Portfolio

Research & Experience

다양한 IoT 기기에 탑재되는 블루투스 칩셋은 OS Host와의 디버깅을 위해 Bluetooth Host Controller Interface(HCI)를 제공하며, 그 주요 기능 중 RAM 영역에 메모리를 Write할 수 있는 WriteRAM 기능이 존재합니다. 이 기능을 통해 펌웨어를 변조하면 마치 SDR·모뎀처럼 원하는 블루투스 RF 신호를 송신할 수 있게 Weaponizing할 수 있어, ITW(In the Wild)에서 악용 사례가 적발되었고 Broadcom은 칩셋 펌웨어 내 WriteRAM 기능을 차단하는 Mitigation을 적용했습니다. 본 연구는 모든 MacBook에 탑재되는 Broadcom 칩셋을 대상으로, 이 Mitigation이 어떻게 적용되었는지 분석하고 최종적으로 우회하는 것을 목표로 진행했습니다. 공개된 PoC나 상세 자료가 없는 상태였기에 이전 유사 연구 사례를 조사해 펌웨어를 추출했고, 칩셋 펌웨어와 macOS 커널이 어떻게 상호작용하는지 시스템 전체 동작 과정을 분석했습니다. 그 과정에서 Mitigation 적용 지점을 리버스 엔지니어링으로 파악했고, 분석한 내용을 토대로 실제 Mitigation 코드를 Bypass할 수 있는 아이디어를 적용하여 기능이 제한되어 있던 HCI 주요 기능인 WriteRAM 활성화에 성공했습니다.

최근 시작한 Offensive Security 연구로, 온프레미스 엔터프라이즈 환경에서 널리 운영되는 Microsoft Exchange Server를 대상으로 진행 중입니다. 전체 시스템 구조 분석부터 시작해, 공개되지 않은 최신 1-day를 재현하는 데 성공했습니다. 해당 1-day는 Exchange Mailbox 내에서 XSS(Cross-Site Scripting)을 트리거할 수 있는 경로를 갖고 있어, 인증된 사용자 권한 안에서 메일박스 데이터·세션 컨텍스트에 영향을 줄 수 있는 공격 시나리오를 검증했습니다. 기존에 수행해 온 클라이언트·임베디드·커널 연구에서 한 단계 확장해, 엔터프라이즈 서버 및 SaaS 인접 영역으로 분석 범위를 넓혀가는 단계의 연구입니다.

최신 Windows가 아닌 특정 과거 버전을 대상으로, 공개되지 않은 1-day PoC를 구현해 실제 권한 상승까지 Weaponizing하는 보안 연구를 진행했습니다. 패치 diff로 변경 함수를 추출하고 CWE·도메인·패턴 가중치로 후보를 랭킹화한 뒤, PoC를 제작해 패치가 적용된 취약 함수를 확인했습니다. PoC가 Race Condition 취약점이라 재현이 매우 어려웠기에 대신 UAF 취약점을 일으켜 Arbitrary write primitive를 구성한 뒤, 시스템 토큰을 현재 프로세스 토큰에 write하는 방식으로 권한 상승에 성공했습니다. 최근에는 이 수동 분석 과정을 LLM 에이전트·MCP 도구로 체계화하는 자동화 파이프라인 연구를 병행하고 있습니다. MSRC 패치 메타데이터와 Hyper-V 기반 patch before/after 바이너리를 수집하고, IDA Headless·WinDbg·Hyper-V를 MCP 도구로 연결해 정적 도달성(L0) → 트리거 조건 추출(L1) → 필드 소비 추적(L1.5) → 런타임 브레이크포인트 검증(L2) → PoC BSOD 재현(L3)까지 단계별 검증을 자동화했습니다. 커널 타겟 함수 도달 트리거 코드와 Hyper-V 스냅샷 복원을 통한 PoC 반복 실행 전 과정을 에이전트가 처리하며, 현재는 Claude로 구성한 파이프라인을 GPT Codex Security로 병행 검증해 LLM별 보안 분석 역량을 비교·갱신하고 있습니다. 이 파이프라인으로 공개 1-day인 CVE-2024-38106(Race Condition)과 미공개 취약점 CVE-2026-40407(CLFS Heap Overflow)을 user-mode BSOD까지 재현했고, 최신 Windows 11(Build 26100)의 Object Manager 네임스페이스 루트 처리 코드에서 UAF BSOD 결함을 발견해 공격 코드·방어 패치를 함께 제시하여 MSRC에 제보했습니다.

