들은 AI 전담 레드팀이나 퍼플팀을 구성하는 등 AI 위협 대응을 강화하는 추세다. 금보원도 금융권 AI 활성화에 발맞춰 신뢰할 수 있는 AI 활용을 지원하고자 AI를 대상으로 하는 악의적인 공격·방어 역량을 강화하고 있으며 인력 보강을 병행한다는 점을 밝혔다. 김철웅 금보원 원장은 "높은 전문성과 정보보호 역량 갖춘 직원들이 국제 해킹대회에서 우수한 성과를 거둬 금융보안 전담기관 위상을 높였다"며 "글로벌 이슈인 AI 보안 수준을 높일 수 있도록 AI 대상으로 기존 모의 공격과 방어 업무를 차질 없이 확대해 나갈 계획"이라고 말했다.

2024.08.13 16:33김미정

엔키화이트햇 해킹 팀 '오딘', 글로벌 해킹방어대회 '데프콘'서 실력 입증

오펜시브 보안 전문 기업 엔키화이트햇(대표 이성권) 해킹팀 '오딘(Odin)'이 글로벌 해킹방어대회 '데프콘(DEFCON) CTF32' 본선에서 실력을 과시했다. 데프콘은 올해 32회를 맞이한 세계 최대 규모 해킹대회다. 전세계 해커는 8월 9일부터 11일까지 미국 라스베이거스에 모였다. 엔키화이트햇 컨설팅팀, 사이버훈련센터, 연구팀 등 총 13명의 직원이 데프콘에 참여해 실력을 겨뤘다. 엔키화이트햇 직원들은 하입보이(HypeBoy), 수퍼다이스코드(SuperDiceCode), 콜드퓨전(Cold Fusion) 등 3개 팀으로 예선을 통과했다. 엔키화이트햇 컨설팅팀, 사이버훈련센터 연구팀 등 총 13명의 직원이 데프콘에 참여했다. 이번 대회에서 서명환 사이버훈련센터 센터장외 7명이 참여한 수퍼다이스코드가 3위, 하입보이로 참여한 차현수 팀장 외 3명이 8위에 올랐다. 엔키화이트햇은 오펜시브보안 전문기업으로 내부 인력 역량 강화를 위해 국내외 해킹대회 참여를 독려한다. 데프콘 등 글로벌 행사에서는 최신 해킹 기술과 보안 위협, 방어 전략이 공유된다. 다양한 워크샵과 강연, 실습 세션을 통해 실질적인 기술 습득이 가능하다. 엔키화이트햇 연구원들이 참여하는 CTF 등 대회에서는 다양한 사이버 보안 문제 해결 방식과 접근법을 시도하며 실전 경험을 쌓을 수 있다. 엔키화이트햇은 해커 관점에서 사이버 위협에 선제적으로 대응하는 '오펜시브 시큐리티 전문기업'이다. 엔키화이트햇은 사이버 보안 교육훈련과 침투테스트, 취약점 연구에 집중한다. 엔키화이트햇은 2016년 설립 후 꾸준히 사이버보안 인재양성에 관심을 가져오며 2019년부터 사이버공격방어대회 운영을 맡아왔다. 금융보안 위협분석 대회 FIESTA와 CODEGATE 국제해킹방어대회 운영 등 20회가 넘는 국내 해킹대회 경험을 보유하고 있다. 이성권 엔키화이트햇 대표는 “연구원들이 데프콘에 참여 최신 위협 동향을 파악하고 창의적인 방법으로 문제를 해결하는 경험을 축적한다"면서 “글로벌 대회에 참여해 자체 기술역량을 높이는 기회로 삼고 있다"고 말했다.

2024.08.12 17:14김인순