Broken Code (window31)

코드게이트 2009 다녀왔습니다.
모든 세션을 다 못본지라... 본것만 간단히 후기만 작성해 보겠습니다.

일단 세션 소개... (except of 시상식)

session 1
Embedded Systems Security - Ryan Clarke (美 UAT 대학 교수)
Reverse Engineering made easier (Binary static Analysis) - Alex Radocea (美 RPJ)
The Current Realities of Cyber Warfare and Cyber Espionage - Eli Jellenc(美 iDefense)
XP/S2K3/Vista/Win7 bugs help malware to survive - Kris Kaspersky (McAfee)

session 2
사이버 보안 국제 표준화 동향 - 염흥열 (순천향대 교수)
Online Game Security (Overview & Game BOT Detection) - 김휘강 (NCSoft 보안실장)
Current Issue of the security and Information management - 임종인 (고려대 교수)
인증서 보안 - 김우현 (서강대)

http://www.codegate.org/Front/Conference/?CodeFlag=0001

제가 본건 Kris Kaspersky 의 XP/S2K3/Vista/Win7 bugs help malware to survive 와
김휘강 실장님의 Online Game Security (Overview & Game BOT Detection) 였습니다.
다른것도 관심이 있는것이 있었지만, 세션이 겹쳐서 못 들었거나 아님 밖에서 노느라
못 들었거나 뭐 그런 거 같네요 :)  따라서 그 두개만 후기를 작성해 보겠습니다.

Online Game Security (Overview & Game BOT Detection)
- 김휘강 (NCSoft 보안실장)

저는 김휘강 실장님의 강연을 매우 좋아합니다. 이미 보안계의 거장이라는 사실은
제쳐두고서라도 정말 이분은 정말 국내에 몇 안되는 글쟁이 연설쟁이 입니다. 이분은 항상
페이스를 놓치지 않는 그 발표 태도가 정말 존경스러운 것 같습니다. 보통은 발표에 몰입하게
되면 흥분도 하게되고 속도도 빨라지게 되는데, 이분은 언제 어디서 어떤 내용을 풀어주시던
간에 흥분하시는 일이 없고 항상 적당한 간격을 유지하는 진행능력이 참 대단하다고
생각합니다. 그리고 원론적인 내용이나 일반적인 상식들도 지겹지 않게 각종 잇슈를 잘
풀어헤쳐주시는 스타일이라고 생각됩니다.

이번 발표는, 말 그대로 Overview. 좀더 나아가서는 게임회사의 보안 담당자들이
어떤 일을 하고 있는지 총괄 정리한 내용으로 생각해도 좋을 것 같습니다. 깊숙히 들어가지
않은 부분도 있지만 웬만한 몸통이나 굵은 가지는 다 다룬 것 같네요. 특히나 마음에 들었던
것이 바로 그 분류 방법입니다. 게임 보안이라는 분야... 보안 업계에서도 약간 희귀성과
특이성을 가진 이 분야에 있어 사실 저는 지금까지의 분류방법이 너무도 맘에 들지 않았습니다.

왜냐하면, 너무 엿장수 마음대로 였거든요. 게임에서 계정 해킹을 막는 것만을 게임 보안이라고
하질 않나, 게임 보안솔루션만을 게임 보안이라고 하질 않나, 아니면 게임회사에서 그냥
일반적인 보안하는 사람들도 게임보안 한다고 하질 않나 등등 신문기사에 다루어진 내용이나,
아님 좀 안다는 사람들이 풀어헤친 칼럼을 봐도 그 개념이 정말 중구난방입니다. 솔직히 화가 날
정도로 니들 마음대로 분류했다고 생각합니다.

하지만 이번 김휘강 실장의 강연은 게임보안을 3가지로 분류했습니다.

-Information security for online game publisher and studios information assets
  (servers, network, DB and applications)
-Security process or systems for online game users
-Security process or systems for online game client and server programs

첫번째 내용은 굳이 게임회사 아니더라도 인터넷 서비스나 온라인 서비스 등을 하고
있는 회사라면 어디든 해당되는 공통되는 사항입니다. 그리고 두번째는 게임 유저들을
위한 보안, 키보드 보안 솔루션을 설치해준다거나 OTP를 제공하는 등 역시 게임회사의
특징일 수도 있겠지만, 은행이나 포털 등도 같은 범주에 들어가기도 하는 내용입니다. 그리고
세번째는 게임만의 특징이겠죠. 서버와 클라이언트에 해킹 방지를 위한 시큐리티 코드를 넣는
작업을 말합니다. 정말 딱 부러지는 분류네요 :)