최신 안드로이드 커널에는 MTE(Memory Tagging Extension)라는 메모리 보호 기법이 존재합니다. 본 연구는 MTE가 적용된 환경에서 과거 1-day 사례를 적용했을 때 공격 성공률이 얼마나 떨어지는지, 그리고 우회 가능성이 존재하는지를 다각도로 분석하기 위해 진행되었습니다. 대부분의 메모리 커럽션 1-day는 MTE에 의해 정상적으로 탐지·차단되었지만, modprobe_path라는 Primitive를 사용했을 때는 MTE를 우회할 수 있다는 방법론을 도출했습니다. 실제 Pixel 기기에 MTE를 적용한 상태에서 modprobe_path Primitive Exploit을 실행해 ROOT 권한 탈취를 재현했고, 동일한 우회 경로를 차단할 수 있는 방어 기법 ROGuard를 함께 제시했습니다. ROGuard는 제품 본연의 성능 저하를 최소화하면서 동일 클래스의 우회를 차단하도록 설계하였으며, 공격·방어를 한 연구 안에서 함께 다룬 점에 의미를 두고 있습니다.

석사 과정 중 일본 기업 GMO Internet과 MOU 협약을 맺고, 도쿄 시부야 GMO Internet 사옥에서 약 1개월간 단기 근무하며 위성 보안 연구를 수행했습니다. 본 연구의 핵심 목표는 DEFCON 33, CodeBlue 등 국제 컨퍼런스 부스에서 발표할 인공위성 보안 데모와 SCI 논문을 준비하는 것이었습니다. GomSpace와 EnduroSat OBC(위성 온보드 컴퓨터) 보드를 직접 구매해, SDK 내에서 보안을 점검할 수 있는 Proxy 도구를 개발하고 펌웨어에 플래싱하는 작업을 수행했습니다. 내부 개발 코드로는 실제로 발생 가능한 지상국 보안 공격 시나리오와, 이에 대응할 수 있는 방어 시스템을 함께 구축했습니다. 방어 측면에서는 CCSDS(우주데이터시스템자문위원회) 프로토콜 기반 Firewall을 설계해, 위성 uplink·downlink 경로 상에서 악성·변조 패킷을 차단할 수 있도록 했습니다. 본 연구 결과를 토대로 "CCSDS based Firewall for Modern Satellite System" 주제의 SCI 논문(Computers & Security)을 작성하였고, 2025년 DEFCON 33 Las Vegas와 Bahrain Aerospace Village 두 곳에서 위성 보안 시스템 시연 및 발표를 성공적으로 진행했습니다.

우주 산업이 가속화됨에 따라 인공위성 및 지상국 보안 연구의 가치가 점점 더 중요해지고 있습니다. 본 연구는 실제 상용 지상국 서비스를 운영하는 기업과 MOU 협업을 통해 진행되었고, 두 가지 관점에서 보안성을 점검했습니다. 첫째, 실제 인공위성으로부터 송신되는 RF 신호를 수신·복호화하는 연구를 수행했습니다. SDR(USRP), GNU Radio, 전용 안테나를 직접 구축해 X-band와 S-band 위성 신호를 실제로 수신·복조했고, 그중 일부 지구 관측 이미지를 성공적으로 디코딩해 원본 영상을 복원할 수 있었습니다. 둘째, 실제 운영 중인 상용 지상국 시스템의 구조를 분석하고 취약 구조를 식별하는 연구를 진행했습니다. 분석 결과 도출된 취약점을 통해 운영 중인 서버에 침투하는 데 성공했고, 시스템 전체 파일 시스템에 접근할 수 있는 단계까지 도달했습니다. 두 트랙을 결합해 RF 단부터 운영 인프라까지 위성-지상국 통신 사슬 전반의 attack surface를 입증한 사례입니다.

