구글의 넥서스6p, 아이폰6S, 갤럭시S7 세 종류의 스마트 폰 가운데 가장 해킹에 약한 것은 어떤 것일까요?

 정답은 구글 넥서스 6p가 10초만에 해커들에게 뚫려 가장 보안성이 취약한 것으로 드러났다.

 최근 일본 도쿄에서는 세계 정상급 해커대회인 Mobile Pwn2Own 2016대회가 열렸다. 스마트폰 해킹에 관한 한 날고기는 전문 화이트 해커들이 기량을 겨뤘다.

 결과는 해킹강국 중국의 텐센트 킨랩이 총점 45점 및 21만 5천 달러의 상금으로 우승을 차지해, “The Master of Pwn”의 칭호를 가져갔다.

 “Pwn”은 해커문법에서 쓰이는 통속적인 말로, 장비 또는 시스템 해킹을 뜻한다. 발음이 “펑(砰)”과 비슷한데, 해커에게는 해킹 공격이 성공했다는 소리다. 펑 소리와 함께 해킹 당한 컴퓨터나 휴대폰은 해커의 손에서 놀아난다.

 우승 팀의 핵심 멤버 중에는 저장대학교 컴퓨터학과 출신이 두 명 있다. 허치단은 저장대 졸업생이며, 현재 텐센트 킨 랩에 근무 중이다. 류겅밍은 대학교 4학년 재학중으로, 정보보안 분야에 주력하고 있다.

 우승 소식이 전해지자 저장대 교내 게시판에는 두“해커”의 우승을 축하하는 글들이 잇따르고 있다..

 이번 폰투온은 트렌드마이크로(Trend Micro)산하의 유명 보안 프로그램 제로데이 이니셔티브(Zero Day Initiative)가 주최하는 세계적으로 유명한 커대회다.

 이번에 도쿄에서 개최된 모바일 폰은 모바일 운영체제, 휴대폰 브라우저와 모바일 앱의 안전성 문제에 많은 관심이 쏠렸다.

 이 대회 목적은 참자들이 지금까지 스마트폰 운영체계의 알려지지 않은 허점을 통해 각종 모바일 장치에 침입하고, 제조업체에게 보고해 업체들로 하여금 이런 보안취약성을 보완하고 복원하도록 하기위한 취지에서 마련됐다.

 이번 대회 관전포인트는 해커들의 먹이감이 된 스마트폰이었다. 화이트해커들은 아이폰6S, 구글 넥서스6P, 갤럭시S7의 기기를 목표로 삼고, 휴대폰 내부의 민감한 정보 획득, 휴대폰 내 악성 앱 설치, 펌웨어 해킹 및 암호 해독 등 3가지 공격 과제를 완성하는 쪽이 승리하는룰로 진행됐다.

 텐센트 킨 랩이 가장 먼저 해킹에 성공한 기종은 구글 넥서스6P였다. 이들은 넥서스6P에 악성 응용 소프트웨어를 설치하는데 성공했고, 덕분에 10만 2500 달러의 상금과 29점을 획득했다.

이어서, 킨랩 팀은 아이폰6S에 악성 앱을 설치했다. 하지만, 이 앱은 모두가 휴대폰을 고칠 때 가장 많이 사용하는 리부팅을 버티지 못했다. 그래서 절반의 성공으로만 인정되었고, 6만 달러의 상금을 얻었지만, 점수는 획득하지 못했다.

 마지막으로, 이들은 다시 아이폰6S를 공격해 휴대폰 사진을 유출시켰다. 그리하여, 텐센트 킨 랩은 총점 45점 및 상금 21만 5천 달러의 성적으로 본 대회의 “마스터 오브 폰”이 되었다.

 대회 도중 가장 화제가 됐던 것은 이 팀이 넥서스6P를 공략할 때 소요된 시간이었다. 그 시간은 고작 10초였다. 안드로이드 운영체계가 보안에 취약하다는 것은 잘 알려진 사실이지만 대회장 주변에서는 탄성이 일었다.

