DEFCON 25 참가 후기 (Feat. OSINT)

DEFCON 25 참가 후기

이번 주에는 첫  DEFCON에 참가하였다. DEFCON은 올해로 25회째 개최 중이며 세계적인 해킹/보안 컨퍼런스 중 하나이다. 미국 Nevada주의 Las Vegas에서 진행이 되며 세계적인 규모의 컨퍼런스인 만큼 각 나라의 해커와 정보보호 전문가가 참석하여 여러 행사를 진행한다. 흥겨운 음악과 다양한 체험 존, Village 등을 운영하며 가벼운 분위기 속에서 진행이 된다.

DEFCON 25 Capture The Flag

DEFCON의 다양한 행사 중 하이라이트라고 할 수 있는 CTF (Capture The Flag)의 경우 전 세계의 유명한 해킹 팀들이 모여 실력을 겨루게 된다. 대표적으로 Carnegie Melon University의 PPP 팀, 고려대학교와 여러 국내 해커들이 연합한 DEFKOR가 있다. 25회의 경우에는 대한민국 팀이 무려 4팀이나 본선에 진출하게 되었다. 원래는 DEFCON에 참여할 생각이 없었으나, 4팀 중에서 Koreanbadass라는 연합 팀에 아는 지인이 많아 첫 해외 여행 겸 보안에 대한 시각을 넓혀보고자 참가하게 되었다.

DEFCON CTF 2017 : https://legitbs.net

앞서 말했다싶이 해외 여행이 처음이라 많이 걱정이 되었지만, 때마침 해외 컨퍼런스 발표를 정말 많이 다니시는 분과 같이 다니게 되어서 힘든 점은 없었다. 행사 장소는 미국의 Las Vegas로 대한 항공이나 아시아나 항공을 이용하게 되면 환승 없이 직항으로 갈 수 있다는 장점이 있지만 비용이 꽤나 발생하게 된다. 그래서 미국 항공사인 United Airline을 이용하게 되었다. 최근 사건 사고로 말이 많은 항공사였지만 불편함 없이 잘 이용했던 것 같다.

 

 

DEFCON 25 Badge (좌), DEFCON 24 Badge (우)

DEFCON에 참가하는 비용이 공짜라고 생각하고 계신 분들이 주변에 많았는데, 참가를 위해서는 260달러 가량 지불을 해야 한다. 본인은 여행 자금 사정상 지불을 하지 않았지만 지불을 하고 나면 통행증 (?)과 유사한 역할을 하는 뱃지를 획득할 수 있다. 작년에는 회로 기판에 기반한 멋진 뱃지였는데 왠지 아쉬움이 들었다. (아시는 분의 도움으로 빌려서 촬영한 것이다.)

DEFCON 25 BioHackng Village : https://www.defconbiohackingvillage.org

DEFCON 25 Voting Village : https://twitter.com/VotingVillageDC

DEFCON은 여러 주제를 테마로 잡아 각각의 Village를 운영하고 그에 대한 체험과 행사를 진행한다. 여러 Village가 존재하였지만 필자가 둘러 봤을 당시 가장 붐비는 Village는 BioHacking Village였다. 그중에서 의료기기 해킹과 관련해 해커톤이 열리는 곳이 있었는데 줄이 꽤 길어서 통행에 어려움을 겪을 정도 였다. 이외에도 Voting Village라고 하여 투표 기기와 관련된 해킹을 진행하는 곳이 있었는데 하루도 채 지나지 않아 기기가 해킹되어 국내외로 많은 화제가 되었다. (작년 Challenge에 대해서는 조만간 풀이하도록 하겠다.)

DEFCON 25 RECON Village : http://reconvillage.org

DEFCON 25 OSINT CTF : https://ctf.reconvillage.org

DEFCON 24 Forensic Challenge :  http://preview.tinyurl.com/jqzvg6v

많은 Village를 탐방하던 도중에 문득 Digital Forensic이나 Incident Response와 관련된 Village과 없다는 점에서 아쉬움을 느꼈다. 그러나 DEFCON이라는 행사 자체가 "Hacking"에 초점을 둔 행사인만큼 감안을 하였다. 하지만 2016년에는 작은 Challenge 형태로 Digital Forensic CTF가 진행된 경우가 있어서 약간의 기대가 있는 상황이었다. 그러던 와중 RECON Village의 포스터를 보게 되었다.

