들어가며

이번 32기 지원서는 상중하 주제 중에 하나를 선택해서 공부한대로 적는 라이트업 문제가 있었다.

상 문제만 유일하게 CVE 분석이다. 주제가 어려웠는지 아무도 상 문제를 적진 않았지만(…) SWING 들어와서 공부하면 그만이다. 입학 시절로 돌아가 취약점 분석에 대한 0부터 적어보자. 목표는 신규 학회원들이 이 글만 읽어도 다 이해할 수 있는 것이다.

1. 들어가며

5월호의 주제는 Use-After-Free(UAF) 취약점이다. 해당 취약점을 이용한 CTF 문제 풀이 과정을 다룬다. UAF 취약점은 메모리 관리의 부주의로 인해 발생하는 보안 취약점 중 하나로, 해커가 악용할 경우 시스템 권한을 탈취당하거나 악성코드가 실행될 수 있다. 이러한 취약점은 특히 커널과 같은 중요한 시스템 컴포넌트에서 발생할 때 매우 치명적일 수 있다.

해당 글은 CTF 문제를 풀 때 필요한 전반적인 커널 지식과 문제 해결을 위한 접근 방법과 구체적 단계들을 설명한다. 이를 통해 UAF 취약점이 어떻게 악용될 수 있는지, 그리고 이를 방어하기 위한 기법들이 무엇이 될 수 있는지 생각하고 이해할 수 있다.

1. 들어가며

1990년대 중반 인터넷이 상용화된 이후 IT 분야는 비약적으로 발전하여, 이제는 어디에서나 수준 높은 IT 기술을 발견할 수 있는 시대가 되었다. 휴대폰, 노트북 등 누가 봐도 ‘컴퓨터’인 것들이 있는 반면, 우리가 자연스럽게 사용하면서도 그 속에 든 복잡한 기술은 잘 모르는 경우도 많다. 클라우드가 대표적인 예시이다.

클라우드는 많은 대중들이 익숙하게 사용하는 단어이다. 아이폰의 iCloud나 삼성 클라우드 서비스를 사용하는 사람을 찾는 것은 그다지 어렵지 않다. 두 서비스 모두 휴대폰에 저장되는 데이터를 클라우드에 백업 하거나, 부족한 휴대폰 용량을 대신하여 사용하거나, 기기간의 데이터 이동을 자유롭게 하기 위해 사용된다. 이런 식의 서비스를 제공하지만 조금 다른 이름을 가진 제품도 있다. 구글 드라이브, 네이버 MyBox, Microsoft OneDrive 등은 다양한 기기에서 파일을 공유할 수 있게끔 한다. 얼핏 다른 형태의 이름이 복잡하지만, 위에서 말한 모든 서비스는 ‘클라우드 스토리지 서비스’로 축약된다. 쉽게 말하자면 ‘소비자가 인터넷에 데이터를 저장할 수 있게끔 하는 서비스’다.