올해 18번째로 룩셈부르크서 개최
이큐스트랩 ‘자바스크립트 엔진 V8 취약점’ 발표
국내 최대 화이트해커 그룹으로서 최신 기술 공유
[헤럴드경제=권제인 기자] SK쉴더스는 자사의 화이트해커그룹 이큐스트(EQST)가 글로벌 사이버보안 컨퍼런스 ‘핵루(hack.lu) 2024’에 참석해 ‘자바스크립트 엔진 V8 취약점’에 대한 연구 발표를 진행한다고 23일 밝혔다.
지난 22일부터 나흘간 룩셈부르크에서 열리는 핵루 컨퍼런스는 매년 전 세계의 사이버보안 전문가들이 모여 최신 동향과 보안 기술을 공유하는 행사다. 올해 18회를 맞이한 이번 행사는 전문가 강연, 실습 워크숍, 모의해킹 대회(CTF) 등의 프로그램으로 구성된다.
SK쉴더스의 이호석 이큐스트 랩(EQST Lab) 팀장은 이날 저녁 ‘초보자를 위한 Chrome V8 익스플로잇 교육’을 발표한다. V8 엔진은 크롬 등 다양한 애플리케이션에서 사용되며, 보안 취약점 발생 시 큰 영향을 미친다. 상위 레벨의 해킹 지식이 필요해 국내외에서 관련 교육이 드문 상황에서, 최신 기술을 공유할 계획이다.
발표에서는 ▷V8 구조 및 동작 방식 ▷V8 디버깅 방법 △V8 익스플로잇 수행 등 핵심 이론을 설명하고 청중들이 직접 V8의 취약점을 찾고 분석해 볼 수 있는 실습 시간도 제공할 예정이다.
이호석 팀장은 이 자리에서 다수의 크롬 취약점 공격이 원격 명령 실행(RCE)에 악용되고 있다고 지적한다. 그중 대부분이 V8에서 발생한 버그로부터 시작되는 점을 강조하며, 이번 교육의 중요성을 설명할 예정이다. 특히, 초보자도 V8의 잠재적인 결함을 찾을 수 있도록 단계별로 설명을 진행하고 V8 익스플로잇 기술을 학습할 수 있도록 프로그램을 준비했다.
한편, SK쉴더스의 EQST는 글로벌 기업 전문 연구 조직에 대응하는 위협 정보 연구 역량을 갖춘다는 목표로 설립된 국내 최대 규모의 화이트해커그룹이다. 모의해킹과 취약점 진단 등 업무를 수행하고 해킹 트렌드 분석 및 랜섬웨어 동향 연구 등을 진행하고 있다.
SK쉴더스는 직접 개발하고 특허까지 받은 모의해킹 교육 프로그램(EQST LMS)을 통해 인재 양성에도 앞장서고 있다. EQST LMS는 온라인 환경에서 이론과 실습 교육을 함께 제공하고 있다. 초급부터 고급과정까지 체계적인 교육 커리큘럼을 갖췄으며, 웹, 모바일, 클라우드, 리버싱, 시스템 해킹 등 실제 모의 해킹 프로젝트 현장에서 적용되는 해킹 기술과 교육이 반영됐다.
김병무 SK쉴더스 정보보안사업부장(부사장)은 “이번 핵루 컨퍼런스 참가로 글로벌 수준의 기술력과 연구 역량을 검증받을 수 있는 계기가 되어 기쁘다”며 “SK쉴더스는 사이버보안 분야의 핵심 기술을 연구하고 인재 양성에 앞장서는 ESG 활동을 더욱더 강화해 나갈 것”이라고 밝혔다.