DEFCON 25 RECON Village Schedule : http://reconvillage.org/talks-schedule/

RECON Village라는 곳에서는 주로 Open Source Intelligence (이하 OSINT)와 관련된 내용으로 CTF와 여러 발표들을 진행하고 있었다. OSINT에 대한 강의나 여러 연구자료들을 한 번씩은 본 적이 있으며 DFIR (Digital Forensic & Incident Response)와 연계된 주제가 많았다는 점에서 나의 관심을 많이 끌었다. 이번 글에서는 내가 들었던 주제 몇 가지에 대해 간략하게 후기를 작성해보고자 한다. (발표자료를 촬영하였으나 민감한 부분이 많아 공유하기 힘든 점은 양해를 바란다.)

1. Skip tracing for fun and profit - Rhett Greenhagen : https://www.linkedin.com/in/greenhagen/

RECON Village 세션에서 가장 흥미로웠던 발표라고 할 수 있다. 발표자는 정보 기관이나 군사 기관에서 위협 관리, 증거 수집 등 다양한 업무를 진행해온 전문가로써 자기가 어떻게 이런 일을 하기까지 성장을 해왔는지, 이런 연구를 시작하게 된 계기에 대해서 가벼운 분위기 속에서 설명을 하였다. 그 이후로 자기가 해당 발표에서 사용한 도구에 대해서 소개하였는데, 몇 주전 참가했던 FIOS (Forensic Insight Open Seminar) 에서 발표된 "OSINT 서비스 톺아보기" 에 나왔던 도구가 상당 수 등장하여 흥미로웠다. (물론 그중에서 유료 도구도 있었지만..) 뒤이어 소개하였던 다양한 Open Source 도구와 더불어 Social Engineering을 활용해 범죄자에 대한 거취와 소셜 네트워크를 특정해내는 사례들을 소개해주었다. 그리고 해당 방식과 같은 추적으로 부터 피하기 위한 방안 또한 설명을 해주었다. 인상 깊었던 점은 단순히 구글링이나 네트워크 상의 데이터를 수집해 잘 가공하는 것이 OSINT의 대부분이라고 생각해왔는데 다양한 OSINT 방법과 도구, 시각화 방법 등을 알 수 있었다는 점이었다.

FIOS - OSINT 서비스 톺아보기 (JG)  :  http://forensicinsight.org/fios/

Steam Works Artifact (Donghyun Kim) : https://www.slideshare.net/ssuser54d290/steam-works-artifact-60513737

또한 1-2년 전에 Steam과 같은 전 세계의 사람들이 사용하는 대규모 Game Platform에 대한 Forensic은 현실의 여러 제약 조건을 벗어나 다양한 정보를 획득 할 수 있을 것이라는 내용으로 Steam Works Artifact에 대해 고등학교 때 동아리에서 발표한 적이 있다. 완벽히 동일하지는 않았지만 해당 발표에서 범죄자가 Steam Game Platform에 상당 시간 활동을 하였다는 점에서 Game Platform과 Game에 직접 접속해 조사를 시도한 사례가 존재했는데, 나와 유사한 생각을 통해 증거나 흔적을 찾아내려는 시도에 대해서 상당히 놀라웠다. (참고로 범죄자의 게임 내 직업은 힐러였다고 한다..)

2. How to obtain 100 Facebooks accounts per day through internet searches - Guillermo & Yael

두번째로는 인터넷 검색을 통해 접근할 수 있는 Facebook의 취약점에 대한 발표였다. 흔히들 Facebook을 사용하다보면 제 3자의 컨텐츠에 접근 할 시 다른 링크를 경유하여 원하는 정보에 접근하는 경우가 종종 있는데 이때 Facebook은 보안 정책 상의 이유로 본인이 해당 컨텐츠에 접근하려는게 맞는지 검증을 하게 된다. 그때 검증을 하는 URL에 사용자의 세션과 관련된 Cookie나 API Key가 포함이 되있다. 이렇게 되면 해당 URL을 이용해서 특정 사용자의 Facebook에 대한 Session Hijacking이 가능해진다는 것이 주요한 내용이었다.

물론 모두가 이러한 URL은 페이지에 접근하기 위한 임시적으로 생성된 URL이거나 Private한 URL이라고 생각하지만 실제로는 Google을 통해서 접근이 가능하다는 것이었다. "API", "Session"과 같은 주요한 키워드를 위주로 구글링을 한 다음 URL에서 얻어낸 여러 중요 정보들을 활용하여 원하는 사용자의 Facebook 계정을 탈취할 수 있게 된다. 시연된 바로는 실제로 계정을 탈취할 경우 일반 계정과 다를 바 없이, 원하는 글을 업로드하거나 게시물을 공유하는 것이 가능해진다.

