2015년 가트너 매직 쿼드런트(Gartner Magic Quadrant) 보안 인식 교육 분야 리더로 선정된 사이버 보안 전문 기업 시큐리티이노베이션(Security Innovation)이 ‘블랙햇유럽 2015’(Black Hat Europe 2015)에서 자사의 전문 기술을 선보일 예정이다. 이 회사는 자동화 차량/커넥티드 카와 모바일 보안에 관한 발표 업체로 선정됐다.
조나단 프티(Jonathan Petit) 시큐리티 이노베이션 최고 연구원은 ‘자율 주행 차량과 커넥티드 카: 센서 기만과 운전자 추적’(Self-Driving and Connected Cars: Fooling Sensors and Tracking Drivers.)이라는 제목의 세미나를 주관할 예정이다.
이 세션은 자동화 차량의 보안과 커넥티드 차량의 프라이버시에 초점을 맞춘다. 또한 프티의 자체 연구와 자동화 차량에 대한 최근의 공개 해킹을 소개한다. 네덜란드 트웬테대학교(University of Twente)에서 수행된 실험에서 프티는 자율 주행 자동차가 주변에 다른 차량과 보행자가 있다고 착각하도록 조작해 주행을 멈추도록 하는 데 성공했다. 이 실험은 일반 매장에서 구입한 60 달러 상당의 장비로 이뤄졌다.
프티는 “보안은 모든 레이어에 구축되어야 하며 이는 이번 강연이 하드웨어 보안에서 V2X 통신 프라이버시를 아우르는 이유기도 하다”고 밝혔다. 그는 “나 자신이 자동차 컨소시엄과 표준화에 적극 참여하고 있지만 자동차 제조사와 소비자 모두가 제대로 구축되지 않은 시스템의 보안과 프라이버시 위험을 인식하는 것이 대단히 중요하다고 느꼈다”고 강조했다.
프티는 시큐리티 이노베이션에 합류하기 전 아일랜드 코크대학교(University College Cork) 모바일/인터넷 시스템 연구소(The Mobile & Internet Systems Laboratory)와 컴퓨터 시큐리티 그룹(Computer Security Group) 리서치 연구원으로 근무했다.
그는 유럽이 자금을 지원한 ‘FP7 프리저브’(FP7 PRESERVE) 프로젝트를 통합 관리했으며 프랑스 툴루즈 폴사바티에대학교(Paul Sabatier University)에서 이학석사(M.Sc. )와 박사(PhD) 학위를 취득했다.
프티 박사가 주관하는 세미나 외에 디네쉬 셰티(Dinesh Shetty) 시큐리티 이노베이션 선임 보안 엔지니어가 블랙햇의 양방향 시연 구역인 아스날(Arsenal)에서 발표를 가질 예정이다. 셰티는 국제적으로 취약한 맞춤 개발 안드로이드 애플리케이션 ‘인시큐어뱅크’(InsecureBank)를 소개한다.
또한 소스 코드 리뷰 툴, 방어 코딩 기법을 논의하고 청중에게 자신의 애플리케이션을 해킹해보도록 할 예정이다.
‘인시큐어뱅크’ 앱에 대해 그는 “이는 인시큐어뱅크 이전 버전을 전폭적으로 업데이트한 것으로 완전히 개선된 사용자 인터페이스와 향상된 예외 핸들링 메커니즘 등이 포함되며 루트 추적 메커니즘도 추가됐다”고 설명했다. 이어 “이 애플리케이션은 취약한 애플리케이션을 시험함으로써 보안 전문가와 개발자가 안드로이드의 보안 위험을 배울 수 있도록 하기 위해 개발됐다”고 덧붙였다.
그는 시큐리티 이노베이션에서 수행하는 연구 외에도 저자이자 연사로도 유명하다. 그의 연구는 패킷 스톰(Packet Storm), 익스플로이트-DB(Exploit-DB), 펜테스트 매거진(PenTest Magazine), 시큐리티익스플로디드(SecurityXploded), 클럽핵 매거진(ClubHACK Magazine), 익스플로이트-Id(Exploit-Id) 등 다수 업계 잡지에 게재됐다. 한편 그는 회사 제품과 웹 애플리케이션의 민감한 보험 취약성을 발견해 책임 있게 공표한 공로를 인정받아 애플(Apple), 어도비(Adobe), 바라쿠다네트웍스(Barracuda Networks)의 명예의 전당 멤버로 활동하고 있다.
