‘화이트햇 스쿨’ 교육생, 압축 프로그램 보안 취약점 발견

화이트햇 스쿨 제3기 윤준원 멘토와 ‘데토네이터(detonator)’ 팀

한국정보기술연구원은 9일, ‘화이트햇 스쿨(Whitehat School)’ 제3기 교육생 팀이 전 세계적으로 널리 쓰이는 압축 프로그램의 보안 취약점을 발견하는 성과를 거뒀다고 밝혔다.

‘화이트햇 스쿨’은 과학기술정보통신부가 주최하고, 한국정보기술연구원이 주관하는 정보보안 인재 양성 프로그램으로, 지난 3월부터 제3기 교육을 운영하고 있다.

제3기 교육생으로 구성된 ‘데토네이터(detonator)’ 팀은 화이트햇 스쿨 실습 교육(팀 프로젝트)을 진행하는 과정에서 ‘윈라(WinRaR)’를 비롯한 다양한 소프트웨어에 영향을 줄 수 있는 보안 취약점을 발견했고, 이를 제보해 보안 문제를 해결하는 데 기여했다.

‘WinRaR’는 파일을 압축하거나 압축을 해제할 수 있는 대표적인 압축 소프트웨어로 주로 RAR 또는 ZIP 포맷의 압축 파일을 만들거나 풀 수 있다. 전 세계 사용자 수는 약 5억 명에 달한다.

데토네이터 팀은 압축 파일을 내려받아 해제하는 과정에서, 사용자 시스템에 악성 파일이 접근하는 ‘익스플로잇(Exploit)’에 성공했고, 이를 글로벌 보안 제보 플랫폼인 ‘ZDI(Zero Day Initiative)’에 공식 제보했다. ZDI는 보안 취약점을 선제적으로 찾아내고, 보안 강화를 위해 공유·제보받는 프로그램이다.

이후 ZDI는 해당 취약점을 ‘WinRAR’ 개발사에 전달했으며, 개발사는 이를 반영해 보안을 개선한 최신 버전(WinRAR 7.12)을 내놨다.

특히 이번 프로젝트에서 WinRaR를 비롯한 국내외 다양한 압축 소프트웨어와 압축 파일 형식을 가진 문서 포맷을 처리하는 프로그램에서 동일한 보안 취약점을 발견해 보고를 진행했다.

이러한 성과를 거둔 데토네이터(detonator) 팀은 윤준원 멘토와 이장군 프로젝트 리더를 중심으로 강대성, 고승우, 김현아, 안우진, 이준영, 이한필, 원우진, 지현근 교육생으로 구성됐다.

김현아 교육생(프로젝트 매니저)은 “화이트햇 스쿨에서 배운 지식과 실습 경험을 바탕으로 최선을 다한 결과, 소프트웨어 보안에 기여할 수 있게 돼 매우 뜻깊다”며 “많은 도움을 주신 멘토님과 프로젝트 리더님께 감사드리며, 더욱 실력 있는 보안 전문가로 성장하도록 노력하겠다”고 말했다.

한국정보기술연구원 관계자는 “이번 성과는 정보보안 인재들이 실전 역량을 쌓고, 실제 현장에서 의미 있는 기여를 할 수 있다는 걸 보여준 사례”라며 “앞으로도 지속적인 교육과 적극적인 지원을 통해 미래 보안 인재 양성에 힘쓸 것”이라고 전했다.

한편 한국정보기술연구원 BoB센터는 지난 2023년부터 ‘화이트햇 스쿨’을 매년 운영하고 있다. 정보보안 인재로 성장하길 희망하는 청년·청소년을 대상으로 정보보안 입문 교육·기술 멘토링 등을 제공하는 것이 주요 골자다.

김나혜 인턴기자 kim.nahye1@joongang.co.kr