Google Hacking Database (GDHB) - Exploit DB : https://www.exploit-db.com/google-hacking-database/

실제로 이와 유사한 사례로써 무선 AP나 CCTV, 사회 중요 시설의 관리자 페이지가 무방비로 웹 페이지 상에 유출되어 해킹의 위협을 받거나, 해킹 당하는 사례가 많다. 그러한 사이트를 찾아 내기 위해 "admin.php", "login.php"와 같은 키워드를 위주로 구글 해킹이 많이 진행되고 있으며 Facebook 또한 유사한 사례로 취약점이 발견 된 것이다. 물론 해당 취약점은 Patch가 되었고 발표자는 Credit과 명예의 전당에 이름을 올릴 수 있었다고 한다. OSINT는 말 그대로 공개된 출처에서 얻은 중요 정보들인데, 이러한 정보들을 이용해서 단순히 Investigate나 Threat 관련 분야에 활용함과 동시에 Hacking과 Vulnerability와 관련해서도 사용될 수도 있다는 점에서 개인적으로 신선했던 주제였다.

3. OSINT Tactics at Source Code & Developers - Simon Roses

마지막으로 들었던 발표는 Github에 Source Code가 공개된 Program을 대표적으로 여러 프로그램들과 개발자에 대한 OSINT를 진행하는 것이었다. Source Code에서 개발자의 감정을 찾을 수 있다는 약간 유머스러운 내용도 포함되어 있어 지루하지 않게 들을 수 있었던 것 같다. 대부분의 개발자들은 자신의 코드를 공유하고 Github에 업로드하여 여러 Comment나 Issue를 받기를 원한다는 특성을 이용한 것으로, 개발자들은 원활한 개발을 위해 개발 당시에 API의 Private Key나 API 사용 및 여러 기능의 QA를 위해 계정 정보나 중요 정보를 Code에 Write한 상태로 개발을 진행하게 되는 경우가 많다. 대부분은 최종 Release 단계에서 Code Review를 통해 정보가 제거 되어서 Commit이나 Release 되는 경우가 많은데 가끔 실수로 해당 데이터를 유지한 채 웹 상에 공개되는 경우가 많다는 것이다.

또한 Source Code를 살펴보게 되면 감정과 관련된 여러 키워드를 심심치 않게 찾아 볼 수 있는데 (Happy, Shit, Sad 등등) 해당 키워드들의 빈도수를 Source Code에서 분석하게 되면 개발 당시 개발자의 감정을 파악할 수 있다고 하였다. 대표적으로 Linux의 Source Code를 대상으로 OSINT를 해본 결과, 특정 버전이 Release 되면서 Source Code에 욕설의 빈도가 늘어났고 이를 통해 개발자가 해당 버전을 Release 함에 있어 많은 스트레스를 받았음을 추정할 수 있다는 것이었다.

Gitrob - Michael Henriksen :  http://michenriksen.com/blog/gitrob-putting-the-open-source-in-osint/

이렇듯이 개발자와 Source Code에 대한 OSINT로도 흥미로운 결과를 볼 수 있으며, 운이 좋을 때는 개발자의 중요 정보 또한 습득이 가능하다. 이러한 과정을 자동화하고 GUI로 편리하게 관리 할 수 있도록 한 도구가 Gitrob라는 도구이다. 실제로 사용해보지는 못했지만, Source Code를 통해 개발자의 감정과 개인정보를 추출한다는 발상 자체가 놀라웠고, 개인적으로 적절한 데이터 분석 능력과 딥러닝에 대한 지식이 있다면 연계를 통해 더 재밌는 결과를 볼 수 있을 것이라 기대하는 바이다.

DEFCON 25 Vendor Shop - Sell to Digital Forensic Book

세션을 다 듣고나서는 시간 상 많은 발표를 들을 수 없었다는 점이 아쉬웠다. 분명 하나하나 가볍고 흥미있는 소재로 시작하지만, 절대 그 깊이가 얕지 않고 발표자의 경험과 노고가 많이 들어가 있음을 느낄 수 있는 발표들이었다. DEFCON이라는 행사 자체가 이런 OSINT, DFIR과 관련한 요소가 분명히 적어 발표의 규모나 컨텐츠의 부족함에서 아쉬울 수는 있지만 Forensic과 관련한 요소가 간간히 보이는 만큼 앞으로 점점 발전할 수 있을 것이라 기대한다.

마지막으로, 분명 하루 아침에 많은 것을 알 수는 없을 것이다. 하지만 DEFCON이라는 세계적이라는 컨퍼런스에 참여함으로써 세계의 넓음과 다양한 분야의 Trend에 대해 맛을 보고 다양한 사람들의 관점을 배울 수 있었다는 점에서 성공적인 참여라고 생각한다. 추후에 참여할 기회가 생긴다면 다시 한 번 미국으로 갈 마음이 있고, 다시 방문할 때에는 DEFCON에서도 DFIR 컨텐츠를 더 많이 만날 수 있기를 바라는 바이다.