 주최측도 이는 마치 집에서 미리 프리젠테이션을 준비하고 현장에 와서 발표만 하는 것에 비유하며 텐센트 킨랩의 해킹실력은 타의 추종을 불허한다고 높게 평가했다.

 사실 텐센트 킨랩은 올해 1월에 설립됐다. 구성원들은 주로 전설적인 보안 연구 팀인 킨팀(Keen Team)에서 들어왔다.

 랩 홈페이지에 나와 있는 데이터를 보면 그들이 얼마나 해킹과 보안 분야에 뛰어난 레퍼런스를 가지고 있는지 잘 알 수 있다.

 설립 당시부터 지난 5월까지, 킨팀은 주류 운영체제, 브라우저, 응용 소프트웨어에서 위험성이 높은 152개의 허점을 발견했다. 구성원들은 4년 연속 폰투온

에 참가해 8개의 개별 종목 우승을 차지했다.

 저장대 4학년 재학 중인 류겅밍은 당시 리수이(丽水)시 칭위안(庆元)현에서 처음으로 항저우 외국어학교에 입학했고, 이후 저장대에 입학했다. 그는 저장대에서 저장대 AAA팀이라는 중요하고 신비로운 화이트해커 조직에 가입했다.

 AAA는 Azure Assassin Aliance의 약칭으로, 푸른 암살자 연맹이라는 뜻이다. 허치단도 졸업 전 AAA팀의 팀원이었다.

 팀 이름은 마치 중학생들이 장난치는 것처럼 보이지만 이 연맹에는 저장대에서 가장 뛰어난 “해커”들이 모였다. 팀원은 모두 십 여명이고, 모두가 컴퓨터학과 학생은 아니다. 일부는 수학, 생물, 전자 등을 전공하고 있고, 모두 정보안전 애호가들이다.

 팀원의 질을 보증하기 위해, AAA팀은 특별히 규정된 가입방법을 만들었다. 그들은 웹사이트에 문제를 올린다. 이 문제를 풀어야만 팀의 연락처를 얻을 수 있고, 팀에 가입할 수 있다.

 바이훙환 저장대 컴퓨터학과 교수는 평소 류겅밍과 가깝게 지내고 있다. 그는 류겅밍이야말로 AAA팀의 핵심 인물이라고 말했다.

 AAA팀은 항상 이곳저곳에서 각종 정보보안 유형의 대회에 참가해왔다. 수많은 해커톤 대회에서는 선수가 정해진 몇 십 시간 안에 지정된 임무를 완수할 것을 요구한다. 류겅밍의 능력이 매우 뛰어나기 때문에, 그는 중요한 임무를 맡아왔다. 종종 밤을 새워가며 대회를 치뤄야 한다.

바이훙환이 볼 때, 류겅밍의 성격은 해커가 되기에 매우 적합하다고 한다. 그는 개성이 있고, 인내심이 있고, 자기가 사랑하는 일에 끝까지 달려든다. 류겅밍은 아직 졸업하지 않았음에도 불구하고 이미 텐센트 킨랩에 발탁돼 팀원이 됐다.

 선배 허치단의 경력은 더 풍부하다. 킨 팀을 따라 최고의 국제대회에 참가한 것 외에, 그는 지난 8월, 정상급 보안회의인 블랙햇 USA와 데프콘에 초청돼 강연했다.

 그는 그 라스베가스 여행을 《화이트 해커 라스베가스 강연기》에 기록했고, 그 두 차례 강연이 “두 개의 인생 업적을 해독했다”고 말했다.

 풍부한 인적 자원을 바탕으로 해킹과 보안 분야에서 뛰어난 실력을 보이고 있는 중국의 IT굴기가 이제는 전 세계를 놀라게 하고 있다.