중국 유명 상용 드론을 대상으로, RC 조이스틱 제어권을 탈취할 수 있는지에 초점을 맞춘 보안 연구를 진행했습니다. 실제 드론 RF 신호를 수집한 뒤, 일부 상황에서 패킷을 replay할 수 있는 도구를 직접 제작했고, 조종기 없이 Takeoff·Landing 명령을 실행하는 데 성공했습니다. 이후 보안 기능이 추가된 상위 버전 드론을 대상으로 RF 프로토콜을 더 자세히 분석했고, 그 과정에서 entropy를 낮춰 암호화 키를 유추할 수 있는 Bruteforce 취약점을 발견했습니다. 해당 취약점을 통해 커스텀 DUML 프로토콜의 패킷 형식을 알아낼 수 있었고, 인증·시퀀스 등의 제한 상황을 우회해 조이스틱 명령을 임의로 실행함으로써 드론을 무력화하는 시나리오까지 재현했습니다. RF 수집·분석부터 펌웨어 리버스, 암호 키 추정, 프로토콜 해독, 최종 무력화까지 전 과정을 직접 다룬 임베디드 무선 보안 연구 사례입니다.

유명 상용 무전기를 대상으로 RF 신호를 수집해, 실제 음성으로 복호화하는 보안 연구를 진행했습니다. 무전기 펌웨어를 추출해 RF 신호 복호화 과정을 정적·동적으로 분석했고, 그 과정에서 entropy를 낮춰 암호화 키를 유추할 수 있는 Bruteforce 취약점을 발견했습니다. 또한 RF 신호 음성 복호화 성공률을 끌어올리기 위한 Oracle 도구를 제작해, 잡음·손실이 있는 신호 환경에서도 음성 신호 복구 확률을 의미 있게 높이는 데 성공했습니다. 무전기·드론·위성 등 다양한 RF 기반 임베디드 시스템에서 공통적으로 적용 가능한 분석 패턴을 확장한 사례입니다.

실제 상용 지상국 연구를 본격적으로 진행하기 전에, 사용자 약 8,500명 규모의 오픈소스 인공위성 지상국 TinyGS(ESP32 기반)를 먼저 타깃으로 보안 연구를 수행했습니다. 공격 표면은 RF 도청, 변조 악성 데이터 RF 송신, 펌웨어 자동화 공격(RF Fuzzing)의 세 갈래로 분석했습니다. 첫째, RF 도청 시나리오는 ESP32 지상국 3대를 직접 구축하고 Telegram·MQTT 설정을 통해 Access Point 모드로 셋업한 뒤 LoRa 위성 패킷을 수신하는 구조로 검증했습니다. Mosquitto 기반 MQTT 스푸핑 서버를 제작해 지상국 설정 단계의 MQTT 정보에 삽입함으로써, 위성이 송신한 패킷이 스푸핑 서버에서 그대로 확인되는 도청 흐름을 구현했습니다. 둘째, 변조 악성 데이터 RF 공격은 GNU Radio 송신 코드(SDR)와 LoRa 기반 TX를 개발하고, 라즈베리파이4·USRP B205mini·앰프·안테나를 결합해 약 1kg 규모의 휴대형 송신 장비를 직접 구성했습니다. 송수신 검증을 거쳐 조작된 패킷을 지상국이 정상 패킷으로 인식하도록 만들었습니다. 셋째, 펌웨어 자동화 공격은 Python 기반 Fuzzer 서버에 Radamsa 뮤테이터를 연동하고, TinyGS 웹사이트의 Last Packets를 크롤링해 실제 TM/TC 패킷을 시드로 수집·변이했습니다. 코드 수정이 불가한 블랙박스 지상국을 MQTT로 연결한 Over-the-Air RF Fuzzing 자동화를 구축했고, 그 결과 Heap Overflow 1건과 DoS 2건을 포함해 총 3건의 취약점을 발견했습니다. 본 연구는 정보보호학회에 "인공위성 RF 신호 생성을 통한 오픈소스 지상국 시스템 취약점 연구"로 게재·발표했습니다.

