구글 크롬(Chrome)은 전 세계 PC 10대 중 6대 이상에 설치된, 점유율 65%의 대표 브라우저입니다. 많은 사람들이 매일 사용하는 만큼, 크롬의 취약점은 곧 전 세계 수억 명의 사용자가 동시에 위협에 노출될 수 있다는 의미이기도 합니다. 특히 크롬의 핵심 엔진인 V8은 전 세계 해커들의 주요 표적이 되고 있어, 브라우저 보안 강화는 그 어느 때보다 중요한 과제가 되고 있습니다.

이러한 흐름 속에서 SK쉴더스가 세계 무대에 섰습니다. 지난 8월, 세계 최대 보안 컨퍼런스 블랙햇(Black Hat) USA 2025와 글로벌 해커 컨퍼런스 데프콘(DEF CON) 33에서 SK쉴더스의 화이트해커 그룹 EQST(이큐스트: Experts, Qualified Security Team)가 직접 강연을 진행한 것인데요. 주제는 바로 ‘구글 크롬 V8 엔진의 취약점과 해킹 기법’이었습니다. 특히 단순한 이론 발표가 아닌, 참가자들이 실제로 실습을 통해 보안 취약점과 공격 기법을 경험할 수 있도록 구성해 주목을 받았습니다. 오늘은 국제 무대에서 역량을 빛낸, SK쉴더스의 블랙햇 USA와 데프콘 강연 이야기를 만나보겠습니다.

‍

■ 글로벌 최대 보안 컨퍼런스, 블랙햇 USA와 데프콘 33

사이버보안 업계에서 가장 주목받는 무대가 바로 블랙햇과 데프콘 33입니다. 두 행사는 매년 수만 명의 보안 전문가와 해커, 글로벌 기업 관계자들이 모여 최신 위협 동향과 기술을 공유하는 세계 최대 규모의 보안 컨퍼런스인데요.

먼저, 지난 8월 4일부터 5일까지 미국 라스베이거스에서 열린 블랙햇(Black Hat) USA 2025에서 SK쉴더스는 ‘크롬 V8 익스플로잇 핵심 가이드’를 주제로 실습 교육 세션을 진행했습니다. 블랙햇은 매년 전세계의 보안 전문가와 기업 최고정보보호책임자(CISO)가 모여, 최신 보안 위협과 연구 성과를 공유하는 세계 최고 권위의 사이버보안 컨퍼런스입니다. 여러 나라에서 개최되지만, 라스베이거스에서 열리는 USA 행사가 가장 큰 규모와 권위를 자랑합니다. 교육 프로그램뿐만 아니라 최신 연구 발표와 전시까지 함께 열려 가장 큰 규모를 자랑하는 만큼, 수많은 전 세계 보안 전문가와 글로벌 기업들이 한자리에 모이기 때문입니다.

‍

이어 8월 8일, SK쉴더스는 데프콘(DEF CON) 33에서도 약 3시간 동안 V8 해킹 워크숍을 진행했습니다. 데프콘 33은 ‘세계 최대 해킹 컨퍼런스’로 불리며, 다양한 실습 세션과 대회가 동시에 열리는 것이 특징입니다. 메인 세션 외에도 다양한 ‘빌리지(Village)’로 나뉘어 운영되는데, 그 중에서 SK쉴더스가 교육을 진행한 AppSec 빌리지는 애플리케이션 보안을 다루는 가장 큰 세션으로, 보안 연구자들의 관심이 집중되는 공간이기도 합니다.

이처럼, 세계 양대 보안 컨퍼런스인 블랙햇 USA와 데프콘 33에서 교육 세션을 운영했다는 사실만으로도, SK쉴더스의 보안 기술력이 글로벌 무대에서 경쟁력을 인정받았음을 보여줍니다.

‍

■ 전 세계적으로 주목하는 크롬 V8 교육, 왜 특별할까?

출처 : Freepik

이번 교육에서는 크롬 브라우저의 핵심 엔진인 V8의 취약점 분석과 이를 활용한 실제 해킹 기법을 다뤘습니다. 전 세계 인터넷 사용자 중 약 65%가 크롬을 쓰는 만큼, V8 엔진에 대한 이해는 보안 연구자에게 반드시 필요한 영역인데요. 문제는 이를 체계적으로 배울 수 있는 기회가 매우 적다는 점입니다.

그 이유는 크롬의 개발사인 구글의 버그 바운티 제도와 관련이 있습니다. 버그 바운티란 보안 취약점을 발견한 연구자에게 금전적 보상을 지급하는 제도로, 구글도 이를 운영하고 있죠. 그래서 연구자가 취약점을 찾아도 공개 자료로 공유하기보다 구글에 직접 제보하고 보상을 받는 경우가 대부분입니다. 자연스럽게 V8 관련 최신 취약점과 공격 기법은 외부에 잘 공개되지 않고, 일부 연구자들 사이에서만 다뤄지게 됩니다.