이런 분류를 통해 타 보안 영역과 겹치는 내용, 그리고 게임 쪽에 특화된 내용을 나누어서
다룸으로써 개념에 대한 항목을 명확하게 한 것 같아서 아주 좋았습니다. 나중에 누가
게임보안에 대해 물어보면 저걸 긁어주고 싶네요. 어쨌든 각 항목에 대한 기본적인 상식에서
부터 좀더 실제사례까지 들어가면서 필요한 보안 처리들이나 왜 해커들이 이쪽을 공격하는지
단계별로 서술, 그리고 대응해야 될 방법에 대해 설명이 이루어졌습니다. DOS등의 IDC 공격,
직원 PC 공격, OTP 사례나 BOT, 사설서버를 차단하는 대응노하우 등이 부가적인 내용으로
꾸며졌던 것 같습니다. 아주 크리티컬하고 상세한 기술 노하우 등이 공개되진 않았지만,
게임회사의 보안담당자들이 어떤 일을 어떻게 하고 있는지 그리고 게임 보안 업무에서
전반적으로 다루고 있는 것들을 종합적으로 잘 정리한 내용이었다고 생각됩니다.

저도 회사 업무로 사설서버 차단 기능을 계속 개발하고 있는 관계로, 개인적으로는 사설서버를
차단하는 방법이 발표내용 중에 가장 흥미를 끌었습니다만 역시 어느 회사나 사설서버 차단
알고리즘은 발표내용 시에 언급했던 대로 top secret 에 속하는 지라, 아주 획기적인 내용이
공개되진 않았지만(뭐 워낙 이쪽에 정석적인 대책이 없다보니) 그래도 기본적인 내용과 힌트,
혹은 뉴 아이디어 같은 내용이 다루어지면서 재미있는 발상과 새로운 몇가지를 얻어낼 수 있어
개인적으로는 아주 좋았습니다.


XP/S2K3/Vista/Win7 bugs help malware to survive
- Kris Kaspersky (McAfee)

Reverse Engineering 으로 유명한 Kris Kaspersky 의 malware 발표 입니다.
러시아 사람이고 지금은 맥아피에서 일하고 있으며, 수많은 보안서적을 집필했으나
영어로 번역된것은(=우리나라에 알려진 것은) 6종 정도 라고 하네요.
아마 아래 3권 정도는 웬만하신 분들은 다 한번쯤 들어보신 책일겁니다.
(나머지 3권은 저도 뭔지 모르겠네요 :p )

Hacker Debugging Uncovered
Hacker Disassembling Uncovered
Shellcoder's Programming Uncovered

주제는 각 플랫폼 버그가 악성코드를 활개치게 하는데 영향을 준다는 것이었지만
실제로 제가 체감하기에는 제목과는 느낌이 좀 달랐습니다. 크게 두 가지를 다루었다고 할까요.
첫번째는 CreateRemoteThread 로 DLL 없이 코드만 풀어넣은 스레드 넘들을 감지하는 방법
그리고 두번째는 Entry Point 를 속이는 기법입니다. 즉 TLS Callback 의 시뮬레이트라고나
할까요. 암튼 흥미로운 방법이었습니다.

그런데 통역이.....으 전 처음에 러시아어로 말하는 줄 알았는데 알고보니 이게 러시어가 아니고
러시아 발음이 지독하게 섞인 영어더라고요 -_- 그리고 카스퍼스키의 말하는 속도가 장난이
아니었습니다. 당연히 통역자는 전혀 따라가지 못했고요, 중간에 진행자가 5분 간격으로 두번이나
무대로 올라와서 귓속말로 "slow down...ㅜㅜ" 를 외쳤으나 한 1~2분 말이 느려졌을 뿐, 다시
다다다다다다~ 달리는 바람에 통역자가 한 20분 통역했나? (그 20분중 내용의 20%도 전달되지
못했음) 그 후부터는 통역자가 포기하는 바람에, 후반 40여분은 그냥 통역 없이 청중들은
얼빵한 표정으로 카스퍼스키의 기관포 연설을 멍하니 들을 수밖에 없었죠 :)

그리고 카스퍼스키의 발표가 2시간 예정이었는데, 당당히 1시간만 하고 끝낸 겁니다 ㅋ 진행자들은
캐당황했고요 얼른 무대로 올라가서 뭔가 샤바샤바 하더니 조금 더 하기로 했습니다 :p 근데
과정이 좀 웃겨요 그사람들의 귓속말 상황을 제가 당시 느낀 뉘앙스.

