테크레시피

해킹 대회 3일간 취약점 6회 털린 윈도11

지난 5월 18일부터 20일까지 열린 해킹 콘테스트 Pwn2Own 2022에서 윈도11과 우분투, 테슬라 자동차 시스템 보안이 차례로 깨지며 그동안 발견되지 않았던 취약성이 밝혀졌다고 한다.

Pwn2Own이란 트렌드마이크로가 운영하는 취약성 발견 커뮤니티(Zero Day Initiative)가 주최하는 콘퍼런스. 참가자는 상금 획득을 목표로 브라우저와 서버, 운영체제 특권 승격이나 자동차 등 다양한 분야 취약성 특정에 도전한다. 캐나다 밴쿠버 회장과 온라인을 통해 열린 이번 대회에선 17개 참가팀이 115만 5,000달러 상금을 획득했다.

3일간 콘테스트 중 첫 날에는 2개 참가팀이 윈도11을 대상으로 한 해킹에 성공했다. 발견된 첫 번째 버그는 한 사용자(Marcin Wiązowski)가 발견한 윈도11에서 범위 외 기입이 가능한 특권 승격 결함. 2번째는 싱가포르 보안 기업 스타랩(STAR Labs) 관계자가 발견한 UAF(Use-After-Free) 공격으로 이어지는 특권 승격이다. 2일째에는 한 참가자(T0)가 특권 승격으로 이어지는 부적절한 액세스 제어 버그를 특정했다.

3일째에는 vinhthp1712, 베트남 보안 기업(Viettel Cyber ​​Security), 프랑스 보안 기업(REverse Tactics) 관계자 3명이 역시 윈도11 특권 승격에 성공했다. 윈도11은 3일간 6번이나 문제가 발견된 것. 또 윈도11과 함께 권한 승격을 주제로 한 데스크톱용 우분투도 3일간 취약점 4회가 확인됐다.

자동차 부문에선 2일째 프랑스 보안 기업(Synacktiv) 관계자가 테슬라 모델3에서 2가지 버그를 발견했다. 과거 대회에서 상품이던 모델3 실차는 선물되지 않았지만 모델3을 여유있게 살 수 있는 7만 5,000달러 상금을 받았다.

우승자는 윈도11 버그 뿐 아니라 일반 제품 부문에서 마이크로소프트 팀즈 버그 등을 복수 특정해 27만 달러 상금을 획득한 스타랩스였다. 상금 15만 달러가 수여된 2∼4위에는 마이크로소프트 팀즈에서 중요한 버그를 발견한 이들과 브라우저 부문에서 모질라 파이어폭스나 애플 사파리 버그를 발견한 참가자 등이 나란히 이름을 올렸다. 관련 내용은 이곳에서 확인할 수 있다.

이원영 기자

컴퓨터 전문 월간지인 편집장을 지내고 가격비교쇼핑몰 다나와를 거치며 인터넷 비즈니스 기획 관련 업무를 두루 섭렵했다. 현재는 디지털 IT에 아날로그 감성을 접목해 수작업으로 마우스 패드를 제작 · 판매하는 상상공작소(www.glasspad.co.kr)를 직접 운영하고 있다. 동시에 IT와 기술의 새로운 만남을 즐기는 마음으로 칼럼니스트로도 활동 중이다.

뉴스레터 구독