클릭 몇 번에 뻥 뚫린 보안… 스마트폰 해킹시연 직접 봤더니

입력: 2017-11-09 16:14 이경탁 기자

폰트

국제 해킹 보안 콘퍼런스 POC
갤럭시S6·S7 등 공격시연 눈길

SNT웍스의 블로본 취약점을 활용한 갤럭시S7 해킹 결과를 보여주는 화면. 해커의 컴퓨터를 통해 스마트폰의 각종 정보를 열어볼 수 있다. 삼성은 관련 취약점은 모두 조치했다.

해커의 클릭 몇 번에 스마트폰이 무장해제될 수 있을까. 이를 실제 확인하는 자리가 마련됐다.

9일 서울 양재동 더케이호텔에서 열린 '12회 국제 해킹 보안 콘퍼런스 POC'에서 대만 정부가 후원하는 해커팀 '히트콘(HITCON)' 멤버인 제프 차오가 삼성전자 '갤럭시S6' 해킹시연을, 국내 보안업체 SNT웍스 소속 박찬웅 씨는 삼성 '갤럭시S7', 구글 '넥서스 6P'에 대한 '블루본' 공격 시연을 펼쳤다.

제프 차오는 삼성 모바일 보안솔루션 '녹스(KNOX)' 취약점을 설명하며 갤럭시 S6를 장악하는 과정을 공개했다. CVE-2016-3861, CVE-2016-5195 등의 취약점을 통해 갤럭시 S6를 마음대로 조정하고 노트북을 통해 스마트폰 화면을 실시간 감시했다.

SNT웍스의 블루본 취약점을 통한 갤럭시S7 해킹에도 참관객들의 관심이 집중됐다. 블루본은 블루투스 보안 취약성을 악용하는 것으로, 블루투스가 활성화된 거의 모든 종류의 기기를 공격할 수 있다. 음성인식 디바이스인 '누구'도 이 공격의 대상이 될 수 있다. 특히 워너크라이 랜섬웨어와 같은 '웜' 속성을 가지고 있어 취약한 호스트를 탐색하고, 감염된 기기는 연쇄적으로 다른 기기를 감염시킨다.

박찬웅 씨는 CVE-2017-0781 ,0782, 0785 등의 취약점을 통해 해킹을 진행, 내부 개인정보(사진, 연락처 등)를 손쉽게 열었다. 그는 "현재 삼성에서 관련 취약점은 모두 조치한 상태지만, 패치가 안된 스마트폰은 블루투스만 켜놔도 모두 해킹에 노출될 수 있다"고 말했다. 이 행사는 10일까지 열리며, 10일에는 중국 텐센트 보안팀 연구원이 아이폰 최신 버전 완전 해킹 시연을 할 예정이다.

이경탁기자 kt87@dt.co.kr

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

클릭 몇 번에 뻥 뚫린 보안… 스마트폰 해킹시연 직접 봤더니

이 시간 핫클릭

핫 이슈!