하임시큐리티에서 MS Office, Web Browser, 백신(Antivirus), RDP 등 상용 소프트웨어를 대상으로 취약점 연구·익스플로잇 개발을 수행했습니다. 공통 분석 워크플로우는 우선 모든 소프트웨어의 상세 동작 과정을 파악하고, 사용자 입력을 받을 수 있는 attack surface를 조사하는 것에서 시작합니다. 이전 버전에서 발생한 1-day를 분석해 어떤 종류의 bug case가 발생하는지 함께 정리한 뒤, 디버거를 통해 사용자 입력을 주입하는 동적 분석과 디컴파일된 코드를 추적하는 정적 분석을 병행해 size Overflow, UAF, Race Condition 등 취약점을 도출합니다. 코드 규모가 큰 타깃에는 공개 Fuzzer를 활용해 취약 함수에 attach하는 Harness를 직접 작성하고, fuzzing 자동화와 코드 오디팅을 함께 진행했습니다.

Office (MS Office) — MS Office의 주요 입력 벡터 중 Excel 데이터를 Parsing하는 Dynamic linking code 단을 연구 타깃으로 지정해 분석을 진행했습니다. Office는 코드 규모가 매우 방대해 정적·동적 분석만으로는 한계가 있어, WinAFL 기반 Fuzzer에 attach하는 Harness를 직접 작성해 fuzzing 자동화와 코드 오디팅을 병행했습니다. 분석 결과 Excel OLE File Extract data를 변경해 size를 조작하면, parser가 잘못된 길이 정보를 따라가며 비정상 메모리 접근을 일으키는 DoS 단 취약점 케이스를 발견했습니다. 해당 취약점은 사용자가 악성 Excel 파일을 열기만 해도 트리거되는 user-interaction 1-click 시나리오로 검증되었습니다.

Antivirus (백신) — 백신은 사용자가 직접 실행하지 않은 파일도 자동으로 검사하기 때문에, 검사 로직 자체가 SYSTEM 권한 컨텍스트에서 동작한다는 특성이 있습니다. 본 연구에서는 백신이 추출된 OLE File을 검사할 때, 압축 해제 과정에서 Full Access가 가능한 일반 TEMP 경로로 압축을 해제하는 취약점을 발견했습니다. 해당 경로는 권한이 낮은 일반 사용자도 쓰기·조작이 가능한데, 공격자가 해당 경로에 Hard Link 등 심볼릭 링크 관련 기능을 사용하면 SYSTEM 권한이 경로 상의 임의 파일을 직접 수정할 수 있게 됩니다. 이 패턴은 곧바로 Local Privilege Escalation(권한 상승)으로 이어질 수 있으며, 인증된 일반 사용자가 백신의 자동 검사 동작만 트리거해도 SYSTEM 권한 코드 실행이 가능한 시나리오를 검증했습니다.

Web Browser — 브라우저는 렌더러·IPC·JS 엔진·이미지 파서 등 사용자 입력이 도달하는 surface가 가장 넓은 타깃 중 하나입니다. 본 연구에서는 주로 렌더러 단의 그래픽 처리를 담당하는 libangle 모듈을 타깃으로, 외부 입력이 도달하는 코드 경로를 정적·동적 분석으로 추적하며 heap overflow 취약점을 집중적으로 조사했습니다. 패치 전·후 코드 비교(1-day diff)를 통해 bug case가 어떤 패턴으로 발생하는지 학습하며 신규 취약점 후보를 발굴했습니다.

RDP — 오픈소스 RDP 구현체를 대상으로, client → server handshake init 단계에서 서버 응답 데이터를 조작해 client 측 RCE를 유도할 수 있는지를 중심으로 연구를 진행했습니다. RDP는 원격 데스크톱 프로토콜 특성상 네트워크 단에서 직접 도달 가능한 attack surface가 광범위해 RCE 잠재력이 큰 타깃이며, 본 연구에서는 특히 악성 서버에 접속한 정상 client의 handshake 처리 코드 경로를 추적했습니다. 디컴파일된 코드 정적 분석과 디버거 동적 분석을 병행해, 핸드셰이크 단에서 신뢰되지 않은 서버 데이터가 client 메모리 구조에 영향을 주는 취약 패턴을 식별했습니다.