이러한 특성 때문에 V8 엔진을 주제로 한 교육은 전 세계적으로도 보기 드문 사례입니다. 따라서 이번 블랙햇 USA와 데프콘 33에서 진행된 SK쉴더스의 V8 교육은, 참가자들에게 실무적으로 활용 가능한 드문 학습 기회를 제공했다는 점에서 큰 의미가 있습니다.

‍

■ EQST V8 교육이 특별했던 이유!

1) 최신 트렌드를 담아낸 2025년 최신 커리큘럼

출처: Freepik

EQST의 이번 교육은 단순한 개념 전달에 그치지 않았습니다. 2024~2025년 크롬 V8의 주요 변화를 반영해, 최신 흐름을 따라갈 수 있도록 구성된 것이 가장 큰 특징이었죠.

최근 2년간 V8 엔진은 내부 최적화 컴파일러 변경, 샌드박스 외부 접근 로직 강화 등 기능과 성능 면에서 유례없이 큰 변화를 겪었는데, 이런 흐름이 커리큘럼 전반에 충실히 반영되었습니다.

참가자들은 V8 엔진의 기본 구조 이해부터 메모리 구조 분석, Out-of-Bounds(OOB)·타입 혼동(Type Confusion) 같은 취약점 분석 기법, GDB·d8 디버깅 도구 활용, 샌드박스 우회 기법까지 실무 적용 가능한 내용을 체계적으로 학습했습니다. 보안 실무자에게 꼭 필요한 핵심 요소를 빠짐없이 다룬 덕분에 참가자 만족도도 높았다는 후문입니다.

‍

2) 시간·밀도·깊이 모두 업그레이드!

올해 블랙햇 USA에서는 무려 16시간에 걸친 심화 강의가 진행되었고, 데프콘에서는 3시간짜리 워크숍이 마련되었습니다. 지난해 평균 강의 시간이 약 2시간에 불과했던 점을 고려하면, 학습자들이 개념을 단순히 듣고 지나치는 수준을 넘어, 실제로 이해하고 체득할 수 있도록 강의 시간이 대폭 늘어난 것입니다. 단순히 시간을 늘린 것에 그치지 않고, 강의의 밀도와 깊이 또한 한층 강화되었습니다.

교육 자료만 해도 방대한 1,000여 장의 슬라이드로 구성되어, 기초부터 최신까지 단계적으로 학습할 수 있도록 체계화했습니다. 참가자들은 V8 엔진의 기본 구조와 동작 원리를 차근차근 이해한 뒤, 1-day 취약점 분석을 통해 실제 보안 이슈를 다루는 법을 실습할 수 있었고, 더 나아가 최근 급격히 변화하고 있는 최신 보안 트렌드까지 아우를 수 있었습니다.

특히 이렇게 V8을 깊이 있게 다룬 자료는 전 세계적으로도 찾아보기 힘든 수준입니다. 기초부터 1-day 분석까지의 전 과정을 망라하면서, 최신 트렌드까지 단계적으로 커버한 교육이라고 할 수 있습니다. 덕분에 참가자들은 충분한 시간 속에서 V8 엔진을 이해하고 다룰 수 있는 역량을 기를 수 있었습니다.

‍

3) 실습 중심으로 차원이 다른 교육 경험 제공!

여기서 끝이 아닙니다! 대부분의 보안 교육이 이론 위주로 진행되는 것과 달리, EQST 강의는 실습 중심이었습니다. 크롬 V8 취약점은 특정 버전에서만 재현 가능하기 때문에 연구자가 직접 실습 환경을 꾸리려면 길게는 몇 시간 이상 소요되곤 하는데요. EQST는 강의를 위해 이 불편함을 획기적으로 해결했습니다. 참가자들은 별도의 복잡한 준비 과정 없이, 웹 기반 원격 환경에서 단 몇 번의 클릭만으로 실습을 시작할 수 있었습니다.

또한 총 9개의 케이스 스터디를 통해 참가자들이 직접 코드를 다루고 실행하며 학습하도록 구성했습니다. 단순히 교육 중 지식을 전달하는 수준을 넘어, 수강 후에도 스스로 취약점을 탐구할 수 있는 역량을 기를 수 있도록 설계된 것이죠.

결과적으로 이번 세션은 ‘듣는 교육’이 아니라 ‘체험형 교육’으로, 참가자들에게 실질적인 도움과 높은 만족도를 동시에 안겨주었습니다.

‍

‍

지금까지 글로벌 보안 컨퍼런스 블랙햇 USA 2025와 데프콘 33에서 활약한 SK쉴더스 EQST의 강연 현장을 함께 살펴봤습니다. EQST는 앞으로도 사이버보안 분야의 전문성을 기반으로 새로운 인사이트를 꾸준히 공유할 예정인데요. 빠르게 진화하는 사이버 위협에 한발 앞서 대응하며, 글로벌 무대에서 보안 경쟁력을 더욱 강화해 나갈 SK쉴더스 EQST의 도전을 기대해 주세요!