진행자 : "헉... 이렇게 일찍 끝내시면 어떡해요! 다른거라도 좀더 보여주세요"
카스퍼스키 : "별로 보여줄게 없는데여..."
진행자 : "그래도! 아직 1시간이나 남았어요!"
카스퍼스키 : "따로 또 준비한게 없어요."
진행자 : "아 그럼... 방금 했던거 통역이 제대로 안되서 그러니... 그거라도 한번 더 재탕
             해주세여...ㅠㅠ  통역은 이런식으로 합시다. 당신이 러시아어 섞인 영어로 말하면,
             그래도 그거라도 대충 알아들을 수 있는 Ryan Clarke (첫번째 발표자. 미국인)가 다시
             한번 깔끔한 영어로 말하고요 우리 한국인 여자 통역자가 그걸 다시 통역하는 방법으로"
카스퍼스키 : "뭐 그렇게 합시다"
진행자 "그럼 ㄱㄱㅆ"

그리고 진행자는 이렇게 말했습니다.
"아 통역이 말끔하지 못했으니 Ryan Clarke 가 통역을 도와주는 방법으로 30여분간 다시한번
중요한 부분만 짚어서 정리하도록 하겠습니다."

ㅎㅎ 그렇게 해서 20~30여분간 한번 더 재탕했죠... 재탕하면서 자료를 좀 보니 이제 뭔 내용인지
쵸큼 알겠더군요. 그런데 그 여자 통역분에게는 죄송한 소리지만 그냥 통역은 없어도 될듯...
실제로 발표자가 아무리 깔끔한 영어로 스피킹을 해도, 지금의 통역자 수준으로는 그걸 전혀
소화하지 못하는 것 같습니다. 예를 들면 이런 부분이 있었습니다.

카스퍼스키 : "지금 이 프로그램은 일단 콘솔로 만들었다. 하지만 뭐 필요하면 UI 로 만들수도 있다."

이런 내용은 발표의 알맹이와는 전혀 상관없이 그냥 발표자가 흘러가는 한마디로 한번씩 하는
말입니다. 하지만 통역자의 입장에선 뭔가 발표가의 말을 계속 전해야 되고, 다른 어려운 용어가
섞인 말은 대체 뭔지 모르겠고, 아 이번에 뭔가 들리는 단순한 내용이 나왔다. 그럼 이거라도
전달하자... 뭐 대략 이런 입장이기 때문에 들리는 그대로 통역합니다.
그래서 이런 문장이 되었습니다.

통역자 : "이 프로그램은 화면이 없습니다. 하지만 이미지가 있을 수도 있습니다."

직역이 아니고 그냥 순수하게 통역만을 하게 되는 것이죠. 그리고 중요한 문장은 넘어가고 저런
것들만 골라서 통역하게 되면, 듣는 사람이 관련 내용에 기반 지식이 없는 한 완전히 삼천포로
빠지는 얘기만 듣게 됩니다. 통역하시는 분들 힘드신건 알겠지만 교육 좀 받은 사람으로 썼으면
좋겠네요.

어쨌든 카스퍼스키의 발표는 좀 알아먹기 힘들었고요, 나중에 발표 자료를 보면서 대충 무슨
내용인지 쵸큼 눈치를 챌 정도였는데 입장시에 준 발표 데이터 CD 안에 카스퍼스키가 사용한 예제
코드와 뭐 그런것 까지 있었으면 좀더 쉽게 알 수 있었을텐데 그런 아쉬움이 남네요. 이번에
카스퍼스키가 한국에 온다고 해서 기대하시는 분들이 엄청 많았는데, 그래도 이런 기념비적인
발표이니 만큼, 대략 한번 제가 관련 자료를 한국어로 만들어서 기회가 되면 블로그에 올려
보겠습니다 (발표에 사용된 코드까지 한번 만들어 보겠습니다... 못하면 말구요 ㅋ )

마지막으로 여담이지만, 카스퍼스키도 사람이 좀 독특한, 재미있는 사람인 것 같습니다.
위트가 섞인 표현을 많이 쓰던데요 예를 들어보자면.

- Windows 는 항상 버그가 발생하는 OS 라는 얘기를 하면서
old joke : another day - another bug. some get fixed in a few weeks,
some live forever.

- 보이는 Entry point 가 전부가 아니라면서
darkness underneath the lamp-stand

- 악성코드가 EP 를 이런식으로 바꿔대는 짓을 해대면 안티바이러스 개발자는 이런걸 찾는
기능을 또 만들어야 하는 고통을 얘기하면서
AV developers are going to rewrite zillion lines of code...


그리고 Q/A 로는 이런 화면을 붙혔네요 ㅋ