원래 컨퍼런스를 가게 되면 프로그램 발표보다 사람들 만나다 오는 것이 일이었는데, 이번 컨퍼런스에서는 관심이 많이 가는 발표가 많았던 지라 태어 나서 2번째로 개인 비용을 써 가며 컨퍼런스를 갔다 왔습니다. 들었던 발표들에 대한 소감을 얘기해 보겠습니다.


세그웨이 나인봇(SEGWAY Ninebot) 분석기 / 박민준, 정윤종, 박철준, 조정열 연구원 (KAIST)

지금까지 있어 왔던 해킹/보안 기법이 IoT 분야라고 해서 크게 다르게 접근하는 것은 아닙니다. 다만 기존에는 Well-Known Platform(windows, linux, ios, android 등등)이어서 특정 OS에 대한 지식이 필요하면 분석에 강점이 있었지만, 이제는 다양한 fireware 환경을 알고 있어야 한다는 점(분석가 입장에서)이 장점이자 단점으로 인식되어 질 수 있겠습니다. Platform을 타지 않는 것으로 역시 네트워크 취약점 분석이 짱짱짱! 이번 발표에서도 네트워크 기반의 취약점을 설명해 주었는데요, bluetooth 기반의 통신 내용을 분석하고 거기에 취약점을 알아 내어 공격하는 방식이 설명되었습니다. 뭐랄까... 듣고 나서 좀 허탈(?)한 취약점이라고 해야 하나요? 앞으로 IoT에 대한 취약점들이 점점 더 확산되어 질 거라는 예상이 들었습니다. 역시나 중요한 것은 기본 중의 기본. Secure Programming의 중요성을 한번 더 느끼게 된 발표였습니다. #ubertooth사고싶어요


지금 모두에게 필요한 IoT 보안기술(부제: 무선 환경에서의 IoT 취약점 점검방안) / 정현철 대표 (NORMA)

국내에서 wireless monitor mode 기술을 기반으로 사업을 하는 업체 중의 하나로 많은 관심이 있었습니다. 발표 내용은 기술 중심이라기 보다는 일반인들이 알기 쉬운 내용으로 발표가 진행되었습니다. 백화점 패킷을 어떻게 떴는지 구체적으로 물어 보고 싶었는데, 아마도 태블릿(AtEar)으로 작업을 하였을 거라는 예상을... 저도 하루 빨리 노트북 기반에서 Raspberry Pi의 범용 무선 패킷 수집기를 만들어야 겠다는 생각이 들었습니다.


IoT 디바이스 보안 취약점 정보 검색 및 공유 기술 / 김태은 선임 (KISA)

음... 뭐랄까 한국형 쇼단? 그러면서도 기존 쇼단과는 다르게 KISA 특유의 뭔가의 아이템을 추가하고 구현하겠다는 로드맵을 얘기하는 자리였습니다. IP scan, Port scan, CVE 정보 수집 뿐만 아니라 일반 블로그나 웹사이트에서도 취약점 정보를 수집하겠다는 하였는데, IP scan이나 Port scan은 몸빵으로 해결해야 할 것이라는 것은 잘 아는 것 같고, CVE 정보는 특정 웹사이트 분석만 제대로 구현할 수 있겠지만, 블로그나 웹사이트에서 취약점 정보를 수집하겠다? 글쎄요.. 가능은 하겠지만 그러한 솔루션의 유지 보수는? 이게 사실 어려운 것인데 말이죠. 네이버나 다음이나 특정 웹 사이트에서 해당 정보를 긁어 오는 Web Robot을 만드는 것은 문제가 안되지만, 사이트의 확장성과 그러한 것들을 계속해서 유지 보수하는 것은 정말 힘든 일이거든요. 한가지에 집중하지 못하고 이것 저것 손대어 보겠다라는 느낌이 들었습니다. 그리고 솔루션을 오픈 소스로 공개를 한다는 얘기인지, 자체적으로 서비스를 하겠다는 얘기인지 아니면 솔루션을 특정 기관이나 업체에 제공하겠다는 건지도 애매모호하게 타게팅도 아직 안되어 있는 것 같구요. 어느 하나라도 제대로 행동으로 옮겨 질 수 있을까 하는 걱정이 들었습니다.

뭐랄까, 딱 국가 지원 사업 프로젝트 색깔이 나는 아이템? 수집 행위에 대한 불법 여부의 질문도 나오고. 결론적으로 국내 정서로는 아무래도 힘들 것 같지만서도 그래도 잘 되었으면 하는 바램.


IoTcube를 활용한 오픈소스 보안 취약점 패치 사례 / 서주영 전문위원 (Google Korea)

강연 도중 coverity를 아느냐는 발표자의 질문에 손을 들려고 했다가 내렸습니다. 예전 회사를 다닐 때 들어 본 서비스(사이트)였거든요. 그런데 그때와의 차이점이라면 뭐랄까, 회사에서 코딩을 잘 모르는(ISMS 인증 관련 일을 하던) Manager 부서 직원이 개발자를 대상으로 coverity 발표를 할 때 들었던 느낌은 '아 내가 만든 소스를 믿지 못해서 회사에서 이런 거 알려 주나?'라는 삐딱한 생각이 들었었는데,  본 컨퍼런스에서 발표자의 얘기를 들으니 '와~ 앞으로 여기 자주 활용해야 겠다'라는 완전 다른 느낌. 역시 대충 아는 상태에서의 의무적인 분위기에서 발표하는 것보다는 오랜 시간동안 그것을 사용해 본 사람으로부터의 발표가 제대로 된 지식의 절달이 될 수 있다는 것을 느낄 수 있었습니다.

저는 하루에 단 한번이라도 wireshark를 돌려 보지 않으면 입에 가시가 돋힌다고 생각하는데, 발표자 분도 똑같이 하루에 한번이라도 coverity를 돌리지 않으면 입에 가시가 돋히는 스타일인 것 같아요.  #존경존경 #티셔츠감사합니다^^ 


공모전 주최 소감 / 강대명 전문위원IoTcube 연구결과

'앞으로 위원 같은 것은 하지 말아야 겠다'라는 생각이 들었습니다. 과연 내가 누구를 평가할 수 있는 자격이 될까 하는 자괴감만... ㅠㅠ


공모전 우수작 발표 (대상, 최우수상, 기여상)

처음 발표 제목만 들었을 때에 느꼈던 건  https://www.ssllabs.com 보다 어떠한 장점이 있을까 의구심이 들었었는데, TLS 프로토콜 취약점 발표를 들으면서 '완전 삽질'의 느낌이(좋은 의미임)... 들었고 네이버가 이런 사람을 이런 삽질을 하는 사람들을 많이 포용하고 있다는 긍정적인 생각이 들었습니다. 바라건데, 앞으로 더 삽질(?)을 더 많이 해서 훌륭한 솔루션이 나와 줬으면 좋겠습니다.


경품 추첨 및 폐회

역시 난 뽑기 운이 없어... -_-;


ps : IoTcube 트레이닝 트랙에서는 아는 사람들이 많은 발표를 하였었는데 직접 듣지 못해서 안타까워요. ㅠㅠ

You would..